AI Risks in an Era of Defence Readiness and the EU AI Act: A New Framework for Clarity and Security
In an era where defence readiness and technological resilience are moving to the strategic center stage, the secure, safe, and responsible use of Artificial Intelligence (AI) is becoming a decisive issue. The seemingly complex EU AI Act is a testament to this challenge, yet its implementation is marked by considerable uncertainty. Many of the implementation problems lie in the methodological ambiguity in assessing AI-specific risks.
In her master’s thesis in the “Security and Disaster Management” (MBA) program at Fresenius University of Applied Sciences, awarded the highest possible grade (1.0), Claudia has addressed this exact gap. The result is a newly developed, practical framework that provides a clear and consistent methodology for the risk assessment of AI systems, applicable beyond the requirements of the AI Act. Its principles are designed to serve as a benchmark for other strategic risk frameworks.
Two Core Innovations: A Modified Risk Model and Its Intuitive Visualization
The core of this methodology consists of two complementary innovations that close a huge gap in established risk assessment models:
1. A modified, yet legally compliant risk model
The thesis shows that the classic risk assessment based on Probability (P) and Severity (S) does not do justice to the complex issues surrounding AI. The newly developed, modified model therefore utilizes a Modifier (M). This systematically captures and quantifies AI-specific risk aspects for the first time. By doing so, uncertainties in risk assessment and compliance are reduced immensely.
2. A novel solution for risk visualization
Conventional risk matrices or 3D models like “heat cubes” are often unsuitable – especially for the rapid assessment of complex risks. The presented methodology therefore translates the modified value of the AI-specific risk into a single, intuitively understandable color. Especially in the defence sector, where complex situational information must often be grasped under time pressure, this visualization allows for an immediate and unambiguous assessment of the AI risk level, thereby supporting fast and well-founded decisions.
Guidance over Ambiguity: A Practical Framework for AI Risk Assessment
The EU AI Act requires a multitude of actors to conduct a risk assessment, yet leaves its central terms, procedures, and applicable methodologies largely unclear. General standards like ISO norms offer a foundation but are often not fitting or precise enough to capture the unique, systemic risks of AI systems in a legally robust manner.
The methodology developed within this research closes this exact gap. It provides a coherent and immediately applicable framework that goes beyond the generality of standards:
1. Clear Definitions: The work provides a sharp, legally compliant definition of the risk assessment process (in its broad and narrow sense), creating a reliable foundation where the regulation itself remains vague.
2. A Concrete, AI-Specific Methodology: The innovative modified risk model is a practical tool specifically designed to systematically assess AI-specific risks – a level of detail that generic norms often do not provide.
3. The Result: Legal Certainty and Capability to Act: The outcome is a comprehensible, documentable, and defensible process. It not only enables companies to fulfill their compliance duties under the AI Act but also to develop a genuine understanding of their AI risks and, based on this, make sound, strategic decisions.
This framework thus offers the decisive added value for all who wish to develop and deploy AI responsibly: It translates regulatory complexity into actionable guidance.
Scientific Background
Established risk assessment typically uses a two-dimensional matrix of Probability and Severity. However, this approach fails to do justice to the complexity of AI systems (as well as AI models and other technological manifestations involving AI technologies) and their specific risk dimensions. Three-dimensional approaches like so-called “heat cubes” attempt to map this complexity, but they often impair comprehensive perception and hinder a quick, intuitive risk assessment. This is a significant drawback, especially in security-critical situations. Furthermore, the AI Act mandates a two-dimensional risk assessment (Art. 3 No. 2 AI Act), while at the same time requiring a comprehensive understanding of risk.
For this reason, a novel solution was developed as part of the master’s thesis that not only helps to assess the complex, AI-specific risk but also translates it into a single, intuitively understandable color, thus enabling an immediate evaluation of the risk level. This can be communicated in a more effective manner.
Who is this Innovation Relevant For?
The newly developed approaches for the risk assessment and visualization of AI system risks offer concrete added value for various stakeholders operating at the intersection of technology, security, and regulation. The primary beneficiaries include:
1. Providers and deployers of AI systems who face the challenge of implementing the complex requirements of the AI Act in a practical and legally compliant manner.
2. Operators of Critical Infrastructures and companies in regulated industries who need to securely integrate AI systems into their processes and assess their risks to operational resilience.
3. Public authorities, ministries, and actors in the defence and security sector who require a well-founded basis for evaluating dual-use potentials and the secure deployment of AI in sovereign or security-critical tasks.
4. Research and Development: The master’s thesis offers numerous starting points for delving into new research questions. The innovative methodologies can also be evaluated and expanded for specific fields of application.
Contact and Exchange
The resilience of AI systems is one of the key challenges for the safety of integrated, complex digital systems and the security of tomorrow. If you are also engaged by this topic, are interested in a strategic exchange, or see opportunities for collaboration, Claudia looks forward to your message.
About Claudia
As a security researcher and lawyer, Claudia focuses on the intersection of technology, law, and strategic resilience. Her master’s thesis in the “Security and Disaster Management” (MBA) program at Fresenius University of Applied Sciences provides a new, practical framework for the risk assessment of AI systems under the EU AI Act and beyond.
Her expertise in the field of resilient, distributed systems was recently recognized when her concept “LLLC” was honored by the German Federal Ministry of Defence as one of the 7 awarded innovative conceps at the Innovation Conference Cyber/IT at the Bundeswehr University Munich.
She also had the distinct honor of serving as a recurring expert witness before the Finance Committee of the German Bundestag, where she informed members of parliament on the security implications and regulatory framework of Distributed Ledger Technologies (DLT). This methodology emerged from the combination of in-depth technological analysis and strategic risk assessment.
KI-Risiken in Zeiten der Verteidigungsbereitschaft: Ein neues Rahmenwerk für Klarheit und Sicherheit
In einer Zeit, in der Verteidigungsbereitschaft und technologische Resilienz in den strategischen Mittelpunkt rücken, wird der sichere und verantwortungsvolle Einsatz von Künstlicher Intelligenz (KI) zur entscheidenden Frage. Die KI-Verordnung ist ein Beleg für diese Herausforderung, doch die Umsetzung ist von erheblicher Unsicherheit geprägt. Viele der Implementierungsprobleme liegen in der methodischen Unschärfe bei der Beurteilung KI-spezifischer Risiken.
Im Rahmen ihrer Masterarbeit im Studiengang “Sicherheits- und Katastrophenmanagement” (MBA) an der Hochschule Fresenius mit Bestnote (1,0) hat Claudia Otto genau diese Lücke adressiert. Das Ergebnis ist ein neu entwickeltes, praxistaugliches Rahmenwerk, das eine klare und konsistente Methodik für das Risk Assessment von KI-Systemen bietet, die über die Anforderungen der KI-Verordnung hinaus anwendbar ist.
Zwei Kerninnovationen: Ein modifiziertes Risikomodell und seine intuitive Visualisierung
Der Kern dieser Methodik besteht aus zwei aufeinander aufbauenden Innovationen, die eine Lücke in etablierten Risikobewertungsmodellen schließen:
1. Ein modifiziertes, rechtskonformes Risikomodell
Die Arbeit zeigt, dass die klassische Risikobetrachtung aus Wahrscheinlichkeit (P) und Schadensschwere (S) den komplexen Fragestellungen rund um KI nicht gerecht wird. Das neu entwickelte, modifizierte Modell greift daher auf einen Modifikator (M) zurück. Dieser erfasst und quantifiziert erstmals systematisch KI-spezifische Risikoaspekte.
2. Eine neuartige Lösung zur Risikovisualisierung
Herkömmliche Risikomatrizen oder 3D-Modelle wie “Heatcubes” sind – v.a. für die schnelle Erfassung komplexer Risiken – oft ungeeignet. Die vorgestellte Methodik übersetzt den modifizierten Wert KI-spezifischen Risikos daher in eine einzige, intuitiv verständliche Farbe. Gerade im Verteidigungsbereich, wo komplexe Lageinformationen oft unter hohem Zeitdruck erfasst werden müssen, ermöglicht diese Visualisierung eine sofortige und eindeutige Einschätzung des KI-Risikoniveaus und unterstützt so schnelle und fundierte Entscheidungen.
Anleitung statt Unschärfe: Ein praxistaugliches Rahmenwerk für das KI-Risk-Assessment
Die KI-VO verpflichtet eine Vielzahl von Akteuren zur Durchführung eines Risk Assessments, klärt deren zentrale Begriffe, Vorgehensweisen und anzuwendende Methodiken jedoch nicht. Standards wie ISO-Normen sind oft nicht präzise genug, um die einzigartigen, systemischen Risiken von KI-Systemen rechtssicher zu erfassen.
Genau diese Lücke schließt die Masterarbeit. Sie liefert ein kohärentes und sofort anwendbares Rahmenwerk, das über die Allgemeinheit von Standards hinausgeht:
1. Klare Definitionen: Die Arbeit liefert eine scharfe, rechtskonforme Definition des Risk-Assessment-Prozesses (im weiten und engen Sinne), wo die Verordnung selbst vage bleibt, und schafft so eine verlässliche Grundlage.
2. Konkrete, KI-spezifische Methodik: Das innovative modifizierte Risikomodell ist ein praxistaugliches Werkzeug, das speziell dafür entwickelt wurde, KI-spezifische Risiken systematisch zu bewerten – eine Tiefe, die generische Normen oft nicht bieten.
3. Das Ergebnis: Rechtssicherheit und Handlungsfähigkeit: Das Resultat ist ein robuster Prozess. Er ermöglicht es Unternehmen nicht nur, ihre Compliance-Pflichten nach dem AI Act zu erfüllen, sondern auch, ein echtes Verständnis für ihre KI-Risiken zu entwickeln und auf dieser Basis fundierte, strategische Entscheidungen zu treffen.
Dieses Rahmenwerk bietet somit den entscheidenden Mehrwert für alle, die KI verantwortungsvoll entwickeln und einsetzen wollen: Es übersetzt regulatorische Komplexität in eine umsetzbare Anleitung.
Wissenschaftlicher Hintergrund
Die etablierte Risikobewertung nutzt in der Regel eine zweidimensionale Matrix aus Wahrscheinlichkeit und Schadensschwere. Dieser Ansatz wird jedoch der Komplexität von KI-Systemen und ihren spezifischen Risikodimensionen nicht gerecht. Dreidimensionale Lösungsansätze wie sogenannte „Heatcubes“ versuchen zwar, diese Komplexität abzubilden, beeinträchtigen aber oft die umfassende Wahrnehmung und erschweren eine schnelle, intuitive Risikoeinschätzung. Gerade in sicherheitskritischen Lagen ist dies hinderlich. Hinzu kommt, dass die KI-Verordnung die zweidimensionale Risikobewertung vorgibt (Art. 3 Nr. 2 KI-VO), gleichzeitig aber auch ein umfassendes Risikoverständnis verlangt.
Aus diesem Grund wurde im Rahmen der Masterarbeit eine neuartige Lösung entwickelt, die das komplexe, KI-spezifische Risiko nicht nur bewerten hilft, sondern auch in eine einzige, intuitiv erfassbare Farbe übersetzt. Und somit eine sofortige Beurteilung und Kommunikation des Risikoniveaus ermöglicht.
Für wen ist diese Innovation relevant?
Die neu entwickelten Ansätze zur Risikobewertung und -visualisierung der Risiken von KI-Systemen bietet konkreten Mehrwert für verschiedene Akteure, die an der Schnittstelle von Technologie, Sicherheit und Regulierung agieren. Insbesondere profitieren:
1. Anbieter und Betreiber von KI-Systemen, die vor der Herausforderung stehen, die komplexen Anforderungen der KI-Verordnung praxistauglich und rechtssicher umzusetzen.
2. Betreiber Kritischer Infrastrukturen (KRITIS) und Unternehmen in regulierten Branchen, die KI-Systeme sicher in ihre Prozesse integrieren und deren Risiken für die operationelle Resilienz bewerten müssen.
3. Behörden, Ministerien und Akteure im Verteidigungs- und Sicherheitssektor, die eine fundierte Grundlage für die Bewertung von Dual-Use-Potenzialen und den sicheren Einsatz von KI in hoheitlichen oder sicherheitskritischen Aufgaben benötigen.
4. Forschung und Entwicklung: Die Masterarbeit bietet zahlreiche Ansatzpunkte für die Vertiefung neuer Forschungsfragen. Auch die innovativen Methodiken können für spezifische Anwendungsfelder evaluiert und erweitert werden.
Kontakt und Austausch
Die Resilienz von KI-Systemen ist eine der zentralen Herausforderungen für die Sicherheit von morgen. Wenn Sie dieses Thema ebenfalls bewegt, Sie an einem strategischen Austausch interessiert sind oder Möglichkeiten für eine Zusammenarbeit sehen, freut sich Claudia Otto über Ihre Nachricht.
Über Claudia Otto
Als Sicherheitsforscherin und Rechtsanwältin konzentriert sich Claudia Otto auf die Schnittstelle von Technologie, Recht und strategischer Resilienz. Ihre Masterarbeit im Studiengang “Sicherheits- und Katastrophenmanagement” (MBA) liefert ein neues, praxistaugliches Rahmenwerk für das Risk Assessment von KI-Systemen.
Ihre Expertise im Bereich resilienter, verteilter Systeme wurde kürzlich durch die Auswahl ihres Konzepts “LLLC” als eines der 7 ausgezeichneten innovativen Konzepte bei der Innovationstagung Cyber/IT an der Universität der Bundeswehr München durch das Bundesministerium der Verteidigung gewürdigt.
Eine besondere Ehre war zudem ihre Tätigkeit als wiederkehrende Sachverständige im Finanzausschuss des Deutschen Bundestages, wo sie Abgeordnete zu den sicherheitstechnischen Implikationen und dem regulatorischen Rahmen von Distributed Ledger-Technologien (DLT) informiert hat. Aus dieser Verbindung von technologischer Tiefenanalyse und strategischer Risikobewertung entstand die hier vorgestellte Methodik.