Direkt zum Inhalt

Richtlinien und Schutzmaßnahmen für die sichere Nutzung von KI

Überlegungen zur Schaffung eines Rahmens für KI-Governance und -Schutzmaßnahmen

Im Laufe des Jahres 2025 und Anfang 2026 erarbeitete ein Team von KI-Sicherheitsexperten der Health-ISAC Artificial Intelligence Working Group ein Whitepaper mit Leitlinien zur Entwicklung von KI-Governance-Rahmenwerken. Das Whitepaper enthält eine Beispielrichtlinie zur akzeptablen Nutzung von KI sowie detaillierte Hinweise zum Umgang mit KI-Risiken. Es definiert klar den verantwortungsvollen Einsatz von generativer KI und LLMs, verbietet die Offenlegung von PHI, PII und vertraulichen Daten durch öffentliche Tools und fordert die Autorisierung, Aufsicht und menschliche Überprüfung von KI-Ergebnissen in klinischen, personalwirtschaftlichen, rechtlichen und finanziellen Kontexten.

Zu den Merkmalen des Dokuments gehören unter anderem:

  • Formale KI-Governance-Struktur. Das Papier stellt ein konkretes Modell für einen KI-Governance-Ausschuss mit funktionsübergreifender Repräsentation (Recht, Datenschutz, Sicherheit, Technologie, Datenwissenschaft, Wirtschaft, Ethik) vor, der an die Geschäftsleitung oder den Aufsichtsrat berichtet. Es definiert Verantwortlichkeiten, beispielhafte Kennzahlen und betont, dass Governance unerlässlich und nicht optional ist.
  • Ein säulenbasiertes KI-Governance-Framework. Das Dokument beschreibt ein Rahmenwerk mit sieben Säulen: Gesetzgebung/Verordnung/Richtlinien, Datenschutz und Ethik im Bereich KI, Governance von Anwendungsfällen, Governance des Modelllebenszyklus, Vertragsgestaltung und Einbindung von Drittanbietern, Reaktion auf KI-Vorfälle und Management von Datenschutzverletzungen sowie KI-Schulung und -Weiterbildung. Jede Säule hat spezifische Ziele und Verantwortliche.
  • Praktischer Umsetzungsplan. Ein Implementierungsfahrplan unterteilt die Arbeit in vier Phasen: Initiierung (Komitee, Prinzipien, Inventar), Risiko- und Folgenabschätzung (Datenschutz-Folgenabschätzungen, Voreingenommenheitsprüfungen, Sicherheitsüberprüfungen), Bereitstellung des Rahmenwerks (Richtlinien, Registrierung von Anwendungsfällen, Lebenszykluskontrollen) und Überwachung und Überprüfung (regelmäßige Überprüfungen, Nachschulungen, Audits).
  • Detaillierte, wiederverwendbare Richtlinie zur akzeptablen Nutzung von KI. Das Dokument enthält eine vollständige Musterrichtlinie mit Zweck und Geltungsbereich, Leitprinzipien, Transparenz und Ethik, Rechenschaftspflicht und Aufsicht, Datenschutz und Datensicherheit, Vertraulichkeit, zulässigen und verbotenen Verwendungen, Durchsetzung und Definitionen sowie eine Tabelle mit „erlaubten und nicht erlaubten“ öffentlichen KI-Tools.
  • Acht KI-Risikokategorien sind spezifischen Schutzmaßnahmen zugeordnet. Es behandelt systematisch Datenschutz und Datensicherheit, Lieferketten- und Drittparteienrisiken, Modell- und Ergebnisrisiken, Voreingenommenheit und Fairness, regulatorische und Compliance-Aspekte, Sicherheitslücken, Governance- und Aufsichtsrisiken sowie Schatten-KI und verbindet diese jeweils mit konkreten Schutzmaßnahmen wie Datenminimierung, SBOMs, Lieferantenprüfung, Red Teaming, vertraglichen Kontrollen und der Erkennung von Schatten-KI.

 

Autoren: Cohen, Luda (AbbVie); Mourad, Carole (Bio Bridge Global); Naik, Shrikanth (Abbott); Streelman, Jeff (SpendMend)

Mitwirkende: Murphy, Bill (LeanTaaS), Gosnell, Joe (Tucson Medical Center)

TLP:WHITE Dieser Bericht darf ohne Einschränkungen weitergegeben werden.

 

Was der Stryker-Angriff über die Sicherheit medizinischer Geräte offenbart
HSCC veröffentlicht Leitfaden zu KI-Risiken von Drittanbietern und Transparenz der Lieferkette