A Structured Approach to Safety Case Construction for AI Systems

Diese Studie entwickelt einen strukturierten, wiederverwendbaren Ansatz für Sicherheitsfälle bei KI-Systemen, der durch spezifische Taxonomien und Vorlagen die dynamischen und emergenten Risiken moderner generativer KI adressiert, um traditionelle, starre Methoden aus anderen Hochrisikobereichen zu ergänzen.

Das Wesentliche

🛡️ Der Sicherheitspass für KI: Ein neuer Ansatz für eine unberechenbare Welt

Stellen Sie sich vor, Sie bauen ein Flugzeug. In der klassischen Welt (wie bei Flugzeugen oder Atomkraftwerken) wissen Sie genau, wie jedes Teil funktioniert. Sie haben einen Bauplan, testen jeden Schraubenzieher und wissen: „Wenn ich den Hebel ziehe, passiert X." Ein Sicherheitsnachweis (Safety Case) ist hier wie ein riesiges, festes Regelbuch, das beweist: „Dieses Flugzeug ist sicher, weil wir jeden Schritt im Voraus geplant und geprüft haben."

Aber KI-Systeme sind keine Flugzeuge. Sie sind eher wie ein neugieriges, lernendes Kind oder ein Genie, das sich ständig verändert.

• Man weiß nicht genau, was es als Nächstes lernt.
• Es kann plötzlich neue Fähigkeiten entwickeln, die niemand vorhergesehen hat.
• Es reagiert anders, je nachdem, wie man es anspricht (der „Prompt").
• Es wird ständig aktualisiert, während es bereits im Einsatz ist.

Die alte Methode des „festen Regelbuchs" funktioniert hier nicht mehr. Die Autoren dieser Studie sagen: „Wir brauchen eine neue Art von Sicherheitsnachweis, die so flexibel ist wie die KI selbst."

---

🧱 Die drei Bausteine: Behauptung, Argument, Beweis

Die Studie schlägt vor, den Sicherheitsnachweis für KI in drei einfache Teile zu zerlegen, ähnlich wie beim Aufbau eines Hauses:

1. Die Behauptung (Claim): Was wollen wir beweisen?
   • Beispiel: „Dieser KI-Assistent ist sicher genug, um Verträge zu prüfen."
2. Das Argument (Argument): Warum glauben wir das?
   • Beispiel: „Weil wir ihn getestet haben, er keine sensiblen Daten stiehlt und er sich an unsere Regeln hält."
3. Der Beweis (Evidence): Woher haben wir das Wissen?
   • Beispiel: „Hier sind die Protokolle von 1.000 Testläufen, hier ist der Code-Check und hier ist das Urteil von Experten."

Das Besondere an dieser Studie ist, dass sie Karten (Taxonomien) für diese Bausteine erstellt hat. Sie sagen: „Es gibt nicht nur eine Art, eine Behauptung aufzustellen. Es gibt verschiedene Typen, je nachdem, wie die KI funktioniert."

---

🗺️ Die neue Landkarte: Drei Arten von KI-Sicherheit

Da KI so unberechenbar ist, unterscheiden die Autoren drei Hauptarten von Sicherheitsversprechen:

1. Die „Versprechen"-Art (Assertion-based):
   • Metapher: „Ich verspreche dir, dass mein Auto sicher ist."
   • In der KI: Wir behaupten direkt, dass die KI sicher ist, basierend auf allgemeinen Tests.
2. Die „Eingeschränkte"-Art (Constrained-based):
   • Metapher: „Mein Auto ist sicher, aber nur auf trockener Straße und unter 100 km/h."
   • In der KI: Die KI ist nur sicher, wenn sie bestimmte Grenzen einhält (z. B. nur Text verarbeitet, keinen Internetzugang hat).
3. Die „Fähigkeits"-Art (Capability-based):
   • Metapher: „Mein Auto kann gar nicht fliegen, weil es keine Flügel hat."
   • In der KI: Die KI ist sicher, weil sie technisch nicht in der Lage ist, Schaden anzurichten (z. B. sie kann keine Waffen steuern oder sich nicht selbst ändern).

---

🧩 Das Baukasten-System: Vorlagen und Muster

Statt für jede neue KI ein komplett neues Regelbuch zu schreiben, schlagen die Autoren Vorlagen (Templates) und Muster (Patterns) vor.

Stellen Sie sich das wie einen Kochbuch-Rezeptkasten vor:

• Das Problem: „Ich habe keine exakte Antwort, ob mein Kuchen perfekt ist (kein 'Ground Truth')."
• Das Muster: „Vergleiche ihn mit dem Kuchen meiner Nachbarin. Wenn er mindestens genauso gut schmeckt, ist er akzeptabel."
• Die Vorlage: Ein Formular, in das man genau einträgt, wie man verglichen hat, welche Zutaten (Daten) man benutzt hat und wer geschmeckt hat (Experten).

Die Studie bietet vier solcher „Rezepte" für typische KI-Probleme:

1. Entdeckungs-Modus: Wenn wir die KI erst durch Ausprobieren (Testen) verstehen.
2. Vergleichs-Modus: Wenn es kein „Richtig" oder „Falsch" gibt, sondern nur einen Vergleich mit dem Alten.
3. Wachstums-Modus: Wenn die KI sich ständig weiterentwickelt (Updates). Der Sicherheitsnachweis muss dann auch mitwachsen, wie ein lebendes Dokument.
4. Schwellenwert-Modus: Wenn wir sagen: „Solange der Fehler unter 5 % liegt, ist es okay."

---

🏛️ Ein echtes Beispiel: Der KI-Staatsbeamte

Um zu zeigen, dass das funktioniert, haben die Autoren ein reales Szenario durchgespielt: Eine KI, die Regierungs-Ausschreibungen bewertet.

• Das Problem: Es gibt keine „perfekte" Bewertung. Ein menschlicher Prüfer bewertet anders als ein anderer. Wie beweist man, dass die KI fair ist?
• Die Lösung (mit dem neuen Muster):
  • Statt zu sagen: „Die KI ist perfekt," sagen sie: „Die KI ist mindestens so gut wie zwei menschliche Prüfer zusammen."
  • Beweis: Sie ließen die KI und zwei Menschen 200 fiktive Fälle bewerten.
  • Ergebnis: Die KI machte weniger Fehler als die Menschen (oder genauso viele).
  • Fazit: Da sie „nicht schlechter" ist als das bewährte menschliche System, ist sie sicher genug für den Einsatz.

---

🚀 Warum ist das wichtig?

Früher dachte man: „Wir bauen das System, prüfen es einmal, und dann ist es fertig."
Bei KI ist das wie: „Wir bauen ein System, das lernt, während wir es benutzen."

Diese Studie gibt uns Werkzeuge, um mit dieser Dynamik umzugehen. Sie erlaubt es:

• Sicherheitsnachweise zu aktualisieren, wenn die KI lernt (wie ein lebendes Tagebuch).
• Vergleiche anzustellen, wenn es keine perfekten Antworten gibt.
• Vertrauen zu schaffen, indem man nicht auf absolute Sicherheit wartet, sondern auf nachweisbare, akzeptable Risiken.

Zusammenfassend: Die Autoren haben eine neue Sprache und ein neues Werkzeugkasten-System entwickelt, damit wir KI nicht wie starre Maschinen behandeln müssen, sondern wie lebendige, lernende Systeme, deren Sicherheit wir Schritt für Schritt, aber strukturiert und nachvollziehbar beweisen können.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „A Structured Approach to Safety Case Construction for AI Systems" auf Deutsch.

1. Problemstellung

Traditionelle Sicherheitsfälle (Safety Cases), wie sie in der Luftfahrt oder Kerntechnik etabliert sind, basieren auf deterministischen Systemen mit klar definierten Grenzen, stabilen Architekturen und bekannten Fehlermodi. Moderne KI-Systeme (insbesondere generative und agentenbasierte KI) verletzen diese Grundannahmen fundamental:

• Emergente Fähigkeiten: Fähigkeiten werden nicht zeilenweise spezifiziert, sondern entstehen nach dem Training und sind oft unvorhersehbar.
• Fehlende Ground Truth: Bei vielen KI-Anwendungen gibt es keine definitive „Wahrheit" zur Validierung, was absolute Sicherheitsgarantien unmöglich macht.
• Dynamische Evolution: Modelle werden durch Fine-Tuning, neue Daten oder Kontext-Engineering kontinuierlich aktualisiert, wodurch statische Sicherheitsnachweise schnell veralten.
• Kontextabhängigkeit: Das Verhalten und die Risiken von KI hängen stark von der Umgebung (Prompts, Tools, Scaffolding) ab.

Die bestehenden Ansätze zur Sicherheitsbewertung sind oft zu starr, um diese Dynamik, die Entdeckung neuer Risiken im Betrieb und die Notwendigkeit von relativen (marginalen) Risikobewertungen abzubilden. Es fehlt an einer kohärenten, wiederverwendbaren Struktur, die Claims (Behauptungen), Arguments (Argumente) und Evidence (Beweise) systematisch für KI-Systeme verknüpft.

2. Methodik

Die Studie folgt einem Systematischen Literaturreview (SLR) nach etablierten Richtlinien.

• Suchstrategie: Die Autoren durchsuchten Datenbanken (IEEE, ACM, Springer, ScienceDirect) und nutzten Snowballing-Techniken (Vorwärts- und Rückwärts-Snowballing) basierend auf 9 „Seed Papers".
• Auswahlkriterien: Von ursprünglich über 2.000 identifizierten Arbeiten wurden nach strengen Ein- und Ausschlusskriterien (z. B. Relevanz für KI-Safety, CAE-Struktur, Vollständigkeit) 112 Primärstudien für die Analyse ausgewählt.
• Qualitätsbewertung: Jede Studie wurde anhand von 11 Qualitätskriterien (QC1–QC11) bewertet (Skala 1–5). Nur Studien mit einem Durchschnittswert von ≥ 2,0 wurden berücksichtigt.
• Synthese: Die Daten wurden mittels Mixed-Methods-Analyse (deskriptive Statistik und thematische Synthese) ausgewertet, um Taxonomien, Vorlagen und Muster abzuleiten.

3. Schlüsselbeiträge

Die Studie liefert vier wesentliche Beiträge zur Strukturierung von KI-Sicherheitsfällen:

A. Taxonomien für KI-spezifische Sicherheitsfälle

Es werden umfassende, orthogonale Taxonomien für die drei Kernkomponenten des CAE-Modells (Claims, Arguments, Evidence) entwickelt:

• Claim-Typen (Behauptungen):
  • Assertion-based: Absolute oder relative Sicherheitsbehauptungen.
  • Constrained-based: Sicherheit gilt nur innerhalb definierter Grenzen (Daten, Kontext).
  • Capability-based: Sicherheit basiert auf eingeschränkten Fähigkeiten (z. B. keine Tool-Nutzung, intrinsische Verweigerung).
• Argument-Typen (Begründungen):
  • Demonstrative: Deduktive Beweise durch Schichten (Layered) oder Barrieren.
  • Comparative: Induktive/statistische Vergleiche mit einem Baseline-System.
  • Risk-based: Quantitative Risikobewertung und Einhaltung von Schwellenwerten.
  • Causal/Explanatory: Abduktive Erklärungen von Fehlerursachen und deren Behebung.
  • Capability-oriented: Nachweis von inhärenten Beschränkungen.
  • Normative: Einhaltung von Standards und Richtlinien.
• Evidence-Familien (Beweise):
  • Empirisch (Tests, Red-Teaming), Vergleichend (Benchmarking), Modellbasiert (Simulation), Expertenbasiert, Formale Methoden, Operative Daten (Logs) und Mechanistische Erklärungen (Interpretierbarkeit).

B. Wiederverwendbare Vorlagen (Templates)

Die Autoren stellen eine Bibliothek von Vorlagen vor, die als strukturelle Blaupausen dienen. Diese Vorlagen verbinden Claims, Argumente und Beweise in einem definierten Muster, das spezifisch auf KI-Herausforderungen zugeschnitten ist. Sie ermöglichen es Praktikern, Sicherheitsfälle nicht von Null zu erstellen, sondern bewährte Muster zu adaptieren.

C. End-to-End Muster (Patterns)

Es werden vier spezifische Muster für wiederkehrende KI-Herausforderungen definiert:

1. Discovery-driven Evaluation: Umgang mit unvollständigem Wissen durch kontinuierliche empirische Entdeckung und Evaluierung.
2. Marginal-Risk without Ground Truth: Begründung von Sicherheit durch relativen Vergleich („nicht schlechter als Baseline") statt absoluter Wahrheit.
3. Continuous Evolution: Verwaltung von Sicherheitsfällen als „lebende Artefakte", die bei Modell-Updates dynamisch angepasst werden.
4. Threshold-based Acceptability: Entscheidungsfindung basierend auf quantitativen Schwellenwerten und deren Priorisierung.

D. Integration in dynamische Assurance-Pipelines

Die Studie schlägt ein Ökosystem vor, das Sicherheitsfälle mit Live-Metriken und Governance-Artefakten verknüpft (Builder, Validator, Registry), um eine kontinuierliche Überwachung und Auditierbarkeit zu gewährleisten.

4. Ergebnisse

• Analyse der aktuellen Praxis: Die Untersuchung der 112 Studien zeigt, dass Sicherheitsfälle für KI oft konditionale Claims mit empirischen Beweisen nutzen, aber häufig an ungenau definierten Akzeptanzkriterien und mangelnder Nachverfolgbarkeit von Beweisen scheitern.
• Validierung durch Fallstudie: Die Autoren wenden das „Marginal-Risk Pattern without Ground Truth" auf ein reales Szenario an: Ein KI-gestütztes Ausschreibungs-System in der Regierung.
  • Herausforderung: Es gibt keine „korrekte" Bewertung, nur menschliche Urteile.
  • Lösung: Der Sicherheitsfall argumentiert, dass das KI-Mensch-System mindestens so sicher/fair ist wie das reine Mensch-Mensch-System.
  • Ergebnis: Durch Vergleichsstudien (200 synthetische Fälle) wurde gezeigt, dass die Inkonsistenz des KI-Systems (2,8 %) sogar leicht unter der des menschlichen Baseline-Systems (3,0 %) liegt und unter dem definierten Schwellenwert von 5 % bleibt. Dies validiert den Ansatz der relativen Sicherheitsbegründung.
• Strukturierung: Die Studie demonstriert erfolgreich, wie sich komplexe, unsichere KI-Systeme in eine strukturierte, auditierbare Argumentationskette übersetzen lassen.

5. Bedeutung und Ausblick

Die Studie ist von hoher Bedeutung für die Regulierung und Governance von KI, da sie:

• Eine Brücke zwischen traditioneller Sicherheitsingenieurkunst und moderner KI schlägt, indem sie die Notwendigkeit von Entdeckungsprozessen und relativen Bewertungen anerkennt.
• Wiederverwendbarkeit und Skalierbarkeit bietet, was für die regulatorische Prüfung von Frontier-AI-Modellen essenziell ist.
• Auditierbarkeit und Transparenz erhöht, indem sie klare Kriterien für Beweise und Argumentationslogiken (deduktiv, induktiv, abduktiv, statistisch) definiert.
• Den Weg für dynamische Sicherheitsmanagement-Systeme (DSCMS) ebnet, die mit der schnellen Evolution von KI-Modellen Schritt halten können.

Limitationen: Die Studie gibt zu, dass die Skalierung dynamischer Sicherheitsfälle (Datenflut, Automatisierung der Argumentation) und die Interoperabilität zwischen verschiedenen regulatorischen Rahmenwerken (z. B. EU AI Act vs. andere Jurisdiktionen) weiterhin Herausforderungen darstellen. Zukünftige Arbeiten sollen sich auf die Automatisierung der Generierung von Sicherheitsfällen durch LLMs und die Standardisierung von Evaluierungsprotokollen konzentrieren.

Zusammenfassend bietet das Paper einen systematischen, kompositionellen und wiederverwendbaren Rahmen, um Sicherheitsfälle für KI-Systeme zu konstruieren, die robust, überprüfbar und anpassungsfähig an die sich ständig verändernde Natur moderner KI sind.