ISMS Copilot
Sicherheit

Sicherheitsrichtlinien

Diese Seite dokumentiert die offiziell von ISMS Copilot 2.0 übernommenen Sicherheitsrichtlinien als Teil unseres Informationssicherheits-Managementsystems (ISMS). Diese Richtlinien unterstützen unsere Konformität mit den Standards ISO 27001, SOC 2 und ISO 42001 und spiegeln unser Engagement für eine verantwortungsvolle AI-Entwicklung und den Datenschutz wider.

Diese Richtlinien steuern unsere internen Abläufe und die technische Implementierung. Details darüber, wie wir Ihre Daten in der Praxis schützen, finden Sie in unserer Sicherheits- & Datenschutzübersicht.

Zugriffskontrollrichtlinie

Wir schützen den Zugriff auf unsere Systeme und Daten durch strenge Authentifizierungs- und Autorisierungskontrollen.

Authentifizierung & Autorisierung

  • Multi-Faktor-Authentifizierung (MFA) ist für alle Benutzer, die auf kritische Dienste zugreifen, obligatorisch

  • Zugriffsberechtigungen werden nach dem Prinzip der geringsten Rechte (Least Privilege) vergeben

  • Eindeutig identifizierte Konten sind für jeden Produktionszugriff erforderlich; keine gemeinsam genutzten Anmeldedaten

  • Zugriffsberechtigungen von Mitarbeitern werden vierteljährlich überprüft, um die Übereinstimmung mit aktuellen Rollen sicherzustellen

  • Passwort-Manager werden von allen Teammitgliedern verwendet, um Anmeldedaten und API-Schlüssel zu sichern

Sitzungsmanagement

  • Sitzungsdauer-Beschränkungen und Anforderungen zur Re-Authentifizierung werden erzwungen

  • Sichere Verbindungen via TLS sind für alle Produktionszugriffe erforderlich

  • Datenbankzugriff ist ausschließlich auf interne Netzwerke beschränkt

Zugriffs-Lebenszyklus

  • Zugriffsbereitstellung wird vor der Vergabe von Berechtigungen auf Rollen-Passgenauigkeit geprüft

  • Offboarding von Mitarbeitern folgt dokumentierten Verfahren mit Kontodeaktivierung innerhalb von 24 Stunden

  • Notfallzugriff erfolgt über Break-Glass-Konten mit obligatorischer Protokollierung und Überprüfung nach dem Ereignis

Unsere Row-Level-Security-Architektur gewährleistet eine vollständige Datentrennung zwischen Kundenkonten und verhindert unbefugten Zugriff auch innerhalb unserer Infrastruktur.

Asset-Management-Richtlinie

Wir führen ein umfassendes Inventar und schützen alle Unternehmenswerte, von Mitarbeitergeräten bis hin zu proprietären Wissensdatenbanken.

Gerätesicherheit

  • Automatische Bildschirmsperre ist auf allen Mitarbeitergeräten konfiguriert

  • Verschlüsselung im Ruhezustand (Encryption at Rest) schützt sensible Daten auf Teamgeräten

  • Software-Updates werden automatisch gewartet, um die Anfälligkeit für Schwachstellen zu verringern

  • Anti-Malware-Software und konfigurierte Firewalls schützen vor Bedrohungen

  • Mobile Device Management (MDM) setzt Sicherheitsrichtlinien geräteübergreifend durch

  • Nur unterstützte Betriebssysteme: Geräte müssen Betriebssysteme/Software mit aktivem Herstellersupport ausführen

Datenhandhabung

  • Wechseldatenträger sind für Unternehmensdaten untersagt

  • Sicheres Löschen ist erforderlich, bevor ein Gerät verkauft, übertragen oder entsorgt wird

  • Nur genehmigte Aufgaben: Mitarbeitergeräte sind auf die autorisierte geschäftliche Nutzung beschränkt

  • Sichere physische Standorte sind erforderlich, wenn aus der Ferne auf Unternehmensdaten zugegriffen wird

Asset-Inventar

  • Asset-Tracking pflegt ein systematisches Inventar aller Unternehmenswerte, einschließlich proprietärer Wissensdatenbanken und Quellcode

  • Jährliche Überprüfungen stellen die Genauigkeit und Relevanz des Inventars sicher

  • Sichere Entsorgungsprozesse schützen ausgemusterte Assets vor Datenlecks

Ressourcen des KI-Systems

  • KI-Lebenszyklus-Ressourcen sind identifiziert und dokumentiert (LLM-Anbieter, RAG-Architekturkomponenten)

  • Datenressourcen für KI-Systeme sind dokumentiert (proprietäre KB)

  • Tooling-Ressourcen sind dokumentiert (Semgrep, Sentry)

  • Rechenressourcen sind dokumentiert (Vercel, Supabase Infrastruktur)

Richtlinie für Geschäftskontinuität, Backup & Wiederherstellung

Wir erhalten unsere Resilienz durch dokumentierte Disaster-Recovery-Verfahren und automatisierte Backup-Systeme.

Katastrophenwiederherstellung (Disaster Recovery)

  • Disaster Recovery Plan (DRP) wird gepflegt, vom Management genehmigt und jährlich aktualisiert

  • Wiederherstellungsziele definieren RTO (Recovery Time Objectives) und RPO (Recovery Point Objectives) für alle kritischen Systeme

  • Jährliche Tests validieren die Disaster-Recovery-Verfahren

  • Jährliche Überprüfungen bewerten Strategien zur Geschäftskontinuität und Redundanz, insbesondere nach größeren Änderungen wie der Hinzufügung von KI-Anbietern

Backup-Anforderungen

  • Kontinuierliche Backups der Produktionsdatenbanken schützen Kunden-Chatverläufe und hochgeladene Dateien; Point-in-Time-Wiederherstellung ist aktiviert

  • 7-Tage-Aufbewahrung als Minimum für Backups

  • Verschlüsselung für alle Backups im Ruhezustand und bei der Übertragung via Supabase-Verschlüsselung

  • Eingeschränkter Zugriff auf Backup-Systeme mit umfassender Protokollierung und Überwachung

  • Halbjährliche Wiederherstellungstests validieren die Backup-Integrität und Wiederherstellungsverfahren

  • Jährliche Failover-Validierung für Redundanz und Wiederherstellungsmechanismen in mehreren Regionen

Datenmanagement-Richtlinie

Wir behandeln Daten unter strengen Kontrollen, die an der DSGVO und Best Practices für den Datenschutz ausgerichtet sind.

Daten-Lebenszyklus

  • Dateninventar-Klassifizierungssystem kategorisiert alle Daten (Öffentlich, Intern, Vertraulich, Geheim)

  • Sicheres Löschen auf formelle Anfrage oder nach Ablauf der Aufbewahrungsfrist, um DSGVO-Rechte zu unterstützen

  • Datenminimierung—es werden nur Daten erhoben und gespeichert, die für definierte Zwecke erforderlich sind

  • Rechtmäßige Verarbeitungsgrundlagen sind dokumentiert (Einwilligung, Vertrag, rechtliche Verpflichtung, berechtigtes Interesse)

  • Verzeichnisse von Verarbeitungstätigkeiten dokumentieren Zwecke, Datenkategorien, Empfänger, Aufbewahrungsfristen und Sicherheitsmaßnahmen

Verschlüsselung & Transport

  • Minimum TLS 1.2 (idealerweise 1.3) für alle externen HTTP-Dienste via Vercel

  • HSTS-Header bei Produktions-Webanwendungen verhindern Protocol-Downgrade-Angriffe

  • AES-256 Verschlüsselung im Ruhezustand für alle Produktionsdatenbanken via Supabase

KI-Datenmanagement

  • Protokollierung der Datenerfassung verfolgt Quelldetails für proprietäre Inhalte der Wissensdatenbank

  • Verfolgung der Datenprovenienz während des gesamten KI-Lebenszyklus gewährleistet Rückverfolgbarkeit in unserer RAG-Architektur

  • Versionskontrolle und Zugriffsprotokolle verwalten Daten für die Entwicklung des KI-Systems

  • Datenqualitätsprüfungen gegen festgelegte Kriterien vor der Verwendung in KI-Systemen

  • Genehmigte Aufbereitungsmethoden standardisieren die RAG-Verarbeitung für eine konsistente Compliance-Beratung

Datenschutzrechte

  • Betroffenenrechte (Auskunft, Löschung, Berichtigung) werden innerhalb der gesetzlich vorgeschriebenen DSGVO-Fristen erfüllt

  • Sichere Entsorgung für ausgemusterte Assets, die sensible Daten speichern

  • Backup-Schutz—Backups folgen denselben Verschlüsselungs-, Aufbewahrungs- und Zugriffsregeln wie Produktionsdaten

Umfassende Details zu unseren Datenverarbeitungspraktiken finden Sie in unserer Dokumentation zu Datenschutz & DSGVO-Konformität.

Sichere Entwicklungsrichtlinie

Wir integrieren Sicherheit in unseren Entwicklungszyklus, vom Code-Commit bis zum Deployment in der Produktion.

Quellcodeschutz

  • Erstellen eines dedizierten Branches für jede neue Entwicklung

  • Geschützte Standard-Branches verhindern Force-Pushes in Produktions-Code-Repositorys

  • Pull-Request-Anforderungen—keine direkten Commits in geschützte Branches

  • Obligatorische Code-Review und Genehmigung vor dem Merge

  • Standardisierte Commit-Nachrichten verbessern die Rückverfolgbarkeit und Audit-Fähigkeit

Sicherheitstests

  • Automatisierte Tests werden für jeden Commit und Pull-Request vor dem Merge ausgeführt

  • Secret Scanning erkennt automatisch offengelegte Anmeldedaten via Semgrep

  • Überprüfung von Abhängigkeiten auf Schwachstellen bei allen Drittanbieter-Bibliotheken via Semgrep SCA

  • Container-Image-Scanning vor dem Deployment (falls zutreffend)

  • DAST (Dynamic Application Security Testing) in Staging-Umgebungen

  • SAST (Static Application Security Testing) via Semgrep bei allen Codeänderungen

  • Blockierung des Deployments, wenn kritische oder hochgradige Schwachstellen erkannt werden

  • Jährliche Penetrationstests auf Produktionssystemen

Entwicklungs-Workflow

  • Keine Arbeit an neuen Features, solange kritische Fehler noch Benutzer beeinträchtigen

  • Feature-spezifische Branches für isolierte Entwicklung und Tests

  • Staging-Umgebung spiegelt die Produktion für Pre-Production-Tests wider

  • Lokale Tests sind vor dem Commit in gemeinsame Branches erforderlich

  • Dokumentierter SDLC (Software Development Lifecycle) leitet Entwicklungsprozesse

  • Issue-Tracking-System zur Meldung und Verfolgung von Produktfehlern

  • Sicherheitsscans führen Code-Reviews durch und identifizieren Sicherheitsprobleme

  • Unit- und Integrationstests sind für die gesamte kritische Geschäftslogik erforderlich

Sicherheitskontrollen

  • Security Linters (ESLint) verhindern unsichere Codierungsmuster in TypeScript

  • Automatisierte Deployments folgen wiederholbaren, sicheren Verfahren via Vercel

  • Continuous Deployment Pipelines für genehmigte Codeänderungen

  • VCS-Zugriff folgt dem Least-Privilege-Prinzip mit obligatorischer MFA

  • Credential Rotation-Verfahren werden sofort nach Entdeckung geleakter Anmeldedaten ausgeführt

  • Sichere Vaults verwalten Secrets in CI/CD- und Entwicklungsumgebungen

  • Aktivitätsprotokollierung in Versionskontrollsystemen (GitHub-Audit-Logs)

Anwendungssicherheit

  • CORS-Richtlinien sind korrekt konfiguriert, um unbefugten Zugriff einzuschränken

  • CSP-Header (Content Security Policy) verhindern XSS- und Injektionsangriffe

  • Cookie-Sicherheit—HttpOnly- und Secure-Flags via Supabase Auth

  • CSRF-Schutz bei allen zustandsändernden Operationen

  • Certificate Pinning für kritische API-Verbindungen

  • Sicherheit von Fehlermeldungen—interne Fehler werden von Sentry behandelt und nicht den Benutzern angezeigt

  • Schutz vor SQL-Injektion durch parametrisierte Abfragen und ORMs in Supabase PostgreSQL

  • XSS-Schutz durch Eingabebereinigung und Ausgabekodierung

  • Eingabevalidierung hinsichtlich Typ, Format, Länge und Bereich vor der Verarbeitung

  • Rate Limiting für kritische Endpunkte (Authentifizierung, KI-Abfragen)

  • Webhook-Sicherheit via Signaturverifizierung und Authentifizierung

Datenschutz im Code

  • Keine Klartextpasswörter—Verschlüsselung auf Ebene der Datenbankzeilen

  • Nur unterstützte Abhängigkeiten—keine veralteten oder nicht unterstützten Bibliotheken in der Produktion

  • Externalisierte Konfiguration—keine hartkodierten Secrets im Anwendungscode

  • Versionskontrollierte Migrationen für Änderungen am Datenbankschema

  • Keine sensiblen Protokolle—Anmeldedaten und personenbezogene Daten (PII) werden niemals protokolliert

  • Speichersichere Sprachen (TypeScript) werden für neue Entwicklungen bevorzugt

Lizenzierung & Compliance

  • Nur lizenzierte Software—ordnungsgemäß lizenzierte, genehmigte und bezahlte Tools sind erforderlich

  • Keine Copyleft-Lizenzen (GPL v3) zum Schutz von proprietärem Code

  • Automatisierte Lizenzprüfung in CI/CD-Pipelines via Semgrep

  • Änderungskommunikation an interne Stakeholder und externe Benutzer bei größeren Updates

  • Qualitätssicherungs-Prozesse für alle Produktions-Releases

Unsere Semgrep-Integration scannt automatisch jede Codeänderung auf Schwachstellen, offengelegte Secrets und Lizenz-Compliance-Probleme vor dem Deployment.

Sichere Infrastrukturrichtlinie

Unsere Cloud-native Infrastruktur implementiert Defense-in-Depth mit automatisierten Sicherheitskontrollen.

Netzwerksicherheit

  • Web Application Firewall (WAF) Schutz via Vercel für alle öffentlich zugänglichen Anwendungen

  • Nur verschlüsselte Protokolle (TLS, SSH) für alle externen Verbindungen

  • Netzwerksegmentierung isoliert Produktions-, Staging- und Entwicklungsumgebungen in der Serverless-Architektur

  • Firewall-Regeln konfiguriert mit Least Privilege (Deny-by-Default) via Vercel

  • DDoS-Schutz aktiviert für internetzugewandte Ressourcen via Vercel

  • Minimum TLS 1.2 für alle verschlüsselten Kommunikationen

  • Direktes TLS bevorzugt gegenüber STARTTLS für verschlüsselte Verbindungen

  • DNSSEC aktiviert für verwaltete DNS-Zonen, um DNS-Spoofing zu verhindern

  • E-Mail-Authentifizierung (DKIM, SPF, DMARC) konfiguriert für ausgehende E-Mail-Domänen

Infrastrukturmanagement

  • Infrastructure as Code (IaC) verwaltet Vercel-Konfigurationen für Wiederholbarkeit

  • Zentralisierte Protokollierung via Sentry für alle Infrastrukturkomponenten, einschließlich der Erfassung der Benutzer-ID (nur UUID) in der Produktion für die Fehlerkorrelation und schnellere Fehlerbehebung

  • Auto-Scaling via Vercel konfiguriert, um die Verfügbarkeit bei Traffic-Spitzen aufrechtzuerhalten

  • Automatisierte Alarmierung für Sicherheitsvorfälle und anomales Verhalten via Semgrep und Sentry

  • Datenbankreplikation und automatisches Failover für kritische Datenbanken via Supabase Enterprise

  • Beschränkungen für Root-Konten—IAM Least Privilege, Root wird nicht für tägliche Operationen verwendet

  • Audit-Trails aktiviert (Supabase-Logs) und auf Compliance überwacht

  • Architektur-Dokumentation wird gepflegt und jährlich überprüft

Systemhärtung

  • Festplattenverschlüsselung auf allen Speichervolumes im Ruhezustand via Supabase aktiviert

  • Rootless Container, wo anwendbar, um Risiken der Privilegienerweiterung zu verringern

  • Automatisierte Sicherheitspatches in der Serverless-Umgebung

  • Kritische Patches werden innerhalb von 7 Tagen angewendet, Standardpatches innerhalb von 30 Tagen

  • Nur unterstützte Betriebssysteme, die aktive Sicherheitsupdates erhalten (gewährleistet durch Vercel Serverless)

  • LTS-Versionen für Produktionsstabilität

  • NTP-Synchronisierung für genaue Zeitstempel in Protokollen

  • Vierteljährliche Credential Rotation für Infrastruktur-Anmeldedaten (API-Schlüssel, Token)

Zugriff & Authentifizierung

  • Sichere Vaults (Cloud KMS) für die kryptografische Schlüsselaufbewahrung

  • Bastion-Hosts für den administrativen Zugriff auf die Produktionsinfrastruktur

  • Least-Privilege-Zugriff über IAM-Kontrollen

  • VPN/SSH/Cloud-native sicherer Zugriff für Produktionsinfrastruktur erforderlich

  • Service-Accounts mit eingeschränkten Privilegien für automatisierte Prozesse

  • Automatisiertes Zertifikatsmanagement via Vercel (Let's Encrypt)

  • Überwachung des Zertifikatsablaufs mit Warnungen 30, 14 und 7 Tage vor Ablauf

Compliance

  • Datenresidenz-Kontrollen für EU-Kunden (AWS Frankfurt) zur Einhaltung der DSGVO

Personal-Sicherheitsrichtlinie

Wir gewährleisten Sicherheitsbewusstsein und Verantwortlichkeit in unserem Team über den gesamten Mitarbeiter-Lebenszyklus hinweg.

Organisationsstruktur

  • Organigramm visualisiert die Unternehmensstruktur, vierteljährlich aktualisiert

  • Dokumentierte Rollen und Verantwortlichkeiten sind klar definiert (RACI-Modell für kleine Teams)

  • Stellenbeschreibungen dokumentieren sicherheitsrelevante Anforderungen für die Personalbeschaffung

Einstellung & Onboarding

  • Dokumentierte Einstellungsverfahren gewährleisten geprüfte Neueinstellungen und reduzieren Insider-Risiken

  • Arbeitsverträge enthalten NDAs und Vertraulichkeitsklauseln zum Schutz des geistigen Eigentums

  • Sicherheits-Onboarding umfasst MFA-Einrichtung und Schulung zu Sicherheitsrichtlinien

  • Security Awareness Training von allen Mitarbeitern absolviert

Laufendes Management

  • Jährliche Leistungsbeurteilungen unterstützen die Kompetenzentwicklung und das Sicherheitsbewusstsein

  • Richtliniendurchsetzung—Mitarbeiter, die gegen Sicherheitsrichtlinien verstoßen, müssen mit dokumentierten Sanktionen rechnen

  • Vorfallmeldung über Ticketsystem oder Support-E-Mail bei Sicherheitsbedenken

Offboarding

  • Dokumentierte Offboarding-Verfahren gewährleisten die Kontodeaktivierung und den Widerruf des Zugriffs (kritisch für Super-Admin-Rollen)

KI-spezifische Kompetenzen

  • Kompetenzen des KI-Personals werden durch Schulungen oder Einstellungen festgelegt und sichergestellt

  • KI-Ressourcendokumentation verfolgt Team-Fähigkeiten und Beiträge

  • Bewusstsein für KI-Richtlinien—Personal versteht seine Rolle bei der verantwortungsvollen KI-Entwicklung

Betriebssicherheitsrichtlinie

Wir erhalten die Betriebssicherheit durch Überwachung, Reaktion auf Vorfälle und kontinuierliche Verbesserung.

Infrastrukturbetrieb

  • Netzwerkarchitektur-Diagramm wird gepflegt und jährlich aktualisiert

  • Infrastruktur-Änderungsprotokollierung für Audit-Trails und Änderungsmanagement

  • NTP-Synchronisierung täglich für genaue Zeitstempel in Protokollen

  • Vierteljährliche Server-OS-Updates via Serverless-Automatisierung

  • Zentralisierte Protokollaggregation via Sentry, Erfassung von Benutzer-IDs (nur UUID) in der Produktion für Fehlerkorrelation

  • 30 Tage Protokollaufbewahrung für Anwendungs-Produktionsprotokolle

Bedrohungsmanagement

  • WAF-Schutz für Produktionsanwendungen (Vercel-Äquivalent)

  • Jährliche Penetrationstests der Produktionsumgebung

  • Aktive Bedrohungsüberwachung für Cloud-Infrastruktur via Semgrep und Sentry

  • Echtzeit-Überwachung via Sentry für proaktive Reaktion

  • Automatisierte Alarmierung für Sicherheitsvorfälle

Reaktion auf Vorfälle (Incident Response)

  • Formaler Vorfallreaktionsplan für kritische und Sicherheitsfragen

  • Slack-Alarme für die sofortige Benachrichtigung bei Produktionsausfällen

  • Vorfall-Review-Historie wird in einem zentralen Repository für Lerneffekte gepflegt

  • Teilen von Sicherheitsereignissen mit relevanten Parteien für Transparenz

  • NIS2-Compliance: Erhebliche Cybersecurity-Vorfälle werden den Behörden gemeldet (Frühwarnung innerhalb von 24 Stunden, Vorfallmeldung ohne ungebührliche Verzögerung, Abschlussbericht innerhalb eines Monats)

E-Mail-Sicherheit

  • SPF, DKIM, DMARC Protokolle sichern E-Mail-Server

  • Sicherheitsfilter für Spam- und Malware-Schutz

Kommunikation & Transparenz

  • Self-Service-Portal stellt den Benutzern Produktdokumentation zur Verfügung

  • Öffentliche Website beschreibt Features und Vorteile klar

  • E-Mail für Sicherheitsmeldungen für koordinierte Offenlegung von Schwachstellen

  • Trust Center detailliert Sicherheitspraktiken und Compliance-Zertifizierungen

  • Öffentliche Statusseite kommuniziert den Dienststatus und Vorfälle (geplant)

Risikominderung

  • Cyber-Versicherungsschutz schützt den Geschäftsbetrieb vor finanziellen Auswirkungen von Sicherheitsvorfällen

KI-Betrieb

  • KI-Systemüberwachung auf Leistung und Fehler, mit Behebung durch Retraining, Code-Fixes oder Updates

  • KI-Ereignisprotokollierung in wichtigen Phasen des Lebenszyklus mit umfassender Aufzeichnung

Physische Sicherheitsrichtlinie

Wir schützen physische Assets und Infrastruktur durch angemessene Sicherheitskontrollen.

  • Rechenzentrumssicherheit beruht auf zertifizierten Anbietern (Supabase/Vercel mit ISO 27001, SOC 2 Typ II Zertifizierungen)

  • Gefahrenabwehr für physische Standorte (Feuerlöscher etc.) als Teil der Risikobewertung

  • Physische Sicherheitsmaßnahmen implementiert für alle physischen Assets

  • Büro-Zugangskontrolle via Badge- oder Schlüsselsystem (falls zutreffend)

  • Besucherregistrierung in digitalem System zur Verfolgung des Bürozugangs

Risikomanagement-Richtlinie

Wir identifizieren, bewerten und behandeln Risiken für unsere Informationssicherheit und KI-Systeme systematisch.

Allgemeines Risikomanagement

  • Jährliche Risikobewertungen oder nach Bedarf identifizieren und bewerten Sicherheitsbedrohungen

  • DSFA (Datenschutz-Folgenabschätzungen) für Verarbeitungstätigkeiten mit hohem Risiko für personenbezogene Daten

KI-Risikomanagement

  • Jährliche KI-Risikoidentifikation für das KI-Managementsystem

  • KI-System-Risikobewertung unter Verwendung von Wahrscheinlichkeits- und Auswirkungsscores

  • Risikobehandlung durch Anwendung von Kontrollen, Akzeptanz, Transfer oder Vermeidung von Risiken

  • Folgenabschätzungen für Einzelpersonen und Gesellschaften mit dokumentierten Ergebnissen für Risikoüberprüfungen

  • Bewertungen in geplanten Intervallen oder bei Änderungen mit dokumentierten Ergebnissen

  • Risikobehandlungspläne implementiert, verifiziert und regelmäßig mit Dokumentation aktualisiert

Drittanbieter-Richtlinie

Wir bewerten und verwalten Sicherheitsrisiken von Drittanbietern und Dienstleistern.

  • Jährliche Anbieterbewertungen für Drittanbieter wie OpenAI und ConvertAPI

  • KI-Lebenszyklus-Verantwortlichkeiten zugewiesen zwischen Organisation, Partnern, Lieferanten, Kunden und Dritten

  • Lieferantenprüfung auf KI-Ausrichtung vor der Nutzung von Diensten, Produkten oder Materialien

  • Integration von Kundenbedürfnissen in den verantwortungsvollen KI-Ansatz

  • Cybersecurity-Risikobewertung der Lieferkette einschließlich Sicherheitsabhängigkeiten und Minderungsmaßnahmen

Wir haben Zero Data Retention (ZDR)-Vereinbarungen mit KI-Anbietern wie Mistral entwickelt, um den Datenschutz zu verbessern und die Verantwortlichkeiten von Drittanbietern zu klären.

KI-Management-Richtlinie

Wir steuern unsere KI-Systeme über einen umfassenden Managementrahmen, der an ISO 42001 ausgerichtet ist.

KI-Managementsystem

  • Externe und interne Themen, die für KI-Systeme relevant sind, festgelegt und dokumentiert

  • Interessierte Parteien identifiziert zusammen mit ihren Anforderungen

  • Grenzen und Anwendbarkeit des KI-Managementsystems definiert

  • Kontinuierliche Verbesserung des KI-Managementsystems

  • Engagement der obersten Leitung demonstriert (CEO-geführter "Practice what we preach"-Ansatz)

KI-Richtlinienrahmen

  • Dokumentierte KI-Richtlinie, die den Rahmen für Ziele und Verbesserungen bietet

  • Richtlinienausrichtung mit anderen organisatorischen Richtlinien

  • Bewertungen der KI-Richtlinie in geplanten Intervallen

  • Messbare KI-Ziele konsistent mit der Richtlinie, überwacht und aktualisiert (z. B. Metriken zur Reduzierung von Halluzinationen)

KI-Systemänderungen

  • Geplante Änderungen am KI-Managementsystem systematisch ausgeführt (z. B. Hinzufügen neuer KI-Anbieter)

  • Ressourcenzuweisung für das KI-Managementsystem festgelegt und bereitgestellt

  • Kommunikationsrahmen für interne und externe KI-Systemkommunikation (umfasst Trust Center)

  • Dokumentenschutz für Informationen des KI-Managementsystems

KI-Prozessmanagement

  • Anforderungsbasierte Prozesse geplant, implementiert und gesteuert

  • Leistungsüberwachung und Evaluierung mit Aufbewahrung von Nachweisen

  • Interne Audits in geplanten Intervallen

  • Management-Bewertungen zur Eignung des KI-Managementsystems

  • Korrekturmaßnahmen bei Nichtkonformitäten mit Dokumentation

KI-Folgenabschätzungs-Richtlinie

Wir bewerten die potenziellen Folgen unserer KI-Systeme auf Einzelpersonen und die Gesellschaft.

  • Jährliche Folgenabschätzungen der Auswirkungen von KI-Systemen auf Einzelpersonen und Gesellschaften

  • Dokumentierte Ergebnisse für Compliance- und Prüfzwecke aufbewahrt

  • Bewertung der Auswirkungen auf Einzelpersonen/Gruppen unter Berücksichtigung der Privatsphäre der Nutzer und potenzieller Verzerrungen (Biases)

  • Gesellschaftliche Folgenabschätzung ausgerichtet am EU-KI-Gesetz (EU AI Act) und breiteren ethischen Überlegungen

Richtlinie zum Lebenszyklus von KI-Systemen

Wir verwalten KI-Systeme verantwortungsbewusst vom Design über das Deployment bis zum Betrieb.

Entwicklungsziele

  • Ziele für verantwortungsvolle KI identifiziert, dokumentiert und in die RAG-Entwicklung integriert

  • Verantwortungsrichtlinien beim Design und der Entwicklung befolgt, um Halluzinationen zu reduzieren

Design & Entwicklung

  • Anforderungsspezifikation für KI-Systeme dokumentiert

  • Designdokumentation basierend auf Zielen und Anforderungen

  • Verifizierung und Validierung durch Regressionstests vor dem Deployment

  • Anforderungsbasiertes Deployment—Systeme werden erst bereitgestellt, wenn die Anforderungen erfüllt sind

  • Technische Dokumentation für relevante Parteien bereitgestellt (Team und Benutzer)

Nutzung & Informationen

  • Benutzerinformationen festgelegt und bereitgestellt (Benutzerhandbücher mit Erläuterung der Einschränkungen)

  • Meldemöglichkeit für negative Auswirkungen für Benutzerfeedback bereitgestellt

  • E-Mail-Benachrichtigungen bei KI-Vorfällen zur Vertrauensbildung

  • Berichtspflichten gegenüber interessierten Parteien festgelegt und dokumentiert

  • Richtlinien für verantwortungsvolle Nutzung für KI-Systeme befolgt

  • Nutzungsziele für verantwortungsvolle KI identifiziert und dokumentiert

  • Überwachung des beabsichtigten Zwecks gewährleistet eine auf Compliance ausgerichtete Nutzung

Richtlinien-Updates & Überprüfungen

Diese Richtlinien werden regelmäßig überprüft und aktualisiert, um die Ausrichtung an unserer sich entwickelnden Sicherheitssituation, Compliance-Anforderungen und Betriebspraktiken beizubehalten. Wesentliche Änderungen werden den Stakeholdern über angemessene Kanäle mitgeteilt.

Unsere Sicherheitsrichtlinien spiegeln unser Engagement wider, als compliance-fokussierte SaaS-Plattform das zu leben, was wir predigen. Wir implementieren dieselben robusten Sicherheitskontrollen, die wir unseren Kunden ermöglichen.

Zugehörige Ressourcen

War das hilfreich?