ISMS Copilot
KI-Sicherheit

Übersicht über KI-Sicherheit und verantwortungsvolle Nutzung

Übersicht

ISMS Copilot implementiert umfassende KI-Sicherheitsmaßnahmen, um eine zuverlässige, vertrauenswürdige und verantwortungsvolle KI-Unterstützung für Compliance-Experten zu gewährleisten. Dieser Artikel erläutert die Schutzmechanismen, Sicherheitsbeschränkungen und Praktiken für verantwortungsvolle KI, die in die Plattform integriert sind.

Für wen dieser Artikel ist

Dieser Artikel richtet sich an:

  • Compliance-Experten, die KI-Sicherheitsmaßnahmen bewerten

  • Risikomanager, die KI-Governance-Kontrollen prüfen

  • Sicherheitsteams, die besorgt über KI-Missbrauch sind

  • Alle, die verstehen möchten, wie ISMS Copilot eine verantwortungsvolle KI-Nutzung gewährleistet

Prinzipien der KI-Sicherheit

Das KI-Sicherheits-Framework von ISMS Copilot basiert auf vier Kernprinzipien:

1. Zweckbindung

Der KI-Assistent wurde ausschließlich für die Arbeit im Bereich Informationssicherheit und Compliance entwickelt:

  • Fokus auf ISMS-Frameworks (ISO 27001, SOC 2, DSGVO, NIST usw.)

  • Leitet themenfremde Fragen höflich auf Compliance-bezogene Themen um

  • Lehnt Anfragen zu schädlichen, illegalen oder unethischen Aktivitäten ab

  • Bleibt innerhalb der Grenzen der Unterstützung bei der Compliance-Beratung

Durch die Beschränkung des Umfangs der KI auf Compliance und Sicherheit reduziert ISMS Copilot das Risiko eines Missbrauchs und stellt Fachwissen in seinem spezialisierten Bereich sicher, anstatt zu versuchen, ein Allzweck-Assistent zu sein.

2. Transparenz und Ehrlichkeit

Der KI-Assistent erkennt seine Grenzen offen an:

  • Weist bei Bedarf explizit auf Unsicherheiten hin

  • Fordert Benutzer auf, wichtige Informationen zu verifizieren

  • Gibt zu, wenn er etwas nicht weiß, anstatt zu raten

  • Erklärt klar, was er tun kann und was nicht

3. Schutz von Urheberrecht und geistigem Eigentum

ISMS Copilot respektiert geistige Eigentumsrechte:

  • Wird keine urheberrechtlich geschützten ISO-Standards oder proprietäre Inhalte reproduzieren

  • Verweist Benutzer auf den Kauf offizieller Standards bei autorisierten Quellen

  • Bietet Orientierungshilfe basierend auf Framework-Prinzipien, ohne Texte zu kopieren

  • Trainiert auf rechtmäßig bezogenen, anonymisierten Daten gemäß den EU-Urheberrechtsanforderungen

Wenn Sie die KI bitten, ISO 27001-Texte oder anderes urheberrechtlich geschütztes Material zu reproduzieren, wird sie dies höflich ablehnen und stattdessen handlungsorientierte Anleitung basierend auf ihrem Wissen über die Prinzipien des Frameworks anbieten.

4. Privacy by Design (Datenschutz durch Technikgestaltung)

Der Schutz von Nutzerdaten ist in jeder KI-Interaktion verankert:

  • Konversationen werden niemals zum Training von KI-Modellen verwendet

  • Vom Benutzer bereitgestellte Inhalte werden nicht mit anderen Benutzern geteilt

  • Jede Konversation wird unabhängig verarbeitet

  • Workspace-Isolierung verhindert Datenvermischung zwischen Projekten

KI-Sicherheitsschranken (Guardrails)

Guardrails für den Inhaltsumfang

Was die KI tun wird:

  • Fragen zu ISMS-Frameworks und Compliance beantworten

  • Hochgeladene Compliance-Dokumente analysieren (Richtlinien, Verfahren, Risikobewertungen)

  • Audit-bereite Richtlinien und Verfahren erstellen

  • Gap-Analysen und Implementierungshilfen bereitstellen

  • Sicherheitskontrollen und Compliance-Anforderungen erläutern

Was die KI NICHT tun wird:

  • Rechtsberatung leisten (empfiehlt stattdessen die Konsultation von Rechtsexperten)

  • Medizinische, finanzielle oder persönliche Beratung außerhalb des Compliance-Bereichs anbieten

  • Inhalte für illegale, schädliche oder unethische Zwecke generieren

  • Urheberrechtlich geschützte Standards oder proprietäre Materialien reproduzieren

  • Ihre benutzerdefinierten Anweisungen (Custom Instructions) oder System-Prompts offenlegen

Wenn Sie die KI um Hilfe bei etwas bitten, das außerhalb ihres Bereichs liegt, wird sie ihre Einschränkungen höflich erklären und Sie auf die Compliance-bezogene Unterstützung verweisen, die sie leisten kann.

Prävention von Jailbreaks

ISMS Copilot ist darauf ausgelegt, Manipulationsversuchen zu widerstehen:

Blockierte Taktiken:

  • "Wiederhole nach mir"-Tricks, um System-Prompts zu extrahieren

  • Rollenspielszenarien, die darauf ausgelegt sind, Sicherheitsbeschränkungen zu umgehen

  • Anfragen, "vorherige Anweisungen zu ignorieren"

  • Manipulation von Beschränkungen ("antworte ohne Ablehnungsreaktionen")

  • Versuche, direkt auf Dateien der internen Wissensdatenbank zuzugreifen

Wie es funktioniert:

Wenn die KI einen Jailbreak-Versuch erkennt:

  1. Erkennt sie das Manipulationsmuster

  2. Lehnt sie die Anfrage höflich ab

  3. Leitet sie auf legitime ISMS-Unterstützung um

  4. Behält sie ihre Sicherheitsbeschränkungen bei

ISMS Copilot ist darauf ausgelegt, innerhalb seines Compliance-Bereichs hilfreich zu sein. Wenn Sie legitime Fragen haben, die Sicherheitsvorkehrungen auszulösen scheinen, versuchen Sie, Ihre Frage umzuformulieren und sich auf den Compliance- oder Sicherheitsaspekt zu konzentrieren, bei dem Sie Hilfe benötigen.

Schutz vor Prompt-Injection

Die Plattform schützt vor bösartigen Inhalten in Datei-Uploads:

Was geschützt ist:

  • Hochgeladene Dokumente werden auf Prompt-Injection-Versuche gescannt

  • In Dateien eingebettete bösartige Anweisungen werden stillschweigend abgelehnt

  • System-Prompts können nicht durch Dateiinhalte überschrieben werden

  • Sicherheitsbeschränkungen bleiben unabhängig vom Dateiinhalt aktiv

Benutzererfahrung:

  • Dateien werden aus Benutzersicht normal verarbeitet

  • Schädliche Anweisungen werden während der Verarbeitung herausgefiltert

  • Nur legitime Dokumenteninhalte werden analysiert

  • Keine sichtbare Fehlermeldung (stiller Schutz)

Wissensschutz-Guardrails

Die KI schützt ihre Trainingsdaten und die Systemkonfiguration:

Worauf Benutzer keinen Zugriff haben:

  • Benutzerdefinierte Anweisungen oder System-Prompts

  • Details zu den Quellen der Trainingsdaten

  • Direkter Zugriff auf Dateien der Wissensdatenbank

  • Download-Links für interne Dokumente

  • Informationen über die Struktur der Wissensdatenbank

Warum das wichtig ist:

Der Schutz von System-Prompts und Trainingsdaten verhindert:

  • Dass Angreifer verstehen, wie sie die KI manipulieren können

  • Urheberrechtsverletzungen durch Reproduktion von Trainingsmaterialien

  • Sicherheitsrisiken durch Offenlegung der Systemarchitektur

  • Inkonsistentes Verhalten durch modifizierte Anweisungen

Prävention von Halluzinationen

Was sind Halluzinationen?

KI-Halluzinationen treten auf, wenn die KI sicher klingende, aber faktisch falsche Informationen generiert. ISMS Copilot adressiert dies durch mehrere Mechanismen:

Dynamische Injektion von Framework-Wissen (v2.5)

Seit Februar 2025 eliminiert ISMS Copilot v2.5 Halluzinationen bei framework-spezifischen Fragen nahezu vollständig durch dynamische Wissensinjektion:

  • Erkennt Framework-Erwähnungen in Ihren Fragen mittels Regex-Musterabgleich (ISO 27001, DSGVO, SOC 2, HIPAA, CCPA, NIS 2, DORA, ISO 42001, ISO 27701)

  • Injiziert verifiziertes Framework-Wissen in den KI-Kontext, bevor Antworten generiert werden

  • KI antwortet basierend auf bereitgestelltem Framework-Wissen, nicht auf probabilistischem Gedächtnis

  • Nicht-KI-basierte Erkennung gewährleistet 100 % Zuverlässigkeit bei Erwähnung von Frameworks

  • Unterstützt 9 Frameworks mit dedizierter Wissensinjektion

Wenn Sie fragen „Was ist ISO 27001 Control A.5.9?“, erkennt das System ISO 27001, injiziert das Wissen und die KI antwortet auf Basis verifizierter Informationen – ohne Raten. Dies eliminiert fast vollständig erfundene Kontrollnummern und falsche Anforderungen.

Training auf Praxiswissen

Zusätzlich zur Wissensinjektion ist ISMS Copilot auf spezialisiertes Compliance-Wissen trainiert:

  • Propriitäre Bibliothek mit Compliance-Wissen aus Hunderten von realen Beratungsprojekten

  • Basierend auf praktischer Implementierungserfahrung, nicht auf theoretischen Informationen

  • Fokus auf Frameworks, Standards und bewährte Praktiken

  • Regelmäßig aktualisiert mit aktuellen Compliance-Anforderungen

Eingeständnis von Unsicherheit

Die KI ist angewiesen, ehrlich über Einschränkungen zu sein:

  • Gibt explizit an, wenn sie sich bei Informationen unsicher ist

  • Fordert Benutzer auf, kritische Informationen zu verifizieren

  • Vermeidet das Erfinden von Fakten bei unvollständigem Wissen

  • Empfiehlt bei Bedarf die Konsultation offizieller Standards oder Rechtsexperten

Beispielantwort:

"Obwohl ich allgemeine Hinweise zur ISO 27001-Kontrolle A.8.1 geben kann, ist es dennoch möglich, dass mir Fehler unterlaufen. Bitte verifizieren Sie diese Informationen für Audit-Zwecke mit der offiziellen Norm ISO 27001:2022."

Verantwortung des Benutzers zur Verifizierung

ISMS Copilot betont, dass Benutzer Folgendes tun sollten:

  • KI-Vorschläge mit offiziellen Standards abgleichen

  • Kritische Informationen vor der Einreichung bei Auditoren validieren

  • Die KI als Assistent des Beraters nutzen, nicht als Ersatz für Fachwissen

  • Professionelles Urteilsvermögen bei der Anwendung von KI-Empfehlungen walten lassen

Verifizieren Sie kritische Compliance-Informationen immer, bevor Sie sie in Audits oder offiziellen Einreichungen verwenden. ISMS Copilot ist darauf ausgelegt, das fachliche Urteilsvermögen und offizielle Standarddokumentationen zu unterstützen, nicht zu ersetzen.

Rate Limiting & Ressourcenschutz

Nachrichtenlimits (Rate Limits)

ISMS Copilot implementiert Rate Limiting, um Missbrauch zu verhindern und fairen Zugang zu gewährleisten:

Free Plan:

  • 10 Nachrichten pro rollierendem 4-Stunden-Fenster

  • Zähler setzt sich 4 Stunden nach der ersten Nachricht zurück

  • Wird sowohl im Frontend als auch im Backend erzwungen

Premium Plan:

  • Unbegrenzte Nachrichten

  • Keine Rate-Limiting-Beschränkungen

  • Bevorzugte Verarbeitung

Wenn das Limit erreicht ist:

Sie sehen die Fehlermeldung: "Tägliches Nachrichtenlimit erreicht. Bitte upgraden Sie auf Premium für unbegrenzte Nachrichten."

Um das Beste aus Ihren Nachrichten im kostenlosen Kontingent herauszuholen, stellen Sie umfassende Fragen und geben Sie Kontext in einer einzigen Nachricht an, anstatt mehrere kurze Fragen zu senden. Dies maximiert den Wert jeder Interaktion.

Datei-Upload-Limits

Datei-Uploads unterliegen Sicherheitsbeschränkungen zum Schutz der Systemressourcen:

Dateigröße:

  • Maximum: 10 MB pro Datei

  • Fehlermeldung: "Die Datei 'dokument.pdf' ist zu groß (15,23MB). Die maximal zulässige Größe beträgt 10MB."

Unterstützte Dateitypen:

  • TXT, CSV, JSON (Textdateien)

  • PDF (Dokumente)

  • DOC, DOCX (Microsoft Word)

  • XLS, XLSX (Microsoft Excel)

Upload-Beschränkungen:

  • Eine Datei nach der anderen (Batch-Upload wird nicht unterstützt)

  • Kein Hochladen doppelter Dateien für dieselbe Nachricht möglich

  • Nicht unterstützte Dateitypen werden mit einer Fehlermeldung abgelehnt

Temporärer Chat-Modus

Was ist ein temporärer Chat?

Der temporäre Chat-Modus bietet datenschutzfreundliche Konversationen mit spezifischer Datenhandhabung:

Wie es funktioniert:

  1. Wählen Sie "Temporärer Chat" auf dem Begrüßungsbildschirm

  2. Sie sehen den Hinweis: "Dieser Chat wird nicht im Verlauf angezeigt. Aus Sicherheitsgründen können wir eine Kopie dieses Chats für bis zu 30 Tage aufbewahren."

  3. Nachrichten senden und Dateien hochladen wie gewohnt

  4. Die Konversation wird nicht zu Ihrem Konversationsverlauf hinzugefügt

  5. Daten können für bis zu 30 Tage zur Sicherheitsüberprüfung aufbewahrt werden

Wann ein temporärer Chat sinnvoll ist:

  • Schnelle Einzelfragen, die nicht gespeichert werden müssen

  • Sensible Diskussionen, die Sie nicht im permanenten Verlauf haben möchten

  • Anfragen testen, bevor man sich auf einen Workspace festlegt

  • Explorative Recherche zu Compliance-Themen

Selbst im temporären Chat-Modus können Konversationen für bis zu 30 Tage zur Sicherheitsüberwachung und Missbrauchsprävention aufbewahrt werden. Dies hilft vor Missbrauch zu schützen, während es gleichzeitig Privatsphäre gegenüber Ihrem permanenten Verlauf bietet.

Steuerung der Datenaufbewahrung

Benutzergesteuerte Aufbewahrung

Sie entscheiden, wie lange Ihre Konversationsdaten gespeichert werden:

  1. Klicken Sie auf das Benutzermenü-Symbol (oben rechts)

  2. Wählen Sie Einstellungen

  3. Wählen Sie im Feld Datenaufbewahrungszeitraum:

    • Minimum: 1 Tag (hochsichere, kurzfristige Arbeit)

    • Maximum: 24.955 Tage / 7 Jahre (langfristige Dokumentation)

    • Oder klicken Sie auf Für immer behalten für unbefristete Aufbewahrung

  4. Klicken Sie auf Einstellungen speichern

Erwartetes Ergebnis: Der Einstellungsdialog schließt sich und der Aufbewahrungszeitraum wird gespeichert.

Automatische Datenlöschung

ISMS Copilot löscht alte Daten automatisch:

  • Löschauftrag läuft täglich

  • Entfernt Nachrichten, die älter als Ihr Aufbewahrungszeitraum sind

  • Löscht zugehörige hochgeladene Dateien

  • Permanent und kann nicht wiederhergestellt werden

Die Datenlöschung erfolgt automatisch und dauerhaft. Exportieren Sie wichtige Konversationen oder Dokumente, bevor sie gemäß Ihren Aufbewahrungseinstellungen ablaufen.

Sicherheitsfunktionen für Workspaces

Datenisolierung

Workspaces bieten Sicherheitsgrenzen für verschiedene Projekte:

Wie die Isolierung funktioniert:

  • Jeder Workspace hat einen separaten Konversationsverlauf

  • Hochgeladene Dateien sind an spezifische Workspaces gebunden

  • Benutzerdefinierte Anweisungen sind Workspace-spezifisch

  • Das Löschen eines Workspaces entfernt alle zugehörigen Daten

  • Die KI teilt keine Informationen zwischen Workspaces

Für Berater, die mehrere Kunden verwalten, stellen Workspaces sicher, dass Kundendaten vollständig isoliert bleiben. Sogar die KI behandelt jeden Workspace als separates Projekt ohne Kreuzkontamination von Informationen.

Sicherheit bei benutzerdefinierten Anweisungen

Workspaces ermöglichen benutzerdefinierte Anweisungen (Custom Instructions) mit Sicherheitsbeschränkungen:

Was Custom Instructions tun können:

  • Fokus auf bestimmte Compliance-Frameworks festlegen

  • Tonfall oder Detailgrad für Antworten festlegen

  • Projektspezifischen Kontext definieren (Branche, Unternehmensgröße)

  • KI auf spezifische Compliance-Ziele ausrichten

Sicherheitsbeschränkungen:

  • Benutzerdefinierte Anweisungen müssen Compliance-bezogen sein

  • Können Kern-Sicherheitsvorkehrungen nicht außer Kraft setzen

  • Können die KI nicht anweisen, Urheberrechtsschutz zu ignorieren

  • Können Beschränkungen des Inhaltsumfangs nicht umgehen

Kein Training auf Benutzerdaten

Datenschutzgarantie

ISMS Copilot verpflichtet sich, Ihre Daten niemals für das KI-Training zu verwenden:

Was das bedeutet:

  • Ihre Konversationen werden niemals in das KI-Modell zurückgeführt

  • Hochgeladene Dokumente bleiben vertraulich und privat

  • Kundeninformationen tragen niemals zur Modellverbesserung bei

  • Jede Konversation wird unabhängig verarbeitet, ohne Lerneffekt

Wie Sie das schützt:

  • Die Vertraulichkeit von Kundendaten bleibt gewahrt

  • Proprietäre Informationen bleiben privat

  • Sensible Compliance-Daten werden nicht mit anderen Benutzern geteilt

  • Kein Risiko, dass die KI versehentlich Ihre Informationen anderen gegenüber offenbart

Dies ist ein entscheidender Unterschied zu allgemeinen KI-Tools wie der kostenlosen Version von ChatGPT. ISMS Copilot garantiert, dass Ihre sensiblen Compliance-Daten niemals zur Verbesserung des Modells verwendet werden, was vollständige Vertraulichkeit für Ihre Kundenarbeit sicherstellt.

Transparenz bei der Datenverarbeitung

ISMS Copilot ist transparent darüber, wie Ihre Daten genutzt werden:

Wie Ihre Daten verwendet WERDEN:

  • Verarbeitung Ihrer Fragen zur Generierung von Antworten

  • Analyse hochgeladener Dokumente für Gap-Analysen

  • Aufrechterhaltung des Konversationskontexts innerhalb eines Workspaces

  • Speicherung von Daten gemäß Ihren Aufbewahrungseinstellungen

  • Sicherheitsüberwachung für bis zu 30 Tage (um Missbrauch zu verhindern)

Wie Ihre Daten NICHT verwendet werden:

  • Training oder Feinabstimmung von KI-Modellen

  • Weitergabe an andere Nutzer oder Kunden

  • Marketing- oder Werbezwecke

  • Verkauf an Dritte

  • Öffentliche Bekanntgabe oder Fallstudien (ohne ausdrückliche Erlaubnis)

Authentifizierung & Zugriffskontrolle

Anforderungen an die Benutzerauthentifizierung

Alle KI-Interaktionen erfordern eine Authentifizierung:

  • Senden von Nachrichten ohne Anmeldung nicht möglich

  • JWT-Token validiert jede API-Anfrage

  • Sitzungen laufen nach einem Zeitraum der Inaktivität ab

  • Row-Level Security stellt sicher, dass Benutzer nur ihre eigenen Daten sehen

Schutz vor nutzerübergreifendem Zugriff

Isolierung auf Datenbankebene verhindert unbefugten Zugriff:

  • Benutzer können nicht auf Konversationen anderer zugreifen

  • Der Versuch, auf Daten eines anderen Benutzers zuzugreifen, liefert leere Ergebnisse

  • Alle Abfragen filtern automatisch nach der authentifizierten Benutzer-ID

  • Selbst Administratoren folgen dem Prinzip der geringsten Rechtevergabe

Best Practices für verantwortungsvolle KI

Für Benutzer

So erzielen Sie die besten Ergebnisse:

  • Stellen Sie spezifische, Framework-bezogene Fragen (z. B. „Wie implementiere ich ISO 27001-Kontrolle A.8.1?“)

  • Geben Sie Kontext zu Ihrer Organisation und Ihren Compliance-Zielen an

  • Laden Sie relevante Dokumente für genaue Gap-Analysen hoch

  • Überprüfen und verfeinern Sie KI-generierte Inhalte vor der Verwendung

Praktiken zur Verifizierung:

  • KI-Vorschläge mit offiziellen Standards abgleichen

  • Kritische Informationen mit Compliance-Experten validieren

  • KI-generierte Richtlinien im Kontext Ihrer Organisation testen

  • KI als Assistent nutzen, nicht als Ersatz für Fachwissen

Formulieren Sie Ihre Fragen präzise: Anstatt „Erzähl mir von ISO 27001“, fragen Sie: „Was sind die wichtigsten Schritte zur Implementierung einer Zugriffskontrollrichtlinie für ISO 27001 Anhang A.9?“ Dies hilft der KI, genauere und handlungsorientierte Anleitungen zu geben.

Für Organisationen

Governance-Praktiken:

  • Vermeiden Sie die Nutzung von ISMS Copilot in Ihrer KI-Governance-Richtlinie

  • Schulen Sie Mitarbeiter in Bezug auf angemessene Nutzung und Einschränkungen

  • Legen Sie Aufbewahrungsfristen fest, die mit Ihren Richtlinien übereinstimmen

  • Überprüfen Sie KI-generierte Inhalte vor offiziellen Einreichungen

  • Behalten Sie die menschliche Aufsicht bei kritischen Compliance-Entscheidungen bei

Risikomanagement:

  • Beziehen Sie KI-Tools in Ihre Datenschutz-Folgenabschätzungen (DSFA) ein

  • Dokumentieren Sie Auftragsverarbeitungsverträge mit ISMS Copilot

  • Legen Sie angemessene Aufbewahrungsfristen für sensible Daten fest

  • Nutzen Sie Workspaces, um Daten verschiedener Kunden oder Projekte zu isolieren

KI-Governance in der Praxis

Über Sicherheitsbeschränkungen hinaus betreiben wir unsere KI-Systeme mit einer Governance über den gesamten Lebenszyklus. So werden unsere Richtlinien in greifbare Praktiken umgesetzt:

Entwicklungsprozess

Anforderungen & Tests:

  • Jede KI-Funktion verfügt über dokumentierte Anforderungen, die funktionale Fähigkeiten, Leistungsschwellenwerte, Sicherheitsbeschränkungen und Standards für die Datenverarbeitung abdecken

  • Regressionstests werden bei jeder Codeänderung durchgeführt, um die Genauigkeit des Abrufs, die Fundierung der Antworten und die Erkennung von Halluzinationen zu validieren

  • Sicherheitstests umfassen SAST/DAST-Scans, jährliche Penetrationstests und Prompt-Injection-Tests

  • Kein Deployment findet statt, bevor 100 % der Regressionstests bestanden sind und alle kritischen Schwachstellen behoben wurden

Architekturdetails (v2.5, Februar 2025):

  • Architektur zur dynamischen Injektion von Framework-Wissen (ersetzt den bisherigen RAG-Ansatz)

  • Regex-basierte Framework-Erkennung gewährleistet die zuverlässige Identifizierung von ISO 27001, SOC 2, DSGVO, HIPAA, CCPA, NIS 2, DORA, ISO 42001, ISO 27701

  • Token-effizient: Nur relevantes Framework-Wissen wird geladen (statt ca. 10.000 Token bei jeder Anfrage zu senden)

  • Verifiziertes Framework-Wissen wird der KI vor der Antwortgenerierung zur Verfügung gestellt

  • Konfigurierbare KI-Anbieter (Mistral, xAI, OpenAI) mit Verträgen zur Null-Datenaufbewahrung

In unseren Sicherheitsrichtlinien finden Sie detaillierte technische Spezifikationen unseres KI-Entwicklungsprozesses, einschließlich Anforderungen, Testverfahren und Deployment-Validierung.

Überwachung & kontinuierliche Verbesserung

Was wir überwachen:

  • Halluzinationsraten, die durch Benutzerberichte und automatisierte Erkennung gegen bekannte Fakten verfolgt werden

  • Antwortgenauigkeit wird stichprobenartig geprüft und gegen offizielle Compliance-Standards validiert

  • Nutzungsmuster werden analysiert, um Missbrauch oder unbeabsichtigte Anwendungen zu erkennen

  • Leistungskennzahlen (Antwortzeit, Abrufpräzision, Fehlerraten) werden kontinuierlich gemessen

  • Benutzerfeedback wird regelmäßig überprüft, um neue Risiken zu identifizieren

Wie Monitoring Verbesserungen vorantreibt:

  • Benutzerfeedback fließt in Modell-Updates und das Tuning des Abrufmechanismus ein

  • Sicherheitstestergebnisse führen zu Sicherheitsverbesserungen

  • Regulatorische Änderungen und Best-Practice-Updates werden in der Dokumentation reflektiert

  • Leistungsdaten steuern iterative Verbesserungen an Genauigkeit und Geschwindigkeit

Incident Response (Reaktion auf Vorfälle)

Wie wir über Probleme kommunizieren:

  • E-Mail-Benachrichtigungen bei kritischen Vorfällen, die die KI-Funktionalität beeinträchtigen

  • Slack-Benachrichtigungen für Teams mit konfigurierten Integrationen

  • Status Seite Updates mit Zeitplänen der Vorfälle und Lösungen

  • NIS2-konforme Frühwarnungen (24-Stunden-Meldung für signifikante Cybersicherheitsvorfälle)

Abonnieren Sie unsere Status Seite, um Echtzeit-Benachrichtigungen über KI-Systemvorfälle, Wartungsfenster und Updates zu erhalten.

Meldung von Sicherheitsproblemen

Wann Sie melden sollten

Kontaktieren Sie den Support von ISMS Copilot, wenn Ihnen Folgendes auffällt:

  • KI-Antworten, die gegen Sicherheitsbeschränkungen verstoßen

  • Mögliche Halluzinationen oder faktisch falsche Informationen

  • Urheberrechtsverletzungen in den KI-Ausgaben

  • Unangemessene Inhalte oder Verhaltensweisen

  • Sicherheitsanfälligkeiten im KI-System

  • Datenschutzverletzungen oder Datenlecks

So melden Sie Probleme

  1. Klicken Sie auf das Benutzermenü-Symbol (oben rechts)

  2. Wählen Sie Help CenterSupport kontaktieren

  3. Beschreiben Sie das Sicherheitsproblem mit folgenden Angaben:

    • Die genaue Frage oder den Prompt, den Sie verwendet haben

    • Die Antwort der KI (wenn möglich als Screenshot)

    • Warum Sie glauben, dass es sich um ein Sicherheitsproblem handelt

    • Datum und Uhrzeit der Interaktion

  4. Der Support wird das Anliegen untersuchen und innerhalb von 48 Stunden antworten

Das Melden von Sicherheitsproblemen hilft, ISMS Copilot für alle zu verbessern. Ihr Feedback ist wertvoll für die Identifizierung und Bewältigung potenzieller Risiken im KI-Verhalten.

Was nach Ihrer Meldung passiert

Ihre Meldung löst unseren Governance-Prozess aus:

  1. Sofortige Überprüfung (innerhalb von 48 Stunden): Das Support-Team bewertet Schweregrad und Auswirkungen

  2. Untersuchung: Das technische Team analysiert das Problem, reproduziert es und identifiziert die Ursache

  3. Antwort: Sie erhalten ein Update zu den Ergebnissen und geplanten Maßnahmen

  4. Behebung: Probleme werden durch Modell-Updates, Retrieval-Tuning, Code-Fixes oder Dokumentationsverbesserungen behoben

  5. Kontinuierliche Verbesserung: Gewonnene Erkenntnisse werden in Test- und Überwachungsprozesse integriert

Einschränkungen & Bekannte Grenzen

Aktuelle KI-Einschränkungen

  • Kann nicht im Internet nach aktuellen Informationen suchen (nutzt trainierte Wissensdatenbank)

  • Hat keinen Echtzeitzugriff auf externe Datenbanken oder APIs

  • Kann keinen Code ausführen oder Sicherheitstests durchführen

  • Kann keine Telefonanrufe tätigen oder E-Mails in Ihrem Namen versenden

  • Kann keine 100 %ige Genauigkeit garantieren (kritische Informationen immer verifizieren)

Grenzwerte des Umfangs

  • Fokussiert auf ISMS und Compliance (keine Allzweck-KI)

  • Kann keine Rechts-, Medizin- oder Finanzberatung außerhalb des Compliance-Kontexts bieten

  • Kann keine offiziellen Standards oder das Urteil eines Auditors ersetzen

  • Kann keinen Auditerfolg garantieren (die Qualität der Implementierung ist entscheidend)

Nächste Schritte

Hilfe erhalten

Bei Fragen zu KI-Sicherheit und verantwortungsvoller Nutzung:

  • Nutzen Sie das Trust Center für detaillierte KI-Governance-Informationen

  • Kontaktieren Sie den Support über das Help-Center-Menü

  • Melden Sie Sicherheitsbedenken umgehend zur Untersuchung

  • Prüfen Sie die Status Seite auf bekannte Probleme

War das hilfreich?