Künstliche Intelligenz im Bereich Cybersicherheit: Chancen und Herausforderungen für die Verwaltung

I. Einleitung

Die Welt und Deutschland reden über Künstliche Intelligenz (KI). Das gilt auch für die öffentliche Verwaltung: Ministerien, Behörden, Anstalten, Stiftungen, Hochschulen – das Thema beherrscht die Flure und Konferenzräume, wie ich aus eigener Erfahrung und vielen Vorträgen weiß. Ein Thema ist hierbei auch der Einsatz von KI bei der Verbesserung der Cybersicherheit in Behörden und Institutionen. Doch der Einsatz wirft Fragen auf, die sowohl rechtliche als auch organisatorische Aspekte betreffen. Um die Vorteile und Herausforderungen, die sich aus der Nutzung von KI in der Cybersicherheit ergeben, aus der Perspektive eines Fachanwalts für Verwaltungsrecht zu beleuchten, wird dieser Artikel die folgenden Themen erörtern:

1. Die Rolle der KI in der Cybersicherheit und ihr Einfluss auf das Verwaltungsrecht
2. Anwendungen von KI-basierter Anomalieerkennung und Frühwarnsystemen in deutschen Behörden
3. Rechtliche und organisatorische Herausforderungen bei der Implementierung von KI in der Cybersicherheit
4. Datenschutz- und Persönlichkeitsrechtsfragen im Zusammenhang mit KI-gestützter Cybersicherheit
5. Empfehlungen und Best Practices für die Nutzung von KI in der Cybersicherheit in der öffentlichen Verwaltung

Zu den einzelnen Themen:

 

II. Die Rolle der KI in der Cybersicherheit und ihr Einfluss auf das Verwaltungsrecht

Künstliche Intelligenz bietet vielfältige Möglichkeiten zur Verbesserung der Cybersicherheit, etwa durch automatisierte Anomalieerkennung, Frühwarnsysteme und Angriffsabwehr. Diese Entwicklungen haben Auswirkungen auf das Verwaltungsrecht, insbesondere im Hinblick auf die Rechtsgrundlagen für den Einsatz von KI-Technologien in der öffentlichen Verwaltung, die Gewährleistung des Datenschutzes und die Wahrung von Persönlichkeitsrechten.

 

III. Anwendungen von KI-basierter Anomalieerkennung und Frühwarnsystemen in deutschen Behörden

A. Verbesserung der Cybersicherheit in öffentlichen Einrichtungen
Die Einführung von KI-gestützter Anomalieerkennung und Frühwarnsystemen in deutschen Behörden kann dazu beitragen, ihre Cybersicherheit zu verbessern und erfolgreiche Angriffe zu verhindern. Diese Systeme können große Datenmengen in Echtzeit analysieren und Anomalien erkennen, die auf bösartige Aktivitäten hinweisen könnten. So können Sicherheitsverantwortliche schnell und gezielt auf potenzielle Bedrohungen reagieren.

B. Unterstützung für Rechtsexperten und Compliance-Beauftragte
Die effektive Nutzung von KI im Bereich der Cybersicherheit kann auch die Arbeit von Rechtsexperten und Compliance-Beauftragten in öffentlichen Einrichtungen erleichtern. Durch eine verbesserte Cybersicherheit und eine Verringerung der Anzahl von Sicherheitsverletzungen können Rechts- und Compliance-Teams ihre Ressourcen effizienter nutzen und sich auf andere wichtige Aufgaben konzentrieren.

 

IV. Rechtliche und organisatorische Herausforderungen bei der Implementierung von KI in der Cybersicherheit

A. Rechtsgrundlagen für den Einsatz von KI in der öffentlichen Verwaltung
Die Implementierung von KI-Technologien in der öffentlichen Verwaltung erfordert eine solide rechtliche Grundlage, die den Einsatz von KI im Einklang mit nationalen und internationalen Gesetzen und Vorschriften ermöglicht. Dazu gehören beispielsweise das Bundesdatenschutzgesetz (BDSG) und die Europäische Datenschutz-Grundverordnung (DSGVO), die den Umgang mit personenbezogenen Daten regeln.

Daneben wird die EU in Kürze die KI-Verordnung (AI Act) finalisieren, die dann nach einer Übergangsfrist in Kraft treten wird. Es ist notwendig, dass neue KI-Implementierung sich bereits an diesen Regeln orientieren, da sonst gegebenenfalls KI teuer eingekauft und implementiert wird, die später dann nicht mehr rechtskonform betrieben werden kann. Auch wenn sich die KI-Verordnung noch im sogenannten Trilog zwischen Kommission, Rat und Parlament der EU befindet zum Zeitpunkt der Erstellung dieses Beitrags, sind doch die Rahmenplanken der neuen Verordnung klar. Daher können sich Entwickler und Entscheidungsträger in den Behörden bereits auf diese neue Rechtsmaterie gut einstellen.

B. Anpassung von Verwaltungsstrukturen und -prozessen
Die Integration von KI in der Cybersicherheit erfordert auch die Anpassung von Verwaltungsstrukturen und -prozessen, um den neuen Technologien gerecht zu werden. Dazu gehört die Schaffung von Zuständigkeiten und Verantwortlichkeiten für die Implementierung und Überwachung von KI-Systemen sowie die Etablierung von Schulungs- und Weiterbildungsmaßnahmen für Mitarbeiter, um das notwendige Know-how im Umgang mit KI im Bereich der Cybersicherheit aufzubauen.

C. Zusammenarbeit zwischen Behörden und dem Privatsektor
Für den erfolgreichen Einsatz von KI in der Cybersicherheit ist eine enge Zusammenarbeit zwischen öffentlichen Einrichtungen und dem Privatsektor erforderlich. Dies betrifft insbesondere den Austausch von Informationen über Bedrohungen und die gemeinsame Entwicklung von Sicherheitsstandards und Best Practices. Hierbei muss jedoch darauf geachtet werden, dass die Zusammenarbeit in Einklang mit rechtlichen Vorgaben steht, insbesondere im Hinblick auf den Schutz von personenbezogenen Daten und Geschäftsgeheimnissen.

Natürlich spielt hierbei für den öffentlichen Einkauf auch das Vergaberecht eine wichtige Rolle. Doch erlaubt das Vergaberecht den öffentlichen Stellen auch eine gewisse Flexibilität bei der Beschaffung der Software.

 

V. Datenschutz- und Persönlichkeitsrechtsfragen im Zusammenhang mit KI-gestützter Cybersicherheit

A. Beachtung der DSGVO
Die Verarbeitung von personenbezogenen Daten durch KI-Systeme im Bereich der Cybersicherheit muss im Einklang mit den geltenden Datenschutzvorschriften erfolgen. Dies betrifft insbesondere die Prinzipien der Datenminimierung, Zweckbindung und Transparenz. Zudem müssen angemessene technische und organisatorische Maßnahmen getroffen werden, um den Schutz der personenbezogenen Daten zu gewährleisten.

B. Wahrung von Persönlichkeitsrechten
Neben dem Datenschutz müssen bei der Implementierung von KI-gestützter Cybersicherheit auch die Persönlichkeitsrechte der betroffenen Personen beachtet werden. Hierzu gehört insbesondere das Recht auf informationelle Selbstbestimmung, das den Einzelnen die Kontrolle über seine persönlichen Daten gewährt. Die Nutzung von KI in der Cybersicherheit darf daher nicht dazu führen, dass die Persönlichkeitsrechte der Betroffenen unverhältnismäßig eingeschränkt werden.

 

VI. Empfehlungen und Best Practices für die Nutzung von KI in der Cybersicherheit in der öffentlichen Verwaltung

A. Entwicklung einer KI-Strategie
Um den Einsatz von KI in der Cybersicherheit erfolgreich zu gestalten, sollten Behörden und Institutionen eine umfassende KI-Strategie entwickeln – ob dies auf Bundes- oder Landesebene erfolgen muss, sei an dieser Stelle dahingestellt bleiben. Diese sollte die Ziele und Prioritäten im Bereich der Cybersicherheit festlegen sowie klare Leitlinien für die Implementierung und Nutzung von KI-Technologien vorgeben.

B. Etablierung eines datenschutzfreundlichen und ethischen KI-Designs
Die Entwicklung und Implementierung von KI-Systemen in der Cybersicherheit sollte von Anfang an unter Berücksichtigung von Datenschutz- und Persönlichkeitsrechtsaspekten erfolgen. Dies kann durch die Anwendung datenschutzfreundlicher und ethischer KI-Designs erreicht werden, die den Schutz von personenbezogenen Daten und die Wahrung von Persönlichkeitsrechten sicherstellen. Durch unsere Zusammenarbeit mit dem Artificial Intelligence Center Hamburg e.V. (ARIC) haben wir hier zum Gedanken der "Responsible AI" bereits konkrete Ansätze entwickelt.

C. Schulung und Weiterbildung von Mitarbeitern
Um die Vorteile von KI in der Cybersicherheit effektiv nutzen zu können, sollten Behörden und Institutionen in die Schulung und Weiterbildung ihrer Mitarbeiter investieren. Dies betrifft insbesondere den Umgang mit KI-Technologien sowie die Sensibilisierung für Datenschutz- und Persönlichkeitsrechtsfragen.

D. Förderung von Forschung und Innovation
Zur Sicherstellung einer kontinuierlichen Verbesserung der Cybersicherheit sollte die öffentliche Verwaltung Forschung und Innovation im Bereich der KI fördern. Dies kann etwa durch die Unterstützung von Forschungsprojekten, die Zusammenarbeit mit wissenschaftlichen Einrichtungen oder die Teilnahme an Forschungsnetzwerken erfolgen.

 

VII. Fazit

Der Einsatz von KI in der Cybersicherheit bietet große Chancen für die Verbesserung der Sicherheit in der öffentlichen Verwaltung in Deutschland. Um diese Potenziale erfolgreich auszuschöpfen, müssen jedoch rechtliche und organisatorische Herausforderungen bewältigt und Datenschutz- und Persönlichkeitsrechtsfragen angemessen berücksichtigt werden. Wir unterstützen gerne, damit Ministerien, Behörden, Anstalten, Stiftungen und Hochschulen die Vorteile von KI auch in der Cyber-Abwehr nutzen können.

 
Über den Autor      
Dennis Hillemann ist Fachanwalt für Verwaltungsrecht und Partner im Verwaltungsrecht (vor allem Verwaltungsprozessrecht) im Hamburger Büro von Fieldfisher. Er berät zu Fragen der Digitalisierung der Verwaltung und im Bereich GovTech/Künstliche Intelligenz.