ISMS Copilot
KI-Sicherheit

KI-Sicherheit und verantwortungsvolle Nutzung – Übersicht

Übersicht

ISMS Copilot implementiert umfassende KI-Sicherheitsmaßnahmen, um eine zuverlässige, vertrauenswürdige und verantwortungsbewusste KI-Unterstützung für Compliance-Experten zu gewährleisten. Dieser Artikel erläutert die Schutzmechanismen, Sicherheitsbeschränkungen und Praktiken für verantwortungsvolle KI, die in die Plattform integriert sind.

Zielgruppe

Dieser Artikel richtet sich an:

  • Compliance-Experten, die KI-Sicherheitsmaßnahmen bewerten

  • Risikomanager, die KI-Governance-Kontrollen prüfen

  • Sicherheitsteams, die besorgt über KI-Missbrauch sind

  • Jeden, der verstehen möchte, wie ISMS Copilot eine verantwortungsvolle KI-Nutzung sicherstellt

KI-Sicherheitsprinzipien

Das KI-Sicherheits-Framework von ISMS Copilot basiert auf vier Kernprinzipien:

1. Zweckbindung

Der KI-Assistent ist ausschließlich für die Informationssicherheits- und Compliance-Arbeit konzipiert:

  • Konzentriert auf ISMS-Frameworks (ISO 27001, SOC 2, DSGVO, NIST usw.)

  • Leitet themenfremde Fragen höflich auf Compliance-bezogene Themen um

  • Lehnt Anfragen für schädliche, illegale oder unethische Aktivitäten ab

  • Bleibt innerhalb der Grenzen der Compliance-Beratungsunterstützung

Durch die Beschränkung des Umfangs der KI auf Compliance und Sicherheit reduziert ISMS Copilot das Risiko von Missbrauch und stellt Fachwissen in seinem spezialisierten Bereich sicher, anstatt zu versuchen, ein Allzweck-Assistent zu sein.

2. Transparenz und Ehrlichkeit

Der KI-Assistent erkennt seine Grenzen offen an:

  • Weist bei Bedarf explizit auf Unsicherheiten hin

  • Fordert Benutzer auf, wichtige Informationen zu verifizieren

  • Gibt zu, wenn er etwas nicht weiß, anstatt zu raten

  • Erklärt klar, was er tun kann und was nicht

3. Schutz von Urheberrecht und geistigem Eigentum

ISMS Copilot respektiert Rechte an geistigem Eigentum:

  • Reproduziert keine urheberrechtlich geschützten ISO-Standards oder proprietären Inhalte

  • Verweist Benutzer darauf, offizielle Standards bei autorisierten Quellen zu erwerben

  • Bietet Orientierung basierend auf Framework-Prinzipien, ohne Texte zu kopieren

  • Trainiert auf rechtmäßig bezogenen, anonymisierten Daten gemäß den EU-Urheberrechtsanforderungen

Wenn Sie die KI bitten, ISO 27001-Texte oder anderes urheberrechtlich geschütztes Material zu reproduzieren, wird sie dies höflich ablehnen und stattdessen umsetzbare Ratschläge basierend auf ihrem Wissen über die Prinzipien des Frameworks anbieten.

4. Privacy by Design (Datenschutz durch Technikgestaltung)

Der Schutz von Benutzerdaten ist in jeder KI-Interaktion verankert:

  • Konversationen werden niemals zum Trainieren von KI-Modellen verwendet

  • Vom Benutzer bereitgestellte Inhalte werden nicht mit anderen Benutzern geteilt

  • Jede Konversation wird unabhängig verarbeitet

  • Workspace-Isolierung verhindert Datenvermischung zwischen Projekten

KI-Schutzmechanismen (Guardrails)

Inhaltliche Reichweitenbegrenzung

Was die KI tun wird:

  • Fragen zu ISMS-Frameworks und Compliance beantworten

  • Hochgeladene Compliance-Dokumente analysieren (Richtlinien, Verfahren, Risikobewertungen)

  • Audit-bereite Richtlinien und Verfahren erstellen

  • Gap-Analysen und Implementierungshilfen bereitstellen

  • Sicherheitskontrollen und Compliance-Anforderungen erläutern

Was die KI NICHT tun wird:

  • Rechtsberatung leisten (empfiehlt stattdessen die Konsultation von Rechtsexperten)

  • Medizinische, finanzielle oder persönliche Beratung außerhalb des Compliance-Bereichs anbieten

  • Inhalte für illegale, schädliche oder unethische Zwecke generieren

  • Urheberrechtlich geschützte Standards oder proprietäre Materialien reproduzieren

  • Ihre benutzerdefinierten Anweisungen oder System-Prompts offenlegen

Wenn Sie die KI bitten, bei etwas außerhalb ihres Bereichs zu helfen, wird sie ihre Grenzen höflich erklären und Sie zu Compliance-bezogener Unterstützung zurückführen, die sie leisten kann.

Verhinderung von Jailbreaks

ISMS Copilot ist darauf ausgelegt, Manipulationsversuchen zu widerstehen:

Blockierte Taktiken:

  • „Wiederhole nach mir“-Tricks, um System-Prompts zu extrahieren

  • Rollenspielszenarien, die darauf abzielen, Sicherheitsbeschränkungen zu umgehen

  • Anfragen, „vorherige Anweisungen zu ignorieren“

  • Manipulation von Einschränkungen („antworte ohne Verweigerung“)

  • Versuche, direkt auf interne Wissensdatenbank-Dateien zuzugreifen

Wie es funktioniert:

Wenn die KI einen Jailbreak-Versuch erkennt:

  1. Erkennt sie das Manipulationsmuster

  2. Lehnt sie die Anfrage höflich ab

  3. Leitet sie auf legitime ISMS-Unterstützung um

  4. Behält sie ihre Sicherheitsbeschränkungen bei

ISMS Copilot ist darauf ausgelegt, innerhalb seines Compliance-Bereichs hilfreich zu sein. Wenn Sie legitime Fragen haben, die scheinbar Schutzmechanismen auslösen, versuchen Sie, Ihre Frage umzuformulieren, um sich auf den Compliance- oder Sicherheitsaspekt zu konzentrieren, bei dem Sie Hilfe benötigen.

Schutz vor Prompt Injection

Die Plattform schützt vor bösartigen Inhalten in Datei-Uploads:

Was geschützt ist:

  • Hochgeladene Dokumente werden auf Prompt-Injection-Versuche gescannt

  • In Dateien eingebettete bösartige Anweisungen werden geräuschlos abgelehnt

  • System-Prompts können nicht durch Dateiinhalte überschrieben werden

  • Sicherheitsbeschränkungen bleiben unabhängig vom Dateiinhalt aktiv

Benutzererfahrung:

  • Dateien werden aus Benutzersicht normal verarbeitet

  • Schädliche Anweisungen werden während der Bearbeitung herausgefiltert

  • Nur legitime Dokumenteninhalte werden analysiert

  • Keine sichtbare Fehlermeldung (stiller Schutz)

Wissensschutz-Grenzwerte

Die KI schützt ihre Trainingsdaten und die Systemkonfiguration:

Worauf Benutzer keinen Zugriff haben:

  • Benutzerdefinierte Anweisungen oder System-Prompts

  • Details zu Trainingsdatenquellen

  • Direkter Zugriff auf Wissensdatenbank-Dateien

  • Download-Links für interne Dokumente

  • Informationen zur Struktur der Wissensdatenbank

Warum das wichtig ist:

Der Schutz von System-Prompts und Trainingsdaten verhindert:

  • Dass Angreifer verstehen, wie sie die KI manipulieren können

  • Urheberrechtsverletzungen durch Reproduktion von Trainingsmaterialien

  • Sicherheitsrisiken durch Offenlegung der Systemarchitektur

  • Inkonsistentes Verhalten durch modifizierte Anweisungen

Prävention von Halluzinationen

Was sind Halluzinationen?

KI-Halluzinationen treten auf, wenn die KI sicher klingende, aber faktisch falsche Informationen generiert. ISMS Copilot adressiert dies durch verschiedene Mechanismen:

Dynamic Framework Knowledge Injection (v2.5)

Ab Februar 2025 eliminiert ISMS Copilot v2.5 Halluzinationen bei framework-spezifischen Fragen fast vollständig durch dynamische Wissensinjektion:

  • Erkennt Framework-Erwähnungen in Ihren Fragen mittels Regex-Musterabgleich (ISO 27001, DSGVO, SOC 2, HIPAA, CCPA, NIS 2, DORA, ISO 42001, ISO 27701, EU AI Act)

  • Injiziert verifiziertes Framework-Wissen in den KI-Kontext, bevor Antworten generiert werden

  • Die KI antwortet basierend auf bereitgestelltem Framework-Wissen, nicht aus dem probabilistischen Gedächtnis

  • Die nicht-KI-basierte Erkennung gewährleistet 100%ige Zuverlässigkeit, wenn Frameworks erwähnt werden

  • Unterstützt 10 Frameworks mit dedizierter Wissensinjektion

Wenn Sie fragen „Was ist ISO 27001 Maßnahme A.5.9?“, erkennt das System ISO 27001, injiziert das Wissen und die KI antwortet auf Basis verifizierter Informationen – nicht durch Raten. Dies eliminiert fast vollständig erfundene Maßnahmen-Nummern und falsche Anforderungen.

Training auf Praxiswissen

Über die Wissensinjektion hinaus ist ISMS Copilot auf spezialisiertes Compliance-Wissen trainiert:

  • Proprietäre Bibliothek mit Compliance-Wissen aus Hunderten von realen Beratungsprojekten

  • Basiert auf praktischer Umsetzungserfahrung, nicht auf theoretischen Informationen

  • Fokussiert auf Frameworks, Standards und bewährte Praktiken

  • Regelmäßig aktualisiert mit aktuellen Compliance-Anforderungen

Anerkennung von Unsicherheit

Die KI ist angewiesen, ehrlich über ihre Grenzen zu sein:

  • Gibt explizit an, wenn sie bei Informationen unsicher ist

  • Fordert Benutzer auf, kritische Informationen zu verifizieren

  • Vermeidet das Erfinden von Fakten bei unvollständigem Wissen

  • Empfiehlt bei Bedarf die Konsultation offizieller Standards oder Rechtsexperten

Beispielantwort:

„Obwohl ich allgemeine Hinweise zur ISO 27001-Maßnahme A.8.1 geben kann, ist es dennoch möglich, dass mir Fehler unterlaufen. Bitte vergleichen Sie diese Informationen für Auditzwecke mit dem offiziellen Standard ISO 27001:2022.“

Verifizierungsverantwortung des Benutzers

ISMS Copilot betont, dass Benutzer:

  • KI-Vorschläge mit offiziellen Standards abgleichen sollten

  • Kritische Informationen vor der Einreichung bei Auditoren validieren sollten

  • Die KI als Assistent des Beraters nutzen sollten, nicht als Ersatz für Fachwissen

  • Fachliches Urteilsvermögen bei der Anwendung von KI-Empfehlungen walten lassen sollten

Verifizieren Sie kritische Compliance-Informationen immer, bevor Sie sie in Audits oder offiziellen Einreichungen verwenden. ISMS Copilot soll unterstützen und nicht das professionelle Urteilsvermögen oder offizielle Standarddokumentationen ersetzen.

Ratenbegrenzung & Ressourcenschutz

Nachrichten-Limits (Rate Limiting)

ISMS Copilot implementiert Ratenbegrenzungen, um Missbrauch zu verhindern und fairen Zugang zu gewährleisten:

Free-Plan:

  • 10 Nachrichten pro rollierendem 4-Stunden-Fenster

  • Zähler setzt sich 4 Stunden nach der ersten Nachricht zurück

  • Erzwungen sowohl im Frontend als auch im Backend

Bezahlte Pläne (Plus, Standard, Pro, Business):

  • Mehr Credits pro Sitzung (50 bis 400 je nach Plan)

  • Keine Ratenbegrenzungs-Einschränkungen

  • Priorisierte Verarbeitung

Wenn das Limit erreicht ist:

Sie sehen die Fehlermeldung: „Tägliches Nachrichtenlimit erreicht. Bitte upgraden Sie für mehr Credits pro Sitzung.“

Um das Beste aus Ihren Nachrichten im kostenlosen Tarif herauszuholen, stellen Sie umfassende Fragen und geben Sie Kontext in einer einzigen Nachricht, anstatt mehrere kurze Fragen zu senden. Dies maximiert den Wert jeder Interaktion.

Datei-Upload-Limits

Datei-Uploads unterliegen Sicherheitsbeschränkungen zum Schutz der Systemressourcen:

Dateigröße:

  • Maximum: 10 MB pro Datei

  • Fehlermeldung: „Datei 'dokument.pdf' ist zu groß (15,23 MB). Die maximal zulässige Größe beträgt 10 MB.“

Unterstützte Dateitypen:

  • TXT, CSV, JSON (Textdateien)

  • PDF (Dokumente)

  • DOC, DOCX (Microsoft Word)

  • XLS, XLSX (Microsoft Excel)

Upload-Beschränkungen:

  • Eine Datei nach der anderen (Batch-Upload wird nicht unterstützt)

  • Keine Duplikate derselben Datei für dieselbe Nachricht möglich

  • Nicht unterstützte Dateitypen werden mit einer Fehlermeldung abgelehnt

Temporärer Chat-Modus

Was ist ein temporärer Chat?

Der temporäre Chat-Modus bietet datenschutzfreundliche Konversationen mit spezifischer Datenhandhabung:

Wie es funktioniert:

  1. Wählen Sie „Temporärer Chat“ auf dem Begrüßungsbildschirm

  2. Sie sehen den Hinweis: „Dieser Chat erscheint nicht im Verlauf. Aus Sicherheitsgründen können wir eine Kopie dieses Chats für bis zu 30 Tage aufbewahren.“

  3. Nachrichten senden und Dateien hochladen wie gewohnt

  4. Konversation wird nicht Ihrem Gesprächsverlauf hinzugefügt

  5. Daten können für bis zu 30 Tage zur Sicherheitsüberprüfung aufbewahrt werden

Wann ein temporärer Chat sinnvoll ist:

  • Schnelle einmalige Fragen, die nicht gespeichert werden müssen

  • Sensible Diskussionen, die nicht im permanenten Verlauf erscheinen sollen

  • Testen von Abfragen, bevor man sie in einem Workspace festschreibt

  • Explorative Recherche zu Compliance-Themen

Auch im temporären Chat-Modus können Konversationen zur Sicherheitsüberwachung und Missbrauchsprävention bis zu 30 Tage lang aufbewahrt werden. Dies hilft vor Missbrauch zu schützen und bietet gleichzeitig Privatsphäre gegenüber Ihrem permanenten Verlauf.

Datenaufbewahrungs-Optionen

Benutzergesteuerte Aufbewahrung

Sie entscheiden, wie lange Ihre Konversationsdaten gespeichert werden:

  1. Klicken Sie auf das Benutzermenü-Symbol (oben rechts)

  2. Wählen Sie Einstellungen

  3. Wählen Sie im Feld Datenaufbewahrungsfrist:

    • Minimum: 1 Tag (hochsichere, kurzfristige Arbeit)

    • Maximum: 24.955 Tage / 7 Jahre (langfristige Dokumentation)

    • Oder klicken Sie auf Für immer behalten für unbefristete Aufbewahrung

  4. Klicken Sie auf Einstellungen speichern

Ergebnis: Der Einstellungsdialog schließt sich und die Aufbewahrungsfrist ist gespeichert.

Automatische Datenlöschung

ISMS Copilot löscht alte Daten automatisch:

  • Löschauftrag läuft täglich

  • Entfernt Nachrichten, die älter als Ihre Aufbewahrungsfrist sind

  • Löscht zugehörige hochgeladene Dateien

  • Dauerhaft und kann nicht wiederhergestellt werden

Die Datenlöschung erfolgt automatisch und endgültig. Exportieren Sie wichtige Konversationen oder Dokumente, bevor sie gemäß Ihren Aufbewahrungseinstellungen ablaufen.

Sicherheitsmerkmale für Workspaces

Datenisolierung

Workspaces bieten Sicherheitsgrenzen für verschiedene Projekte:

Wie die Isolierung funktioniert:

  • Jeder Workspace hat einen separaten Konversationsverlauf

  • Hochgeladene Dateien sind an spezifische Workspaces gebunden

  • Benutzerdefinierte Anweisungen sind Workspace-spezifisch

  • Das Löschen eines Workspaces entfernt alle zugehörigen Daten

  • Die KI teilt keine Informationen zwischen verschiedenen Workspaces

Für Berater, die mehrere Kunden verwalten, stellt die Workspace-Struktur sicher, dass Kundendaten vollkommen isoliert bleiben. Selbst die KI behandelt jeden Workspace als separates Projekt ohne gegenseitige Beeinflussung.

Sicherheit bei benutzerdefinierten Anweisungen

Workspaces ermöglichen benutzerdefinierte Anweisungen mit Sicherheitsgrenzen:

Was benutzerdefinierte Anweisungen können:

  • Schwerpunkt auf bestimmte Compliance-Frameworks legen

  • Tonfall oder Detailgrad für Antworten festlegen

  • Projektspezifischen Kontext definieren (Branche, Unternehmensgröße)

  • Die KI auf spezifische Compliance-Ziele lenken

Sicherheitsbeschränkungen:

  • Anweisungen müssen Compliance-bezogen sein

  • Dürfen Kern-Schutzmechanismen nicht überschreiben

  • Dürfen die KI nicht anweisen, Urheberrechtsschutz zu ignorieren

  • Dürfen inhaltliche Reichweitenbegrenzungen nicht umgehen

Kein Training mit Benutzerdaten

Datenschutzgarantie

ISMS Copilot verpflichtet sich, Ihre Daten niemals für das KI-Training zu verwenden:

Was das bedeutet:

  • Ihre Konversationen werden niemals in das KI-Modell zurückgeführt

  • Hochgeladene Dokumente bleiben vertraulich und privat

  • Kundeninformationen tragen niemals zur Verbesserung des Modells bei

  • Jede Konversation wird unabhängig verarbeitet, ohne Lerneffekt (Learning)

Wie Sie das schützt:

  • Die Vertraulichkeit der Kunden wird gewahrt

  • Proprietäre Informationen bleiben privat

  • Sensible Compliance-Daten werden nicht mit anderen Nutzern geteilt

  • Kein Risiko, dass die KI versehentlich Ihre Informationen anderen gegenüber preisgibt

Dies ist ein entscheidender Unterschied zu allgemeinen KI-Tools wie der kostenlosen Version von ChatGPT. ISMS Copilot garantiert, dass Ihre sensiblen Compliance-Daten niemals zur Verbesserung des Modells verwendet werden, was vollständige Vertraulichkeit für Ihre Kundenarbeit gewährleistet.

Transparenz bei der Datenverarbeitung

ISMS Copilot ist transparent darüber, wie Ihre Daten verwendet werden:

Wie Ihre Daten verwendet WERDEN:

  • Verarbeitung Ihrer Fragen zur Generierung von Antworten

  • Analyse hochgeladener Dokumente für Gap-Analysen

  • Aufrechterhaltung des Konversationskontexts innerhalb eines Workspaces

  • Speicherung von Daten gemäß Ihren Aufbewahrungseinstellungen

  • Sicherheitsüberwachung für bis zu 30 Tage (um Missbrauch vorzubeugen)

Wie Ihre Daten NICHT verwendet werden:

  • Training oder Feinabstimmung (Fine-Tuning) von KI-Modellen

  • Weitergabe an andere Nutzer oder Kunden

  • Marketing- oder Werbezwecke

  • Verkauf an Dritte

  • Öffentliche Bekanntgabe oder Fallstudien (ohne ausdrückliche Erlaubnis)

Authentifizierung und Zugriffskontrolle

Anforderungen an die Benutzerauthentifizierung

Alle KI-Interaktionen erfordern eine Authentifizierung:

  • Nachrichten können nur nach dem Login gesendet werden

  • Ein JWT-Token validiert jede API-Anfrage

  • Sitzungen laufen nach einer gewissen Zeit der Inaktivität ab

  • Sicherheit auf Zeilenebene (Row-level security) stellt sicher, dass Benutzer nur ihre eigenen Daten sehen

Schutz zwischen Benutzern (Cross-User Protection)

Eine Isolierung auf Datenbankebene verhindert unbefugten Zugriff:

  • Benutzer können nicht auf Konversationen anderer zugreifen

  • Versuche, auf Daten anderer zuzugreifen, geben leere Ergebnisse zurück

  • Alle Abfragen werden automatisch nach der authentifizierten Benutzer-ID gefiltert

  • Selbst Administratoren folgen dem Prinzip der minimalen Rechtevergabe (Least Privilege)

Best Practices für verantwortungsvolle KI

Für Benutzer

So erzielen Sie die besten Ergebnisse:

  • Stellen Sie spezifische, framework-bezogene Fragen (z. B. „Wie setze ich ISO 27001 Maßnahme A.8.1 um?“)

  • Geben Sie Kontext zu Ihrem Unternehmen und Ihren Compliance-Zielen an

  • Laden Sie relevante Dokumente für genaue Gap-Analysen hoch

  • Prüfen und verfeinern Sie KI-generierte Inhalte vor der Verwendung

Verifizierungspraktiken:

  • Gleichen Sie KI-Vorschläge mit offiziellen Standards ab

  • Validieren Sie kritische Informationen mit Compliance-Experten

  • Testen Sie KI-generierte Richtlinien in Ihrem organisatorischen Kontext

  • Nutzen Sie die KI als Assistenten, nicht als Ersatz für Fachkenntnisse

Präzisieren Sie Ihre Fragen: Statt „Erzähl mir was über ISO 27001“ fragen Sie lieber „Was sind die wichtigsten Schritte zur Implementierung einer Zugriffskontrollrichtlinie nach ISO 27001 Anhang A.9?“. Dies hilft der KI, genauere und praxisnahe Anleitungen zu geben.

Für Organisationen

Governance-Praktiken:

  • Dokumentieren Sie die Nutzung von ISMS Copilot in Ihrer KI-Governance-Richtlinie

  • Schulen Sie Mitarbeiter in der angemessenen Nutzung und den Grenzen des Tools

  • Legen Sie Datenaufbewahrungsfristen fest, die Ihren Richtlinien entsprechen

  • Prüfen Sie KI-generierte Inhalte vor der offiziellen Einreichung

  • Behalten Sie die menschliche Aufsicht bei kritischen Compliance-Entscheidungen bei

Risikomanagement:

  • Beziehen Sie KI-Tools in Ihre Datenschutz-Folgenabschätzungen (DSFA) ein

  • Dokumentieren Sie Auftragsverarbeitungsverträge mit ISMS Copilot

  • Setzen Sie angemessene Aufbewahrungsfristen für sensible Daten

  • Nutzen Sie Workspaces, um Daten verschiedener Kunden oder Projekte zu isolieren

KI-Governance in der Praxis

Über Sicherheitsbeschränkungen hinaus betreiben wir unsere KI-Systeme mit einer Governance über den gesamten Lebenszyklus. So werden unsere Richtlinien in die Praxis umgesetzt:

Entwicklungsprozess

Anforderungen und Tests:

  • Jede KI-Funktion verfügt über dokumentierte Anforderungen zu funktionalen Fähigkeiten, Leistungsschwellen, Sicherheitsgrenzen und Standards zur Datenbehandlung

  • Regressionstests werden bei jeder Codeänderung durchgeführt, um Abrufgenauigkeit, Antwortfundierung und Halluzinationserkennung zu validieren

  • Sicherheitstests umfassen SAST/DAST-Scans, jährliche Penetrationstests und Prompt-Injection-Tests

  • Ein Deployment erfolgt erst, wenn 100 % der Regressionstests bestanden sind und alle kritischen Schwachstellen behoben wurden

Architekturdetails (v2.5, Februar 2025):

  • Architektur mit dynamischer Framework-Wissensinjektion (ersetzt den vorherigen RAG-Ansatz)

  • Regex-basierte Framework-Erkennung gewährleistet zuverlässige Identifizierung von ISO 27001, SOC 2, DSGVO, HIPAA, CCPA, NIS 2, DORA, ISO 42001, ISO 27701, EU AI Act

  • Token-effizient: Nur relevantes Framework-Wissen wird geladen (statt ca. 10.000 Token bei jeder Anfrage zu senden)

  • Verifiziertes Framework-Wissen wird der KI vor der Antwortgenerierung bereitgestellt

  • Konfigurierbare KI-Anbieter (Mistral, xAI, OpenAI) mit Vereinbarungen zur Speicherung von null Daten (Zero Retention)

Detaillierte technische Spezifikationen unseres KI-Entwicklungsprozesses, einschließlich Anforderungen, Testverfahren und Deployment-Validierung, finden Sie in unseren Sicherheitsrichtlinien.

Überwachung und kontinuierliche Verbesserung

Was wir überwachen:

  • Halluzinationsraten, verfolgt durch Benutzerberichte und automatisierte Erkennung gegen bekannte Fakten (Ground Truth)

  • Antwortgenauigkeit, stichprobenartig geprüft gegen offizielle Compliance-Standards

  • Nutzungsmuster zur Erkennung von Missbrauch oder unbeabsichtigten Anwendungen

  • Leistungsmetriken (Antwortzeit, Abrufpräzision, Fehlerraten), die kontinuierlich gemessen werden

  • Benutzerfeedback, das regelmäßig auf neue Risiken geprüft wird

Wie die Überwachung Verbesserungen vorantreibt:

  • Benutzerfeedback fließt in Modell-Updates und Abruf-Tuning ein

  • Sicherheitstests führen zu verbesserten Schutzmechanismen

  • Regulatorische Änderungen und Best-Practice-Updates werden in die Dokumentation übernommen

  • Leistungsdaten leiten iterative Verbesserungen bei Genauigkeit und Geschwindigkeit

Reaktion auf Vorfälle (Incident Response)

Wie wir über Probleme kommunizieren:

  • E-Mail-Benachrichtigungen bei kritischen Vorfällen, die die KI-Funktionalität beeinträchtigen

  • Slack-Benachrichtigungen für Teams mit konfigurierten Integrationen

  • Updates auf der Statusseite mit Zeitplänen und Lösungen zu Vorfällen

  • NIS2-konforme Frühwarnmeldungen (24-Stunden-Berichterstattung bei erheblichen Cybersicherheitsvorfällen)

Abonnieren Sie unsere Statusseite, um Echtzeit-Benachrichtigungen über KI-Systemvorfälle, Wartungsfenster und Updates zu erhalten.

Melden von Sicherheitsproblemen

Wann Sie melden sollten

Kontaktieren Sie den ISMS Copilot Support, wenn Sie auf Folgendes stoßen:

  • KI-Antworten, die Sicherheitsbeschränkungen verletzen

  • Potenzielle Halluzinationen oder faktisch falsche Informationen

  • Urheberrechtsverletzungen in der KI-Ausgabe

  • Unangemessene Inhalte oder unangemessenes Verhalten

  • Sicherheitslücken im KI-System

  • Datenschutzverletzungen oder Datenlecks

Wie Sie melden

  1. Klicken Sie auf das Benutzermenü-Symbol (oben rechts)

  2. Wählen Sie Help CenterSupport kontaktieren

  3. Beschreiben Sie das Sicherheitsproblem mit:

    • Der exakten Frage oder dem Prompt, den Sie verwendet haben

    • Der Antwort der KI (Screenshot, wenn möglich)

    • Warum Sie dies für ein Sicherheitsrisiko halten

    • Datum und Uhrzeit der Interaktion

  4. Der Support wird das Problem untersuchen und innerhalb von 48 Stunden antworten

Das Melden von Sicherheitsproblemen hilft dabei, ISMS Copilot für alle zu verbessern. Ihr Feedback ist wertvoll, um potenzielle Risiken im Verhalten der KI zu identifizieren und zu beheben.

Was nach Ihrer Meldung passiert

Ihre Meldung löst unseren Governance-Prozess aus:

  1. Sofortige Prüfung (innerhalb von 48 Stunden): Das Support-Team bewertet Schweregrad und Auswirkungen

  2. Untersuchung: Das technische Team analysiert das Problem, reproduziert es und identifiziert die Ursache

  3. Rückmeldung: Sie erhalten ein Update zu den Ergebnissen und geplanten Maßnahmen

  4. Behebung: Probleme werden durch Modell-Updates, Abruf-Tuning, Code-Fixes oder Dokumentationsverbesserungen behoben

  5. Kontinuierliche Verbesserung: Gewonnene Erkenntnisse werden in Test- und Überwachungsprozesse integriert

Einschränkungen und bekannte Grenzen

Aktuelle KI-Einschränkungen

  • Kann das Internet nicht nach aktuellen Informationen durchsuchen (verwendet die trainierte Wissensdatenbank)

  • Kann nicht in Echtzeit auf externe Datenbanken oder APIs zugreifen

  • Kann keinen Code ausführen oder Sicherheitstools starten

  • Kann in Ihrem Namen keine Telefonanrufe tätigen oder E-Mails versenden

  • Kann keine 100%ige Genauigkeit garantieren (kritische Informationen immer verifizieren)

Bereichsgrenzen

  • Fokussiert auf ISMS und Compliance (keine Allzweck-KI)

  • Kann keine Rechts-, medizinische oder Finanzberatung außerhalb des Compliance-Kontexts leisten

  • Kann offizielle Standards oder das Urteil von Auditoren nicht ersetzen

  • Kann keinen Auditerfolg garantieren (Qualität der Implementierung zählt)

Was als Nächstes kommt

  • Erfahren Sie mehr über Datensicherheits- und Verschlüsselungsmaßnahmen

  • Verstehen Sie Ihre Datenschutzrechte gemäß DSGVO

  • Richten Sie Workspaces zur Datenisolierung ein

  • Besuchen Sie das Trust Center für detaillierte Dokumentationen zur KI-Governance

Hilfe erhalten

Bei Fragen zu KI-Sicherheit und verantwortungsvoller Nutzung:

  • Prüfen Sie das Trust Center für detaillierte Informationen zur KI-Governance

  • Kontaktieren Sie den Support über das Help Center Menü

  • Melden Sie Sicherheitsbedenken sofort zur Untersuchung

  • Prüfen Sie die Statusseite auf bekannte Probleme

War das hilfreich?