KI-Bias Sicherheit: Audit-Pflicht für KRITIS-Betreiber
KI-Bias Sicherheit in Patrouillenrobotern: Wie Werkleiter Personendetektion auf Fairness prüfen, EU AI Act erfüllen und Bußgelder vermeiden.
Bias in der Personendetektion ist kein akademisches Problem. Er erzeugt verpasste Eindringlinge, eskalierte Falschalarme gegen die eigene Belegschaft und Bußgeldrisiken nach EU AI Act und NIS-2. Werkleiter und Sicherheitsleiter in KRITIS-Anlagen müssen Bias messen, dokumentieren und nachweisbar korrigieren. Dieser Text beschreibt die Schadensklassen, den Rechtsrahmen, das Audit-Verfahren und die TCO-Folgen.
KI-Bias Sicherheit: Definition und operativer Schaden
KI-Bias entsteht aus drei Quellen: unbalancierte Trainingsdaten, lückenhafte Sensorabdeckung und fehlerhafte Labeling-Pipelines. Wer ein Detektionsmodell überwiegend auf Datensätzen aus mitteleuropäischen Innenstädten trainiert, erhält schlechte Ergebnisse an einem Hafenterminal bei Nacht.
Der operative Schaden zerfällt in drei Klassen. False Negatives bedeuten übersehene Eindringlinge an der Umzäunung. Das ist der teuerste Fehlerfall. False Positives erzeugen unnötige Lagealarmierungen und untergraben das Vertrauen des Werkschutzes in das System. Drift beschreibt die schleichende Verschlechterung der Modellgüte nach Monaten Realbetrieb, häufig unbemerkt.
Bias ist messbar. Eine Confusion-Matrix pro demografischer oder umweltbedingter Kohorte liefert harte Zahlen: True-Positive-Rate, False-Positive-Rate, Genauigkeit. Wer diese Werte nicht erhebt, kann Konformität nach EU AI Act nicht nachweisen.
Verantwortung: Sobald der Betreiber das Modell vor Ort weiter trainiert oder Sensor-Daten zur Nachjustierung einspeist, übernimmt er Pflichten des Anbieters. Das ist in EU AI Act Art. 25 explizit geregelt. Der Hersteller haftet nicht mehr allein.
Typische Verzerrungen in Personendetektion
Hauttöne: RGB-basierte Detektoren zeigen in publizierten Benchmarks bis zu 12 Prozent höhere Fehlerraten bei dunkleren Hauttönen unter Schwachlicht. [Quelle einfügen] Das ist kein Designfehler, sondern Folge unbalancierter Trainingskorpora.
Körpergrößen: Modelle, die ausschließlich auf erwachsenen Datensätzen trainiert sind, übersehen Personen unter 1,50 Meter systematisch. Relevant bei Werksgeländen mit externen Besuchergruppen, Schulungen oder Servicepartnern unterschiedlicher Statur.
Arbeitskleidung: Hochsichtbarkeitswesten, PSA-Schutzanzüge, Atemschutz und Schweißerhelme verändern die Silhouette so stark, dass der Klassifikator die Person nicht mehr als Mensch erkennt. Genau das Personal, das auf dem Gelände zu erwarten ist, fällt aus dem Detektionsfenster.
Pose und Bewegung: Liegende oder kauernde Personen werden in 18 bis 30 Prozent der Fälle nicht klassifiziert. [Quelle einfügen] Bei einem Notfall, bei dem ein Mitarbeiter gestürzt ist, ist das die kritischste Lücke.
Witterung: Regen, Nebel, Schnee und Gegenlicht verschieben die Erkennungsschwelle systematisch. Ein Modell, das im Frühjahr validiert wurde, kann im Novembernebel zwei Drittel seiner Genauigkeit verlieren. [Quelle einfügen]
Bias in Personendetektion: Wärmebild und Audio
Thermische Detektion, wie sie der QR-2 mit thermischer Personendetektion einsetzt, ist robuster gegen Hauttöne, aber empfindlich gegenüber Umgebungstemperatur und Bekleidungsisolation. Im Sommer bei 35 Grad Lufttemperatur sinkt der thermische Kontrast zwischen Mensch und Umgebung auf unter 2 Kelvin. [Quelle einfügen] Der Klassifikator verliert Trennschärfe.
Wärmebild-Fehlklassifikation tritt auch bei stark isolierter Schutzkleidung auf. Ein Mitarbeiter in Kühlhauskleidung gibt nach außen kaum Wärme ab und ist thermisch kaum vom Hintergrund unterscheidbar.
Audio-Klassifikation für Glasbruch, Schreie oder Hilferufe wurde in vielen kommerziellen Modellen auf englischsprachigen Datensätzen trainiert. Deutsche, türkische oder polnische Rufe werden mit geringerer Genauigkeit erkannt. Maschinenlärm in Industrieparks erzeugt akustische Maskierung. Diese verzerrt die Klassifikator-Ausgaben systematisch.
Konsequenz: Eine Bias-Prüfung muss jede Sensormodalität separat dokumentieren. Ein Konformitätsnachweis für RGB ersetzt nicht den Nachweis für Thermal oder Audio.
Rechtsrahmen: EU AI Act und NIS-2
Autonome Sicherheitsrobotik fällt unter Hochrisiko-KI-Systeme gemäß EU AI Act Annex III. Der EU AI Act klassifiziert Sicherheits-KI im öffentlichen Raum und in kritischer Infrastruktur als Hochrisiko-System. Die Pflichten umfassen Risikomanagementsystem, Daten-Governance, technische Dokumentation, menschliche Aufsicht und Genauigkeitsprotokollierung über den gesamten Lebenszyklus.
NIS-2 ergänzt diese Pflichten sektorspezifisch. Die Richtlinie verpflichtet KRITIS-Betreiber zu nachweisbarem Risikomanagement aller technischen und organisatorischen Maßnahmen, einschließlich KI-basierter Detektion [NIS-2-Richtlinie]. Eine KI-Komponente ohne dokumentierte Wirksamkeitsprüfung ist NIS-2-konform nicht haltbar.
EN ISO 13482 definiert Sicherheitsanforderungen für persönliche Service-Roboter und ist Referenzstandard für mobile Patrouilleneinheiten. Die Norm deckt mechanische und funktionale Sicherheit ab, sie ersetzt aber keine Bias-Prüfung der eingesetzten Detektionsalgorithmen.
Die EU-Maschinenverordnung 2023/1230 schreibt Konformitätsbewertung für autonome Maschinen mit selbstlernendem Verhalten vor. Das betrifft jedes System, das vor Ort weiter trainiert wird.
Vor Inbetriebnahme muss der Betreiber einen Konformitätsnachweis vorlegen, der demografische und umweltbedingte Robustheit dokumentiert. Details zu sektoralen Schwellen finden sich unter KRITIS-Anforderungen an Betreiber.
KRITIS KI-Audit: Wie Werkleiter Bias messen lassen
Ein praxisfähiges Audit-Verfahren folgt fünf Schritten.
Schritt 1: Testkohorten definieren. Merkmale: Geschlecht, Statur, Hautton, Bekleidung (Zivil, PSA, Hochsichtbarkeit, Kühlhaus), Tageszeit (Tag, Dämmerung, Nacht) und Witterung (klar, Regen, Nebel, Schnee). Daraus entsteht eine Kohortenmatrix mit typischerweise 24 bis 48 Zellen.
Schritt 2: Mindestens 500 annotierte Testfälle pro Kohorte über drei Monate Realbetrieb. Synthetische Daten allein reichen nicht, das BBK akzeptiert sie nicht als alleinigen Nachweis. Das BBK fordert für KRITIS-Anlagen dokumentierte technische Schutzmaßnahmen, die einer regelmäßigen Wirksamkeitsprüfung unterzogen werden.
Schritt 3: Confusion-Matrix pro Kohorte. Schwelle: Die Differenz der True-Positive-Rate zwischen der schlechtesten und der besten Kohorte darf 5 Prozent nicht überschreiten. [Quelle / normative Grundlage einfügen] Wer diese Schwelle verfehlt, trägt ein dokumentiertes Bias-Risiko.
Schritt 4: Drift-Monitoring monatlich. Automatische Alarmierung bei statistisch signifikanter Verschiebung der Detektionsraten. Drift ist die häufigste Ursache für späte False Negatives.
Schritt 5: Dokumentation in der Konformitätsakte. Diese Akte muss für BBK-Audits, NIS-2-Nachweise und Versicherungsprüfungen verfügbar sein.
Quarero liefert dieses Audit-Protokoll standardisiert für QR-1, QR-2 und QR-3 für KRITIS-Standorte. Werkleiter erhalten die Confusion-Matrizen pro Kohorte als signiertes PDF und maschinenlesbare JSON-Struktur.
Mensch-in-der-Schleife als Bias-Korrektiv
Autonome Patrouille generiert die Detektion. Die Eskalation läuft über die Leitstelle mit menschlicher Bestätigung. Dieses Zwei-Stufen-Modell reduziert den False-Positive-Schaden, ohne die Detektionsrate zu senken.
Leitstellenmitarbeiter erhalten ein strukturiertes Feedback-Formular zur Re-Klassifikation falscher Alarme. Pro Vorfall werden Kohortenmerkmale (Tageszeit, Witterung, Bekleidung, Sensormodalität) erfasst. Das Feedback fließt in den monatlichen Modell-Update-Zyklus.
Menschliche Aufsicht ist nicht Marketing, sondern AI-Act-Pflicht nach Art. 14. Ein vollautonomes Sicherheitssystem ohne menschliche Eskalationsstufe ist nicht konform. Das ergibt sich unmittelbar aus dem Verordnungstext. Vorstandsseitig relevant ist außerdem die NIS-2-Vorstandshaftung im Detail.
TCO-Folgen: Was Bias-Audits kosten und sparen
Das Initial-Audit kostet einmalig 8.000 bis 12.000 Euro, abhängig von Standortgröße und Kohortenmatrix. Im Robotics-as-a-Service-Modell ist es enthalten. Laufendes Monitoring ist pauschal Bestandteil der monatlichen Servicegebühr, beim QR-2 etwa 3.500 Euro.
Der konventionelle 24/7-Wachposten liegt je nach Manteltarifvertrag und Region bei 15.000 bis 25.000 Euro pro Monat für eine besetzte Position rund um die Uhr. Es gibt keine Auditpflicht, aber auch keine Datenkonsistenz und keine reproduzierbaren Detektionsraten. Der vollständige Kostenvergleich steht unter TCO im Vergleich zum klassischen Wachschutz.
Bußgeldrisiko EU AI Act: bis 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes bei Hochrisiko-Verstößen (EU AI Act Art. 99). Das ist die Größenordnung, die jeden TCO-Vergleich überschreibt.
Ein dokumentierter Bias-Audit senkt zudem Versicherungsprämien bei spezialisierten Cyber- und Anlagenversicherern. Erste Versicherer bieten Rabatte zwischen 5 und 12 Prozent auf die Sachversicherungsprämie, wenn der KI-Auditbericht vorliegt. [Quelle einfügen]
Wärmebild Fehlklassifikation in der Pilotphase: 90 Tage operativ
Die Pilotphase folgt einem festen Schema.
Tag 0 bis 14: Baseline-Erhebung. Synthetische Testpersonen (Schaufensterpuppen mit definierter Wärmesignatur, kalibrierte Audio-Quellen) und reale Testpersonen aus dem Werkschutz und externen Auditoren laufen definierte Routen ab. Ergebnis: Initialwerte der Confusion-Matrix pro Kohorte.
Tag 15 bis 60: Schichtbetrieb mit Schatten-Mensch-Patrouille. Der Roboter patrouilliert autonom. Ein menschlicher Posten läuft parallel und protokolliert jede Abweichung. Diese 45 Tage liefern belastbare Detektionsdaten unter Realbedingungen, inklusive Witterungsvariation.
Tag 61 bis 90: Auswertung der Confusion-Matrizen pro Kohorte. Übergabe des Auditberichts an Werkleiter und Sicherheitsleitung. Wöchentliche Statusberichte an die Sicherheitsleitung sind Standard. Ein monatlicher Vorstandstermin sichert die Kommunikation Richtung Geschäftsführung.
Nach 90 Tagen erfolgt die Entscheidung über den Vollbetrieb mit dokumentierter Bias-Konformität. Wer früher entscheidet, hat keinen statistisch belastbaren Datensatz. Wer später entscheidet, verlängert die Doppelkosten aus Pilot und laufender Bestandsbewachung.
Werkleiter und Sicherheitsleiter, die einen 90-Tage-Pilot mit vollständigem Bias-Audit-Protokoll planen, stellen eine Pilotanfrage für ihren Standort. Quarero antwortet innerhalb von zwei Werktagen mit Standortprüfung und Angebot.