Generative-AI-Profil
NIST veröffentlichte 2024 ein Generative-AI-Profil, um Organisationen bei spezifischen Risiken generativer KI und passenden Managementmassnahmen zu unterstützen.
KI-Software zu kaufen wirkt wie Einkauf. Praktisch ist es Governance. Ein Tool kann in der Demo einfach aussehen und trotzdem schwierige Fragen zu Datenverarbeitung, Modelltraining, Output-Qualität, Auditierbarkeit, Nutzerverhalten und Verantwortlichkeit erzeugen.
Der beste Zeitpunkt für diese Fragen ist vor dem Kauf, nicht nach dem Rollout. Ist ein Tool einmal in Workflows eingebaut, wird Abschalten politisch und operativ schwieriger.
Die Demo versteckt die Governance-Fläche
Vendors zeigen Geschwindigkeit: schneller schreiben, suchen, zusammenfassen, unterstützen. Käufer sollten nach Kontrolle fragen: Welche Daten gehen hinein? Wohin? Wer hat Zugriff? Wie lange werden sie gespeichert? Werden sie für Training genutzt? Wie wird Output geprüft? Wer trägt Workflow-Risiko?
Sieben Fragen vor dem Kauf
1. Welche Daten verarbeitet das Tool?
Listen Sie Datentypen vor Freigabe: öffentlich, intern, vertraulich, personenbezogen, sensibel, reguliert, Klienten-, Patienten-, Mitarbeiterdaten, Geschäftsgeheimnisse und unveröffentlichte Geschäftsinformationen.
2. Werden Daten für Modelltraining genutzt?
Die Antwort muss explizit sein. Fragen Sie nach Prompts, Uploads, Outputs, Metadaten, Feedback und Embeddings.
3. Wo werden Daten gespeichert und verarbeitet?
Standort ist relevant für Datenschutz, Vertraulichkeit, Kundenerwartungen und grenzüberschreitende Transfers.
4. Welche Kontrollen gibt es für Zugriff, Aufbewahrung und Löschung?
Fragen Sie nach Rollen, Logs, Admin-Kontrollen, Löschung, Retention, Export und Offboarding.
5. Unterstützt das Tool Human Review?
Ein gutes KI-Tool macht Review einfacher: Quellen, Grenzen, Zitate, Korrekturmöglichkeiten und nachvollziehbare Ergebnisse.
6. Welche Nachweise kann die Organisation behalten?
Governance braucht Evidenz: Freigaben, Datenflüsse, Vendor-Bedingungen, Risikoanalyse, Testergebnisse, Schulung und Incident Logs.
7. Wer owns the business decision?
IT, Legal, Compliance, Einkauf und Security prüfen mit. Trotzdem braucht es einen Business Verantwortliche, der Zweck, Workflow, Nutzer und Kontrollen verantwortet.
KI-Vendor-Review-Paket
0/0Erst Pilot, dann Rollout
Der Pilot sollte den Workflow testen, nicht nur das Tool. Definieren Sie vorab Qualität, Zeitgewinn, Fehlerquote, Prüfaufwand, Nutzerverhalten, Datenumgang und Eskalation.
NIST AI RMF und das Generative-AI-Profil helfen, Risiken mit Kontext zu verbinden. ISO/IEC 42001 ergänzt Rollen, Prozesse, Messung und Verbesserung.
Nächster Schritt
Bereiten Sie vor der nächsten Vendor-Demo ein einseitiges Review Sheet vor. Wenn Daten-, Trainings-, Retention-, Review- und Nachweisfragen nicht klar beantwortet werden, ist das kein Detail für später, sondern Kern der Entscheidung.