Auf einen Blick

Standard ISO/IEC 42001:2023
Titel Information technology — Artificial intelligence — Management system
Typ Internationaler Standard
Herausgeber ISO
Status Veröffentlicht
Wesentliche Inhalte Beschreibt ein organisationsweites KI-Management System, einschließlich Hinweise zu möglichen Zielsetzungen und Kontrollelementen.

Aufbau und Inhalte des Standards

ISO/IEC 42001 beschreibt ein KI-Management-System für Organisationen. Gegenstand eines solchen Management-Systems sind Richtlinien und Zielsetzungen für den Einsatz von KI, sowie die für die Erreichung der Ziele notwendigen Prozesse (vgl. ISO 42001, Kapitel 3). Diese Ziele sind zu einem guten Teil vergleichbar zu den allgemeineren KI-Governance-Zielen, wie wir sie bereits in unserem Blog-Post gesehen haben.

Überblick ISO 42001
Abbildung: Überblick ISO/IEC 42001 – zum Vergrößern klicken

Anforderungen an das KI-Management-System

Die Inhalte der Kapitel 4 bis 10 beschreiben den Aufbau eines KI-Management-Systems in Form von Anforderungen. Darüber hinaus beschreiben sie aber auch die Dynamik eines solchen Systems im Sinne eines Prozesses zur kontinuierlichen Verbesserung. Die Inhalte lassen sich daher am besten entlang der Logik Plan, Do, Check, Act erläutern. Wesentliche Bestandteile des Systems sind demnach:

  1. Plan (Aufsetzen)

    • Kapitel 4: Context of the Organisation (dt.: Kontext der Organisation)

      In diesem Kapitel stehen Organisation, Erwartungen und Anforderungen von relevanten Stakeholdern (interested Parties), sowie definierte Anwendungsbereich (Scope) des KI-Management-Systems im Mittelpunkt. Es dreht sich kurzum um die Rahmenbedingungen und den Betrachtungsschwerpunkt.

    • Kapitel 5: Leadership (dt.: Führung)

      Das Kapitel erörtert wichtige Punkte bzgl. der KI-Richtlinien (AI policy) und der organisatorischen Rollen, Verantwortungen und auch Kompetenzen. Zusätzlich werden die Anforderungen an die Unterstützung des Management definiert.

    • Kapitel 6: Planning (dt.: Planung)

      Das Kapitel betrachtet die notwendigen Prozesse zur Adressierung von (KI-)Risiken durch Risikoanalyse und Risikobehandlung. Dabei beinhaltet es auch Vorgaben zu einer Bewertung der Auswirkungen der konkreten KI-Systeme (AI system impact assessment). Diese Vorgabe ist recht spannend für den EU AI Act, denn Sie verbindet das organisationsweite KI-Management-System mit den konkreten, systemspezifischen Risiken, welche für jedes KI-System unterschiedlich sein können. Dies werden wir noch genauer betrachten, wenn wir die Normen ISO/IEC/IEEE 24748-7000, sowie ISO/IEC 42005 vorstellen.

      Des Weiteren werden in Kapitel 6 auch KI-Zielsetzungen definiert. Beispiele hierfür sind ökologische Zielsetzungen, Zielsetzungen bgzl. bestimmter Werte (wie etwa Datenschutz und Fairness) und mehr.

    • Kapitel 7: Support (dt.: Unterstützende Prozesse)

      In diesem Kapitel werden Support-Prozesse beschrieben. Dies beinhaltet Ressourcen (z.B. Arbeitskraft oder Ausstattung), Kompetenzen der Mitarbeitenden und Maßnahmen, um die Vorgaben des KI-Management-Systems ausreichend bekannt zu machen.

      Spannend ist hier auch der Abschnitt zur Kommunikation, beispielsweise im Falle von unerwünschten Ereignissen.

  2. Do (Ausführen)

    • Kapitel 8: Operation (dt.: Ausführung)

      In diesem Kapitel geht es nunmehr um die konkrete Durchführung, vor allem der in Kapitel 6 definierten Prozesse. So erklärt sich auch, dass Kapitel 6 und Kapitel 8 bei einem Blick in das Inhaltsverzeichnis eine gewisse Redundanz haben.

  3. Check (Überprüfen)

    • Kapitel 9: Performance Evaluation (dt.: Leistungs-Beurteilung)

      Ein KI-Management-System ist kein “One-Shot”. Vielmehr muss es fortlaufend überwacht und angepasst werden. Die Schritte hierzu sind in Kapitel 9 dargestellt, insbesondere zählen hierzu die vorgeschriebenen internen Audits, sowie regelmäßige Management-Reviews. Ein Management-Review ist dabei ein Meeting mit fester Agenda, in dem die Performance des KI-Management-Systems besprochen wird. Dieses Meeting entscheidet auch über ggf. zu ergreifende Maßnahmen zur Verbesserung.

  4. Act (Verbessern)

    • Kapitel 10: Improvement (dt.: Verbesserung)

      Schließlich umfasst Kapitel 10 einige Vorgaben zu kontinuierlicher und anlassbezogener Verbesserung des Systems. Letztere greift, wenn etwa Abweichungen vom Standard oder Fehler im definierten Umgang mit KI-Systemen festgestellt werden.

Dieser Überblick zeigt in aller Kürze, die wesentlichen Bestandteile des KI-Management-Systems. Wichtig mitzunehmen: Kapitel 4-10 beschreiben sowohl Strukturelemente, als auch die Dynamik des Systems. Zusätzlich wird über das AI System Impact Assessment eine Brücke von der allgemeinen organisatorischen Betrachtung hin zu den spezifischen Details der relevanten IT-Systeme gebaut.

Die Anhänge

Ein Blick in die Anhänge lohnt, denn diese enthalten sowohl für die Konformität wesentliche Elemente, als auch nützliche Informationen.

  • Anhang A beschreibt mögliche Ziele des KI-Management-Systems und Maßnahmen, um diese zu erfüllen. Zu diesen Maßnahmen werden detaillierte Vorschläge zur Implementierung in Anhang B dargestellt.

    Vereinfacht handelt es sich hier um mögliche Maßnahmen zur Risiko-Minimierung, die allen Verwendern “ans Herz gelegt” werden. Ein einfaches Beispiel: Ein Kontrollziel ist das Setzen klarer Richtlinien durch für den KI-Einsatz. Eine Maßnahme ist das Aufstellen und Dokumentieren einer KI-Policy. Diese beiden Elemente werden in Anhang A erläutert. Die möglichen Inhalte der Policy (als Implementierungsvorschlag) enthält dann Anhang B.

    Es ist wichtig zu verstehen, dass dieser Anhang lediglich Vorschläge enthält, mit denen sich die Organisation auseinandersetzen muss. Die Organisation muss im Rahmen der Planung (Kapitel 6) ein statement of applicability generieren. Dieses erläuert, welche Kontrollelemente eingeschlossen oder ausgeschlossen wurden (insb. bezogen auf den Anhang) und welche zusätzlichen, nicht im Anhang erläuterten Elemente zum Einsatz kommen.

  • Anhang C hat informativen Charakter und beschreibt mögliche Organisatorische Zielsetzungen für den KI-Einsatz, sowie Risikoquellen.

  • Der ebenfalls informative Anhang D skizziert den Einsatz eines KI-Management-System in verschiedenen Industriezweigen, sowie die Integration mit anderen Management-Systemen.

Warum dieser Standard relevant ist

Die ISO gibt eine Vielzahl von Management-System-Standards raus, wie etwa ISO 9001 und ISO 27001. ISO 42001 ist die KI-spezifische Ergänzung.

Daraus ergeben sich bereits einige Punkte, die ISO 42001 zu einem hoch-relevanten Standard machen:

  • Es ist etablierte Industrie-Best-Practice, dass Management-Systeme nützlich sind, um nachvollziehbar bestimmte Ziele zu erreichen. Das offensichtlichste Beispiel ist die weit verbreitete ISO 9001 für Qualitätsmanagement. KI kommt mit eigenen Herausforderungen, wie sie sich etwa aus den Eigenarten des Maschinellen Lernens ergeben. Insofern ist eine gesonderte Betrachtung dieser Risiken mit einem analogen Ansatz absolut naheliegend und nahezu unumstritten.

    Organisationen müssen bereits aus Gründen der Produkthaftung nachweisen, dass sie Risiken gemäß dem State-of-the-Art behandeln - ISO 42001 bietet dafür eine nachvollziehbare, plausible Basis.

  • Durch die bereits existierenden Standards der ISO zu anderen Management-Systemen ergeben sich entscheidende Synergien:

    • Organisationen, die zusätlich zu bestehenden ISO-Management-Systemen auch ISO 42001 einführen, können mehrere Management-Systeme in einem Audit prüfen lassen (combined audit).
    • Zertifizierer weltweit sind mit dem generischen Rahmen für ISO-Management-Audits vertraut. Dieser ergibt sich etwa aus den Normen ISO 19011 und ISO 17021. Es existiert also bereits eine leistungsfähige Basis-Infrastruktur, um auch ISO 42001 zu auditieren. Natürlich müssen die Auditoren auch Kompetenz für die neue Norm aufbauen, was sicherlich eine Herausforderung für die Zertifizierer darstellt.

Für die ISO 42001 sprechen also Industrie-Erfahrung, sowie ein starkes Ökosystem. Der Standard ist in gewisser Weise generisch, den er beschreibt lediglich den Rahmen eines Management-Systems, sowie beispielhafte Kontrollelemente (im Anhang). Diese Offenheit kann man als Schwäche (wenig Vorgaben) oder als Stärke (hohe Anpassungsfähigkeit) deuten.

Einschränkend muss man feststellen, dass die EU bzw. das AI Office der EU bereits mitgeteilt haben, dass sie ISO 42001 nicht als Anwärter für einen sogenannten Harmonisierten Standard sehen. Meine Gedanken dazu im nächsten Abschnitt - das Konzept des Harmonisierten Standards werde ich in einem zukünftigen Bog näher beleuchten.

Persönliche Einschätzung

Aus meiner Sicht ist ISO 42001 der internationale Favorit für den Top-Platz der relevantesten KI-Mangement-Standards. Dies ergibt sich bereits ganz pragmatisch aus der großen Verbreitung anderer ISO-Standards: Es existiert viel Know-How zum Aufbau von Management-Systemen, die Auditierungs-Infrastruktur für diese Art von Standards existiert bereits. Und schließlich müssen Zertifizierer und Unternehmen ohnehin Know-How aufbauen - ein ISO-Management-System ist dafür eine gute Absprungbasis.

Der EU AI Act betrachtet also vor allem Risiken, die sich aus KI-basierten Produkten ergeben. Das AI Office stellt hierzu in einem Webinar fest, dass die ISO 42001 einen anderen Betrachtungsgegenstand hat (Organisation vs. Produkt) und entsprechend auch andere Risikobegriffe verwendet (Risiko als Effekt von Zufall vs. Risiko für Leib und Leben). Dies kann kaum überraschen und ist auch nicht ungewöhnlich: Automobilfirmen implementieren in der Regel ISO 9001 als organisationsweites Qualitätsmanagement, wobei natürlich für die Produkte weitere, sehr spezifische Normen für die Risikominimierung gelten (z.B. ISO 26262 für Funktionale Sicherheit). Dies wird nicht als Widerspruch, sondern als Ergänzung wahrgenommen. Genauso sehe ich es hier: ISO 42001 bietet einen Rahmen, der den kontrollierten Einsatz von KI ermöglicht (insbesondere auch das Identifizieren und Nutzen von Chancen). ISO 42001 ist ein flexibles Framework, dass um gesetzliche Anforderungen leicht erweitert werden kann. Gut möglich, dass wir hier EU-spezifische Zusätze sehen werden.

Die Diskussion um den EU AI Act und ISO 42001, sowie die noch laufenden Bemühungen in der Standardisierung innerhalb der EU erscheint von dem Wunsch getragen, eine bessere bzw. spezifischere Standardisierungs-Lösung in kurzer Zeit zu finden. Dies zum Erfolg zu führen ist mindestens herausfordernd, denn die Standardisierung durch CEN/CENELEC erfolgt unter sehr hohem Zeitdruck und ist auch bereits verzögert.

Ausserdem ist die KI-Technologie hoch-dynamisch. Ob unter diesem Vorzeichen wirklich bessere Standards entstehen oder es sich auf Seiten der EU eher um das Not-Invented-Here-Syndrom handelt, müssen wir genau beobachten.

Hinweis: Dieser Beitrag ist Teil einer Serie zu KI-Standards. Weitere Artikel zu Standards wie ISO/IEC/IEEE 24748-7000, IEEE 7001 und anderen folgen.