KI und IT-Sicherheit global: Welchen rechtlichen Weg gehen die Nationalstaaten?

Wo Künstliche Intelligenz (KI) vor einigen Jahren von nicht wenigen als bloßes „Buzzword“ betitelt wurde, um digitale Innovation zu suggerieren, hat sich die Lage mittlerweile mehr und mehr geändert, indem laufend neue Anwendungs- und Praxisfelder für KI-gestützte Technologien entwickelt und umgesetzt werden. Doch wo eine neue Technologie zunehmend Einsatz erfährt, stellen sich mehr und mehr auch rechtliche Fragestellungen, die insbesondere auch die IT-Sicherheit betreffen. Der Beitrag gibt einen kurzen Überblick über aktuelle internationale rechtliche Entwicklungen im Bereich der Regulierung von sicheren KI-Systemen.

Ein Artikel von Dennis-Kenji Kipker

Zuvorderst ist zum Thema KI und Recht unter dem Gesichtspunkt der IT-Sicherheit festzustellen: Genau so wenig, wie es eine ausgereifte und seit Jahren existierende internationale Regulierung von IT-Sicherheit gibt, gibt es eine ausgereifte Regulierung der Sicherheit speziell von KI-Systemen. Vieles steckt hier noch in den Kinderschuhen. Erste, teils noch rechtspolitische Ansätze werden diskutiert, und viele der rechtlichen Vorgaben in dem Bereich, die schon verabschiedet wurden, befassen sich weniger mit der Regulierung sicherer KI an sich, sondern zuvorderst mit der Regulierung von Szenarien, in denen (theoretisch) auch KI zum Einsatz kommen könnte. Überdies ist der Regulierungshorizont deutlich davon abhängig, für welche Bereiche Nationalstaaten in den kommenden Jahren Entwicklungspotenziale sehen – sei es sozial, gesellschaftlich, wirtschaftlich, umweltpolitisch, oder gar militärisch.

In der EU und in Deutschland gibt es seit dem ersten IT-Sicherheitsgesetz (IT-SiG) aus 2015 beispielsweise mehr und mehr Gesetze, die IT-Sicherheit allgemein regulieren. KI findet hier vor allem über unbestimmte Rechtsbegriffe und Generalklauseln Eingang in das Recht, so zum Beispiel über den vielzitierten „Stand der Technik“ von umzusetzenden technisch-organisatorischen Maßnahmen. Über die Europäische Union hinaus sind es vor allem Russland, die USA, Israel, Indien und China, die für den internationalen Blick auf die sicherheitsbezogene KI-Regulierung interessant sind.

Soweit es die Cybersicherheit anbelangt, steht in der Russischen Föderation das „Federal Law on Security of Critical Russian Federation Information Infrastructure“ im Mittelpunkt der Betrachtungen. Das Gesetz regelt unter anderem die Schaffung eines staatlichen Informationssicherheitssystems, das der Erkennung, Vorbeugung und Beseitigung der Folgen von Cyber-Angriffen gegen die IT-Strukturen der Russischen Föderation dient – ein klassisches Einfallstor für autonom agierende KI-Maßnahmen. Überdies wird durch die nationale Cybersicherheitsstrategie Russlands festgeschrieben, dass digitale Waffensysteme kontrollfähig zu halten sind. Somit dürfte davon auszugehen sein, dass für Russland der Einsatz von KI mittelfristig auch Einsatzszenarien beinhaltet, bei denen KI-gestützte Cyber-Angriffe ausgeführt oder abgewehrt werden, oder KI eine Rolle bei der Steuerung autonomer Waffensysteme spielt.

In den Vereinigten Staaten dürfte die IT-Sicherheit von KI insbesondere im Bereich produktbezogener Regulierung eine Rolle spielen. Neben allgemeinen Vorschriften zur IT-Sicherheit, die über die unterschiedlichen Regulierungsebenen im föderalen System verteilt sind, bildet vor allem die Regulierung autonom fahrender Fahrzeuge einen Schwerpunkt. Verschiedene rechtlichen Vorgaben, aber auch Strategiepapiere wurden in diesem Zusammenhang in der jüngeren Vergangenheit erarbeitet. Dabei spielt vor allem die „Safety“ eine Rolle – also der Schutz von Menschen und Gütern vor fehlgeleiteter KI.

In Israel bezieht sich die Regulierung und Schaffung IT-sicherer KI primär sowohl auf den Datenschutz wie auch auf die IT-Sicherheit. In diesem Zusammenhang werden Elemente der klassischen Risikoanalyse, interne Sicherheitspolicies und technisch-organisatorische Maßnahmen zur IT-Sicherheit vorgeschlagen. Die technisch-organisatorischen Maßnahmen können das Führen von Dokumentationen, Bestandslisten und Sicherheitsprotokollen, Datenminimierung, Nutzerüberwachung, Schulungen, Back-Up-Pflichten, Data-Breach-Notifications, Anforderungen an vertragliche Festlegungen bei Outsourcing, sowie die Bestellung interner Sicherheitsbeauftragter oder externer Auditoren und das Penetration-Testing umfassen. Bereits bei der Festlegung dieser IT-Sicherheitsmaßnahmen werden verschiedene Bezüge zum Einsatz von KI deutlich: Lernalgorithmen, die Spam- und Schadecodemails automatisiert identifizieren können, die Unterstützung von Security Operations Centers (SOC) durch (teil-)automatisierte Nachverfolgung von IT-Sicherheitshinweisen, oder der Betrieb eines Intrusion Detection Systems (IDS), das Angriffsmuster oder Anomalien erkennt, oder bei dem eine Korrelation von Ereignisdaten stattfindet.

Indien ist demgegenüber speziell im Bereich der IoT-Regulierung stark, und KI-Maßnahmen können hier als technisch-organisatorische Maßnahme zur Gewährleistung eines angemessenen IT-Sicherheitsniveaus Eingang in das Gesetz und die Praxis finden. Soweit es um KI allgemein – und nicht nur um deren Sicherheit geht – kann bereits jetzt prognostiziert werden, dass China in den nächsten Jahren definitiv ein „global player“ sein wird – sofern das Reich der Mitte nicht schon jetzt als ein solcher bezeichnet werden kann. Die Relevanz, die Peking dem Thema KI beimisst, wird vor allem durch die Strategie des Staatsrats deutlich, bis zum Jahr 2025 die weltweite Führungsposition bei KI zu übernehmen, und bis zum Jahr 2030 die weltweite Vormachtstellung zu erlangen – sowohl politisch wie auch wirtschaftlich. Außerdem benennt der „Next Generation Artificial Intelligence Development Plan“ (AIDP) aus Juli 2017 KI als eine zentrale Maßnahme zur Förderung der nationalen, wirtschaftlichen und sozialen Sicherheit von China. Wie schon für die KI-Regulierung in den Vereinigten Staaten wird in dem Dokument auf Sicherheitsaspekte von KI-Entwicklung nicht unter dem Aspekt der „Security“, sondern auf die „Safety“ verwiesen. Die Gefahren bei der KI-Nutzung werden folglich vorrangig nicht im Schutz des KI-Systems vor dem Menschen, sondern im Schutz des Menschen bzw. der durch ihn betriebenen Einrichtungen vor einer fehlgeleiteten KI und den dadurch eintretenden Schäden gesehen.

Published under licence CC BY-NC-ND.

Author

  • Dennis-Kenji Kipker ist Jurist und ITler. Neben seiner umfassenden Forschungs- und Projekterfahrung, die er als Wissenschaftlicher Geschäftsführer an der Universität Bremen gewinnen konnte, ist bei ihm auch die Praxis als Legal Advisor des VDE, Abteilung CERT@VDE, nicht zu kurz gekommen. Daneben ist er noch im Policy-Bereich als Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) tätig.

Dennis-Kenji Kipker Written by:

Dennis-Kenji Kipker ist Jurist und ITler. Neben seiner umfassenden Forschungs- und Projekterfahrung, die er als Wissenschaftlicher Geschäftsführer an der Universität Bremen gewinnen konnte, ist bei ihm auch die Praxis als Legal Advisor des VDE, Abteilung CERT@VDE, nicht zu kurz gekommen. Daneben ist er noch im Policy-Bereich als Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) tätig.