ENISA: Bericht 2023 zu KI und standardisierter Cybersicherheit

ENISA hat den „2023 AI and Standardization Cybersecurity Report“ mit dem Gesamtziel veröffentlicht, einen Überblick über Standards im Zusammenhang mit der Cybersicherheit künstlicher Intelligenz (KI) zu geben, ihren Umfang zu bewerten und Lücken in der Standardisierung zu identifizieren. Dies geschieht, indem die Besonderheiten der KI, insbesondere des maschinellen Lernens, berücksichtigt werden und eine umfassende Sicht auf die Cybersicherheit eingenommen wird, die das „traditionelle“ Paradigma der Vertraulichkeit (Integrität) und Verfügbarkeit sowie das umfassendere Konzept der Vertrauenswürdigkeit von KI umfasst. Abschließend untersucht der Bericht, wie die Standardisierung die Umsetzung der Cybersicherheit unterstützen kann, die in der vorgeschlagenen EU-Verordnung zur Festlegung harmonisierter Regeln für KI verankert ist.

Der Bericht beschreibt die Aktivitäten der wichtigsten Standardisierungsorganisationen (SDOs) im Bereich der KI-Standardisierung.

Der Bericht argumentiert, dass bestehende allgemeine technische und organisatorische Standards dazu beitragen können, einige der Risiken der KI zu mindern, indem sie spezifische Leitlinien für ihre Anwendung in KI-Umgebungen bereitstellen. Diese Überlegung rührt daher, dass KI im Kern Software ist und daher Software-Sicherheitsmaßnahmen auf den KI-Bereich übertragen werden können.

Abschließend ergänzt der Bericht die obigen Beobachtungen, indem er die Analyse auf den Entwurf des KI-Gesetzes ausweitet. Erstens betont der Bericht, wie wichtig es ist, die Cybersicherheit in die Bewertung von Hochrisikosystemen einzubeziehen, um die Cybersicherheitsrisiken des spezifischen Zwecks jedes Systems zu bestimmen. Zweitens hebt der Bericht den Mangel an Standards hervor, die die Kompetenzen und Instrumente der Akteure abdecken, die Konformitätsbewertungen durchführen. Drittens sollten die durch den KI-Gesetzentwurf und den Cybersecurity Act (CSA) geschaffenen Governance-Systeme koordiniert werden, um Doppelarbeit auf nationaler Ebene zu vermeiden.

Abschließend kommt der Bericht zu dem Schluss, dass einige Standardisierungslücken erst mit dem Fortschreiten der KI-Technologie und weiteren Untersuchungen zu der Frage, wie Standardisierung die Cybersicherheit unterstützen kann, offensichtlich werden.