Richtlinien für die KI-Governance, die tatsächlich skalierbar sind

KI ist bereits in die täglichen Arbeitsabläufe eingebettet. 

Für viele IT-Teams besteht das größere Problem nicht darin, KI-Tools einzuführen, sondern deren Verwendung zu kontrollieren. Richtlinien liegen oft als PDF-Dateien, Präsentationen oder interne Wiki-Seiten vor, die bei Audits gut aussehen, aber im Arbeitsalltag leicht ignoriert werden können.

Dieser Blog stellt eine praktische Richtlinienbibliothek für die KI-Governance vor. Das Ziel ist einfach: IT-Führungskräften wiederverwendbare Richtlinien zur Verfügung zu stellen, die reale Risiken abdecken und sich auf Teams, Tools und Umgebungen skalieren lassen, ohne die Bereitstellung zu verlangsamen.

Der Schwerpunkt liegt auf vier Bereichen, in denen die Governance am häufigsten versagt: API-Zugriff, Bereitstellungen, Datenverarbeitung und Interaktion mit KI-Agenten. 

Diese Bereiche spiegeln die wichtigsten Risiken wider, die von Unternehmenspraktikern identifiziert wurden, darunter Datenlecks, die Verwendung nicht genehmigter Tools und unklare Verantwortlichkeiten für KI-gesteuerte Aktionen.

Warum traditionelle Richtlinien nicht skalierbar sind

Die meisten Richtlinien zur KI-Governance werden mit guten Absichten erstellt. Sie legen fest, was erlaubt ist und was nicht. Das Problem ist, wo diese Regeln gelten und wie sie durchgesetzt werden.

Häufige Fehlermuster sind:

• Richtlinien, die nur in natürlicher Sprache verfasst sind und keinen Bezug zu technischen Kontrollen haben.
• Einheitliche Regeln, die nicht widerspiegeln, wie Teams Software tatsächlich entwickeln und bereitstellen.
• Manuelle Genehmigungsschritte, die Teams ausbremsen und unter Druck umgangen werden.
• Keine klare Zuständigkeit, wenn KI-Systeme sich unerwartet verhalten.

Wenn Governance außerhalb des Liefer-Workflows stattfindet, ist sie bei Entscheidungen nicht sichtbar. Skalierbare Governance erfordert Richtlinien, die wiederverwendet, überprüft und dort durchgesetzt werden können, wo die Arbeit stattfindet.

Wie eine skalierbare KI-Richtlinie aussieht

Eine skalierbare Richtlinie für die KI-Governance hat einige charakteristische Merkmale:

• Sie ist konkret genug, um als Handlungsleitfaden zu dienen.
• Sie kann wie Code überprüft werden.
• Sie bezieht sich auf technische Kontrollen, nicht nur auf Absichten.
• Sie kann sich weiterentwickeln, wenn sich Tools und Vorschriften ändern.

Anstelle von langen Texten sollten Richtlinien den Umfang, zulässige Maßnahmen, erforderliche Kontrollen und Verantwortlichkeiten definieren. Betrachten Sie sie als Bausteine, die Teams kombinieren können, und nicht als ein einziges Master-Dokument.

Richtlinie für den API-Zugriff

Jede KI-Integration beginnt mit einer API-Verbindung. Diese stellen auch eine große Risikoquelle dar, wenn der Zugriff nicht klar definiert ist.

Struktur der Richtlinie:

• Zugelassene Dienste: Listen Sie auf, welche KI-Dienste (z. B. OpenAI oder Anthropic) autorisiert sind.
• Geheimnisverwaltung: Definieren Sie, wie API-Schlüssel gespeichert und rotiert werden.
• Nutzungsüberwachung: Legen Sie Ratenbeschränkungen und Protokollierungsanforderungen fest.
• Upsun-Durchsetzung: Verwenden Sie Projektvariablen, um API-Schlüssel sicher in Umgebungen einzufügen. Dadurch wird sichergestellt, dass Schlüssel niemals in der Codebasis gespeichert werden und nur autorisierten Umgebungen zur Verfügung stehen.

Richtlinie zur Bereitstellung für KI-Workloads

KI-Systeme verhalten sich in verschiedenen Umgebungen unterschiedlich. Ein Modell, das in einer Testumgebung sicher ist, kann in der Produktivumgebung Risiken bergen, wenn sich die Kontrollen ändern oder die Datenquellen erweitert werden.

Struktur der Richtlinie:

• Umfang der Umgebung: Legen Sie fest, wo KI-Workloads ausgeführt werden dürfen.
• Genehmigungskriterien: Legen Sie die Regeln für die Übertragung von KI-Features in die Produktivumgebung fest.
• Rollback-Plan: Definieren Sie die Erwartungen an die Reaktion auf Vorfälle für autonome Systeme.
• Upsun-Durchsetzung: Verwenden Sie produktionsreife Vorschauumgebungen, um zu testen, wie sich KI-Agenten unter Sicherheitsbeschränkungen verhalten, bevor sie der Öffentlichkeit präsentiert werden.

Richtlinie zum Umgang mit Daten und zum Datenschutz

Der Umgang mit Daten ist der kritischste Bereich für die KI-Governance. KMUs heben Datenschutz durchweg als das größte Risiko hervor, insbesondere im Hinblick auf Vorschriften wie die DSGVO.

Struktur der Richtlinie:

• Zugriffsrechte: Welche Daten dürfen KI-Systeme lesen?
• Anonymisierungsregeln: Sind personenbezogene oder sensible Daten in Eingabeaufforderungen zulässig?
• Standortanforderungen: Wo müssen die Daten gespeichert und verarbeitet werden?
• Upsun-Durchsetzung: Verwenden Sie regionales Hosting, um KI-Workloads an bestimmte Standorte zu binden. Dadurch wird sichergestellt, dass die Daten innerhalb der erforderlichen Gerichtsbarkeit bleiben und gleichzeitig eine einheitliche Verwaltung gewährleistet ist.

Richtlinie zur Interaktion mit KI-Agenten

Da Teams von einfachen Eingabeaufforderungen zu KI-Agenten übergehen, die autonom agieren, wird die Governance komplexer.

Struktur der Richtlinie:

• Agentenberechtigungen: Auf welche Systeme kann der Agent zugreifen oder in welche kann er schreiben?
• Menschliche Aufsicht: Legen Sie fest, welche sensiblen Aktionen eine manuelle Genehmigung erfordern.
• Prüfpfad: Legen Sie Erwartungen hinsichtlich der Überwachung und Protokollierung der Ausführung fest.
• Upsun-Durchsetzung: Nutzen Sie Aktivitätsprotokolle und Git-gesteuerte Konfigurationen, um sicherzustellen, dass jede von einem Agenten oder für einen Agenten durchgeführte Aktion dokumentiert und rückgängig gemacht werden kann.

Wie eine Richtlinienbibliothek die Ziele der IT-Führung unterstützt

Für das mittlere IT-Management geht es bei der Governance darum, Geschwindigkeit, Risiko und Vertrauen in Einklang zu bringen. Eine wiederverwendbare Bibliothek mit AI-Governance-Richtlinien unterstützt dieses Gleichgewicht durch:

• den Aufwand für die Erstellung von Richtlinien teamübergreifend reduziert.
• Überprüfungen schneller und konsistenter macht.
• die Durchsetzung durch technische Kontrollen ermöglicht.
• die Transparenz hinsichtlich der Verwendung von KI verbessert.

Anstatt für jedes neue Projekt Regeln zu diskutieren, beginnen die Teams von einer gemeinsamen Ausgangsbasis aus. Dadurch verlagert sich die Diskussion von der Frage, ob KI erlaubt ist, hin zu der Frage, wie sie sicher eingesetzt werden kann.

Der Übergang von Richtlinien zur Praxis

Richtlinien allein reichen nicht aus. Sie müssen in Arbeitsabläufe eingebettet, regelmäßig überprüft und als lebendige Artefakte behandelt werden.

Plattformen, die die Konfiguration per Programmierung, automatisiertes Umgebungsmanagement und integrierte Beobachtbarkeit unterstützen, erleichtern dies. Sie ermöglichen es, Richtlinien aus Dokumenten in durchsetzbare Kontrollen umzuwandeln, die mit der Bereitstellung skalierbar sind. KI-Governance sollte sich nicht allein auf Vertrauen stützen. Sie sollte auf klaren, wiederverwendbaren Richtlinien basieren, die einfach anzuwenden und schwer zu umgehen sind.

Quellen

• Übersicht über das NIST-Rahmenwerk für das KI-Risikomanagement. https://www.nist.gov/itl/ai-risk-management-framework 
• EU-KI-Gesetz, Verpflichtungen der Anwender und Zeitplan.
  https://artificialintelligenceact.eu/article/26/ 
• ISO/IEC 42001:2023-Seite.
  https://www.iso.org/standard/42001