The science and practice of proportionality in AI risk evaluations

Der Artikel untersucht, wie das im EU-Recht verankerte Prinzip der Verhältnismäßigkeit genutzt werden kann, um wissenschaftliche Methoden für die Risikobewertung von allgemeinen KI-Modellen zu entwickeln, die sowohl aussagekräftige Sicherheitsdaten liefern als auch die Innovationsfähigkeit der Anbieter durch übermäßige Belastungen nicht gefährden.

Das Wesentliche

🛡️ Der Goldene Mittelweg: Wie man KI-Risiken prüft, ohne den Erfinder zu erdrücken

Stell dir vor, die Europäische Union (EU) ist wie ein strenger, aber fairer Hausmeister, der ein riesiges, neues Hochhaus (die KI-Technologie) bewacht. Das Haus ist fantastisch, bringt Licht und Wärme für alle, aber es gibt auch ein paar gefährliche Ecken, in denen etwas schiefgehen könnte.

Der Hausmeister hat eine neue Regel aufgestellt: Jeder, der ein besonders mächtiges System baut, muss prüfen, ob es gefährlich ist.

Das Problem? Wenn der Hausmeister sagt: „Prüf das! Prüf das! Prüf das!", könnte der Erfinder so viel Zeit und Geld in die Prüfung stecken, dass er gar keine Zeit mehr hat, das Haus weiter zu verbessern. Das wäre wie wenn man einen Schmetterling mit einem Vorschlaghammer untersucht, nur um sicherzugehen, dass er nicht fliegen kann.

Der Artikel von Mougan und Kollegen schlägt nun vor, wie man das Prinzip der Verhältnismäßigkeit anwendet. Das ist ein juristischer Begriff, den wir uns aber ganz einfach vorstellen können: Die Prüfung muss zur Gefahr passen.

Hier sind die drei Schritte, wie das funktioniert:

1. Ist die Prüfung sinnvoll? (Die „Geeignetheit")

Stell dir vor, du willst prüfen, ob ein Auto sicher ist.

• Unpassend: Du prüfst, ob das Auto auf dem Mond fahren kann. Das ist zwar eine Prüfung, aber sie sagt uns nichts über die Sicherheit auf der Straße.
• Passend: Du fährst das Auto bei Regen und Nebel. Das ist realistisch.

Die Autoren sagen: Eine KI-Prüfung muss realistisch, sensibel, spezifisch und streng sein.

• Realistisch: Die Prüfung muss so aussehen wie die echte Welt (nicht nur im Labor).
• Sensibel: Sie muss kleine Verbesserungen oder Verschlechterungen merken.
• Spezifisch: Sie muss genau das prüfen, was gefährlich sein könnte (z. B. Hacken, nicht ob die KI gut Gedichte schreibt).
• Streng: Die Methode muss wissenschaftlich sauber sein.

2. Ist die Prüfung notwendig? (Der „Vergleich")

Hier kommt der Vergleich ins Spiel. Stell dir vor, du hast drei verschiedene Werkzeuge, um einen Nagel in die Wand zu schlagen:

1. Ein kleiner Hammer (wenig Aufwand, aber vielleicht nicht stark genug).
2. Ein großer Sledgehammer (sehr stark, aber du zerstörst die Wand).
3. Ein elektrischer Nagler (perfekt, aber teuer).

Die Frage ist: Muss ich wirklich den elektrischen Nagler benutzen?
Wenn der kleine Hammer ausreicht, um den Nagel sicher zu setzen, dann ist der elektrische Nagler nicht notwendig. Er wäre eine Verschwendung von Ressourcen.
In der KI-Welt bedeutet das: Man muss prüfen, ob es eine einfachere Methode gibt, die genauso gut funktioniert. Wenn ja, dann muss man die einfachere Methode wählen. Man soll nicht mit dem Sledgehammer auf eine Nuss schlagen.

3. Das Gleichgewicht (Die „Abwägung")

Jetzt müssen wir die Waage in die Hand nehmen.

• Die Waage: Auf der einen Seite liegt das Risiko (Wie schlimm wäre es, wenn die KI etwas Falsches tut?). Auf der anderen Seite liegt die Last (Wie viel Geld, Zeit und Ärger kostet die Prüfung?).

Wenn das Risiko klein ist (z. B. eine KI, die nur Rezepte vorschlägt), darf die Prüfung nicht teuer und aufwendig sein.
Wenn das Risiko riesig ist (z. B. eine KI, die Cyberangriffe planen könnte), dann darf die Prüfung sehr aufwendig sein, auch wenn sie den Entwickler nervt.

Der clevere Trick: Man fängt klein an!
Stell dir vor, du hast einen neuen Sicherheitsalarm.

1. Zuerst machst du einen einfachen Test: Klingt die Sirene, wenn du die Tür öffnest? (Günstig, schnell).
2. Wenn das funktioniert, ist gut.
3. Wenn es nicht funktioniert oder du unsicher bist, machst du einen härteren Test: Simuliere einen Einbrecher.
4. Wenn das immer noch nicht reicht, baust du eine komplette Übungssimulation.

Man steigt also erst in die leichte Prüfung ein. Nur wenn die Gefahr groß erscheint, wird die Prüfung härter und teurer. Das nennt man einen iterativen Ansatz.

---

🧪 Ein konkretes Beispiel: Der Hacker-Test

Der Artikel gibt ein Beispiel: Wie prüft man, ob eine KI helfen kann, Computer zu hacken?

Es gibt drei Methoden:

1. Methode A (Der einfache Test): Man gibt der KI den Code und sagt ihr genau, wo die Schwachstelle ist. Das ist wie ein Quiz, bei dem die Antwort schon auf dem Tisch liegt. Es ist billig und schnell. Wenn die KI das nicht schafft, ist sie sicher. Aber wenn sie es schafft, wissen wir nicht, ob sie es im echten Leben auch kann.
2. Methode B (Der realistische Test): Man gibt der KI keine Hinweise. Sie muss selbst suchen. Das ist aufwendiger, aber aussagekräftiger.
3. Methode C (Der Super-Test): Man baut eine ganze simulierte Welt nach, in der die KI versuchen muss, ein ganzes Netzwerk zu knacken. Das ist extrem teuer und braucht viel Rechenleistung.

Die Lösung nach dem Prinzip der Verhältnismäßigkeit:

• Wenn die KI noch klein und harmlos ist, reicht Methode A.
• Wenn die KI sehr mächtig ist und viele Leute nutzen, reicht A nicht mehr. Dann muss man zu Methode B oder sogar C übergehen.
• Niemand zwingt den Entwickler, sofort Methode C zu machen, wenn Methode A schon zeigt, dass die KI sicher ist.

🚀 Was bedeutet das für die Zukunft?

Die Autoren sagen: Wir brauchen mehr Wissenschaft, um diese Waage genau zu kalibrieren. Wir müssen besser verstehen, wie viel „Information" eine Prüfung liefert und wie viel sie kostet.

Die Botschaft ist einfach:
Regeln sind gut, aber sie dürfen den Fortschritt nicht töten. Wir müssen die KI so prüfen, wie man ein Flugzeug prüft: Ein kleines Modellflugzeug braucht keine Prüfung wie ein riesiges Passagierflugzeug. Aber wenn das Flugzeug riesig ist und viele Menschen an Bord hat, dann darf die Prüfung auch sehr streng sein.

Es geht darum, das Richtige zur richtigen Zeit zu tun – weder zu wenig (dann ist es gefährlich) noch zu viel (dann ist es teuer und unnötig).

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Artikels „The science and practice of proportionality in AI risk evaluations" auf Deutsch:

Titel: Die Wissenschaft und Praxis der Verhältnismäßigkeit bei AI-Risikobewertungen

Veröffentlicht in: Science, 19. Februar 2026
Autoren: Carlos Mougan et al. (u.a. vom AI Office der Europäischen Kommission, RAND Corporation, Johns Hopkins University, etc.)

---

1. Problemstellung

Die Regulierung von Künstlicher Intelligenz (KI) steht vor einem globalen Dilemma: Wie kann ein effektives Risikomanagement gewährleistet werden, ohne Innovation und technischen Fortschritt zu behindern?

• Kontext: Der EU-KI-Gesetz (AI Act) trat im August 2025 in Kraft und verpflichtet Anbieter von General-Purpose-AI-Modellen (GPAI), systemische Risiken zu bewerten.
• Herausforderung: Es besteht ein regulatorisches Vakuum bezüglich der Frage, wie viel Aufwand für eine Bewertung rechtlich gerechtfertigt ist. Ohne klare Methodologien zur Bestimmung der „Verhältnismäßigkeit" (Proportionalität) laufen Regulierer Gefahr, entweder unzureichend schützende oder übermäßig belastende Maßnahmen zu ergreifen.
• Ziel: Es bedarf wissenschaftlicher Methoden, um die Verhältnismäßigkeit von KI-Risikobewertungen zu operationalisieren, d. h. den Aufwand (Burden) gegen den Nutzen (Informationswert/Effectiveness) abzuwägen.

2. Methodik und theoretischer Rahmen

Der Artikel stützt sich auf das rechtliche Prinzip der Verhältnismäßigkeit des EU-Rechts, das drei Kriterien für regulatorische Maßnahmen definiert. Die Autoren wenden diese juristischen Konzepte auf die technische Praxis von KI-Evaluationen an:

1. Geeignetheit (Suitability): Eine Bewertung muss einen legitimen Zweck erfüllen und ein Mindestmaß an Wirksamkeit erreichen.
   • Technische Kriterien:
     • Realistisch: Berücksichtigung von realen Bedingungen (z. B. verrauschte Eingaben, menschliche Faktoren).
     • Sensitiv: Fähigkeit, signifikante Leistungsänderungen zu erkennen (Vermeidung von Sättigungseffekten).
     • Spezifisch: Direkter Bezug zum zu bewertenden Risiko (z. B. spezifische Angriffsvektoren).
     • Rigorös: Einhaltung wissenschaftlicher Messstandards (Validität, Reliabilität).
2. Erforderlichkeit (Necessity): Es darf keine weniger restriktive, aber gleich wirksame Alternative geben.
   • Vergleich: Interne Bewertung verschiedener Evaluationsmethoden hinsichtlich ihres Informationswerts (Effectiveness) und ihrer Belastung (Burden).
   • Belastungsfaktoren: Invasivität (Eingriff in Geschäftsprozesse/Infrastruktur) und Ressourcen (Entwicklungs- und Ausführungskosten).
3. Angemessenheit (Balancing): Der Nutzen der Bewertung muss nicht offensichtlich im Missverhältnis zu ihrer Belastung stehen.
   • Ansatz: Abwägung des Risikoprofils des Modells (Wahrscheinlichkeit/Schweregrad) gegen die Kapazität des Anbieters.

Graphische Darstellung: Die Autoren nutzen das Konzept der Pareto-Frontier, um den optimalen Kompromiss zwischen Belastung und Wirksamkeit zu visualisieren. Eine Bewertung ist „notwendig", wenn sie auf dieser Frontier liegt (d. h. keine andere Bewertung bietet mehr Wirksamkeit bei gleicher oder geringerer Belastung).

3. Fallstudie: Entdeckung von Cyber-Schwachstellen

Um das Konzept zu veranschaulichen, vergleichen die Autoren drei Evaluationsmethoden zur Identifizierung von Schwachstellen in Open-Source-Code durch KI:

• HonestCyberEval: Bietet direkte Zugänge zu synthetischen Schwachstellen.
  • Vor-Teile: Geringer Aufwand, gut als Screening-Tool (Scheitern ist aussagekräftig).
  • Nachteil: Wenig realistisch (zu viel Hilfestellung), geringe Sensitivität für komplexe Szenarien.
• BountyBench: Simuliert realistischere Bedingungen für Cybersecurity-Experten.
  • Vor-Teile: Höhere Sensitivität, vermeidet Benchmark-Sättigung.
  • Nachteil: Höherer Integrationsaufwand und Rechenkosten.
• CyberGym: Deckt eine breite Palette von Schwachstellen ab und bietet end-to-end-Simulationen.
  • Vor-Teile: Hohe Spezifität, Sensitivität und wissenschaftliche Strenge (statistische Garantien).
  • Nachteil: Sehr hohe Rechenkosten und Belastung.

Ergebnis der Fallstudie: Keine der drei Methoden ist per se „die beste". Jede Methode bietet Punkte auf der Pareto-Frontier. Je nach Risikoprofil des Modells und dem Kontext kann eine weniger aufwendige Methode (z. B. HonestCyberEval) ausreichend sein, während bei höheren Risikohinweisen aufwendigere Methoden (BountyBench oder CyberGym) erforderlich werden.

4. Wichtige Beiträge und Ergebnisse

• Operationalisierung der Verhältnismäßigkeit: Der Artikel liefert den ersten wissenschaftlichen Rahmen, um zu bestimmen, wann eine KI-Bewertung rechtlich und technisch „verhältnismäßig" ist.
• Iterativer Bewertungsansatz: Es wird ein gestuftes Vorgehen vorgeschlagen, das mit kostengünstigen, wenig invasiven Methoden beginnt. Nur wenn diese unentscheidbar sind oder hohe Risiken anzeigen, werden aufwendigere, realistischere Tests durchgeführt. Dies entspricht dem Vorsorgeprinzip.
• Multidimensionale Metriken: Es wird betont, dass Wirksamkeit nicht durch eine einzelne Metrik messbar ist, sondern durch ein kohärentes Set von Metriken, die verschiedene Dimensionen des Informationswerts und Unsicherheiten abdecken.
• Kontextabhängigkeit: Die Angemessenheit einer Bewertung hängt stark vom Risikoprofil des Modells, der Entwicklungsumgebung und der Kapazität des Anbieters ab.

5. Bedeutung und Forschungsbedarf

• Regulatorische Relevanz: Der Ansatz hilft Regulierern (wie dem AI Office der EU), evidenzbasierte Entscheidungen zu treffen, die Innovation nicht unnötig hemmen, aber Sicherheit gewährleisten.
• Offene Forschungsfragen:
  1. Bestimmung des minimalen Informationswerts für die „Geeignetheit".
  2. Entwicklung von Methoden, um „gleich wirksame" Bewertungen zu identifizieren, um weniger belastende Alternativen zu finden.
  3. Forschung zur Reduzierung des Ressourcenbedarfs von Bewertungen ohne Verlust an Informationswert.
• Forderung an die Wissenschaft: Entwickler von KI-Evaluationsmethoden müssen deren Wirksamkeit und Belastung dokumentieren und mit anderen Methoden vergleichen, um proportionale Assessments zu ermöglichen.

Fazit: Der Artikel etabliert die Verhältnismäßigkeit nicht nur als juristisches Prinzip, sondern als wissenschaftliche Disziplin, die notwendig ist, um die Lücke zwischen regulatorischen Anforderungen an KI-Sicherheit und der technischen Machbarkeit von Bewertungen zu schließen.