(Symbolbild)
Illinois’ KI-Sicherheitsgesetz: Ein Modell für verpflichtende Drittanbieter-Prüfungen
Der US-Bundesstaat Illinois hat mit einem neuen Gesetz die bislang strengsten verbindlichen Regulierungen für KI-Sicherheit in den USA verabschiedet. Das Gesetz verpflichtet Unternehmen, die hochriskante KI-Systeme entwickeln oder einsetzen, zu unabhängigen Sicherheitsprüfungen durch externe Drittanbieter – ein Ansatz, der über freiwillige Selbstverpflichtungen der Branche deutlich hinausgeht. Parallel offenbaren aktuelle Vorfälle bei Google die konzeptionellen Grenzen heutiger Large Language Models, die trotz milliardenschwerer Entwicklung an elementaren Aufgaben wie korrekter Rechtschreibung scheitern.
Von Selbstregulierung zu verpflichtender Aufsicht
Das Illinois-Gesetz markiert einen Wendepunkt in der US-amerikanischen KI-Politik. Während bisherige Initiativen wie der AI Safety Commitment der Biden-Administration auf freiwilliger Mitarbeit der Tech-Konzerne beruhten, setzt Illinois nun verbindliche Rechtsnormen durch. Entwickler sogenannter “High-Risk AI Systems” müssen vor dem Markteintritt standardisierte Sicherheitstests durch akkreditierte externe Prüfer absolvieren. Diese Drittanbieter-Prüfungen sollen insbesondere Risiken wie Jailbreaking, Prompt Injection und die Erzeugung schädlicher Inhalte systematisch erfassen. Für deutschsprachige Unternehmen ist relevant, dass das Gesetz extraterritoriale Wirkung entfalten kann: KI-Systeme, die in Illinois eingesetzt werden, unterliegen der Regulierung unabhängig vom Entwicklungsstandort.
Die Lücke zwischen Marketing und technischer Realität
Die zeitgleich dokumentierten Probleme bei Googles KI-Systemen illustrieren, warum externe Prüfungen notwendig werden. Trotz Ressourcen in Milliardenhöhe produzieren die Modelle derzeit grundlegende Rechtschreibfehler – selbst beim eigenen Firmennamen. Diese Defizite sind symptomatisch für eine fundamentale architektonische Eigenschaft aktueller Large Language Models: Die Systeme generieren Text auf Basis statistischer Wahrscheinlichkeiten tokenisierter Zeichensequenzen, nicht jedoch auf Grundlage expliziter symbolischer Repräsentationen von Schriftzeichen. Die Konsequenz ist, dass selbst häufige Wörter fehlerhaft reproduziert werden können, wenn die Trainingsdaten entsprechende Variationen enthalten oder die Tokenisierung bestimmte Zeichenkombinationen ungünstig segmentiert. Für Unternehmen bedeutet dies, dass KI-generierte Inhalte weiterhin menschliche Qualitätskontrolle erfordern – eine Erwartungshaltung, die viele KI-Integrationen derzeit unterschätzen.
Implikationen für die Compliance-Strategie
Die Kombination aus regulatorischem Druck und nachweisbaren technischen Limitationen zwingt Unternehmen zur Neubewertung ihrer KI-Governance. Das Illinois-Modell der mandatory third-party auditing könnte Schule machen: Die EU-KI-Verordnung sieht bereits Konformitätsbewertungen für Hochrisiko-KI vor, jedoch mit stärkerer Betonung interner Prozesse und weniger expliziter Fokussierung auf unabhängige externe Sicherheitstests. Für in Deutschland ansässige Unternehmen mit US-Präsenz oder -Kunden empfiehlt sich die proaktive Etablierung auditfähiger Dokumentations- und Testprozesse. Dabei sollten die Prüfkriterien nicht allein auf regulatorische Mindestanforderungen ausgerichtet sein, sondern auch die dokumentierten Schwächen aktueller Modelle adressieren – von Reproduzierbarkeitsproblemen bis hin zu kontextabhängigen Fehlleistungen.
Die Entwicklungen in Illinois und bei Google signalisieren das Ende der unregulierten KI-Experimentierphase. Für Entscheider im DACH-Raum bedeutet dies: KI-Compliance muss als Querschnittsfunktion zwischen Recht, IT-Sicherheit und Produktentwicklung institutionalisiert werden. Wer hier auf freiwillige Selbstverpflichtungen setzt, riskiert nicht nur regulatorische Sanktionen, sondern auch Reputationsschäden durch nachweislich fehleranfällige Systeme. Die Investition in externe Prüfverfahren und robuste Qualitätssicherung wird zum Wettbewerbsfaktor – unabhängig davon, ob die nächste regulatorische Anforderung aus Brüssel, Springfield oder einem anderen Gesetzgeber kommt.