Subscribe
Share
Share
Embed
Das Projekt TrustKI konzentriert sich auf die Entwicklung einer Plattform zur Bewertung der Vertrauenswürdigkeit von künstlicher Intelligenz. Die zunehmende Komplexität dieser Technologie erschwert es den Menschen, sie zu verstehen und zu bewerten. Wir sprechen mit Expertern, Wissenschaftlern und Anwendern über das Vertrauen in Künstliche Intelligenz.
SchwASK I, der Podcast über künstliche Intelligenz und Vertrauenswürdigkeit. Mit dieser Frage beschäftigt sich das Institut für Internetzicherheit an der Westfälischen Hochschule in Gelsenkirchen im Rahmen des Forschungsprojekts Trust KI.
Ulla Coester:Mein Name ist Ulla Coester, ich bin Projektleiterin des Forschungsprojektes Trust KI.
Lutz Martin Keppeler:Für diese
Michael Voregger:Podcastfolge haben wir den Fachanwalt Lutz Hicking eingeladen. Das Thema sind die aktuellen Digitalisierungsgesetze in der Europäischen Union.
Ulla Coester:Ja Lutz, vielen Dank, dass Du heute wieder hier zu uns ins Studio gekommen bist. Wir haben uns das letzte Mal ja ausführlich über den AI Act unterhalten, was sehr spannend war, aber der AI Act ist ja nicht der einzigste Act, der auf die Unternehmen jetzt zukommt. Was gibt es denn sonst noch, was die Unternehmen demnächst beachten müssen?
Lutz Martin Keppeler:Die EU plant ja da so eine richtige Welle an Digitalisierungsgesetzen. Und da ist vor allem der sogenannte Data Act und der Cyber Resilience Act und vielleicht son bisschen der Data Governance Act zu nennen. Und interessant ist ja schon, dass die jetzt plötzlich alle Act heißt. Also die Datenschutzgrundverordnung, die hieß General Data Protection Regulation, weil Verordnung schon immer Regulation heißt. Und das drückt jetzt son bisschen 'n neues Selbstverständnis der EU aus.
Lutz Martin Keppeler:Wir machen jetzt Acts, also wir machen jetzt Gesetze, die unser Thema dann auch vollständig regulieren sollen. Also Data Act, Cyber Resilience Act, Data Governance Act, sollte man gehört haben als Unternehmen.
Ulla Coester:Gut, jetzt hast Du die schon in den Raum geworfen, jetzt musst Du dir natürlich auch 'n Stück weit erklären, was ist denn der Data Act?
Lutz Martin Keppeler:Also beim Data Act geht's vorwiegend darum, dass Daten, die smarte Devices generieren, dass die verfügbar sein sollen für Nutzer. Und das bedeutet also, das Paradebeispiel ist immer ein vernetztes Auto, Connected car. Es kann aber auch sozusagen jedes andere Internet of Things Device sein, jedes Connected Device, so ist das definiert eben im Data Act, unterfällt diesen Regeln. Und dann wird eben, gibt's eine eine Verpflichtung für einen Hersteller, da wird gesagt, Geräte sind so herzustellen, vernetzte Geräte sind so herzustellen, dass der Nutzer leicht an die Daten kommt, die das Gerät erstellt. Und da wird nicht unterschieden zwischen sozusagen wichtigen oder unwichtigen Daten, sondern da wird einfach erst mal grundsätzlich gesagt, das soll so hergestellt werden, dass der Nutzer leicht an die Daten kommt.
Lutz Martin Keppeler:Das wird dann flankiert, diese Pflicht, durch eine Informationspflicht. Man muss also vor dem Vertragsschluss, bevor ich ein smarte Device kaufe oder lese oder miete, muss ich auch darüber informiert werden, welche Daten erstellt denn dieses Produkt? Und das erfasst auch Metadaten. Vieles, was man dem Nutzer vielleicht bisher nicht so offenlegen wollte. Das ist eben interessant zum Beispiel für einen Business Case, bei dem ich bisher gesagt hab, meine Werkstätten und meine zertifizierten Wartungsingenieure, die bekommen einen privilegierten Zugang zu den Daten.
Lutz Martin Keppeler:Das ist im Kfz Bereich wieder typischerweise der Fall, aber denken wir auch an zum Beispiel Drucker, dann gibt's ein paar namhafte Druckerhersteller. Und die sagen natürlich, die die die Schnittstelle, alle Daten für für Maintenance Themen auszulesen, die öffne ich jetzt nur für die bei mir zertifizierten ja Wartungsunternehmen und so weiter. Die Idee der EU ist hier, dieses Geschäftsmodell auszuschalten. Die Idee ist also, ich kann als Nutzer sagen, ich lese hier im Handbuch nach, welche Daten hier produziert werden. Und die will jetzt erstens ich haben.
Lutz Martin Keppeler:Und zweitens hab ich auch 'n Anspruch, dass die jemanden zur Verfügung gestellt werden, einem Dritten, 1 Werkstatt, einem einem anderen, der damit irgendwas für mich machen soll. Das ist im Kern also der Data.
Ulla Coester:Für den Nutzer hört sich das so eigentlich positiv an, oder?
Lutz Martin Keppeler:Also sagen wir mal, der IT mäßig interessierte Nutzer, der tatsächlich was mit den Daten anfangen kann. Das ist ein bisschen, ich stelle mir diese Texte, die dann sagen, welche Daten hier produziert werden, die stell ich mir ein wenig vor wie Datenschutzerklärungen. Jetzt könnte man auch sagen, das ist ja irre positiv für den Nutzer, dass so viel in Datenschutzerklärungen reingeschrieben werden soll. Aber die Erfahrung lehrt eben, das liest ja keiner. Aber vielleicht für die 2 Prozent, die's lesen, ist es eine gute Regel.
Lutz Martin Keppeler:Und ich fürchte, son bisschen wird das beim Data Act auch. Also es gibt eben ganz viele Geräte, die ganz viele Daten produzieren. Der elektrische Rasenmäher, die smarte Bohrmaschine, 1000 Sachen, der der Kühlschrank, Temperaturverläufe und so weiter, was der Fernseher alles an Daten erhebt. Ganz Temperaturverläufe und so weiter, was der Fernseher alles an Daten erhebt. Ganz viel davon sind am Ende eigentlich auch wieder nicht interessant für den Nutzer.
Lutz Martin Keppeler:Aufseiten der Unternehmen erfordert es jetzt großen Aufwand, das alles so anzupassen, dass diese Daten grundsätzlich verfügbar sein sein können.
Ulla Coester:Theoretisch könnte es ja auch so sein, dass die Nutzer dann bewusster werden, was überhaupt für Daten produziert werden und vielleicht auch dann 'n anderen Umgang mit den verschiedenen Devices haben. Also von haben. Also von daher find ich das jetzt theoretisch gar nicht mal so unsinnig. Und eine andere Frage ist, muss es nicht so aufbereitet werden, dass der Nutzer das auch verstehen kann?
Lutz Martin Keppeler:Das ist grundsätzlich die Idee. Das heißt aber, dass man notwendigerweise da auch wieder son gewissen Abstraktionsgrad haben muss in der Beschreibung dieser Daten. Und das bedeutet dann, dass es vielleicht hier und da auch wieder technisch nicht mehr so ganz präzise ist. Aber genau, das ist die Idee. Der Nutzer soll es verstehen können.
Lutz Martin Keppeler:Zielrichtung an der Stelle ist sozusagen schon auch Information des Nutzers. Schauen wir mal, wie häufig diese Informationen wahrgenommen werden, ja. Also man muss sich klarmachen, man geht dann in einen Supermarkt, in einen Baumarkt, man geht zum Saturn und dann sind da ganz viele QR Codes auf den Kartons und dann wird gesagt, so hier können Sie die Informationen vor dem Kauf einsehen, welche Daten generiert werden. Dann ist eben die Frage, wie viele Leute schauen da wirklich drauf, ne. Aber ist ja interessant, auch das kann man ja wiederum tracken und also jedenfalls abstrakt sozusagen, nicht personenbezogenen.
Lutz Martin Keppeler:Wir wollen nicht wissen, wie häufig die Ulla das liest, aber uns interessiert's ja vielleicht, wie viel Menschen rufen das überhaupt auf bei 100 Käufen soundsoviel Prozent. Das kriegen wir dann dadurch raus. Und interessant ist hier son bisschen auch die Übergangsfristen. Also diese Verpflichtung, dass ein Gerät so hergestellt werden muss, dass man die Daten leicht bekommt, das gilt tatsächlich erst in 36 Monaten. Aber die Verpflichtung, dass man diese Informationen mitteilt, die gelten schon wesentlich früher.
Lutz Martin Keppeler:Und es gibt einen Anspruch auch des Nutzers. Also es gibt sozusagen 2 parallele Regeln. Einmal gibt's die Regel, die sagt, das Gerät muss so hergestellt werden, dass man leicht an die Daten kommt. Und dann gibt's eine parallele Regel, wenn das Gerät aber noch nicht so hergestellt ist, dann hat man als Nutzer den Anspruch gegen den Hersteller, dass man die Daten bekommt. So, auch diese Verpflichtung gilt gilt eben wesentlich früher, nicht nicht erst nach 36 Monaten.
Lutz Martin Keppeler:Das macht's für verschiedene Unternehmen spannend.
Ulla Coester:Dann kommt als Nächstes der Cyber Resilience Act. Was sagt der oder was fordert der von den Unternehmen?
Lutz Martin Keppeler:Also da geht's auch wieder vernetzte Geräte und das ist sozusagen eine Revolution im IT Sicherheitsrecht. Ich sag immer, wenn ein Historiker in 300 Jahren, ja, mal sagen würde, im Jahr 2020 oder 2022 hatten die da aus rechtlicher Sicht, war da IT Sicherheit ein Thema, dann könnte es sein, dass der sagt, das ist ja gar nicht so detailliert geregelt. Da stand immer nur, man muss den Stand der Technik einhalten. So und weitere Details dazu gibt's in Gesetzen kaum. Vielleicht für den Bereich der kritischen Infrastruktur, aber nicht für für die große weite Welt.
Lutz Martin Keppeler:Also bisher hatte man da immer nur Stand der Technik und könnte vielleicht sozusagen, wenn man sich zurücklehnt und das von außen betrachtet, könnte sagen, das hat die überhaupt noch nicht interessiert. Da ist jetzt die Revolution des Cyber Resiliens Acts, dass er sagt, für alle Geräte wichtig oder unwichtig, solang sie sind, also auch das smarte Babyphone für Apps, für Cloudanwendung, für verschiedene vernetzte Systeme, für vernetzte Assistenten, auch Alexa und so weiter und für die zugehörigen Devices, gibt es jetzt Mindestanforderungen. Da gibt es also einen Anhang und der listet diese Mindestanforderungen auf. Und die sind schon deutlich detaillierter formuliert, als man das bisher hatte. Also da steht zum Beispiel, ein Gerät darf nur auf den Markt gebracht werden, wenn es in dem Moment, in dem es aufn Markt kommt, keine ausnutzbare Sicherheitslücke aufweist.
Lutz Martin Keppeler:Und das ist ziemlich hart. Also man muss sich klarmachen, vor ein paar Jahren gab's noch den Fall, dass das BSI mit 'ner Verbraucherzentrale in 'nem Mediamarkt ein Handy gekauft hat. Das war aus China
Michael Voregger:und hat
Lutz Martin Keppeler:noch nie in seinem Leben ein Sicherheitsupdate gesehen. Und dann haben die gesagt, Skandal, das BSI hat gesagt, folgende Schräunentore stehen hier auf. Und dann sind die vor Gericht gegangen und haben gesagt, lieber Richter verbietet, dass dieses Handy hier weiter verkauft wird. Und der Richter hat gesagt, ja was kann Media Markt denn da tun? Können wir nicht regeln auf Basis der existierenden Regeln.
Lutz Martin Keppeler:So und die Situation, die jetzt da existiert ist, wir sehen in der Zukunft möglicherweise häufiger dann die Mitarbeiter schnell die Geräte wieder aus den Regalen nehmen, ja, weil sozusagen das ein Produktsicherheitsrecht, das heißt, alle Themen, alle scharfen Maßnahmen bis zum Produktrückruf, die die Behörden dann haben, gelten dann hier, ja. Und dann muss muss 'n sicheres Update eingespielt werden und dann es erst wieder auf den Markt gebracht werden. Das ist also durchaus möglich. Und es muss ja auch klar werden, manchmal sagt man sich als Unternehmen, da sind Sicherheitslücken, aber die sind so unwichtig und man kann damit nicht richtig viel Schindluder treiben, sondern nur Spielereien sind möglich auf Basis dieser Sicherheitslücken. Wir akzeptieren die trotzdem.
Lutz Martin Keppeler:Das ist sozusagen in der IT Sicherheit immer sone Methode, dass man sagt, man hat Risikoakzeptanzkriterien, irgendwelche Risiken verbleiben immer. Wir akzeptieren dieses Risiko, weil es gering ist. Na ja, das steht da aber nicht so im Cyber Residence Act. Da steht, ohne ausnutzbare Sicherheitslücke, das sind alles definierte Begriffe, muss das ausgeliefert werden. Dann steht da, dass man, vielleicht das Beispiel noch, dass man für jede Software dann sogenannte Software mitliefern muss, also eine Auflistung aller Komponenten, die da drin sind, inklusive sämtlicher Open Source Komponenten.
Lutz Martin Keppeler:Das kann sehr umfangreich sein. Das kann in der Lieferkette schwierig werden, wenn man wenn man eben bei 'nem Lieferanten schon sich Software entwickeln lässt und von dem bekommt man schon bisher noch nicht so richtig die Information, welche Open Source Komponenten sind da drin, weil da könnten ja auch überall Sicherheitslücken drin sein und das muss ich dann monitoren und entdecken und so weiter. Und da steht ganz klar drin mit den mit den Worten auf Software, bild of material sind zu erstellen und mindestens bis zu den First Level Dependencies haben die, sollen die die runtergehen. Und das muss sozusagen jedem, das muss mitgeliefert werden als Information, dass sozusagen jeder wissen kann, wenn der neue Hard Blead Bug kommt oder irgendeine andere Sicherheitslücke in 1 weitverbreiteten Open Source Komponente, dann soll man schauen können, betrifft das mein Device? Ja oder nein?
Lutz Martin Keppeler:Das sind nur so so 2 2 Beispiele. Insgesamt ist es so, dass ein die Software dann auch eine CE Kennzeichnung bekommen soll. Also man ein man soll ein als Hersteller selber ein Konformitätsbewertungsverfahren durchführen und also sagen, ich darf das CE Kennzeichen dann nur dranbleiben, wenn ich selber geprüft habe, dass alle Anforderungen auf diesem Cyber Resilience Act erfüllt sind. Und bei manchen kritischen Software- oder Hardwarekomponenten darf das nicht nur der Hersteller alleine, sondern muss 'n Externer das für ihn überprüfen. Also da reden wir dann aber über Betriebssysteme und so was, was eben tatsächlich kritischer ist als jetzt vielleicht eine gewöhnliche Softwareanwendung.
Ulla Coester:Aber auch hier finde ich jetzt, dass das durchaus Sinn macht, weil ich meine, die Angreifer steigen, hab ich, die Schäden sind immens. Von daher macht das ja eigentlich Sinn, dass mehr für die Sicherheit getan wird.
Lutz Martin Keppeler:Also man muss sagen, dass die Gesamtresilienz dadurch sich steigern wird, weil ja viele Angriffe erst durch Sicherheitslücken ermöglicht werden und weil für viele Angriffe sogenannte Botnetze verwendet werden, wo also Angreifer schon lange irgendwelche Devices übernommen haben, von denen aus dann Angriffe auch passieren. Und das wird und das sind dann die Baby Phones und der gut bescholtene Bürger weiß gar nicht, dass es dass sein sein Baby Phone hier mit 1 völlig veralteten Linux und so weiter dann grade ausgenutzt wird für irgendwas. Das wird ganz klar dadurch eingedämmt. Und ich meine auch, das hat eine gewisse Wirkung, wenn das jetzt erst mal nur die Europäer machen. Aber es ist ja trotzdem IT Sicherheit am Ende kein rein lokales Phänomen, ne.
Lutz Martin Keppeler:Also man muss da irgendwie hoffen, dass der amerikanische Hersteller, der dann die Anforderungen des CIA einhalten will für Europa, dass er das dann für Amerika einfach auch tut und dass das dann insgesamt da eine sinnvolle Auswirkung hat. Das ist vielleicht einfach ein der Zeit angemessener Aufwand. Das wird dann teilweise auch auf die Kosten der Produkte umgelegt, weil das fällt bei den Unternehmen natürlich auch nicht vorm Himmel, das Geld dafür, das alles umzusetzen. Da müssen wahrscheinlich eben alle für mitbezahlen, damit es dann für alle sicherer wird.
Ulla Coester:Und als Letztes hattest Du noch den Data Governance Act, genau.
Lutz Martin Keppeler:Die kann man sich nur einmal auf der Zunge zergehen lassen. Vielleicht bei den meisten Unternehmen, dann zu sagen, ach Gott sei Dank, damit hab ich jetzt erst mal nix zu tun. Also er hat 3 Teile. Im ersten Teil, das ist sozusagen, gibt's allgemeine Regeln dazu, wenn der Staat sensible Daten zur Verfügung stellt, unter welchen Bedingungen kann er das dann? Kann er da Geld für verlangen?
Lutz Martin Keppeler:Wenn ja, wie viel und so weiter. Das ist also 'n sehr spezieller Anwendungsfall. Dann gibt's noch 2 Teile, wo die Idee der EU ist, wir wollen Datenaustauschplattformen fördern. Und wir wollen, das ist der dritte Teil, Datenaltruismus fördern, wo also Daten sozusagen kostenlos oder nur gegen das Entgelt, was bei der Generierung der Daten anfällt, irgendwie zur Verfügung gestellt werden. Die Idee der EU ist, wir definieren jetzt hier Anforderungen an diese Plattformen.
Lutz Martin Keppeler:Die müssen sich irgendwo registrieren, müssen 'n gewisses Maß an IT Sicherheit mit sich bringen und so weiter. Wir definieren hohe Anforderungen, damit dann mehr Leute diesen Austauschplattformen vertrauen. Und das weiß ich nicht, ob das sone gute Idee ist. Also man hätte ja auch erst mal warten können, wo entstehen eigentlich Datenaustauschplattformen? Also es gibt zum Beispiel, jetzt sind wir wieder beim Thema KI, ja, also es gibt riesengroße Datenbanken für für für Trainingsdaten.
Lutz Martin Keppeler:Die sind alle ohne den Data Governance Act entstanden. Und da interessiert sich keiner dafür, ob sozusagen die Sicherheitsanforderungen auf diesen Plattformen auch hoch sind oder ob sich da jemand registriert hat oder sondern die sind einfach entstanden typischerweise in Amerika, weil so was häufig dort entsteht. Die Vorstellung, dass jetzt mehr solcher Plattformen in Europa entstehen, weil ich ihnen mehr Hausaufgaben bei bei der Gründung mitgebe, die ist, glaub ich, am Ende des Tages falsch. Also möglicherweise werden wir feststellen, dass das gar nicht so häufig eingesetzt wird. Also dieser Trick mit dem Datenaltruismus, der da natürlich vielleicht auch steuerlich begünstigt und und sinnvolle Regeln dran geknüpft sind, das kann vielleicht in 'nem gewissen Umfang klappen.
Lutz Martin Keppeler:Aber ich glaube nicht, dass das ein valides Instrument ist, die großen Datenaustauschplattformen international.
Ulla Coester:Das wird ja noch nicht so viel genutzt, weil die Unternehmen vielleicht den Datenräumen nicht vertrauen.
Lutz Martin Keppeler:Ja, also dann sozusagen Neutralitätsgebote und so weiter, ja. Das kann natürlich durchaus sein, ja, aber das hätte man doch Das ist sozusagen völlig liberale amerikanische Denke. Auf die Idee kann man selber kommen und dann kann man, das findet man Mechanismen, das neutral zu machen und braucht eigentlich kein Gesetzgeber dafür. Wir haben jetzt den Gesetzgeber und ich bin sehr gespannt. Also ich das der der ist ja schon seit, ich glaube, September letzten Jahres in Kraft.
Lutz Martin Keppeler:Und ich sehe jetzt nicht die Datenaustauschplattformen für Unternehmen aus dem Boden sprießen in Europa. Ich wage zu bezweifeln, dass dass das der richtige Weg ist. Aber tja, wir werden's erleben.
Ulla Coester:Auf jeden Fall hört sich das nach viel Arbeit für die Unternehmen an und viel Beratungsbedarf, denk ich mal auch.
Lutz Martin Keppeler:Findet.
Ulla Coester:Aber wie gesagt, also ich als Nutzer finde das eigentlich sehr positiv und von daher begrüße ich das natürlich und fand den Einblick jetzt superspannend, wenn er auch nur ganz kurz war. Aber wir haben ja vor, dass wir das in den nächsten Podcasts dann noch vertiefen. Also erst mal vielen Dank für heute und bis zur dann noch vertiefen. Also erst mal vielen Dank für heute und bis zum nächsten Mal.
Lutz Martin Keppeler:Sehr gerne. Tschüs. Dann vertiefen wir's beim nächsten Mal. Tschüs.
Michael Voregger:Wir werden das Thema künstliche Intelligenz und Vertrauen natürlich noch weiter vertiefen. Es wird also weitere Podcast dazu geben. Bis dahin, danke und tschüs.