„Ehrlich gesagt liegt die Hürde viel niedriger, als es scheinen mag", sagt Bardenstein. KI sei eine Teilmenge von Software, und 90 Prozent der KI-Sicherheit seien klassische Softwaresicherheit. Wer also auf KI anwende, was er ohnehin schon für Softwaresicherheit tue, sei bereits den größten Teil des Weges gegangen. Die verbleibenden zehn Prozent jedoch bringen neue Fragestellungen mit sich, die selbst erfahrene Sicherheitsfachleute vor Neuland stellen.

Bevor ein Unternehmen seine KI-Systeme dokumentieren kann, muss es wissen, welche es überhaupt besitzt. Beim Stichwort „Schatten-KI" denken viele zunächst an nicht genehmigte Werkzeuge. Das eigentliche Problem ist laut Bardenstein jedoch, dass zahlreiche autorisierte Programme inzwischen KI eingebettet haben, ohne dass nachvollziehbar wäre, was wie eingesetzt wird. Hinzu kommen interne Entwicklungsprojekte, die zwar genehmigte Modelle nutzen, aber nicht erfassen, wie sich diese durch Feinabstimmung und Training im Alltag verändern. „Wenn ich ein genehmigtes Modell an Leute weitergebe, die es mit internen Datensätzen feinabstimmen, und das nirgendwo festhalte, habe ich gerade Schatten-KI geschaffen", so Bardenstein.

CISOs sollten daher zunächst die eigenen KI-Lieferketten kartieren: was intern entwickelt wird, was in zugekaufter Software steckt und welche Daten zum Training oder zur Anpassung verwendet werden. Dazu gehört auch, Anbieter zur Offenlegung der eingebetteten Modelle zu bewegen.

Erzeugte oder angeforderte KI-Stücklisten abzulegen und nie wieder anzusehen, verfehlt den Zweck. Der eigentliche Nutzen entsteht, wenn die Dokumentation in Sicherheits- und Governance-Abläufe einfließt. Beispiel Incident Response: Wird in einer bestimmten Modellversion eine Schwachstelle bekannt, müssen Teams rasch ermitteln, welche Systeme sie nutzen. Dafür müssen SIEM-, Asset-Management- und GRC-Plattformen KI-Stücklisten nativ verstehen. Aufkommende AI-SPM-Werkzeuge und DevSecOps-Plattformen mit MLOps-Anbindung dürften zur primären Verwaltungsebene werden, doch auch die klassischen Plattformen müssen diese Daten aufnehmen können.

Bardenstein schildert einen Kunden, der bei der Nutzung neuer Modelle von Hugging Face mit achtwöchigen Freigabezyklen kämpfte, weil Rechts-, Compliance- und KI-Prüfgremien Modellkarten und Datenkarten manuell durchgehen mussten. Mithilfe der strukturierten Daten aus der KI-Stückliste reduzierte sich das auf „ein paar Klicks und ein paar Minuten" – maschinenlesbare Daten lassen sich automatisch auf Lizenzrisiken oder bekannte Schwachstellen prüfen.

Ein besonders heikles Problem: Bedrohungen sehen nicht immer wie klassische Angriffe aus. Ein Modell kann durch vergiftete Trainingsdaten kompromittiert werden, lange bevor es ein Unternehmen erreicht. Eine im Oktober 2025 von Anthropic, dem UK AI Security Institute und dem Alan Turing Institute veröffentlichte Untersuchung ergab, dass bereits 250 vergiftete Dokumente ein großes Sprachmodell beliebiger Größe mit einer Hintertür versehen können.

Deshalb ist Herkunftsdokumentation entscheidend. Forscher des Projekts AIBoMGen merkten in einem Papier in diesem Januar an: „Ohne Mechanismen zur Sicherung von Integrität und Authentizität der dokumentierten Informationen können KI-Stücklisten Compliance und Sicherheit nicht wirksam unterstützen." Krti Tallam, leitende technische Mitarbeiterin bei Kamiwaza AI und Mitwirkende am AI Risk Management Framework des NIST, beschreibt dies als Zero-Trust-Problem für Inhalte: Die Frage sei nicht mehr, ob eine Eingabe aus vertrauenswürdiger Quelle die Grenze überschreite, sondern ob sich die lückenlose Herkunftskette jedes Artefakts – Daten, Modell, Prompt, Werkzeug, Embedding – überprüfen lasse.

Die praktische Antwort liegt in kryptografischer Signierung und Attestierung. Wer KI-Stücklisten konsumiert, sollte auf kryptografische Hashes von Datensätzen und verifizierte Modellsignaturen achten; nicht überprüfbare Herkunft gilt als Risikosignal. NSA und sieben verbündete Behörden gaben im März 2026 eine gemeinsame Leitlinie heraus, die Integritäts- und Herkunftsverfahren wie Prüfsummen, Hashes, digitale Signaturen und Lineage-Tracking für alle Trainingsdaten empfiehlt. Die OpenSSF-Model-Signing-Spezifikation liefert die technische Grundlage, AIBoMGen demonstrierte signierte KI-Stücklisten während des Trainings mittels in-toto-Attestierung.

Schließlich scheitert jede KI-Stückliste, die manuell verfasst werden muss, an der Skalierung. Modelle werden laufend aktualisiert, feinabgestimmt und ausgerollt; Erzeugung und Aktualisierung gehören automatisiert in die Entwicklungs- und Deployment-Pipeline. Ein Papier vom Januar 2026 fand, dass automatisierte KI-Stücklisten mit kryptografischer Validierung den manuellen Aufwand für die Aufsicht in containerisierten Abläufen um fast zwei Drittel senkten – genau genug, um die ursprüngliche Modellumgebung nahezu perfekt nachzubilden. Der OWASP AI BOM Generator etwa extrahiert automatisch Modell-Metadaten und erzeugt für Modelle auf Hugging Face eine standardkonforme KI-Stückliste im CycloneDX-Format. Sicherheits Aufgabe ist es, die Richtlinien zu setzen und die Ergebnisse zu prüfen – nicht, die Dokumente selbst zu schreiben.