Chancen und Risiken Künstlicher Intelligenz (KI) stehen im Mittelpunkt der Premiere der Gitex Europe in Berlin. Diese treiben auch die europäischen Regulierer um. So erklärte Ioannis Alexakis, Direktor der griechischen Cybersicherheitsbehörde, am Mittwoch auf der Begleitkonferenz, er sehe die größte Gefahr darin, dass KI „die Gedanken der Leute hacken“ könnte. Er forderte daher: „Wir brauchen eine cyberresiliente Bevölkerung.“ Es sei eine große Aufgabe, die Gesellschaft stärker auf solche Bedrohungen auszurichten und Kompetenzen im Umgang mit der Technik zu schaffen.
Momentan liege die öffentliche Hand beim Einsatz von KI „hinter den Bösen zurück“, sagte Alexakis. Von Regelwerken wie dem AI Act der EU profitierten vor allem Anwälte, weniger die Bürger. Regelkonformität sei zwar nötig, um die nötige Aufmerksamkeit für das Thema generell zu schaffen.
Die KI-Verordnung müsse aber auch effektiv – etwa über eine Audit-Pflicht – durchgesetzt werden, wobei noch Abstimmungsbedarf unter den Mitgliedsstaaten bestehe und Leitlinien für KI-Plattformen und -Systeme nötig seien. Am wichtigsten sei es, eine allgemeine Cybersicherheitskultur aufzubauen. Der offensive Einsatz von KI dürfe in diesem Rahmen nicht komplett verboten werden, so dass auch die Verteidiger damit ihre Instrumente testen und schärfen könnten.
Für den Direktor des belgischen Zentrums für Cybersicherheit, Miguel De Bruycker, ist das Vorspiegeln falscher Identitäten das größte Problem angesichts der zunehmenden Verbreitung von Systemen mit generativer KI, die etwa Deepfakes produzieren können. Generell würden elektronische Identitäten an Bedeutung gewinnen. Deren Verifizierung dürfe die EU aber nicht großen Tech-Konzernen aus den USA wie Amazon, Apple, Google, Meta oder Microsoft überlassen. Zudem sei es entscheidend, auch im Internet eine Vielzahl von anonymen Nutzungen offenzuhalten. In der analogen Welt müssten sich Verbraucher für 90 Prozent alltäglicher Tätigkeiten nicht ausweisen.
Erstickt der AI Act Innovation?
Eine so umfassende Regulierung wie den AI Act hält De Bruycker nicht unbedingt für sinnvoll, da sie Innovationen im Keim ersticken und zum reinen Abklicken von Checkboxen für die Compliance verleiten könnte. Wenn für das frühe Kfz-Modell T von Ford bereits Sicherheitsgurte, Airbags und drei Bremslichter vorgeschrieben gewesen wären, „würden wir heute kein Auto fahren“, sagte er. Im Bereich Cybersicherheit würden Zertifikate zwar helfen einzuschätzen, „wie der Level ist“. Neunzig Prozent der nationalen IT-Sicherheitsvorfälle spielten sich aber auf niedrigerer Ebene ab und hingen nicht vom KI-Einsatz ab.
Lajos Szabo, Direktor des ungarischen Cybersicherheitszentrums, ging mit seinem Kollegen aus Belgien konform, dass die echten Bedrohungen nach wie vor von einem Mangel an angewandter Cyberhygiene ausgingen. So spielten noch immer zu viele Nutzer Updates nicht ein oder verwendeten IT-Systeme nach Support-Ende weiter.
Den AI Act sieht Szabo positiver als De Bruycker, da dieser Standards für Hochrisiko-Systeme setze. Zudem habe der EU-Gesetzgeber gesellschaftliche unerwünschte Anwendungsfelder wie Social Scoring verboten. Mit den verordneten Pflichten werde ferner der Missbrauch von KI-Systemen großer Akteure durch Cyberkriminelle schwerer.
Produktsicherheit im Mittelpunkt
Die Mitgliedsstaaten müssen Szabo zufolge aber noch mehr Vertrauen aufbauen, um auch sensible Informationen über Angreifer und ihre Verfahren zu teilen. Zugleich könnte die Einhaltung der Vielzahl an EU-Verordnungen wie der für die Netzwerk- und Informationssicherheit (NIS2) oder des Cybersecurity Acts Betroffene herausfordern.
Der AI Act sei genau richtig für den Moment, „sonst hätten wir keine Reifen und Bremsen an Autos“, hob Luca Tagliaretti, Direktor des in Rumänien angesiedelten European Cybersecurity Competence Centre (ECCC), hervor. Im Zentrum der Verordnung stehe die Produktsicherheit. Die Bürger hätten auch einen Anspruch darauf zu wissen, ob ein Video mit KI generiert worden sei oder welche Technik in einem autonomen Fahrzeug stecke.
Besonders herausfordernd sei der Einsatz von KI durch staatlich gesponserte Cyberkriminelle und andere böswillige Akteure, etwa für Social-Engineering-Angriffe. Das ECCC werde daher in den nächsten Jahren viele Initiativen starten, um die Wirtschaft widerstandsfähiger zu machen.
(wpl)
Dieser Link ist leider nicht mehr gültig.
Links zu verschenkten Artikeln werden ungültig,
wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden.
Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung!