Salta al contenuto
News

KI-Politik als Frage der nationalen Sicherheit: Der Fall Mythos und die Reaktionen der USA

KI-Politik als Frage der nationalen Sicherheit: Der Fall Mythos und die Reaktionen der USA

Auf einen Blick

Die globale KI-Politik wird nun von nationalen Sicherheitsrisiken dominiert, was zu reaktiven und unvorhersehbaren Maßnahmen führt. Die Entdeckung fortschrittlicher KI-Modelle wie Mythos, die in der Lage sind, Schwachstellen zu identifizieren, hat die Regierung der Vereinigten Staaten dazu veranlasst, erhebliche Kontrolle über die Entwicklung und den Zugang zu KI-Modellen auszuüben. Dies markiert eine neue Ära, in der KI als zu gefährlich für einen unkontrollierten öffentlichen Gebrauch angesehen wird, wobei die Regierung de facto über den Zugang entscheidet.

Hintergrund

Der Hauptfaktor, der die Politik der künstlichen Intelligenz (KI) prägt, sind die realen und erwarteten Risiken für die nationale Sicherheit. Dies hat einen "Ausnahmezustand" in der KI geschaffen, begleitet von aggressiven und unvorhersehbaren politischen Maßnahmen.
Die Änderung begann mit der Einführung von Mythos, einem neuen KI-Modell von Anthropic, das besonders leistungsfähig bei Aufgaben der Cybersicherheit ist. Während der Tests identifizierte und nutzte Mythos Preview Schwachstellen in jedem Betriebssystem und Webbrowser, einschließlich einer 27 Jahre alten Schwachstelle in einem für seine Sicherheit bekannten System. Anthropic entschied sich, Mythos nicht öffentlich freizugeben, sondern es nur ausgewählten Partnern im Project Glasswing (über 150 Organisationen in 15 Ländern) zur Verfügung zu stellen. Am 23. Juni bestätigte ein US-Beamter, dass Mythos Schwachstellen in hochsensiblen Computern der US-Regierung identifiziert hatte.
Daraufhin unterzeichnete Präsident Trump am 2. Juni eine Executive Order zur KI, um einen freiwilligen Rahmen für Entwickler fortschrittlicher KI zu fördern, der sie ermutigt, vor der Freigabe von "abgedeckten Grenzmodellen" mit der Regierung zusammenzuarbeiten, um kritische Infrastrukturen, Cyber-Verteidigungsfähigkeiten und die nationale Sicherheit der Vereinigten Staaten zu schützen. Am 5. Juni veröffentlichte das Weiße Haus ein Memorandum, um den Einsatz von KI durch das US-Militär zu beschleunigen, und legte fest, dass kein Unternehmen ohne föderale Genehmigung den militärischen Einsatz von KI beeinträchtigen sollte.
Anschließend veröffentlichte Anthropic am 9. Juni Claude Fable 5, ein KI-Modell der Mythos-Klasse, das "für den allgemeinen Gebrauch sicher gemacht" wurde. Drei Tage später erließ die US-Regierung eine Exportkontrollrichtlinie, die den Zugang zu Fable 5 und Mythos 5 für alle ausländischen Staatsangehörigen, einschließlich derer, die bei Anthropic arbeiten, unter Verweis auf nationale Sicherheitsbedenken aussetzte. Anthropic deaktivierte daraufhin die Modelle für alle Kunden. Derzeit läuft eine Klage gegen die Trump-Regierung wegen dieser Maßnahme. Am 25. Juni forderte die Trump-Regierung OpenAI auf, die Veröffentlichung von GPT-5.6 aus Sicherheitsgründen zu verzögern, und schlug eine kundenweise Genehmigung des Zugangs vor.

Warum es wichtig ist

Dieses Szenario ist aus mehreren Gründen im Zusammenhang mit dem Datenschutz und der Compliance für Datenschutzbeauftragte (DSB) und IT-Verantwortliche von grundlegender Bedeutung. KI-Modelle wie Mythos zeigen eine beispiellose Fähigkeit, Schwachstellen in kritischen Systemen zu identifizieren und auszunutzen, was das Risiko von Datenschutzverletzungen und der Kompromittierung von Infrastrukturen drastisch erhöht.
Für Organisationen bedeutet dies, dass aktuelle Cybersicherheitsstrategien und Compliance-Anforderungen wie die DSGVO, die NIS2-Richtlinie und die ISO 27001-Zertifizierung angesichts neuer KI-Bedrohungen dringend neu bewertet werden müssen. Die Fähigkeit, Sicherheitsvorfälle zu verhindern, zu erkennen und darauf zu reagieren, wird komplexer und erfordert Investitionen in neue Abwehrmaßnahmen sowie eine ständige Überwachung technologischer und regulatorischer Entwicklungen. Organisationen, die in kritischen Sektoren tätig sind oder große Mengen personenbezogener Daten verwalten, sind besonders exponiert und müssen KI sowohl als potenzielles Angriffswerkzeug als auch als wesentliche Komponente zur Stärkung ihrer Abwehrmaßnahmen betrachten.

Was zu tun ist

  • Regelmäßig Datenschutz-Folgenabschätzungen (DPIA) und Cybersicherheits-Risikoanalysen durchführen, die KI-basierte Angriffsszenarien einschließen.
  • Die Richtlinien und Verfahren zur Informationssicherheit aktualisieren, um die aus KI resultierenden neuen Bedrohungen zu berücksichtigen, insbesondere zum Schutz von Betriebssystemen und Webbrowsern.
  • Die Entwicklung staatlicher KI-Politiken und potenzielle Einschränkungen der Nutzung oder des Zugangs zu spezifischen KI-Modellen genau beobachten, insbesondere wenn "Frontier-Modelle" verwendet oder entwickelt werden.
  • Die Fähigkeiten zur Schwachstellen-Erkennung und Reaktion auf Vorfälle stärken und sich auf die Bewältigung ausgeklügelter Angriffe vorbereiten, die KI-Fähigkeiten nutzen könnten.

Was zu vermeiden ist

  • Das offensive Potenzial von KI-Modellen und deren Fähigkeit, neue Schwachstellen zu schaffen oder bestehende auszunutzen, unterschätzen.
  • Fortschrittliche KI-Modelle ohne eine gründliche Bewertung der Sicherheits- und Datenschutzrisiken einführen oder entwickeln.
  • Aufkommende staatliche Richtlinien und Beschränkungen zur KI ignorieren, die den Zugang und die Nutzung spezifischer Modelle beeinflussen könnten.

Praktische Auswirkungen

Organisationen müssen erkennen, dass KI nicht mehr nur eine technologische Innovation ist, sondern eine Frage der nationalen Sicherheit mit direkten Auswirkungen auf die Datenverwaltung und die Betriebskontinuität. Dies wird zu unvorhersehbaren, potenziell restriktiven oder "drakonischen" Politiken führen, die die Entwicklung, den Zugang und die Nutzung von KI weltweit beeinflussen werden. Unternehmen, die KI nutzen oder entwickeln, müssen sich auf ein sich schnell entwickelndes regulatorisches Umfeld einstellen, in dem Regierungen aufgrund des potenziellen Missbrauchs von KI-Modellen in der Cyberkriegsführung und Spionage eine direkte Kontrolle ausüben werden.

Zu vermeidende Fehler

  • Das offensive Potenzial von KI-Modellen im Kontext der Cybersicherheit unterschätzen.
  • Staatliche Beschränkungen des Exports oder des Zugangs zu KI-Modellen nicht berücksichtigen.
  • Die Notwendigkeit einer gründlichen Sicherheitsbewertung vor der Freigabe oder Einführung von KI-Modellen ignorieren.

Fragen zur Selbsteinschätzung

  • Hat unsere Organisation die Sicherheitsrisiken bewertet, die KI-Modelle einführen oder verschärfen könnten?
  • Sind wir darauf vorbereitet, ausgeklügelte Cyberangriffe zu bewältigen, die KI-Fähigkeiten nutzen könnten?
  • Fallen unsere KI-Modelle oder die von uns verwendeten Modelle in die Kategorien "Frontier" oder "Covered", die einer staatlichen Kontrolle unterliegen könnten?
  • Wie können wir sicherstellen, dass unsere kritische Infrastruktur vor offensiven KI-Bedrohungen geschützt ist?

Verweise

Nationales Recht: GDPR · Direttiva NIS2 · ISO/IEC 27001 · Ordine Esecutivo sull'IA degli Stati Uniti

Zum Originalartikel auf Luiza Jarovsky (AI & Privacy) ↗

Lesen Sie auch