Freigeben über


Steuern von KI-Apps und -Daten für die Einhaltung gesetzlicher Vorschriften

KI-Vorschriften und -standards entstehen in allen Regionen und Branchen und bieten organisationen ein robustes Framework, um ihre Kontrollen zu bewerten, zu implementieren und zu testen, um vertrauenswürdige KI zu entwickeln und zu verwenden. Dieser Artikel hilft Risiko- und Complianceteams bei der Vorbereitung auf den Complianceaufwand. Es beschreibt, wie:

  • Bewerten und stärken Sie Ihre Compliance-Haltung gegenüber Vorschriften.
  • Implementieren Sie Steuerelemente zur Steuerung der Verwendung von KI-Apps und -Daten.

Dies ist der vierte Artikel einer Reihe. Wenn Sie die Aufgaben in "Vorbereiten auf KI-Sicherheit vorbereiten", "KI-Apps und -Daten entdecken" noch nicht abgeschlossen haben und KI-Apps und -Daten schützen, beginnen Sie mit diesen Artikeln, um Ihre Umgebung mit den in diesem Artikel vorgeschriebenen Funktionen vorzubereiten.

Diagramm, das den Govern aus dem Artikel Sicherheit für KI hervorhebt.

Verwenden Sie diesen Artikel zusammen mit den folgenden Ressourcen:

Was sind neue Überlegungen zur Steuerung von KI-Apps und -Daten?

Ebenso wie KI neue Angriffsflächen einführt, die die Risikolandschaft verändern, führt KI auch neue Methoden zur Verarbeitung und Verwendung von Daten ein, die sich auf die Einhaltung gesetzlicher Vorschriften auswirken. Diese neuen Merkmale von KI wirken sich sowohl auf bestehende Vorschriften wie Datenschutzbestimmungen als auch neue Vorschriften aus, die speziell auf die KI-Nutzung ausgerichtet sind.

Die folgende Abbildung hebt die neuen KI-Vorschriften hervor, einschließlich des Ai Intelligence and Data Act (AIDA) in Nordamerika, des EU AI Act, des KI-Aktionsplans in Australien und globaler Standards, die von ISO produziert werden.

Screenshot, der die globalen Standards zeigt, die von ISO für KI-Vorschriften erstellt wurden.

Im Allgemeinen umfasst die Steuerung der KI für die Einhaltung gesetzlicher Vorschriften Folgendes:

  • Protokollierung und Aufbewahrung von KI-Interaktionen.
  • Erkennen potenzieller nicht kompatibler Verwendungen.
  • Verwenden von Tools wie eDiscovery für KI-Interaktionen bei Bedarf.

Dadurch können Organisationen ihre Complianceanforderungen erfüllen und auf potenzielle Rechtsstreitigkeiten effektiv reagieren.

Organisationen, die KI-, Risiko- und Complianceteams erstellen, müssen es Entwicklungsteams ermöglichen, ihre Projektdetails zu dokumentieren, z. B. Modellname, Version, Zweck der KI-Systeme und deren Bewertungsmetriken zur Behandlung von Qualität, Sicherheit und Sicherheitsrisiken. Dieser Aufwand kann Risiko- und Complianceteams dabei helfen, ein standardisiertes Informationsformat für die Vorbereitung auf Audits zu haben und auf behördliche Anforderungen zu reagieren.

Eine weitere bewährte Methode ist die Verwendung von Datenschutz-Folgenabschätzungen, ein Steuerelement, das viele Unternehmen bereits für Vorschriften wie die DSGVO implementiert haben, um sicherzustellen, dass KI-Apps alle Bewertungen und Kontrollen eingerichtet haben, um den Datenschutz zu schützen. Microsoft bietet Funktionen wie Priva-Datenschutzbewertungen, die einfach in Ihren KI-Entwicklungslebenszyklus integriert werden können, um sicherzustellen, dass Entwickler den Datenschutz im Vordergrund behalten.

Schließlich müssen Organisationen, um verantwortungsvolle KI-Anwendungen zu erstellen und neue regulatorische Anforderungen einzuhalten, Schutzschienen erstellen, um schädliche Inhalte wie Gewalt, Hass, Sexuelle und Selbstschäden zu erkennen und zu blockieren. Darüber hinaus möchten Sie, dass Ihre KI-Apps zuverlässige Inhalte erzeugen. Die Leitplanken sollen dabei helfen, falsche Informationen zu erkennen und zu korrigieren, um das Risiko von Fehlentscheidungen auf der Grundlage unbegründeter Ergebnisse zu verringern. Sie sollten auch Inhalte identifizieren, die gegen Urheberrechte verstoßen. Diese Schutzschienen können Organisationen dabei helfen, verantwortungsvolle und vertrauenswürdige KI-Anwendungen zu erstellen.

Funktionen für die Steuerung von KI-Apps und -Daten

Microsoft enthält Funktionen, mit denen Organisationen die Punkte zwischen regulatorischen Standards und Technologielösungen verbinden können.

Diagramm, das Funktionen von KI-, regulatorischen Standards und Technologielösungen zeigt.

In den folgenden Schritten wird die Abbildung beschrieben und die Schritte zur Implementierung dieser Funktionen erläutert.

Schritt Aufgabe Umfang
1 Erstellen und Verwalten von Bewertungen in Microsoft Purview Compliance Manager Unternehmensweit
2 Verwenden von Defender for Cloud Apps zum Verwalten von KI-Apps basierend auf Compliancerisiken SaaS KI-Anwendungen
3 Nutzen Sie Cloud Security Posture Management (CSPM) für KI-Workloads, um maßgeschneiderte Apps auf der Grundlage des Compliance-Risikos zu erkennen und zu verwalten. Maßgeschneiderte Azure AI-basierte KI-Anwendungen
4 Konfigurieren der Purview-Kommunikationscompliance, um Kommunikationsrisiken zu minimieren, indem Sie potenziell unangemessene Nachrichten in Ihrer Organisation erkennen, erfassen und reagieren. Microsoft 365-Apps und -Dienste
KI-Apps, die mit Microsoft Entra oder Microsoft Purview Data Map-Connectors verbunden sind
Azure AI-Dienste
5 Konfigurieren Sie purview Data Lifecycle Management, um die Inhalte beizubehalten, die Sie behalten müssen, und löschen Sie die Inhalte, die Sie nicht verwenden. Aufbewahrungsrichtlinien für KI-Apps umfassen Benutzeraufforderungen und -antworten für Microsoft 365 Copilot und Copilot Studio sowie Benutzeraufforderungen und Antworten für andere Microsoft-Copiloten und generative KI-Apps, wenn sie über eine Sammlungsrichtlinie mit der Einstellung zum Erfassen von Inhalten verfügen. Diese Nachrichten können dann aus Gründen der Compliance aufbewahrt und gelöscht werden.
Verwenden Sie das Purview SDK, um KI-Apps zu integrieren, die auf anderen Cloudanbietern entwickelt wurden.
6 Verwenden von eDiscovery zusammen mit Überwachungsprotokollen für Microsoft 365 Copilot für Untersuchungen nach Bedarf Audit-Protokolle werden automatisch erstellt, wenn ein Benutzer mit Copilot oder einer KI-Anwendung interagiert.
Verwenden Sie das Purview SDK, um KI-Apps zu integrieren, die auf anderen Cloudanbietern entwickelt wurden.
7 Verwenden von Priva-Datenschutzbewertungen zum Initiieren von Datenschutz-Folgenabschätzungen für KI-Apps, die Sie erstellen Jede App, beliebiger Ort
8 Verwenden von KI-Berichten in AI Foundry zum Dokumentieren von KI-Projektdetails für Apps, die Sie entwickeln KI-Apps in Azure
9 Implementieren von Azure AI Content Safety, um schädliche Inhalte zu blockieren und nicht geerdete Antworten zu erkennen und zu korrigieren KI-Apps in Azure

Schritt 1: Erstellen und Verwalten von Bewertungen in Microsoft Purview Compliance Manager

Microsoft Purview Compliance Manager ist eine Lösung, mit der Sie die Compliance in Ihrer Multicloudumgebung automatisch bewerten und verwalten können. Compliance-Manager kann Ihnen während ihrer gesamten Compliance-Reise helfen, von der Bestandsaufnahme Ihrer Datenschutzrisiken bis hin zur Verwaltung der Komplexität der Implementierung von Kontrollen, der Einhaltung von Vorschriften und Zertifizierungen und der Berichterstellung für Prüfer.

Der Compliance-Manager enthält derzeit regulatorische Vorlagen für die folgenden KI-bezogenen Vorschriften:

  • EU-Gesetz über künstliche Intelligenz
  • ISO/IEC 23894:2023
  • ISO/IEC 42001:2023
  • NIST AI Risk Management Framework (RMF) 1.0

Screenshot des EU-Gesetzes über künstliche Intelligenz.

Verwenden Sie die folgenden Ressourcen, um mit Dem Compliance-Manager zu beginnen.

Aufgabe Empfohlene Ressourcen
Erfahren Sie mehr und legen Sie los Microsoft Purview-Compliance Manager
Erste Schritte mit Microsoft Purview Compliance Manager
Erstellen und Verwalten von Bewertungen in Microsoft Purview Compliance Manager
Überprüfen, ob Compliance-Manager eine Vorlage für eine Verordnung enthält Liste der Vorschriften
Erstellen einer benutzerdefinierten Bewertung Erstellen von benutzerdefinierten Bewertungen (Vorschau) in Microsoft Purview Compliance Manager

Schritt 2: Verwenden von Defender für Cloud-Apps

Verwenden Sie Defender für Cloud-Apps, um KI-Apps basierend auf Compliancerisiken zu verwalten. In früheren Artikeln dieser Reihe wird beschrieben, wie Sie Defender für Cloud-Apps verwenden, um KI-Apps zu ermitteln, zu verwalten und zu schützen. Die Einhaltung gesetzlicher Vorschriften führt zusätzliche Kriterien für die Triagierung und Bewertung des Risikos dieser Apps ein.

Nachdem Sie eine oder mehrere Bewertungen für bestimmte Vorschriften im Purview Compliance Manager erstellt haben, arbeiten Sie mit Ihrem Defender for Cloud Apps-Team zusammen, um Ihre Complianceverpflichtungen in die Kriterien für die Bewertung des Risikos von KI-Apps zu integrieren, diese Apps zu sanktionieren oder zu blockieren, und wenden Sie Sitzungsrichtlinien an, um zu steuern, wie auf diese Apps zugegriffen werden kann (z. B. nur mit einem kompatiblen Gerät).

Lesen Sie die vorherigen Artikel dieser Reihe, um mit Defender für Cloud-Apps zu beginnen und zu verwenden.

Aufgabe Empfohlene Ressourcen
Entdecken, Sanktionieren und Blockieren von KI-Apps mit Microsoft Defender für Cloud-Apps Siehe Schritt 3 in "Künstliche Intelligenz-Apps und -Daten entdecken"
Verwenden von Defender for Cloud Apps zum Triagen und Schutz der Verwendung von KI-Apps Weitere Informationen zum Schutz vor Bedrohungen für KI finden Sie unter "Schützen von KI-Apps und -Daten".

Schritt 3: Verwenden der Cloud Security Posture Management (CSPM) für KI-Workloads

Verwenden Sie den CsPM-Plan (Defender Cloud Security Posture Management) in Microsoft Defender für Cloud, um benutzerdefinierte apps basierend auf Compliancerisiken zu ermitteln und zu verwalten. Genau wie Defender für Cloud-Apps führt die Einhaltung gesetzlicher Vorschriften zusätzliche Kriterien für die Triagierung und Bewertung des Risikos Ihrer kundenspezifisch erstellten Apps mit CSPM für KI ein.

Arbeiten Sie mit Ihrem Defender for Cloud-Team zusammen, um Ihre Complianceverpflichtungen in die Kriterien für die Bewertung des Risikos und der Steuerung Ihrer benutzerdefinierten Apps zu integrieren.

Lesen Sie die vorherigen Artikel dieser Reihe, um mit Defender für Cloud zu beginnen und zu verwenden.

Aufgabe Empfohlene Ressourcen
Entdecken Sie bereitgestellte KI-Workloads in Ihrer Umgebung und gewinnen Sie Sicherheitseinblicke mit Microsoft Defender für Cloud Siehe Schritt 4 unter Entdecken von KI-Apps und -Daten]
Anwenden von KI-Schutzmaßnahmen in Defender für Cloud Siehe Schritt 2 zum Optimalem Bedrohungsschutz für KI in "Schützen von KI-Apps und -Daten"

Schritt 4– Konfigurieren der Purview-Kommunikationscompliance

Konfigurieren Sie die Purview-Kommunikationscompliance, um Kommunikationsrisiken zu minimieren, indem Sie potenziell unangemessene Nachrichten in Ihrer Organisation erkennen, erfassen und reagieren. Für generative KI können Sie Kommunikationscompliancerichtlinien verwenden, um Interaktionen (Eingabeaufforderungen und Antworten) zu analysieren, die in generative KI-Anwendungen eingegeben wurden, um unangemessene oder riskante Interaktionen oder die Freigabe vertraulicher Informationen zu erkennen. Der Support wird für Microsoft 365 Copilot, Copilots, die mit Microsoft Copilot Studio erstellt wurden, KI-Anwendungen, die durch Microsoft Entra oder Microsoft Purview Data Map Connectors verbunden sind, und vieles mehr bereitgestellt.

Verwenden Sie die folgenden Ressourcen, um zu beginnen.

Aufgabe Empfohlene Ressourcen
Erfahren Sie mehr und legen Sie los. Informationen zur Kommunikationscompliance
Plan für Kommunikations-Compliance
Erste Schritte mit der Kommunikationscompliance
Konfigurieren von Richtlinien Konfigurieren einer Kommunikationscompliancerichtlinie für die Erkennung von generativen KI-Interaktionen
Erstellen und Verwalten von Richtlinien zur Kommunikationscompliance.

Schritt 5: Konfigurieren der Purview-Datenlebenszyklusverwaltung

Microsoft Purview-Datenlebenszyklusverwaltung bietet Ihnen Tools und Funktionen, um die Inhalte beizubehalten, die Sie aufbewahren müssen, und die Inhalte zu löschen, die Sie nicht benötigen. Durch das proaktive Löschen von Inhalten, die Sie nicht mehr aufbewahren müssen, kann das Risiko einer Datenüberexposition in KI-Tools verringert werden. Zu den wichtigsten Features gehören:

  • Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungen
  • Postfacharchivierung und inaktive Postfächer – Benutzerpostfächer enthalten einen ausgeblendeten Ordner mit Copilot-Eingabeaufforderungen und -antworten

Verwenden Sie die folgenden Ressourcen, um zu beginnen.

Aufgabe Empfohlene Ressourcen
Erfahren Sie mehr und legen Sie los Erfahren Sie mehr über microsoft Purview Data Lifecycle Management
Erste Schritte mit der Datenlebenszyklusverwaltung
Erfahren Sie mehr über die Speicherung für Copilot & KI-Apps Erfahren Sie, wie die Aufbewahrung mit KI-Apps funktioniert
Für KI-Apps, die in anderen Cloudanbietern entwickelt wurden, integrieren Sie es in das Purview SDK Informationen zum Microsoft Purview SDK

Schritt 6– Verwenden von eDiscovery zusammen mit Überwachungsprotokollen für Microsoft 365 Copilot

Verwenden Sie Microsoft Purview eDiscovery, um nach Schlüsselwörtern in Copilot-Eingabeaufforderungen und Antworten zu suchen, die möglicherweise unangemessen sind. Sie können diese Informationen auch in einen eDiscovery-Fall einschließen, um diese Daten für eine laufende rechtliche Untersuchung zu überprüfen, zu exportieren oder zurückzustellen.

Verwenden Sie Microsoft Purview-Überwachungsprotokolle, um zu identifizieren, wie, wann und wo Copilot-Interaktionen aufgetreten sind und auf welche Elemente zugegriffen wurde, einschließlich aller Vertraulichkeitsbezeichnungen für diese Elemente.

Aufgabe Empfohlene Ressourcen
Erfahren Sie, wo Copilot-Nutzungsdaten gespeichert werden und wie Sie sie überwachen können. Microsoft 365 Copilot Datenschutz- und Überwachungsarchitektur
Erste Schritte mit eDiscovery Informationen zu eDiscovery-Lösungen
Informationen zu Purview-Überwachungsprotokollen Lernen über Überwachungslösungen in Microsoft Purview
Informationen zu Überwachungsprotokollen für KI-Apps Erfahren Sie, welche Administrator- und Benutzeraktivitäten für KI-Apps protokolliert werden
Für KI-Apps, die in anderen Cloudanbietern entwickelt wurden, integrieren Sie es in das Purview SDK Informationen zum Microsoft Purview SDK

Schritt 7– Verwenden von Priva-Datenschutzbewertungen

Verwenden Sie Priva Privacy Assessments (Vorschau), um Datenschutz-Folgenabschätzungen für KI-Apps zu initiieren, die Sie erstellen. So können Sie sicherstellen, dass KI-Apps unter Wahrung der Privatsphäre entwickelt werden. Datenschutzbewertungen automatisieren die Ermittlung, Dokumentation und Auswertung der Nutzung personenbezogener Daten in Ihrem gesamten Datenbestand.

Verwenden Sie die folgenden Ressourcen, um mit Priva Privacy Assessments zu beginnen und eine Datenschutz-Folgenabschätzung zu initiieren.

Aufgabe Empfohlene Ressourcen
Erfahren Sie mehr und legen Sie los Informationen zu Datenschutzbewertungen
Erste Schritte mit Datenschutzbewertungen
Erstellen einer Bewertung Erstellen und Verwalten von Datenschutzbewertungen

Schritt 8 – Verwenden von KI-Berichten in AI Foundry

KI-Berichte in Azure AI Foundry können Entwicklern helfen, ihre Projektdetails zu dokumentieren. Entwickler können einen Bericht erstellen, der alle Details eines KI-Projekts anzeigt, z. B. Modellkarten, Modellversionen, Konfigurationen des Inhaltssicherheitsfilters und Auswertungsmetriken. Dieser Bericht kann in PDF- oder SPDX-Formate exportiert werden, sodass Entwicklungsteams die Produktionsbereitschaft innerhalb von Governance-, Risiko- und Complianceworkflows (GRC) demonstrieren und einfachere, laufende Audits von Anwendungen in der Produktion erleichtern.

Screenshot, der KI-Berichte in Azure AI Studio zeigt.

Verwenden Sie die folgenden Ressourcen, um zu beginnen.

Aufgabe Empfohlene Ressourcen
Lesen Sie mehr über KI-Berichte in AI Foundry (Blog) KI-Berichte: Verbessern der KI-Governance und GenAIOps mit konsistenter Dokumentation
Erfahren Sie mehr über AI Foundry und starten Sie durch Was ist Azure AI Foundry?

Schritt 9– Implementieren von Azure AI Content Safety

Azure KI Inhaltssicherheit ist ein KI-Dienst, der schädliche benutzergenerierte und KI-generierte Inhalte in Anwendungen und Diensten erkennt. Azure KI Content Safety enthält Text- und Bild-APIs für die Erkennung von schädlichem Material. Mit Content Safety Studio können Sie interaktiv Beispielcode für die Erkennung schädlicher Inhalte über verschiedene Modalitäten hinweg anzeigen, erkunden und ausprobieren.

Verwenden Sie die folgenden Ressourcen, um zu beginnen.

Aufgabe Empfohlene Ressourcen
Erfahren Sie mehr und legen Sie los Was ist Content Safety von Azure KI? – Azure KI Services | Microsoft Learn
Verwenden der Inhaltssicherheit im Azure AI Foundry-Portal

Nächster Schritt zum Sichern von KI

Setzen Sie den Fortschritt bei der End-to-End-Sicherheit mit Zero Trust-Ressourcen fort.