Freigeben über

Steuern von KI: Empfehlungen für Organisationen, die KI-Workloads in Azure steuern

  • Artikel

In diesem Artikel wird der Organisationsprozess zum Steuern von KI-Workloads (künstliche Intelligenz) beschrieben. Er entspricht dem NIST Artificial Intelligence Risk Management Framework (AI RMF) und NIST AI RMF-Playbook. Außerdem steht er im Einklang mit dem Framework unter Übersicht über Governance, in dem die Cloud Adoption Framework (CAF) Govern-Methode vorgestellt wird.

Dieser Leitfaden soll Ihnen helfen, das KI-Risikomanagement in umfassendere Risikomanagementstrategien zu integrieren. Diese Integration führt zu einer kohärenteren Handhabung von KI-, Cybersicherheits- und Datenschutzrisiken und ermöglicht einen einheitlichen Governanceansatz.

Diagramm, das den KI-Einführungsprozess zeigt: KI-Strategie, KI-Plan, KI-Bereitschaft, KI steuern, KI verwalten und KI sichern

Bewerten von KI-Organisationsrisiken

Die KI-Risikobewertung identifiziert und behandelt potenzielle Risiken, die durch KI-Technologien entstehen. Dieser Prozess stärkt das Vertrauen in KI-Systeme und verringert unbeabsichtigte Folgen. Die Berücksichtigung der Risiken für die Organisation stellt sicher, dass KI-Bereitstellungen den Werten, der Risikotoleranz und den operativen Zielen der Organisation entsprechen.

  • Machen Sie sich mit den KI-Workloads vertraut. Um KI-Risiken minimieren zu können, müssen Sie Ihre KI-Workloads verstehen. Indem Sie den Umfang bzw. Bereich und Zweck jeder KI-Workload klar definieren, können Sie die damit verbundenen Risiken verstehen. Diese Klärung sollte alle Annahmen und Einschränkungen in Bezug auf die KI-Workload beinhalten.

  • Verwenden Sie die Prinzipien verantwortungsvoller KI, um Risiken zu identifizieren. Diese Prinzipien bieten einen Rahmen für die Bewertung von KI-Risiken. Verwenden Sie die folgende Tabelle, um Risiken durch eine strukturierte Bewertung der KI-Prinzipien zu identifizieren und zu minimieren.

    Prinzip der verantwortungsvollen KI Definition Frage zur Risikobewertung
    KI-Datenschutz und -Sicherheit KI-Workloads sollten den Datenschutz respektieren und sicher sein. Wie können KI-Workloads sensible Daten verarbeiten oder anfällig für Sicherheitsverletzungen werden?
    Zuverlässigkeit und Sicherheit KI-Workloads sollten sicher und zuverlässig funktionieren. In welchen Situationen kann die Ausführung von KI-Workloads nicht sicher sein oder zu unzuverlässigen Ergebnissen führen?
    Fairness KI-Workloads sollten Menschen gleichberechtigt behandeln. Wie können KI-Workloads zu Ungleichbehandlung oder unbeabsichtigten Verzerrungen (Trends) bei der Entscheidungsfindung führen?
    Nichtausgrenzung KI-Workloads sollten inklusiv sein und Menschen befähigen. Wie können bestimmte Gruppen beim Entwurf oder bei der Bereitstellung von KI-Workloads ausgeschlossen oder benachteiligt werden?
    Transparenz KI-Workloads sollten verständlich sein. Welche Aspekte der KI-Entscheidungsfindung könnten für Benutzer schwer zu verstehen oder zu erklären sein?
    Verantwortlichkeit Für KI-Workloads sollten Menschen verantwortlich sein. Wo könnte die Verantwortlichkeit bei der Entwicklung oder Verwendung von KI unklar oder schwer zu ermitteln sein?

  • Identifizieren Sie KI-Risiken. Beginnen Sie mit der Bewertung der Sicherheitsrisiken von KI-Workloads (u. a. potenzielle Datenlecks, nicht autorisierter Zugriff oder Missbrauch). Befragen Sie die Beteiligten, um weniger sichtbare Risiken aufzudecken, und bewerten Sie sowohl die qualitativen als auch die quantitativen Auswirkungen (einschließlich Reputationsrisiken), um die Risikotoleranz der Organisation zu bestimmen.

  • Identifizieren Sie Risiken aufgrund externer Abhängigkeiten. Bewerten Sie Risiken im Zusammenhang mit Datenquellen, Software und Integrationen von Drittanbietern. Greifen Sie Problemen wie Sicherheitsrisiken, Voreingenommenheit (Trends) und Risiken in Bezug auf geistiges Eigentum vor, indem Sie Richtlinien einrichten, die die Einhaltung der Datenschutz- und Compliancestandards der Organisation sicherstellen.

  • Bewerten Sie Integrationsrisiken. Bewerten Sie KI-Workloads, die in vorhandene Workloads und Prozesse integriert sind. Dokumentieren Sie potenzielle Risiken, z. B. die Abhängigkeit von anderen Workloads, erhöhte Komplexität oder Inkompatibilitäten, die sich auf die Funktionalität auswirken können.

Dokumentieren von KI-Governancerichtlinien

KI-Governancerichtlinien bieten einen strukturierten Rahmen für die verantwortungsvolle Nutzung von KI. Diese Richtlinien bringen KI-Aktivitäten mit ethischen Standards, gesetzlichen Anforderungen und Geschäftszielen in Einklang. Die Dokumentation von Richtlinien sorgt für klare Vorgaben bezüglich der Verwaltung von KI-Modellen, -Daten und -Vorgängen.

Bereich der KI-Governancerichtlinien Empfehlungen für KI-Governancerichtlinien
Richtlinien für das Auswählen und Onboarding von Modellen definieren Definieren Sie Richtlinien für die Auswahl von KI-Modellen. Die Richtlinien sollten Kriterien für die Auswahl von Modellen festlegen, die den Werten, Fähigkeiten und Kostenbeschränkungen der Organisation entsprechen. Prüfen Sie potenzielle Modelle im Hinblick auf die Risikotoleranz und die geplanten Aufgabenanforderungen.

Führen Sie das Onboarding neuer Modelle mit strukturierten Richtlinien durch. Ein formaler Prozess für das Modellonboarding sorgt für Konsistenz bei der Begründung, Validierung und Genehmigung von Modellen. Verwenden Sie Sandboxumgebungen für die ersten Experimente, und überprüfen Sie dann Modelle im Produktionskatalog, um Duplizierungen zu vermeiden.
Richtlinien für die Verwendung von Drittanbietertools und -daten definieren Legen Sie Kontrollen für Drittanbietertools fest. Ein Überprüfungsprozess für Tools von Drittanbietern schützt vor Sicherheits-, Compliance- und Ausrichtungsrisiken. Richtlinien sollten Vorgaben für Datenschutz, Sicherheit und ethische Standards bei der Verwendung von externen Datasets enthalten.

Definieren Sie Standards für die Datenvertraulichkeit. Die Trennung von sensiblen und öffentlichen Daten ist für die Minimierung von KI-Risiken entscheidend. Erstellen Sie Richtlinien für die Datenverarbeitung und -trennung.

Definieren Sie Standards für die Datenqualität. Ein „Golden Dataset” bietet einen zuverlässigen Maßstab für die Prüfung und Bewertung von KI-Modellen. Legen Sie klare Richtlinien für die Datenkonsistenz und -qualität fest, um eine hohe Leistung und vertrauenswürdige Ergebnisse zu gewährleisten.
Richtlinien für die Verwaltung und Überwachung von Modellen definieren Legen Sie die Häufigkeit des erneuten Trainings je nach Anwendungsfall fest. Ein häufiges erneutes Training unterstützt die Genauigkeit bei KI-Workloads mit hohem Risiko. Definieren Sie insbesondere für Sektoren wie das Gesundheits- und Finanzenwesen Richtlinien, die den Anwendungsfall und die Risikostufe jedes Modells berücksichtigen.

Überwachen Sie, ob Leistungsbeeinträchtigungen auftreten. Durch die Überwachung der Modellleistung im Zeitverlauf können Probleme erkannt werden, bevor sie sich auf die Ergebnisse auswirken. Dokumentieren Sie Benchmarks, und initiieren Sie ein erneutes Training oder eine Überprüfung, wenn die Leistung eines Modells abnimmt.
Richtlinien für die Einhaltung gesetzlicher Anforderungen definieren Halten Sie regionale gesetzliche Anforderungen ein. Die Kenntnis der regionalen Gesetze stellt sicher, dass KI-Vorgänge an allen Standorten konform sind. Informieren Sie sich über die geltenden Vorschriften für jeden Einsatzbereich, z. B. Datenschutzgesetze, ethische Standards und Branchenvorschriften.

Entwickeln Sie regionsspezifische Richtlinien. Die Anpassung von KI-Richtlinien an regionale Anforderungen unterstützt die Einhaltung lokaler Standards. Richtlinien können Sprachunterstützung, Datenspeicherprotokolle und kulturelle Anpassungen umfassen.

Passen Sie KI je nach Region an. Die Flexibilität von KI-Workloads ermöglicht standortspezifische Anpassungen der Funktionen. Dokumentieren Sie für globale Vorgänge regionsspezifische Anpassungen wie lokalisierte Trainingsdaten und Featureeinschränkungen.
Richtlinien für das Verhalten von Benutzern definieren Definieren Sie Strategien zur Risikominderung für Missbrauch. Richtlinien zur Verhinderung von Missbrauch tragen zum Schutz vor absichtlichen oder unbeabsichtigten Schäden bei. Beschreiben Sie mögliche Missbrauchsszenarien, und integrieren Sie Kontrollen, z. B. eingeschränkte Funktionen oder Features zur Erkennung von Missbrauch.

Legen Sie Richtlinien für das Verhalten von Benutzern fest. Benutzervereinbarungen verdeutlichen akzeptable Verhaltensweisen bei der Interaktion mit der KI-Workload, wodurch das Risiko eines Missbrauchs verringert wird. Entwerfen Sie klare Nutzungsbedingungen, um Standards zu kommunizieren und die verantwortungsvolle Interaktion mit KI zu unterstützen.
Richtlinien für die KI-Integration und -Ersetzung definieren Entwerfen Sie Integrationsrichtlinien. Integrationsrichtlinien stellen sicher, dass KI-Workloads die Datenintegrität und -sicherheit aufrechterhalten, während sie verbunden sind. Legen Sie technische Anforderungen, Datenfreigabeprotokolle und Sicherheitsmaßnahmen fest.

Planen Sie den Übergang und die Ersetzung. Übergangsrichtlinien stellen eine Struktur bereit, wenn alte Prozesse durch KI-Workloads ersetzt werden. Skizzieren Sie die Schritte für die stufenweise Einstellung von Legacyprozessen, die Schulung von Mitarbeitern und die Überwachung der Leistung während des gesamten Änderungsprozesses.

Erzwingen von KI-Governancerichtlinien

Durch das Erzwingen bzw. Durchsetzen von KI-Governancerichtlinien werden konsistente und ethische KI-Praktiken innerhalb einer Organisation sichergestellt. Automatisierte Tools und manuelle Eingriffe unterstützen die bereitstellungsübergreifende Einhaltung von Richtlinien. Eine ordnungsgemäße Durchsetzung der Richtlinien trägt zur Aufrechterhaltung der Konformität bei und minimiert menschliche Fehler.

  • Automatisieren Sie die Richtlinienerzwingung nach Möglichkeit. Verwenden Sie Plattformen wie Azure Policy und Microsoft Purview, um Richtlinien automatisch in allen KI-Bereitstellungen zu erzwingen und so menschliche Fehler zu reduzieren. Bewerten Sie regelmäßig Bereiche, in denen die Richtlinieneinhaltung durch Automatisierung verbessert werden kann.

  • Erzwingen Sie KI-Richtlinien manuell. Schulen Sie Mitarbeiter in den Risiken von KI und Compliance, um sicherzustellen, dass sie ihre Rolle bei der KI-Governance verstehen. Regelmäßige Workshops halten Mitarbeiter über KI-Richtlinien auf dem Laufenden, und regelmäßige Überprüfungen helfen dabei, die Einhaltung zu überwachen und Bereiche mit Verbesserungsbedarf zu identifizieren.

  • Verwenden Sie den workloadspezifischen Leitfaden zur Governance. Ein detaillierter Sicherheitsleitfaden ist für KI-Workloads auf Azure-Plattformdiensten (Platform-as-a-Service, PaaS) und Azure-Infrastruktur (Infrastructure-as-a-Service, IaaS) verfügbar. Verwenden Sie diesen Leitfaden, um KI-Modelle, -Ressourcen und -Daten innerhalb dieser Workloadtypen zu steuern.

    Governance für Azure-Plattformen (PaaS)

    Governance für Azure-Infrastruktur (IaaS)

Überwachen von Unternehmensrisiken im Zusammenhang mit KI

Die Überwachung von KI-Risiken ermöglicht es Organisationen, neue Risiken zu erkennen und sie umgehend anzugehen. Regelmäßige Bewertungen stellen sicher, dass KI-Workloads wie vorgesehen funktionieren. Eine konsistente Überwachung hilft Organisationen, sich an die sich verändernden Bedingungen anzupassen und negative Auswirkungen von KI-Systemen zu verhindern.

  • Führen Sie Verfahren zur laufenden Risikobewertung ein. Richten Sie regelmäßige Bewertungen ein, um neue Risiken zu identifizieren, und beziehen Sie dabei die Beteiligten ein, um die weitreichenderen Auswirkungen von KI zu bewerten. Entwickeln Sie einen Plan für die Reaktion auf auftretende Probleme, um eine erneute Risikobewertung und die notwendigen Anpassungen zu ermöglichen.

  • Entwickeln Sie einen Plan für Messungen. Ein klarer Plan für Messungen stellt eine konsistente Datensammlung und -analyse sicher. Definieren Sie Datensammlungsmethoden, z. B. die automatisierte Protokollierung für Betriebsmetriken und Umfragen für qualitatives Feedback. Richten Sie die Häufigkeit und den Umfang der Messungen ein, und konzentrieren Sie sich dabei auf Bereiche mit hohem Risiko. Erstellen Sie außerdem Feedbackschleifen, um Risikobewertungen basierend auf den Beiträgen der Beteiligten zu optimieren.

  • Quantifizieren und qualifizieren Sie KI-Risiken. Wählen Sie quantitative Metriken (Fehlerraten, Genauigkeit) und qualitative Indikatoren (Benutzerfeedback, ethische Bedenken), die dem Zweck der Workload entsprechen. Vergleichen Sie die Leistung mit Branchenstandards, um die Auswirkungen, die Vertrauenswürdigkeit und die Leistung der KI nachzuverfolgen.

  • Dokumentieren und melden Sie die Ergebnisse von Messungen. Regelmäßige Dokumentation und Berichte verbessern die Transparenz und Verantwortlichkeit. Erstellen Sie standardisierte Berichte, die Metriken, Ergebnisse und Anomalien zusammenfassen, um die Entscheidungsfindung zu unterstützen. Teilen Sie diese Erkenntnisse mit den Beteiligten, und nutzen Sie sie, um Ihre Strategien zur Risikominderung zu optimieren und zukünftige Bereitstellungen zu verbessern.

  • Richten Sie unabhängige Überprüfungsprozesse ein. Regelmäßige unabhängige Überprüfungen, die von externen oder nicht beteiligten internen Prüfern durchgeführt werden, bieten objektive Einschätzungen der KI-Risiken und der Compliance. Verwenden Sie die Ergebnisse, um Risikobewertungen zu stärken und Governancerichtlinien zu optimieren.

Nächster Schritt

KI verwalten

Beispiele für KI-Risikominderungen

In der folgenden Tabelle sind einige allgemeine KI-Risiken mit einer zugehörigen Strategie zur Risikominderung und einer Beispielrichtlinie aufgeführt. Die Tabelle enthält keine vollständige Auflistung aller Risiken.

Risiko-ID KI-Risiko Abmilderung Policy
R001 Nichteinhaltung von Datenschutzgesetzen Verwenden Sie Microsoft Purview Compliance Manager, um die Datenkonformität zu bewerten. Der Security Development Lifecycle muss implementiert werden, um sicherzustellen, dass die gesamte KI-Entwicklung und -Bereitstellung den Datenschutzgesetzen entspricht.
R005 Mangelnde Transparenz bei der KI-gestützten Entscheidungsfindung Wenden Sie ein standardisiertes Framework und eine standardisierte Sprache an, um die Transparenz bei KI-Prozessen und der KI-gestützten Entscheidungsfindung zu verbessern. Das NIST AI Risk Management Framework (AI RMF) muss angewendet werden, und alle KI-Modelle müssen sorgfältig dokumentiert werden, um ihre Transparenz zu gewährleisten.
R006 Ungenaue Vorhersagen Verfolgen Sie KI-Modellmetriken mit Azure API Management nach, um ihre Genauigkeit und Zuverlässigkeit sicherzustellen. Die Genauigkeit der Vorhersagen von KI-Modellen muss durch kontinuierliche Leistungsüberwachung und menschliches Feedback sichergestellt werden.
R007 Angriff Verwenden Sie PyRIT, um KI-Workloads auf Sicherheitsrisiken zu testen und die Schutzmaßnahmen zu stärken. KI-Workloads müssen mit dem Security Development Lifecycle und KI-Red Team-Tests vor Angriffen geschützt werden.
R008 Insiderbedrohungen Verwenden Sie Microsoft Entra ID, um eine strenge Zugriffssteuerung zu erzwingen, die auf Rollen und Gruppenmitgliedschaften basiert, um den Insiderzugriff auf sensible Daten einzuschränken. Insiderbedrohungen müssen durch eine strenge Identitäts- und Zugriffsverwaltung (Identity & Access Management) und kontinuierliche Überwachung gemindert werden.
R009 Unerwartete Kosten Verfolgen Sie die CPU-, GPU-, Arbeitsspeicher- und Speichernutzung mithilfe von Azure Cost Management + Billing nach, um eine effiziente Ressourcenverwendung sicherzustellen und Kostenspitzen zu verhindern. Unerwartete Kosten müssen durch Überwachung und Optimierung der Ressourcenverwendung sowie die automatisierte Erkennung von Kostenüberschreitungen bewältigt werden.
R010 Unterauslastung von KI-Ressourcen Überwachen Sie KI-Dienstmetriken wie Anforderungsraten und Antwortzeiten, um die Auslastung zu optimieren. Die Auslastung von KI-Ressourcen muss mithilfe von Leistungsmetriken und durch automatisierte Skalierbarkeit optimiert werden.