Wir haben den im Cloud Bereich etablierten StarAudit-Fragenkatalog erweitert, um nun auch KI-Anbieter umfassend und gleichzeitig praxistauglich bewerten zu können.

Ergebnis

In Zusammenarbeit mit unserem Kunden haben wir einen praxisorientierten Fragenkatalog entwickelt, der zur Qualifizierung von KI-Anbietern dient. Dieser umfassende Fragenkatalog deckt alle wesentlichen Bereiche ab, die für die Einhaltung von KI-Vorgaben erforderlich sind. Er orientiert sich an der Struktur des AI Acts, mit besonderem Fokus auf die Anforderungen an Hochrisiko-KI-Systeme.

Zahlen und Fakten

Über StarAudit

StarAudit ist eine Initiative von EuroCloud Europe, einer unabhängigen, gemeinnützigen Organisation mit einem weitreichenden internationalen Netzwerk von akkreditierten Partnern und Experten. StarAudit wurde ursprünglich als Fragenkatalog für die Zertifizierung und Bewertung von Cloud-Anbietern entwickelt. Dabei wurde besonderes Augenmerk darauf gelegt den zunehmenden Anforderungen an Transparenz, Compliance, Sicherheit und Datenschutz im Cloud-Bereich gerecht zu werden. Mit StarAudit werden Cloud-Dienste anhand von sieben klar definierten Bereichen mittels vorgegebener Antwortmöglichkeiten bewertet.

Warum ein neuer KI-Bereich?

Der Einsatz von Künstlicher Intelligenz bringt zahlreiche neue Herausforderungen und Risiken für Unternehmen und Organisationen mit sich. Angesichts der Informationsflut ist es leicht, den Überblick über das Wesentliche zu verlieren. Der neue KI-Bereich bietet einen strukturierten Rahmen, um die wichtigsten Themen gezielt durch Fragen abzudecken. Dadurch lässt sich schnell erkennen, ob ein Anbieter über einen ausreichenden Reifegrad verfügt und ob ein bestimmter Use Case realistisch mit diesem umsetzbar ist. Dies schafft Klarheit in der komplexen Risikolandschaft rund um KI.

Der Prozess

Sourcing International arbeitete gemeinsam mit einem Kunden an einer umfassenden Analyse der Risiken und Herausforderungen im Zusammenhang mit bestehenden und geplanten KI-Einsatzszenarien. Ziel war es, die rechtliche, technische und organisatorische Konformität im Einklang mit internationalen Standards und dem sich entwickelnden AI Act sicherzustellen. Zu Beginn haben wir mehrere international anerkannte Rahmenwerke, darunter das NIST AI Risk Management Framework, AIC4 und den IDW PS 86, sowie Gesetze, in einem einheitlichen und strukturierten Fragenkatalog zusammengeführt. So wird ermöglicht den Reifegrad von Anbietern sowie die Konformität ihrer Dienste systematisch über alle wichtigen Dimensionen hinweg bewerten. Da diese Rahmenwerke neue rechtliche Risiken und branchenspezifische Besonderheiten nur teilweise abdecken, haben wir Expert:inneninterviews mit führenden Jurist:innen aus dem International Network of Privacy Law Professionals (INPLP) durchgeführt. Ihre Einschätzungen lieferten einen entscheidenden Mehrwert für die juristische Tiefe und praktische Relevanz der behandelten Fragestellungen. Eine der größten Herausforderungen war es, unterschiedliche Terminologien und konzeptionelle Ansätze aus den Rahmenwerken zu harmonisieren und gleichzeitig die Brücke zwischen juristischen und technischen Auslegungen zu schlagen. Außerdem war es wichtig, den Fragebogen so zu gestalten, dass er praxisnah und dennoch umfassend genug für verschiedene Interessengruppen, wie Einkauf, Rechtsabteilung, IT-Sicherheit und Fachbereiche, ist. Um diesen Herausforderungen gerecht zu werden, haben wir einen iterativen Entwicklungsprozess gewählt: enge Zusammenarbeit mit internen Teams und externen Expert:innen sowie strukturierte Feedbackschleifen im Wochenrhythmus. Der finale Fragebogen wurde von Analyst:innen von Gartner und Microsoft geprüft. Ihr Feedback wurde in den Fragenkatalog integriert, wodurch dessen Aussagekraft, Praxisrelevanz und Glaubwürdigkeit als robustes Instrument zur Bewertung von KI-Anbietern weiter gestärkt wurden.