ISMS Copilot
Sicherheit

Sicherheitsrichtlinien

Diese Seite dokumentiert die Sicherheitsrichtlinien, die der ISMS Copilot 2.0 als Teil unseres Informationsmanagementsystems (ISMS) formell verabschiedet hat. Diese Richtlinien unterstützen unsere Compliance mit den Standards ISO 27001, SOC 2 und ISO 42001 und spiegeln unser Engagement für verantwortungsvolle KI-Entwicklung und Datenschutz wider.

Diese Richtlinien steuern unsere internen Abläufe und die technische Implementierung. Einzelheiten darüber, wie wir Ihre Daten in der Praxis schützen, finden Sie in unserer Sicherheits- & Datenschutzübersicht.

Zugriffskontrollrichtlinie

Wir schützen den Zugriff auf unsere Systeme und Daten durch strenge Authentifizierungs- und Autorisierungskontrollen.

Authentifizierung & Autorisierung

  • Multi-Faktor-Authentifizierung (MFA) ist für alle Benutzer, die auf kritische Dienste zugreifen, obligatorisch

  • Zugriffsberechtigungen werden nach dem Prinzip der minimalen Rechtevergabe (Least Privilege) erteilt

  • Eindeutig identifizierte Konten sind für jeden Produktionszugriff erforderlich; keine gemeinsam genutzten Anmeldedaten

  • Mitarbeiter-Zugriffsrechte werden vierteljährlich überprüft, um die Übereinstimmung mit den aktuellen Rollen sicherzustellen

  • Passwortmanager werden von allen Teammitgliedern verwendet, um Anmeldedaten und API-Schlüssel zu sichern

Sitzungsmanagement

  • Sitzungsdauerbegrenzungen und Anforderungen zur erneuten Authentifizierung werden erzwungen

  • Sichere Verbindungen über TLS sind für den gesamten Produktionszugriff erforderlich

  • Datenbankzugriff ist ausschließlich auf interne Netzwerke beschränkt

Zugriffslebenszyklus

  • Zugriffsbereitstellung wird vor der Erteilung von Berechtigungen auf Rolleneignung geprüft

  • Offboarding von Mitarbeitern folgt dokumentierten Verfahren mit Deaktivierung des Kontos innerhalb von 24 Stunden

  • Notfallzugriff erfolgt über Break-Glass-Konten mit obligatorischer Protokollierung und Überprüfung nach dem Ereignis

Unsere Row-Level-Security-Architektur gewährleistet eine vollständige Datentrennung zwischen Kundenkonten und verhindert unbefugten Zugriff selbst innerhalb unserer Infrastruktur.

Asset-Management-Richtlinie

Wir führen ein umfassendes Inventar und schützen alle Unternehmenswerte, von Mitarbeitergeräten bis hin zu proprietären Wissensdatenbanken.

Gerätesicherheit

  • Automatische Bildschirmsperre ist auf allen Mitarbeitergeräten konfiguriert

  • Verschlüsselung im Ruhezustand (at rest) schützt sensible Daten auf Teamgeräten

  • Software-Updates werden automatisch gewartet, um die Anfälligkeit für Schwachstellen zu verringern

  • Anti-Malware-Software und konfigurierte Firewalls schützen vor Bedrohungen

  • Mobile Device Management (MDM) setzt Sicherheitsrichtlinien geräteübergreifend durch

  • Nur unterstützte Betriebssysteme: Geräte müssen ein Betriebssystem/Software mit aktivem Herstellersupport ausführen

Datenhandhabung

  • Wechseldatenträger sind für Unternehmensdaten untersagt

  • Sichere Löschung ist erforderlich, bevor ein Gerät verkauft, übertragen oder entsorgt wird

  • Nur genehmigte Aufgaben: Mitarbeitergeräte sind auf die autorisierte geschäftliche Nutzung beschränkt

  • Sichere physische Standorte sind beim Remote-Zugriff auf Unternehmensdaten erforderlich

Asset-Inventar

  • Asset-Tracking führt ein systematisches Inventar aller Unternehmenswerte, einschließlich proprietärer Wissensdatenbanken und Quellcode

  • Jährliche Überprüfungen stellen die Genauigkeit und Relevanz des Inventars sicher

  • Sichere Entsorgungsprozesse schützen außer Betrieb genommene Assets vor Datenlecks

KI-Systemressourcen

  • KI-Lebenszyklus-Ressourcen werden identifiziert und dokumentiert (LLM-Anbieter, RAG-Architekturkomponenten)

  • Datenressourcen für KI-Systeme sind dokumentiert (proprietäre Wissensdatenbank)

  • Tooling-Ressourcen sind dokumentiert (Semgrep, Sentry)

  • Computing-Ressourcen sind dokumentiert (Vercel, Supabase-Infrastruktur)

Richtlinie für Betriebskontinuität, Backup & Wiederherstellung

Wir bewahren unsere Resilienz durch dokumentierte Disaster-Recovery-Verfahren und automatisierte Backup-Systeme.

Disaster Recovery

  • Wiederherstellungsplan (DRP) wird gepflegt, vom Management genehmigt und jährlich aktualisiert

  • Wiederherstellungsziele definieren RTO (Recovery Time Objectives) und RPO (Recovery Point Objectives) für alle kritischen Systeme

  • Jährliche Tests validieren die Disaster-Recovery-Verfahren

  • Jährliche Überprüfungen bewerten die Strategien zur Betriebskontinuität und Redundanz, insbesondere nach größeren Änderungen wie der Hinzufügung von KI-Anbietern

Backup-Anforderungen

  • Kontinuierliche Backups der Produktionsdatenbanken schützen Kunden-Chatverläufe und hochgeladene Dateien; Point-in-Time-Wiederherstellung ist aktiviert

  • 7 Tage Mindestspeicherdauer für Backups

  • Verschlüsselung für alle Backups im Ruhezustand und bei der Übertragung via Supabase-Verschlüsselung

  • Beschränkter Zugriff auf Backup-Systeme mit umfassender Protokollierung und Überwachung

  • Halbjährliche Wiederherstellungstests validieren die Backup-Integrität und Wiederherstellungsverfahren

  • Jährliche Failover-Validierung für Redundanz und Wiederherstellungsmechanismen in mehreren Regionen

Resilienz der KI-Anbieter

  • Circuit-Breaker-Monitoring überwacht den Status des primären KI-Anbieters (Anthropic) über eine Fehlerratenanalyse in einem gleitenden Zeitfenster

  • Automatisches Failover zum Backup-Anbieter (OpenAI), wenn der primäre Anbieter Ausfälle oder Leistungseinbußen verzeichnet

  • Automatische Wiederherstellungs-Probes testen den Status des primären Anbieters und stellen das normale Routing nach der Wiederherstellung wieder her

  • Benachrichtigung der Benutzer während des Failovers über persistente Banner-Hinweise bei gleichzeitiger Aufrechterhaltung der Servicekontinuität

  • Einschränkung für den reinen EU-Modus: Nutzer des Advanced Data Protection (exklusiv Mistral AI) haben kein Failover aufgrund der Verfügbarkeit nur eines EU-Anbieters; wir arbeiten an der Einbindung eines zweiten EU-Anbieters

  • Protokollierung von Failover-Events und Überprüfung nach Vorfällen zur kontinuierlichen Verbesserung

Datenmanagement-Richtlinie

Wir handhaben Daten unter strengen Kontrollen, die an der DSGVO und Best Practices für den Datenschutz ausgerichtet sind.

Datenlebenszyklus

  • Dateninventar-Klassifizierungssystem kategorisiert alle Daten (Öffentlich, Intern, Vertraulich, Geheim)

  • Sichere Löschung auf formelle Anfrage oder nach Ablauf der Aufbewahrungsfrist zur Unterstützung der DSGVO-Rechte

  • Datenminimierung—nur für definierte Zwecke notwendige Daten werden erhoben und gespeichert

  • Rechtmäßige Verarbeitungsgrundlagen sind dokumentiert (Einwilligung, Vertrag, rechtliche Verpflichtung, berechtigtes Interesse)

  • Verzeichnisse von Verarbeitungstätigkeiten dokumentieren Zwecke, Datenkategorien, Empfänger, Aufbewahrungsfristen und Sicherheitsmaßnahmen

Verschlüsselung & Transport

  • Mindestens TLS 1.2 (idealerweise 1.3) für alle externen HTTP-Dienste über Vercel

  • HSTS-Header in Produktions-Webanwendungen verhindern Protocol-Downgrade-Angriffe

  • AES-256-Verschlüsselung im Ruhezustand für alle Produktionsdatenbanken über Supabase

KI-Datenmanagement

  • Protokollierung der Datenerfassung verfolgt Quelldetails für proprietäre Wissensdatenbankinhalte

  • Verfolgung der Datenprovenienz über den gesamten KI-Lebenszyklus hinweg gewährleistet die Rückverfolgbarkeit in unserer RAG-Architektur

  • Versionskontrolle und Zugriffsprotokolle verwalten Daten für die KI-Systementwicklung

  • Datenqualitätsprüfungen gegen festgelegte Kriterien vor der Verwendung in KI-Systemen

  • Zugelassene Aufbereitungsmethoden standardisieren die RAG-Verarbeitung für eine konsistente Compliance-Beratung

Datenschutzrechte

  • Betroffenenrechte (Auskunft, Löschung, Berichtigung) werden innerhalb der gesetzlich vorgeschriebenen DSGVO-Fristen erfüllt

  • Sichere Entsorgung für außer Betrieb genommene Assets, die sensible Daten speichern

  • Backup-Schutz—Backups folgen denselben Regeln für Verschlüsselung, Aufbewahrung und Zugriff wie Produktionsdaten

Detaillierte Informationen zu unseren Datenverarbeitungspraktiken finden Sie in unserer Dokumentation zu Datenschutz & DSGVO-Compliance.

Richtlinie für sichere Entwicklung

Wir integrieren Sicherheit in unseren Entwicklungslebenszyklus, vom Code-Commit bis zum Deployment in der Produktion.

Quellcodeschutz

  • Einen dedizierten Branch erstellen für jede neue Entwicklung

  • Geschützte Standard-Branches verhindern Force-Pushes in Produktions-Code-Repositories

  • Pull-Request-Anforderungen—keine direkten Commits in geschützte Branches

  • Obligatorische Code-Review und Freigabe vor dem Merge

  • Standardisierte Commit-Nachrichten verbessern die Rückverfolgbarkeit und Audit-Fähigkeit

Sicherheitstests

  • Automatisierte Tests werden für jeden Commit und Pull Request vor dem Merge ausgeführt

  • Secret-Scanning erkennt automatisch offengelegte Anmeldedaten via Semgrep

  • Scannen von Abhängigkeiten auf Schwachstellen in allen Drittanbieter-Bibliotheken via Semgrep SCA

  • Container-Image-Scanning vor dem Deployment (falls zutreffend)

  • DAST (Dynamic Application Security Testing) in Staging-Umgebungen

  • SAST (Static Application Security Testing) via Semgrep bei allen Codeänderungen

  • Blockieren von Deployments, wenn kritische oder hochgradige Schwachstellen erkannt werden

  • Jährliche Penetrationstests auf Produktionssystemen

Entwicklungs-Workflow

  • Keine Arbeit an neuen Features, solange kritische Fehler die Benutzer beeinträchtigen

  • Feature-spezifische Branches für isolierte Entwicklung und Tests

  • Staging-Umgebung spiegelt die Produktion für Pre-Production-Tests wider

  • Lokales Testen ist erforderlich, bevor Commits in freigegebene Branches erfolgen

  • Dokumentierter SDLC (Software Development Lifecycle) leitet die Entwicklungsprozesse

  • Issue-Tracking-System zur Meldung und Verfolgung von Produktfehlern

  • Sicherheitsscanning führt Code-Reviews durch und identifiziert Sicherheitsprobleme

  • Unit- und Integrationstests sind für die gesamte kritische Geschäftslogik erforderlich

Sicherheitskontrollen

  • Sicherheits-Linter (ESLint) verhindern unsichere Codierungsmuster in TypeScript

  • Automatisierte Deployments folgen wiederholbaren, sicheren Verfahren über Vercel

  • Continuous-Deployment-Pipelines für genehmigte Codeänderungen

  • VCS-Zugriff folgt dem Prinzip der minimalen Rechtevergabe mit obligatorischer MFA

  • Rotation von Anmeldedaten wird sofort nach Entdeckung geleakter Anmeldedaten ausgeführt

  • Sichere Vaults verwalten Geheimnisse in CI/CD- und Entwicklungsumgebungen

  • Aktivitätsprotokollierung in Versionskontrollsystemen (GitHub-Audit-Logs)

Anwendungssicherheit

  • CORS-Richtlinien korrekt konfiguriert, um unbefugten Zugriff zu beschränken

  • CSP-Header (Content Security Policy) verhindern XSS- und Injektionsangriffe

  • Cookie-Sicherheit—HttpOnly- und Secure-Flags via Supabase Auth

  • CSRF-Schutz bei allen zustandsändernden Operationen

  • Certificate Pinning für kritische API-Verbindungen

  • Sicherheit von Fehlermeldungen—interne Fehler werden von Sentry verarbeitet und nicht für Benutzer offengelegt

  • SQL-Injection-Schutz durch parametrisierte Abfragen und ORMs in Supabase PostgreSQL

  • XSS-Schutz durch Input-Sanitizing und Output-Encoding

  • Eingabevalidierung für Typ, Format, Länge und Bereich vor der Verarbeitung

  • Rate Limiting für kritische Endpunkte (Authentifizierung, KI-Anfragen)

  • Webhook-Sicherheit durch Signaturverifizierung und Authentifizierung

Datenschutz im Code

  • Keine Passwörter im Klartext—Verschlüsselung auf Datenbankzeilenebene

  • Nur unterstützte Abhängigkeiten—keine veralteten oder nicht unterstützten Bibliotheken in der Produktion

  • Externalisierte Konfiguration—keine hartcodierten Geheimnisse im Anwendungscode

  • Versionskontrollierte Migrationen für Datenbank-Schemaänderungen

  • Keine sensible Protokollierung—Anmeldedaten und PII (personenbezogene Daten) werden niemals protokolliert

  • Speichersichere Sprachen (TypeScript) werden für Neuentwicklungen bevorzugt

Lizenzierung & Compliance

  • Nur lizenzierte Software—ordnungsgemäß lizenzierte, genehmigte und bezahlte Tools sind erforderlich

  • Keine Copyleft-Lizenzen (GPL v3) zum Schutz von proprietärem Code

  • Automatische Lizenzprüfung in CI/CD-Pipelines via Semgrep

  • Kommunikation von Änderungen an interne Stakeholder und externe Benutzer bei größeren Updates

  • Qualitätssicherungsprozesse für alle Produktions-Releases

Unsere Semgrep-Integration scannt automatisch jede Codeänderung auf Schwachstellen, offengelegte Geheimnisse und Lizenz-Compliance-Fragen vor dem Deployment.

Richtlinie für sichere Infrastruktur

Unsere Cloud-native Infrastruktur implementiert Defense-in-Depth mit automatisierten Sicherheitskontrollen.

Netzwerksicherheit

  • Web Application Firewall (WAF) Schutz über Vercel für alle öffentlich zugänglichen Anwendungen

  • Nur verschlüsselte Protokolle (TLS, SSH) für alle externen Verbindungen

  • Netzwerksegmentierung isoliert Produktions-, Staging- und Entwicklungsumgebungen in der Serverless-Architektur

  • Firewall-Regeln konfiguriert nach dem Least-Privilege-Prinzip (Deny-by-Default) über Vercel

  • DDoS-Schutz aktiviert für internetseitige Ressourcen über Vercel

  • Mindestens TLS 1.2 für die gesamte verschlüsselte Kommunikation

  • Direktes TLS bevorzugt gegenüber STARTTLS für verschlüsselte Verbindungen

  • DNSSEC aktiviert für verwaltete DNS-Zonen, um DNS-Spoofing zu verhindern

  • E-Mail-Authentifizierung (DKIM, SPF, DMARC) für ausgehende E-Mail-Domains konfiguriert

Infrastruktur-Management

  • Infrastructure as Code (IaC) verwaltet Vercel-Konfigurationen für Reproduzierbarkeit

  • Zentralisierte Protokollierung via Sentry für alle Infrastrukturkomponenten, einschließlich der Erfassung von Benutzer-IDs (nur UUID) in der Produktion zur Fehlerkorrelation und schnelleren Fehlerbehebung

  • Auto-Scaling über Vercel konfiguriert, um die Verfügbarkeit bei Traffic-Spitzen aufrechtzuerhalten

  • Automatisierte Alarmierung für Sicherheitsvorfälle und anomales Verhalten via Semgrep und Sentry

  • Datenbank-Replikation und automatisches Failover für kritische Datenbanken über Supabase Enterprise

  • Einschränkungen für Root-Accounts—IAM Least Privilege, Root wird nicht für alltägliche Aufgaben verwendet

  • Audit-Trails aktiviert (Supabase-Logs) und auf Compliance überwacht

  • Architektur-Dokumentation wird jährlich gepflegt und überprüft

System-Härtung

  • Festplattenverschlüsselung für alle Storage-Volumes im Ruhezustand über Supabase aktiviert

  • Rootless-Container, wo anwendbar, um Privilege-Escalation-Risiken zu reduzieren

  • Automatisierte Sicherheitspatches in der Serverless-Umgebung

  • Kritische Patches werden innerhalb von 7 Tagen angewendet, Standardpatches innerhalb von 30 Tagen

  • Nur unterstützte Betriebssysteme, die aktive Sicherheitsupdates erhalten (gewährleistet durch Vercel Serverless)

  • LTS-Versionen für Produktionsstabilität

  • NTP-Synchronisierung für genaue Zeitstempel in Protokollen

  • Vierteljährliche Rotation von Anmeldedaten für die Infrastruktur (API-Keys, Token)

Zugriff & Authentifizierung

  • Sichere Vaults (Cloud KMS) für die Speicherung kryptografischer Schlüssel

  • Bastion-Hosts für den administrativen Zugriff auf die Produktionsinfrastruktur

  • Zugriff nach minimalen Rechten über IAM-Kontrollen

  • VPN/SSH/Cloud-native sicherer Zugriff erforderlich für Produktionsinfrastruktur

  • Service-Accounts mit eingeschränkten Rechten für automatisierte Prozesse

  • Automatisierte Zertifikatsverwaltung über Vercel (Let's Encrypt)

  • Überwachung des Zertifikatsablaufs mit Alarmen 30, 14 und 7 Tage vor Ablauf

Compliance

  • Data-Residency-Kontrollen für EU-Kunden (AWS Frankfurt) zur Einhaltung der DSGVO

Personal-Sicherheitsrichtlinie

Wir gewährleisten Sicherheitsbewusstsein und Verantwortlichkeit in unserem Team über den gesamten Lebenszyklus der Mitarbeiter hinweg.

Organisationsstruktur

  • Organigramm visualisiert die Unternehmensstruktur, vierteljährlich aktualisiert

  • Dokumentierte Rollen und Verantwortlichkeiten klar definiert (RACI-Modell für kleine Teams)

  • Stellenbeschreibungen dokumentieren sicherheitsrelevante Anforderungen für die Personalbeschaffung

Einstellung & Onboarding

  • Dokumentierte Einstellungsverfahren gewährleisten geprüfte Einstellungen und reduzieren Insider-Risiken

  • Arbeitsverträge enthalten NDA- und Vertraulichkeitsklauseln zum Schutz geistigen Eigentums

  • Sicherheits-Onboarding umfasst MFA-Einrichtung und Training zu Sicherheitsrichtlinien

  • Security Awareness Training von allen Mitarbeitern absolviert

Laufendes Management

  • Jährliche Leistungsbeurteilungen unterstützen die Kompetenzentwicklung und das Sicherheitsbewusstsein

  • Durchsetzung der Richtlinien—Mitarbeiter, die gegen Sicherheitsrichtlinien verstoßen, müssen mit dokumentierten Sanktionen rechnen

  • Meldung von Vorfällen über das Ticketsystem oder per Support-E-Mail bei Sicherheitsbedenken

Offboarding

  • Dokumentierte Offboarding-Verfahren gewährleisten die Deaktivierung von Konten und den Widerruf des Zugriffs (kritisch für Super-Admin-Rollen)

KI-spezifische Kompetenzen

  • KI-Personalkompetenzen werden ermittelt und durch Schulung oder Einstellung sichergestellt

  • KI-Ressourcendokumentation verfolgt Teamfähigkeiten und Beiträge

  • KI-Richtlinienbewusstsein—Mitarbeiter verstehen ihre Rolle bei der verantwortungsvollen KI-Entwicklung

Betriebssicherheitsrichtlinie

Wir gewährleisten die Betriebssicherheit durch Überwachung, Reaktion auf Vorfälle und kontinuierliche Verbesserung.

Infrastrukturbetrieb

  • Netzwerkarchitekturdiagramm wird gepflegt und jährlich aktualisiert

  • Protokollierung von Infrastrukturänderungen für Audit-Trails und Change-Management

  • NTP-Synchronisierung täglich für genaue Zeitstempel in Protokollen

  • Vierteljährliche OS-Updates via Serverless-Automatisierung

  • Zentralisierte Protokollaggregation via Sentry, Erfassung von Benutzer-IDs (nur UUID) in der Produktion zur Fehlerkorrelation

  • 30 Tage Aufbewahrungsfrist für Anwendungsprotokolle aus der Produktion

Bedrohungsmanagement

  • WAF-Schutz für Produktionsanwendungen (Vercel-Äquivalent)

  • Jährliche Penetrationstests der Produktionsumgebung

  • Aktive Bedrohungsüberwachung für Cloud-Infrastruktur via Semgrep und Sentry

  • Echtzeit-Monitoring via Sentry für proaktive Reaktion

  • Automatisierte Alarmierung bei Sicherheitsvorfällen

Reaktion auf Vorfälle

  • Formaler Vorfallreaktionsplan für kritische und sicherheitsrelevante Probleme

  • Slack-Alarme für sofortige Benachrichtigung bei Produktionsausfällen

  • Verlauf der Vorfallsüberprüfung in einem zentralen Repository für gewonnene Erkenntnisse gepflegt

  • Teilen von Sicherheitsereignissen mit relevanten Parteien für Transparenz

  • NIS2-Compliance: Erhebliche Cybersicherheitsvorfälle werden den Behörden gemeldet (Frühwarnung innerhalb von 24 Stunden, Vorfallmeldung ohne unnötige Verzögerung, Abschlussbericht innerhalb eines Monats)

E-Mail-Sicherheit

  • SPF, DKIM, DMARC Protokolle sichern E-Mail-Server

  • Sicherheitsfilter für Spam- und Malware-Schutz

Kommunikation & Transparenz

  • Self-Service-Portal bietet Produktdokumentation für Benutzer

  • Öffentliche Website beschreibt klar Funktionen und Vorteile

  • E-Mail für Sicherheitsmeldungen für koordinierte Offenlegung von Schwachstellen

  • Trust Center detailliert Sicherheitspraktiken und Compliance-Zertifizierungen

  • Öffentliche Statusseite kommuniziert Servicestatus und Vorfälle (geplant)

Risikominderung

  • Cyber-Versicherungsschutz schützt den Geschäftsbetrieb vor finanziellen Auswirkungen von Sicherheitsvorfällen

KI-Betrieb

  • KI-Systemüberwachung auf Leistung und Fehler, mit Behebung durch Retraining, Code-Fixes oder Updates

  • KI-Ereignisprotokollierung in wichtigen Lebenszyklusphasen mit umfassender Aufzeichnung

Physische Sicherheitsrichtlinie

Wir schützen physische Assets und Infrastruktur durch angemessene Sicherheitskontrollen.

  • Rechenzentrumssicherheit stützt sich auf zertifizierte Anbieter (Supabase/Vercel mit ISO 27001, SOC 2 Typ II Zertifizierungen)

  • Bedrohungsminderung an physischen Standorten (Feuerlöscher etc.) als Teil der Risikobewertung

  • Physische Sicherheitsmaßnahmen für alle physischen Vermögenswerte implementiert

  • Bürozugangskontrolle über Badge- oder Schlüsselsystem (falls zutreffend)

  • Besucherregistrierung in digitalem System zur Verfolgung des Bürozugangs

Risikomanagement-Richtlinie

Wir identifizieren, bewerten und behandeln systematisch Risiken für unsere Informationssicherheit und KI-Systeme.

Allgemeines Risikomanagement

  • Jährliche Risikobewertungen oder nach Bedarf identifizieren und bewerten Sicherheitsbedrohungen

  • DSFA (Datenschutz-Folgenabschätzungen) für Verarbeitungstätigkeiten mit hohem Risiko für personenbezogene Daten

KI-Risikomanagement

  • Jährliche KI-Risikoidentifikation für das KI-Managementsystem

  • KI-Systemrisikobewertung mittels Wahrscheinlichkeits- und Auswirkungs-Scoring

  • Risikobehandlung durch Anwendung von Kontrollen, Akzeptanz, Transfer oder Vermeidung von Risiken

  • Folgenabschätzungen für Einzelpersonen und die Gesellschaft mit dokumentierten Ergebnissen für Risikoüberprüfungen

  • Assessments in geplanten Intervallen oder bei Änderungen mit dokumentierten Ergebnissen

  • Risikobehandlungspläne implementiert, verifiziert und mit Dokumentation aktualisiert

Drittanbieter-Richtlinie

Wir bewerten und verwalten Sicherheitsrisiken von Drittanbietern und Dienstleistern.

  • Jährliche Anbieterbewertungen für Drittlieferanten wie OpenAI und ConvertAPI

  • Zuweisung der KI-Lebenszyklus-Verantwortlichkeiten zwischen Organisation, Partnern, Lieferanten, Kunden und Dritten

  • Überprüfung von Lieferanten auf KI-Konformität vor Nutzung von Diensten, Produkten oder Materialien

  • Integration von Kundenbedürfnissen in den verantwortungsvollen KI-Ansatz

  • Cybersicherheits-Risikobewertung der Lieferkette einschließlich Sicherheitsabhängigkeiten und Minderungsmaßnahmen

Wir haben Zero-Data-Retention-Vereinbarungen (ZDR) mit KI-Anbietern wie Mistral entwickelt, um den Datenschutz zu verbessern und die Verantwortung von Drittanbietern zu klären.

KI-Managementrichtlinie

Wir steuern unsere KI-Systeme über ein umfassendes Management-Framework, das an der ISO 42001 ausgerichtet ist.

KI-Managementsystem

  • Externe und interne Themen, die für KI-Systeme relevant sind, werden ermittelt und dokumentiert

  • Interessierte Parteien identifiziert zusammen mit ihren Anforderungen

  • Abgrenzung und Anwendbarkeit des KI-Managementsystems definiert

  • Kontinuierliche Verbesserung des KI-Managementsystems

  • Engagement des Top-Managements demonstriert (CEO-geführter "practice what we preach" Ansatz)

KI-Richtlinienrahmen

  • Dokumentierte KI-Richtlinie, die den Rahmen für Ziele und Verbesserungen bildet

  • Richtlinien-Abgleich mit anderen Organisationsrichtlinien

  • Überprüfungen in geplanten Intervallen der KI-Richtlinie

  • Messbare KI-Ziele, die mit der Richtlinie konsistent sind, überwacht und aktualisiert (z. B. Metriken zur Reduzierung von Halluzinationen)

Änderungen am KI-System

  • Geplante Änderungen am KI-Managementsystem werden systematisch ausgeführt (z. B. Hinzufügen neuer KI-Anbieter)

  • Ressourcenzuweisung für das KI-Managementsystem festgelegt und bereitgestellt

  • Kommunikationsrahmen für interne und externe KI-System-Kommunikation (einschließlich Trust Center)

  • Dokumentenschutz für Informationen des KI-Managementsystems

KI-Prozessmanagement

  • Anforderungsbasierte Prozesse geplant, implementiert und gesteuert

  • Leistungsüberwachung und -bewertung mit Aufbewahrung von Nachweisen

  • Interne Audits in geplanten Intervallen

  • Management-Reviews zur Eignung des KI-Managementsystems

  • Korrekturmaßnahmen bei Nichtkonformitäten mit Dokumentation

Richtlinie zur KI-Folgenabschätzung

Wir bewerten die potenziellen Folgen unserer KI-Systeme auf Einzelpersonen und die Gesellschaft.

  • Jährliche Folgenabschätzungen der KI-System-Konsequenzen auf Einzelpersonen und Gesellschaften

  • Dokumentierte Ergebnisse aufbewahrt für Compliance- und Prüfzwecke

  • Bewertung individueller/gruppenbezogener Auswirkungen unter Berücksichtigung der Privatsphäre der Nutzer und potenzieller Bias

  • Gesellschaftliche Folgenabschätzung ausgerichtet am EU AI Act und breiteren ethischen Erwägungen

KI-System Lebenszyklus-Richtlinie

Wir verwalten KI-Systeme verantwortungsbewusst von der Konzeption über das Deployment bis zum Betrieb.

Entwicklungsziele

  • Ziele für verantwortungsvolle KI identifiziert, dokumentiert und in die RAG-Entwicklung integriert

  • Verantwortungsrichtlinien bei Design und Entwicklung befolgt, um Halluzinationen zu reduzieren

Design & Entwicklung

  • Anforderungsspezifikation für KI-Systeme dokumentiert

  • Design-Dokumentation basierend auf Zielen und Anforderungen

  • Verifizierung und Validierung durch Regressionstests vor dem Deployment

  • Anforderungsbasiertes Deployment—Systeme werden erst nach Erfüllung der Anforderungen bereitgestellt

  • Technische Dokumentation für relevante Parteien bereitgestellt (Team und Benutzer)

Nutzung & Information

  • Benutzerinformationen festgelegt und bereitgestellt (Benutzerhandbücher mit Erläuterung der Einschränkungen)

  • Meldung nachteiliger Auswirkungen ermöglicht Benutzerfeedback

  • E-Mail-Benachrichtigungen bei KI-Vorfällen zur Vertrauensbildung

  • Berichtspflichten gegenüber interessierten Parteien festgelegt und dokumentiert

  • Richtlinien zur verantwortungsvollen Nutzung für KI-Systeme befolgt

  • Nutzungsziele für verantwortungsvolle KI identifiziert und dokumentiert

  • Überwachung des beabsichtigten Zwecks gewährleistet eine auf Compliance ausgerichtete Nutzung

Richtlinienaktualisierungen & Überprüfungen

Diese Richtlinien werden regelmäßig überprüft und aktualisiert, um die Ausrichtung an unserer sich entwickelnden Sicherheitssituation, den Compliance-Anforderungen und den betrieblichen Praktiken beizubehalten. Wesentliche Änderungen werden den Stakeholdern über geeignete Kanäle mitgeteilt.

Unsere Sicherheitsrichtlinien spiegeln unser Engagement wider, das, was wir predigen, auch selbst zu praktizieren ("practicing what we preach") als Compliance-orientierte SaaS-Plattform. Wir implementieren dieselben robusten Sicherheitskontrollen, die wir unseren Kunden ermöglichen.

Zugehörige Ressourcen

War das hilfreich?