KI-SicherheitSchwachstellenCloud-Sicherheit

AI-Stücklisten: Wie deutsche Unternehmen die Kontrolle über KI-Systeme zurückgewinnen

Von CyberDeutsch Redaktion
AI-Stücklisten: Wie deutsche Unternehmen die Kontrolle über KI-Systeme zurückgewinnen
Zusammenfassung

# AI-Stücklisten: Das fehlende Bindeglied zwischen KI-Entwicklung und Sicherheit Künstliche Intelligenz durchdringt zunehmend die Geschäftsbereiche deutscher Unternehmen, doch die Kontrolle über diese Systeme bleibt fragmentiert. AI Bills of Materials (AI-BOMs) – strukturierte Dokumentationen von KI-Komponenten, deren Trainings-Daten und Abhängigkeiten – sollen diese Sichtbarkeitslücke schließen. Allerdings zeigen aktuelle Studien ein besorgniserregendes Bild: Während 85 Prozent der Organisationen KI in ihre Kernoperationen integriert haben, verfügen nur 25 Prozent über umfassende Transparenz bezüglich ihrer KI-Nutzung. Für deutsche Unternehmen und Behörden wird dies zur wachsenden Herausforderung, insbesondere angesichts regulatorischer Anforderungen durch den AI Act. Die fehlende Dokumentation von KI-Systemen – sowohl eigenentwickelt als auch in fremder Software eingebettet – schafft neue Angriffsflächen: Trainings-Daten können vergiftet, Modelle kompromittiert oder unauthorized KI-Lösungen heimlich in Organisationen eingeschleust werden. Dieser Artikel beleuchtet, wie Security-Teams, Entwickler und Compliance-Verantwortliche AI-BOMs praktikabel einführen können – von der Inventarisierung versteckter KI-Systeme über die Integration in bestehende Sicherheits-Workflows bis hin zur Sicherung von Modell-Provenienz durch kryptographische Signatur.

Das Sichtbarkeitsproblem: Wo ist die KI versteckt?

Das erste und fundamentalste Problem ist simpel, aber hartnäckig: Viele Organisationen wissen gar nicht, welche KI-Systeme sie überhaupt betreiben. Das Phänomen des “Shadow AI” ist weit verbreitet — nicht nur in Form von nicht genehmigten Tools, die Mitarbeiter heimlich nutzen, sondern vor allem durch KI-Komponenten, die in gekaufter Software eingebettet sind, ohne dass dies dokumentiert wurde.

Ein zweiter kritischer Punkt ist die interne Anpassung von Modellen. Wenn ein Unternehmen ein genehmigtes KI-Modell nimmt, es mit eigenen internen Datensätzen finetunet und anpasst, entsteht faktisch ein neues System — dessen Existenz und Eigenschaften aber häufig weder dokumentiert noch überwacht werden. Das ist technisch gesehen auch “Shadow AI”. CISOs müssen daher zunächst ihre KI-Supply-Chains vollständig kartografieren: Was wird intern entwickelt? Welche Modelle sind in eingekaufter Software enthalten? Welche Daten fließen in das Training oder die Anpassung ein?

Integration in bestehende Sicherheitsprozesse

AI BOMs, die erstellt und dann in eine Schublade gelegt werden, verfehlen ihren Zweck völlig. Der echte Mehrwert entsteht nur durch die Integration in operative Sicherheits- und Governance-Workflows.

Im Incident-Response-Prozess könnte ein automatisiertes System etwa sofort erkennen, wenn eine Sicherheitslücke in einer bestimmten Modellversion bekannt wird, und alle betroffenen Systeme im Unternehmen identifizieren. Dafür müssen AI-BOM-Daten in SIEM-Systeme, Asset-Management-Plattformen und GRC-Tools einfließen. Neue AI Security Posture Management (AI-SPM) Tools und DevSecOps-Plattformen mit MLOps-Integration werden hier die zentrale Rolle spielen.

Ein praktisches Beispiel: Ein Manifest-Cyber-Kunde konnte die Genehmigungsdauer für neue Modelle von acht Wochen auf wenige Minuten reduzieren — indem strukturierte, maschinenlesbare AI-BOM-Daten automatisch auf Lizenzrisiken oder bekannte Sicherheitslücken geprüft wurden, anstatt dass Rechts- und Compliance-Teams manuell PDF-Modellkarten studieren mussten.

Der Provenance-Alptraum

Ein besonders tückisches Sicherheitsproblem liegt in den Trainingsdaten selbst. Eine Forschungsarbeit von Anthropic und dem UK AI Security Institute zeigte 2025, dass bereits 250 manipulierte Dokumente ausreichen, um ein großes Sprachmodell nachhaltig zu kompromittieren. Diese Angriffe finden im Training statt, Monate bevor das Modell überhaupt zum Einsatz kommt — die traditionelle Netzwerk-Perimeter-Sicherheit kann das nicht erfassen.

Deshalb ist die Dokumentation der Herkunft (Provenance) zentral. Eine AI BOM, die nicht nachweist, wo die Trainingsdaten herkamen, ist wertlos. Hier werden kryptographische Signaturen, Hashwerte von Datensätzen und digitale Attestationen zum Standard — eine Empfehlung, die die NSA und sieben weitere Behörden bereits im März 2026 gemeinsam ausgesprochen haben.

Automatisierung ist nicht optional

Manuelle AI-BOM-Erstellung skaliert nicht. Modelle werden ständig aktualisiert, angepasst, registriert und deployed. Wenn Menschen dies dokumentieren müssen, hinkt die Dokumentation sofort hinterher.

DevOps- und MLOps-Teams sollten AI BOMs automatisch an kritischen Punkten (Training, Finetuning, Deployment) generieren. CI/CD-Pipelines müssen AI-BOM-Updates bei Modelländerungen automatisch auslösen. Die Sicherheit setzt nur die Richtlinien und validiert das Ergebnis.

Eine Studie von Januar 2026 zeigte: Automatisierte AI-BOM-Generierung mit kryptographischer Validierung reduzierte manuelle Überwachungsarbeit um zwei Drittel und die Dokumentation war präzise genug, um die ursprüngliche Modellumgebung fast perfekt nachzubilden.

Was deutsche Unternehmen jetzt tun müssen

Der Gap zwischen KI-Einsatz und KI-Governance wächst schnell. CISOs, die auf perfekte Standards und reife Tools warten, werden zunehmend überrascht von KI-Sicherheitsincidenten. Unternehmen, die jetzt beginnen — auch mit noch imperfekten Prozessen — sind morgen besser positioniert, um auf Kundenanfragen nach KI-Transparenz, Regulatorische Anforderungen oder Sicherheitsvorfälle zu reagieren. Besonders unter DSGVO-Compliance und BSI-Anforderungen ist dies keine optionale Aufgabe mehr.

Ähnliche Artikel