Liebe Leserinnen und Leser,
an dieser Stelle hatten wir bereits in der letzten Ausgabe über Segen und Fluch von künstlicher Intelligenz „simmeliert“, wie man im Rheinland sagt. Seither hat es wieder einige neue Entwicklungen gegeben …
Gar nicht neu ist die Erkenntnis: KI-Tools sind einfach verführerisch komfortabel (jeder hat inzwischen einen Kollegen, der überhaupt keine Texte mehr selbst verfasst – und es mittlerweile wohl auch gar nicht mehr kann). Doch diese schöne neue Welt birgt auch enorme Risiken, hier im Falle KI-gestützten Software-Entwicklung (“Vibe Coding“): Eine Studie der Spezialisten für Software-Sicherheit von Veracode hat gravierende Schwachstellen in KI-generiertem Code aufgedeckt. Für den 2025 GenAI Code Security Report wurden 80 Programmieraufgaben in verschiedenen Programmiersprachen analysiert. 45 Prozent des KI-generierten Codes wies Schwachstellen auf, welche die Systemsicherheit gefährden könnten (Via golem.de, Kurzlink tinyurl.com/2ezxf6hn).
Ähnlich problematisch: KI-gestützte Software beruht systemimmanent auf Vorurteilen. Was nur auf Basis von Wahrscheinlichkeitsberechnungen arbeitet, ist enorm abhängig von der Auswahl des Materials, anhand dessen diese Berechnungen durchführt werden. Großen Widerhall in den Medien erhielt beispielsweise kürzlich der Vorfall, als Elon Musks KI-Dienst „Grok“ nach einer „Verbesserung“ begann, antisemitische Verschwörungsmythen zu verbreiten, Hitler zu loben und sich selbst als „mechanisierten Hitler“ zu bezeichnen (Heise Online, Kurzlink tinyurl.com/5bhwyffy).
Das Problem ist gravierend genug, dass das Bundesamt für Sicherheit in der Informationstechnik gerade ein Whitepaper zu diesem Thema veröffentlicht hat: „Bias in der künstlichen Intelligenz“: „Selbst KI-Systeme, die in bester Absicht sowie nach dem neuesten Stand der Technik erstellt werden, können von Bias betroffen sein. Denn Bias ist häufig bereits in den Daten vorhanden. Datensammlungen beinhalten immer menschlichen Einfluss und sind geprägt durch zahlreiche technische, wirtschaftliche, rechtliche und soziale Entscheidungen. Aber auch Designentscheidungen bei der Konzeption eines KI-Modells sowie beim Trainings- und Auswahlprozess können zu Bias im Verhalten der resultierenden KI-Modelle führen. Um eine informierte Einschätzung zur Gefahr durch Bias beeinflussten Ausgaben eines KI-Systems treffen zu können, reicht also kein punktuelles Vorgehen aus. Diese Gefahrenabschätzung muss vielmehr Teil des gesamten Lebenszyklus‘ eines KI-Systems sein.“ (bsi.bund.de, Kurzlink: tinyurl.com/yn3mwwmf).
Und darauf kann nie zu oft hingewiesen werden: Öffentliche Large Language Models, wie ChatGPT etc., sollten nicht mit echten Daten des eigenen Unternehmens oder dessen Kunden gefüttert werden, um schneller verwertbare Ergebnisse in der täglichen Arbeit zu erhalten.
Reichlich Unbehagliches also, womit sich die Verantwortlichen für Sicherheit und insbesondere IT-Sicherheit in Unternehmen aber befassen sollten.
PS: Was Sicherheitsverantwortliche auch im Auge behalten sollten: Das Bundeskabinett hat den Gesetzesentwurf zur Umsetzung der NIS-2-Richtlinie beschlossen. Der Entwurf soll am 15.08. dem Bundesrat zugeleitet werden und noch im Laufe dieses Jahres in Kraft treten. Hier gibt es also künftig etwas mehr Planungssicherheit.