Alibaba Cloud erfüllt AIC4-Kriterien für KI in der Cloud
Die Unternehmensberatung PwC bestätigt dem chinesischen Cloudprovider Alibaba, die AIC4-Kriterien des BSI zu erfüllen. Darin geht es um sichere KI in der Cloud.
Mit dem Kriterien-Katalog AIC4 (Artificial Intelligence Cloud Service Compliance Criteria Catalogue) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Februar 2021 Mindestanforderungen für Anbieter formuliert, die Dienste rund um Künstliche Intelligenz in der Cloud anbieten. Einem Audit, der die Einhaltung dieser Kriterien überprüft, hat sich jetzt auch der chinesische Cloudanbieter Alibaba Cloud erfolgreich unterzogen.
Durchgeführt hat das Audit die Wirtschaftsprüfungs- und Unternehmensberatungsgesellschaft PwC. Petra Justenhoven, Mitglied der Geschäftsleitung bei PwC Deutschland, lässt sich mit den Worten zitieren: "Die Übernahme der Kriterien in den Bereichen Sicherheit, Zuverlässigkeit, Leistung und Funktionalität, Datenqualität und -management, Bias sowie Erklärbarkeit war die Grundlage für unsere Prüfung bei Alibaba. PwC bestätigt als unabhängiger Prüfer die Einhaltung dieser Kriterien.“
Keine Prüfung durch das BSI
Nach Angaben von Alibaba Cloud sind sie damit das erste nicht-deutsche Unternehmen, das die Kriterien von AIC4 erfüllt. Das nachzuprüfen ist nicht einfach: Das BSI selbst legt nur die Mindestkriterien fest und führt selbst keine Audits durch und vergibt keine Siegel. Außerdem führt es keine Liste von auditierten Unternehmen oder vertrauenswürdigen Auditoren, wie es auf seiner Homepage ausführt. In Kapitel 4 des Kriterienkatalogs wird lediglich beschrieben, welche Bedingungen die Auditoren erfüllen müssen.
Weil das BSI die Prüfungen nicht selbst durchführt, schränkt es im FAQ-Bereich seiner Homepage auch die Aussagekraft etwas ein: "Die Existenz eines Prüfberichts alleine impliziert nicht notwendigerweise, dass Aspekte wie Robustheit, Performance, Zuverlässigkeit, Datenqualität, Erklärbarkeit oder Bias passend für eine vorliegende Anwendung sind. Es liegt dementsprechend in der Hand der Nutzer, die durch den Prüfbericht geschaffene Transparenz zu nutzen und eine eigene Risikobewertung durchzuführen, ob das Niveau der Informationssicherheit des KI-Service unter Berücksichtigung der geplanten Anwendung ausreicht."
Mit dem Auditieren hat Alibaba Cloud mittlerweile eine gewisse Routine: Auch einem Audit für den C5-Kriterienkatalog des BSI haben sie sich schon erfolgreich unterzogen. Neu in der Liste der erfolgreichen Audits ist die dritte Stufe der neuesten Version des "Trusted Information Security Assessment Exchange (TISAX)", eines Kriterienkatalogs des Verbands der Automobilindustrie (VDA).
(jam)
