NIST: KI-Sicherheit vereinfacht, Doppelarbeit vermieden

Das National Institute of Standards and Technology (NIST) leitet die Cybersicherheitsgemeinschaft strategisch durch die komplexe Landschaft der künstlichen Intelligenz, mit dem Ziel, wesentliche Sicherheitsrahmen bereitzustellen, ohne Fachleute mit völlig neuen Direktiven zu überfordern. Dieser wohlüberlegte Ansatz versucht, das „Rad nicht neu zu erfinden“, sondern KI-Sicherheitsaspekte in etablierte Praktiken und bestehende Richtlinien zu integrieren.

Die rasche Verbreitung von KI-Technologien stellt eine doppelte Herausforderung dar: KI kann die Cyberabwehr erheblich verbessern, führt aber auch neue Angriffsvektoren ein, die traditionelle Sicherheitsmaßnahmen oft nur schwer bewältigen können. Da über 90 % der Cybersicherheitsexperten Bedenken hinsichtlich KI-gestützter Bedrohungen äußern, ist die Notwendigkeit klarer, umsetzbarer Leitlinien dringender denn je. NIST erkennt dies an und konzentriert sich darauf, die Sicherheit und Vertrauenswürdigkeit von KI-Systemen auf der Grundlage seiner grundlegenden Arbeit zu stärken.

Ein Eckpfeiler der NIST-Strategie ist das im Januar 2023 veröffentlichte KI-Risikomanagement-Framework (AI RMF). Dieses freiwillige Framework bietet einen strukturierten Ansatz zur Verwaltung von KI-bezogenen Risiken und betont Vertrauenswürdigkeit, Verantwortlichkeit, Transparenz und ethisches Verhalten während des gesamten Lebenszyklus eines KI-Systems. Das AI RMF ist flexibel und anpassungsfähig konzipiert und baut auf bestehenden Frameworks wie dem NIST Cybersecurity Framework (CSF) und dem NIST Privacy Framework auf. Zur weiteren Verfeinerung veröffentlichte NIST im Juli 2024 auch ein Generatives KI-Profil für das AI RMF, das speziell die einzigartigen Risiken dieser fortschrittlichen Modelle adressiert.

Über das AI RMF hinaus entwickelt NIST aktiv ein „Cyber-KI-Profil“ unter dem Dach seines Cybersecurity Framework (CSF) 2.0. Dieses Profil soll Organisationen helfen, sich besser auf KI-bezogene Cyberrisiken vorzubereiten und diese zu managen, einschließlich jener, die von Angreifern ausgehen, die KI-Tools für verbesserte Cyberangriffe wie Deepfakes und fortgeschrittenes Phishing nutzen. Ein Entwurf dieses entscheidenden Profils wird innerhalb der nächsten neun Monate bis zu einem Jahr erwartet, wobei NIST aktiv öffentliches Feedback durch Workshops und Informationsanfragen einholt, um dessen praktische Nützlichkeit sicherzustellen. Anfang August 2025 stieß eine geplante virtuelle Sitzung zur Sammlung von Input zum Cyber-KI-Profil auf technische Schwierigkeiten, was die dynamische und sich entwickelnde Natur dieser kollaborativen Bemühungen unterstreicht.

Darüber hinaus plant NIST, innerhalb der nächsten sechs bis zwölf Monate eine neue Kontrollüberlagerung für seine Special Publication 800-53-Reihe herauszugeben, die speziell auf die einzigartigen Risiken von KI-Systemen abzielt. Die Agentur arbeitet auch daran, KI-Aspekte in das NICE Workforce Framework for Cybersecurity zu integrieren, indem sie einen KI-Sicherheitskompetenzbereich einführt und Arbeitsrollen aktualisiert, um die sich entwickelnden Auswirkungen von KI auf die Cybersicherheitsbelegschaft widerzuspiegeln. Dieser ganzheitliche Ansatz stellt sicher, dass nicht nur die Technologien gesichert sind, sondern auch das menschliche Element, das für ihre Verteidigung verantwortlich ist, mit dem notwendigen Wissen und den Fähigkeiten ausgestattet wird.

Das Engagement von NIST, redundante Bemühungen zu vermeiden, zeigt sich in seiner „Zero Drafts“-Initiative, die die Festlegung von KI-Standards beschleunigt und die Beteiligung durch die Einholung frühzeitigen Feedbacks zu Leitlinien für KI-Tests, -Evaluierung, -Verifizierung und -Validierung erweitert. Durch die Nutzung bewährter sicherer Entwicklungspraktiken von Agenturen wie CISA und deren Anpassung an den KI-Kontext zielt NIST darauf ab, Leitlinien bereitzustellen, die sowohl effektiv als auch leicht in bestehende Organisationsprozesse integrierbar sind. Dieser strategische Fokus ermöglicht es Cybersicherheitsexperten, die vielfältigen Auswirkungen von KI auf ihre Arbeit zu bewältigen, ohne überfordert zu werden, und fördert so eine sicherere und widerstandsfähigere digitale Zukunft.