Skip to content

Was ist das NIST AI Risk Management Framework und wie strukturiert es die KI-Governance?

Kurzantwort

Das NIST AI Risk Management Framework (AI RMF 1.0) ist ein freiwilliges, risikobasiertes Framework zur Governance vertrauenswürdiger KI über ihren gesamten Lebenszyklus. Sein Kern sind vier Funktionen: Govern (Kultur, Richtlinien, Verantwortlichkeit — und es zieht sich durch die anderen), Map (Kontext und Risikoidentifikation), Measure (Risiken bewerten und nachverfolgen) und Manage (priorisieren und reagieren). Es definiert außerdem Vertrauenswürdigkeitsmerkmale — valide und zuverlässig, sicher, abgesichert und widerstandsfähig, rechenschaftspflichtig und transparent, erklärbar, datenschutzfördernd und fair. Es ergänzt technische Listen wie die OWASP LLM Top 10 auf der Programmebene.

Das NIST AI Risk Management Framework (AI RMF 1.0) ist das am häufigsten referenzierte Governance-Framework für KI. Es ist freiwillig und risikobasiert und soll Organisationen helfen, KI zu entwickeln und bereitzustellen, die vertrauenswürdig ist, während das Risiko über den gesamten Lebenszyklus hinweg gesteuert wird — Design, Entwicklung, Bereitstellung und Monitoring.

Die vier Kernfunktionen

  • Govern. Das Fundament: Kultur, Richtlinien, Rollen, Verantwortlichkeit und Risikotoleranz. Anders als die anderen ist Govern übergreifend — es zieht sich durch Map, Measure und Manage, statt ein einmaliger Schritt zu sein.
  • Map. Kontext herstellen und Risiken identifizieren — beabsichtigte Nutzung, Stakeholder, die Bereitstellungsumgebung und was schiefgehen könnte.
  • Measure. Die identifizierten Risiken mit quantitativen und qualitativen Methoden analysieren, bewerten und nachverfolgen, einschließlich Test und Evaluation.
  • Manage. Risiken priorisieren und behandeln — Ressourcen zuweisen, reagieren, wiederherstellen und kommunizieren.

Vertrauenswürdigkeitsmerkmale

Das RMF rahmt "vertrauenswürdige KI" um Merkmale wie: valide und zuverlässig, sicher, abgesichert und widerstandsfähig, rechenschaftspflichtig und transparent, erklärbar und interpretierbar, datenschutzfördernd sowie fair mit gesteuerter schädlicher Verzerrung. Diese geben Risikodiskussionen konkrete Dimensionen.

Wo es einzuordnen ist

Das AI RMF ist Governance auf Programmebene, keine technische Checkliste. Es passt gut zu praxisnahen Ressourcen: Nutze die OWASP LLM Top 10 und Threat Modeling für technische Kontrollen und das AI RMF (plus das Generative AI Profile), um Richtlinien, Verantwortlichkeit und Lebenszyklus-Risikomanagement darum herum festzulegen.

Worauf Interviewer achten

Zu wissen, dass es freiwillig und lebenszyklusorientiert ist, die vier Funktionen benennen zu können und dass Govern übergreifend ist, einige Vertrauenswürdigkeitsmerkmale zu erinnern und es als Governance zu positionieren, die technische Kontrollen ergänzt statt ersetzt.

Wahrscheinliche Anschlussfragen

  • Wie verhält sich die Govern-Funktion zu den anderen dreien?
  • Welche Vertrauenswürdigkeitsmerkmale definiert das RMF?
  • Wie würdest du das AI RMF zusammen mit den OWASP LLM Top 10 einsetzen?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.