Von unserem Gastautor Max Heinemeyer, Global Field CISO, Darktrace

[datensicherheit.de, 26.02.2026] Die Einführung der ISO/IEC 42001 markiert einen wichtigen Meilenstein für die sichere und verantwortungsvolle Nutzung von Künstlicher Intelligenz (KI). Als weltweit erste Managementsystem-Norm für KI schafft sie einen strukturierten Rahmen – insbesondere für sicherheitskritische Bereiche wie die Cybersicherheit.

Max Heinemeyer, Global Field CISO, Darktrace, Bild: Darktrace

In einer Zeit, in der KI nicht nur Prozesse automatisiert, sondern zunehmend eigenständig Entscheidungen vorbereitet oder trifft, ist ein klar definiertes Governance-Modell unerlässlich. Gerade in sensiblen Umfeldern wie der Datenverarbeitung und IT-Sicherheit bietet ISO/IEC 42001 eine dringend benötigte Orientierung.

Warum ein KI-Standard notwendig ist

KI-Systeme sind heute weit mehr als unterstützende Werkzeuge. Sie priorisieren Sicherheitsvorfälle, analysieren große Datenmengen in Echtzeit und reagieren automatisiert auf Bedrohungen. Diese Fähigkeiten erhöhen die Geschwindigkeit und Effektivität der Cyberabwehr erheblich. Gleichzeitig entstehen neue Risiken: mangelnde Transparenz, algorithmische Verzerrungen, unklare Entscheidungslogiken oder zusätzliche Angriffsflächen für Manipulation.

Bis zur Einführung der ISO/IEC 42001 existierte kein global einheitlicher Standard, der Governance, Risikomanagement und Verantwortlichkeiten für KI-Systeme systematisch definiert. Die Norm schließt diese Lücke und bietet Organisationen einen strukturierten Rahmen, um KI sicher, nachvollziehbar und regulatorisch konform zu betreiben.

Die Struktur der ISO/IEC 42001

Im Kern definiert die Norm Anforderungen an ein „Artificial Intelligence Management System“ (AIMS). Die Struktur orientiert sich an etablierten ISO-Managementsystemen wie ISO/IEC 27001 und umfasst sieben zentrale Elemente:

Kontext der Organisation: Unternehmen müssen interne und externe Faktoren identifizieren, die Einfluss auf ihr KI-Managementsystem haben.

• Führung: Die Unternehmensleitung trägt Verantwortung für Governance-Strukturen und stellt sicher, dass KI-Strategien klar definiert und umgesetzt werden.
• Planung: Risiken und Chancen im Zusammenhang mit KI-Systemen müssen systematisch identifiziert, bewertet und dokumentiert werden.
• Unterstützung: Ressourcen, Kompetenzen, Schulungen und Kommunikationsstrukturen sind bereitzustellen, um eine wirksame Steuerung des KI-Managementsystems zu gewährleisten.
• Betrieb: Organisationen müssen Prozesse etablieren, die Entwicklung, Einsatz und Nutzung von KI-Systemen gemäß den definierten Richtlinien sicherstellen.
  Leistungsbewertung: Regelmäßige Überprüfung und Bewertung der Wirksamkeit des KI-Managementsystems sind verpflichtend.
• Verbesserung: Das System muss kontinuierlich weiterentwickelt und an neue Risiken oder regulatorische Anforderungen angepasst werden.

Darüber hinaus enthält Annex A konkrete Kontrollziele, unter anderem zur Datennutzung, zum Lebenszyklus von KI-Systemen, zur Bewertung gesellschaftlicher Auswirkungen sowie zum Management von Drittanbieterrisiken.

Ein zentraler Aspekt der Norm ist die Kompatibilität mit bestehenden Standards wie ISO/IEC 27001 (Informationssicherheit) und ISO/IEC 27018 (Schutz personenbezogener Daten in Cloud-Umgebungen). Dadurch lässt sich KI-Governance in bestehende Compliance-Strukturen integrieren.

ISO/IEC 42001-Zertifizierung in der Praxis

Nach rund elf Monaten Implementierungsphase und erfolgreichen Stage-1- und Stage-2-Audits durch das British Standards Institute (BSI) gehört Darktrace zu den ersten Cybersicherheitsunternehmen weltweit mit ISO/IEC 42001-Zertifizierung.

Im Rahmen der Auditierung wurden Menschen, Prozesse und Technologien umfassend geprüft. Die Zertifizierung umfasst ein breites Spektrum an KI-Technologien – von maschinellen Lernverfahren über Bayes’sche Modelle und neuronale Netze bis hin zu graphentheoretischen Analysen und spezialisierten Large-Language-Models.

Diese Technologien kommen unter anderem bei Anomalieerkennung, autonomer Reaktion, Bedrohungsanalyse und forensischen Untersuchungen zum Einsatz.

Ein wesentlicher Unterschied liegt dabei im Ansatz der selbstlernenden KI: Systeme lernen das individuelle Normalverhalten jeder Kundenumgebung – von der Cloud über das Netzwerk bis zum E-Mail-Verkehr – ohne auf statische Regeln oder bekannte Angriffssignaturen angewiesen zu sein. Dadurch lassen sich auch bislang unbekannte Angriffe in Echtzeit identifizieren.

Bedeutung für Verantwortliche in der Datensicherheit

Für Fachkräfte im Bereich Datenschutz und Informationssicherheit bietet ISO/IEC 42001 konkrete Vorteile:

• Strukturierte Dokumentation und Auditfähigkeit: Die Norm stellt ein prüfbares Rahmenwerk zur Bewertung von KI-Systemen bereit.
• Regulatorische Vorbereitung: Mit zunehmender Regulierung – etwa durch den EU AI Act – gewinnt nachweisbare Governance an strategischer Bedeutung.
• Vertrauensbildung: Eine Zertifizierung signalisiert Kunden, Partnern und Aufsichtsbehörden, dass KI nicht nur leistungsfähig, sondern auch verantwortungsvoll eingesetzt wird.

Damit fungiert ISO/IEC 42001 als internes Steuerungsinstrument und externes Vertrauenssignal zugleich.

Fazit: Ein notwendiger Schritt in die Zukunft

KI wird in der Cybersicherheit künftig eine noch zentralere Rolle einnehmen. Doch technologische Leistungsfähigkeit allein reicht nicht aus. Entscheidend ist ein Governance-Rahmen, der Transparenz, Kontrolle und kontinuierliche Verbesserung sicherstellt.

ISO/IEC 42001 ist kein rein regulatorisches Konstrukt, sondern ein praxisnahes Instrument für Organisationen, die KI verantwortungsvoll einsetzen möchten. Für Unternehmen im Bereich Datenschutz und Informationssicherheit empfiehlt es sich, die Norm frühzeitig in bestehende Managementsysteme zu integrieren – als Grundlage für eine nachhaltige und vertrauenswürdige KI-Strategie.

Über den Autor:

Max Heinemeyer ist ein Cyber-Sicherheitsexperte mit mehr als zehn Jahren Erfahrung in diesem Bereich. Sein Fokus liegt auf einer Vielzahl von Bereichen wie Penetrationstests, Red-Teaming, SIEM- und SOC-Beratung und die Jagd auf Advanced Persistent Threat (APT)-Gruppen. Bei Darktrace ist Heinemeyer eng mit den strategischen Kunden und Interessenten verbunden. Er arbeitet mit dem F&E-Team von Darktrace zusammen und gestaltet die Forschung zu neuen KI-Innovationen sowie deren verschiedenen defensiven und offensiven Anwendungen. Seine Erkenntnisse werden regelmäßig in internationalen Medien wie der BBC, Forbes und WIRED veröffentlicht. Er hat seinen Master of Science an der Universität Duisburg-Essen und seinen Bachelor of Science an der Dualen Hochschule Stuttgart in internationaler Wirtschaftsinformatik absolviert.

Weitere Informationen zum Thema:

datensicherheit.de, 21.01.2026
DAX-40-Unternehmen: Cybersicherheit von einer Randnotiz zum strategischen Kernthema

datensicherheit.de, 05.07.2016
KRITIS: TÜV Rheinland beschreibt fünf Vorteile der ISO 27001 für Betreiber

[datensicherheit.de, 04.09.2025] Die Digitalisierung betrifft inzwischen offensichtlich alle Branchen – so eben auch Versicherungsunternehmen. „Der verschärfte Wettbewerb, neue regulatorische Vorgaben und steigende Markt- und Kundenanforderungen erhöhen den Druck, die Digitale Transformation voranzutreiben. Ein entscheidender Hebel ist dabei die Agile Standardisierung“, kommentiert Andreas Everett, „Sales Director DACH“ bei Fadata, in seiner aktuellen Stellungnahme. Er führt weiter aus: „Zukunftsfähige Versicherungsprozesse basieren auf einheitlichen, standardisierten IT-Strukturen – nicht auf einem ,Patchwork’ isolierter Einzellösungen!“ Nur durch eine Standardisierung ließen sich Prozesse effizient, sicher und skalierbar gestalten. Diese schaffe die notwendige Basis, um Innovationen zu initiieren, regulatorische Anforderungen zuverlässig zu erfüllen und digitale Services konsistent bereitzustellen.

Foto: Fadata

Andreas Everett hebt hervor: Standardisierung von Versicherungsprozessen dient zunächst der Effizienzsteigerung und Kostensenkung

Standardisierte Strukturen unterstützten Unternehmenswachstum und flexible Reaktion auf Marktveränderungen

Die Standardisierung von Versicherungsprozessen biete zahlreiche Vorteile: „Zunächst dient sie der Effizienzsteigerung und Kostensenkung. Viele Aufgaben können automatisiert werden, so dass die Kosten und der Aufwand für Pflege oder Betrieb reduziert werden.“

• Zudem ließen sich neue Produkte oder Services schneller einführen und auf den Markt bringen. Standardisierte Strukturen unterstützten somit das Unternehmenswachstum und die flexible Reaktion auf Marktveränderungen.

Über Standardschnittstellen (APIs) seien dann relativ problemlos weitere, in der Versicherungswelt gängige Systeme wie Business-Intelligence-, Analyse- oder Dokumentenmanagement-Lösungen integrierbar. Die APIs erleichterten zudem den Datenaustausch zwischen Systemen und ermöglichten so die Integration in digitale „Ökosysteme“ oder das Schließen strategischer Partnerschaften.

Agile Standardisierung als strategischer Wettbewerbsvorteil

Standardisierte Prozesse seien darüber hinaus die Basis für die Nutzung von Innovationen in Bereichen wie z.B. Künstlicher Intelligenz (KI). „Nur auf klar strukturierten und durchgängigen Prozessen können Unternehmen schließlich digitale Optimierungen und Automatisierungen unter Nutzung neuer Technologien sinnvoll umsetzen.“

• Nicht zuletzt sei die Agile Standardisierung im internationalen Kontext ein strategischer Wettbewerbsvorteil.

„Versicherer, die auf eine SaaS-Plattform mit einheitlichen Prozessen setzen, verkürzen Implementierungszeiten erheblich.“ Ein rascher „Go-to-Live“-Prozess ermögliche es, neue Märkte schneller zu erschließen, Produkte zeitnah anzupassen und Innovationszyklen zu verkürzen.

Gut konzipiertes Standardmodell schafft die Basis, um individuelle Produkte und Services schneller zu entwickeln

Allerdings gebe es auch einige Vorbehalte gegenüber einer Standardisierung – diese seien aber leicht zu entkräften: „So wird vor allem angeführt, dass bei standardisierten Systemen spezifische Prozesse eines Versicherers nur mit Zusatzaufwand zu integrieren sind und auch die Flexibilität eingeschränkt wird…“

• Everett betont: „Die Standardisierung bedeutet aber in keinem Fall den Verlust von Differenzierungsmerkmalen oder Agilität!“ Im Gegenteil: Ein gut konzipiertes Standardmodell schaffe eben die Basis, auf der individuelle Produkte und Services schneller entwickelt werden könnten.

Geht ein Versicherer den Weg der Standardisierung, sollte er aber bei der Auswahl des Lösungspartners auf einen wichtigen Punkt achten. „Idealerweise bringt der Partner eine tiefgreifende Expertise aus unterschiedlichen Versicherungssparten und -systemen sowie einer Vielzahl von Ländern mit – fokussiert auf die branchenspezifischen Anforderungen“, so Everetts abschließende Empfehlung.

Weitere Informationen zum Thema:

fadata
Wir gestalten die Zukunft von Versicherungen

fadata, 06.08.2025
Andreas Everett wird neuer Sales Director DACH bei Fadata

it-agile
Auf dem Weg zur lernenden Organisation / Agile Skalierung über die Prinzipien / Agile Skalierung bedeutet, eine lernende Organisation zu gestalten. Dabei hilft es nicht, einen Blueprint für Skalierung (wie z. B. das Scaled Agile Framework) zu kopieren. Stattdessen müssen die agilen Prinzipien konsequent angewendet werden, um den eigenen Weg zu finden.

datensicherheit.de, 24.06.2025
Versicherungen: Bereitschaft der Kunden zur komplett digitalen Abwicklung von Schadensfällen nimmt weiter zu / Rund die Hälfte der Deutschen würde einen Schadensfall am liebsten komplett digital mit ihrer Versicherung abwickeln

datensicherheit.de, 14.10.2019
Steigende Betrugsfälle bei Online-Plattformen von Versicherungsanbietern / Ein Kommentar Jelle Wieringa, Security Awareness Advocate bei KnowBe4

[datensicherheit.de, 31.03.2025] Heute, am 31. März, tritt die neueste Version des Payment Card Industry Data Security Standard (PCI DSS) in Kraft – Version 4.0*. PCI DSS 4.0 verlangt nicht nur, dass digitale Identitäten eindeutig Personen zugeordnet werden, sondern legt zudem den Fokus auf die Aufrechterhaltung robuster Sicherheitsmaßnahmen angesichts sich ständig weiterentwickelnder Cyberbedrohungen. Organisationen, die mit Zahlungskartendaten arbeiten, müssen verbesserte Sicherheitsanforderungen umsetzen – darunter auch starke Multi-Faktor-Authentifizierung (MFA). Obwohl diese Maßnahmen bereits seit einiger Zeit als Best Practices gelten, ist ihre vollständige Umsetzung nun verpflichtend.

Alexander Koch, SVP Sales EMEA bei Yubico, &Copy; Yubico

Alexander Koch, SVP Sales EMEA bei Yubico, bewertet PCI DSS 4.0 und erklärt, wie Unternehmen die Sicherheit im Zahlungsverkehr stärken können:

„Der heutige Stichtag für PCI DSS 4.0 bedeutet, dass Unternehmen, die Zahlungskartendaten verarbeiten, zwingend robuste Sicherheitsvorkehrungen treffen müssen – einschließlich moderner MFA. Das ist besonders relevant, da diese Unternehmen durch die Fülle sensibler Finanzdaten bevorzugte Ziele für Cyberkriminelle sind – etwa durch Phishing-Angriffe.

Ein Versäumnis, die neuen Vorgaben vollständig umzusetzen, führt nicht nur zum Verlust der Zertifizierung und zu hohen Bußgeldern – es erhöht auch das Risiko, Opfer immer raffinierterer Cyberangriffe wie Phishing zu werden. Unternehmen in Branchen mit Zahlungsverkehr – etwa Finanzdienstleister oder der Einzelhandel – riskieren darüber hinaus einen erheblichen Reputationsschaden und Vertrauensverlust bei Kunden und Stakeholdern, sollte es zu einem Angriff kommen. Eine solche Krise ist in diesen Branchen nur schwer zu bewältigen.

Besonders wichtig: PCI DSS 4.0 schreibt den Einsatz starker, moderner MFA vor – im Einklang mit den Best Practices der FIDO Alliance, die auf FIDO-basierte Authentifizierung setzt. Das stärkt die Cybersicherheit von Finanzinstituten und Organisationen, die mit Zahlungsinformationen umgehen. Um konform zu bleiben, müssen Unternehmen phishing-resistente MFA für alle Mitarbeitenden einführen und gleichzeitig ihre Belegschaft für den Umgang mit Phishing sensibilisieren. MFA-Lösungen mit phishing-resistenten, gerätegebundenen Zugangsschlüsseln stellen sicher, dass selbst bei kompromittierten Zugangsdaten kein Zugriff auf Informationen möglich ist – es sei denn, der physische Sicherheitsschlüssel ist ebenfalls in Besitz der Angreifer. Der Einsatz solcher hochsicheren Lösungen hilft Unternehmen nicht nur, den Anforderungen von PCI DSS 4.0 gerecht zu werden, sondern unterstreicht auch ihr Engagement für den Schutz von Kundendaten und die Integrität ihrer Marke.

Diese Frist markiert einen entscheidenden Wendepunkt für Unternehmen, die Zahlungsinformationen verarbeiten. Die Einhaltung der neuen Anforderungen ist essenziell, um Sicherheitslücken zu schließen, Strafen zu vermeiden und langfristige Schäden abzuwenden.“

Weitere Informationen zum Thema:

datensicherheit.de, 25.09.2018
PCI DSS: Verizon 2018 Payment Security Report veröffentlicht

[datensicherheit.de, 22.01.2024] Die Europäische Akademie für Informationsfreiheit und Datenschutz e.V. (EAID) lädt Entscheider und Interessierte aus Politik, Wirtschaft, Forschung, Zivilgesellschaft und Datenschutz anlässlich des „Europäischen Datenschutztags 2024“ zu einer Diskussionsveranstaltung zur Regulierung der Künstlichen Intelligenz (KI) ein. Diese Veranstaltung wird hybrid angeboten.

Am 7. Dezember 2023 wurde EU-weite verbindliche KI-Regelung beschlossen

Am 7. Dezember 2023 – zweieinhalb Jahre nach Vorlage des Entwurfs des Gesetzes über Künstliche Intelligenz (AI Act / KI-Verordnung) – haben sich das Europäische Parlament, der Rat und die Europäische Kommission nach zähen Verhandlungen geeinigt und damit den Grundstein für die EU-weite verbindliche Regelung einer jungen, aber rasant wachsenden Technologie gelegt. EU-Kommissar Thierry Bréton habe diesen Kompromiss sogar als „historischen Schritt“ bezeichnet.

Strittig seien bis zuletzt Fragen der Regulierung von KI-Basismodellen und biometrischer Verfahren wie etwa der Echtzeit-Gesichtserkennung im Öffentlichen Raum gewesen. „Nur wenige Wochen zuvor hatte US-Präsident Biden mit einer ,Executive Order’ einen umfassenden Rahmen für die Anwendung von Künstlicher Intelligenz in der Wirtschaft wie auch im öffentlichen Sektor festgelegt.“

Erörterung, ob der europäische Gesetzgeber einen geeigneten Weg zur Regulierung im Spannungsfeld von Bürgerrechten und Innovation aufzeigt

Auch wenn das europäische KI-Gesetz erst in ca. zwei Jahren in Kraft treten werde, stellten sich bereits jetzt zahlreiche Fragen der Konkretisierung und Umsetzung in die Praxis. Bei dieser Veranstaltung werde es aber in erster Linie um die Frage gehen, „ob der europäische Gesetzgeber tatsächlich einen Weg gefunden hat, um den notwendigen zukunftsfähigen Ausgleich zwischen dem Schutz der Bürgerrechte und der Ermöglichung von Innovation herbeizuführen“.

Dabei soll es laut EAID vor allem um diese Fragen gehen:

• „Ist der Ansatz des europäischen Gesetzgebers, KI-Technologien in (abstrakte) Risikoklassen einzuteilen, sinnvoll ? Was wäre die Alternative gewesen?“
• „Wie verhält sich die KI-Verordnung zur Datenschutz-Grundverordnung (DS-GVO), die ihrerseits bereits weitreichende Informations- und Transparenzvorgaben für Systeme der automatisierten Entscheidungsfindung enthält, wie der EuGH jüngst festgestellt hat? Welchen Mehrwert bringt die KI-Verordnung gegenüber der DS-GVO?“
• „Räumt die KI-Verordnung der Selbstregulierung durch ,Codes of Practice’ einen zu hohen Stellenwert ein?“
• „Welche Folgen hat die verzögerte Behandlung der KI-Haftungsrichtlinie?“
• „Kann die KI-Verordnung – ähnlich wie die DS-GVO für den Datenschutz – zu einem internationalen Goldstandard für die Regulierung der Künstlichen Intelligenz werden?“

Exportschlager AI Act – Setzt die EU einen weltweiten Standard für die KI-Regulierung?

Montag, 29. Januar 2024, 18.00 Uhr bis 20.00 Uhr
(im Anschluss Gelegenheit zu einem ,Get Together’ bei kleinem Imbiss und Getränken)
Europäische Akademie Berlin, Bismarck-Allee 46/48, 14193 Berlin
Präsenzveranstaltung mit begleitendem Internet-Streaming. Teilnahme kostenlos – Anmeldung erforderlich:

Zur Präsenz-Veranstaltung per E-Mail an dst24@eaid-berlin.de
oder
zur Online-Teilnahme per E-Mail an dst24-online@eaid-berlin.de
(Zugangsdaten für die Online-Teilnahme: https://meet.goto.com/465113565)

Alternativ Einwahl per Telefon mit dem Zugangscode 465-113-565:
Germany: +49 721 9881 4161

Einführungsstatements und anschließende Paneldiskussion (ohne Gewähr):

• Dr. Sergey Lagodinsky, MdEP, Stellv. Vorsitzender des Rechtsausschusses des Europäischen Parlaments
• Axel Voss, MdEP, Mitglied des Rechtsausschusses des Europäischen Parlaments
• Prof. Dr. Ute Schmid, Leiterin des Lehrstuhls für Kognitive Systeme an der Otto-Friedrich-Universität Bamberg
• Kilian Vieth-Ditlmann, Stellv. Leiter des Advocacy & Policy-Teams, AlgorithmWatch, Berlin
• Marc Rotenberg, Präsident des Center for AI and Digital Policy, Washington D.C.

Moderation: Dr. Alexander Dix, LL.M. (EAID); Begrüßung Peter Schaar (EAID).

Weitere Informationen zum Thema:

EAID
29.1.2024: Exportschlager AI Act – Setzt die EU einen weltweiten Standard für die KI-Regulierung?

[datensicherheit.de, 25.05.2023] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bewertet nach eigenen Angaben die Datenschutz-Grundverordnung (DSGVO) als „europäisches Erfolgsmodell“, welches demnach eine verbesserte Rechtsdurchsetzung garantiert.

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber fordert eine Herstellerhaftung auch im Datenschutz

DSGVO hat in Europa neuen Standard mit Vorbildcharakter gesetzt

„Zu Beginn gab es natürlich einige Unsicherheit bei allen Beteiligten, wie sie bei der Einführung eines großen, neuen Rechtssystems vollkommen normal sind. Inzwischen bewegen wir uns zunehmend in sicherem und berechenbarem Fahrwasser“, kommentiert der BfDI, Prof. Ulrich Kelber:. Gerade die letzten Entscheidungen in grenzüberschreitenden Fällen hätten dabei gezeigt, dass sich auch die großen internationalen Anbieter an Recht und Gesetz halten müssten.

Zur Vorbildwirkung führt Professor Kelber aus: „Die DSGVO hat in Europa einen neuen Standard gesetzt, der zunehmend weltweit Eingang in die Datenschutzregeln anderer Länder findet. Auch sie wollen so einen freien Datenverkehr ermöglichen, der Vertrauen bei den Bürgerinnen und Bürgern findet.“ Zu den Ländern, welche sich an der DSGVO orientieren, gehörten u.a. Japan, Korea, Israel, Brasilien und immer mehr US-Staaten.

DSGVO hilft, geltendes Recht durchzusetzen

Zukünftige Herausforderungen sieht der BfDI insbesondere bei der konkreten Regulierung von neuen Technologien, wie z.B. Künstlicher Intelligenz (KI). Für die Zukunft formuliert er zwei konkrete Wünsche: „Bei den großen, grenzüberschreitenden Fällen brauchen wir eine schnellere Bearbeitung, damit diese über den einzelnen Fall hinaus Signalwirkung entfalten und Rechtssicherheit schaffen können.“

Es sei wichtig, geltendes Recht durchzusetzen. Außerdem werde eine Herstellerhaftung auch im Datenschutz benötigt. „Es kann nicht sein, dass vor allem kleine und mittlere Unternehmen dafür datenschutzrechtlich geradestehen müssen, was eigentlich Aufgabe der Microsofts, Googles und AWS dieser Welt wäre“, so Professor Kelber abschließend. Dies gelte umso mehr, wenn zunehmend KI-Systeme zum Einsatz kommen.

Weitere Informationen zum Thema:

datensicherheit.de, 24.05.2022
4 Jahre Datenschutz-Grundverordnung: DSGVO-Konformität kann auch vor Ransomware-Schäden schützen / Michael Scheffler rät, DSGVO-Vorteile gerade auch für Unternehmen noch stärker ins Blickfeld zu nehmen

datensicherheit.de, 18.10.2021
PSW GROUP: Mahnung zur Einhaltung der DSGVO / DSGVO-Bußgelder könnten schnell existenzbedrohend werden

datensicherheit.de, 16.04.2021
US CLOUD Act vs. EU-DSGVO: Ringen um Compliance und Datensicherheit / Uniscon kommentiert dritten Jahrestag des „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act)

[datensicherheit.de, 04.02.2021] Der Einsatz Künstlicher Intelligenz (KI) eröffnet nach Ansicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) „neue Möglichkeiten und Anwendungen“ – und schon jetzt beeinflusse KI viele kritische Prozesse und Entscheidungen, zum Beispiel in der Wirtschaft oder im Gesundheitsbereich. Gleichzeitig seien auf KI basierende Systeme neuen Sicherheitsbedrohungen ausgesetzt, welche von etablierten IT-Sicherheitsstandards nicht abgedeckt würden. Mit dem neuen Kriterienkatalog für KI-basierte Cloud-Dienste (Artificial Intelligence Cloud Services Compliance Criteria Catalogue, AIC4) schafft das BSI nach eigenen Angaben nun „eine wichtige Grundlage, um die Sicherheit von KI-Systemen bewerten zu können“.

AIC4 definiert erstmals Basisniveau an Sicherheit für KI-basierte Dienste

Der AIC4 des BSI definiert demnach „erstmals ein Basisniveau an Sicherheit für KI-basierte Dienste, die in Cloud-Infrastrukturen entwickelt und betrieben werden“. Ein vergleichbarer einsetzbarer Prüfstandard für sichere KI-Systeme existiere derzeit nicht. Der AIC4 umfasse KI-spezifische Kriterien, welche eine unabhängige Prüfung der Sicherheit eines KI-Service über dessen gesamten Lebenszyklus hinweg ermöglichten.
Dieser Ansatz habe sich schon beim C5-Kriterienkatalog bewährt, mit dem das BSI einen weltweit anerkannten Standard der Cloud-Sicherheit gestaltet und etabliert habe. Mit dem AIC4 nehme das BSI eine führende Rolle bei der Absicherung von KI-Anwendungen ein und leiste einen wesentlichen Beitrag zur Gestaltung einer sicheren Digitalisierung „Made in Germany“.

2021 wird das BSI Stützpunkt mit fachlichem Schwerpunkt KI im Saarland ansiedeln

„Mit der zunehmenden Verbreitung Lernender Systeme stellt sich immer dringender die Frage nach ihrer Vertrauenswürdigkeit. Deshalb nehmen wir uns als Cyber-Sicherheitsbehörde des Bundes dieser Fragestellung an. Wir legen mit dem AIC4 erstmals eine konkrete Lösung vor, die über nachvollziehbare Kriterien die Informationssicherheit im Bereich der Künstlichen Intelligenz verbessert. Dies ist der erste Schritt, weitere Schritte werden folgen“, erläutert BSI-Präsident Arne Schönbohm.
Als Gestalter einer sicheren Digitalisierung in Deutschland befasse sich das BSI intensiv mit dem Thema KI. Schönbohm führt aus: „Wir unterstützen die Bundesregierung dabei, den technologisch und wirtschaftlich erfolgreichen sowie gesellschaftlich akzeptierten Einsatz von KI-Lösungen in Deutschland voranzutreiben.“ Noch in diesem Jahr, 2021, werde das BSI einen Stützpunkt mit dem fachlichen Schwerpunkt KI im Saarland ansiedeln. „Die bereits begonnene Arbeit, Kooperationen mit nationalen und internationalen Partnern zu schließen, werden wir weiter forcieren“, betont Schönbohm.

Informationssicherheit auch im KI-Bereich wesentliche Voraussetzung für Erfolg neuer Technologien und Anwendungen

Informationssicherheit sei auch im KI-Bereich eine wesentliche Voraussetzung für den Erfolg neuer Technologien und Anwendungen. Das BSI leiste Grundlagenforschung und entwickele bedarfsorientierte und praxisnahe Anforderungen, Prüfkriterien und -methoden, „um den Einsatz von KI zum Wohle der Allgemeinheit sicher zu gestalten“.
Bereits im November 2020 sei das BSI im Rahmen der vom Land Nordrhein-Westfalen geförderten Kompetenzplattform „KI.NRW“ eine strategische Kooperation mit Fraunhofer IAIS eingegangen, um die Entwicklung einer KI-Zertifizierung „Made in Germany“ voranzubringen. Ziel dieser Zusammenarbeit sei es, Prüfverfahren für die Zertifizierung von KI-Systemen zu entwickeln, welche als Basis für technische Standards und Normen dienen könnten. Bei der Weiterentwicklung der Prüfverfahren sollten Praxistauglichkeit und Marktfähigkeit in enger Abstimmung mit der Wirtschaft weiter verbessert werden.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Künstliche Intelligenz – wir bringen Ihnen die Technologie näher

datensicherheit.de, 19.01.2021
Neuer BSI-Standard 200-4 mit zahlreichen Neuerungen

datensicherheit.de, 26.09.2018
eco: Künstliche Intelligenz „Made in Germany“ braucht Leitlinien / KI muss zur Kernkompetenz der deutschen Wirtschaft werden

datensicherheit.de, 06.02.2018
DsiN fordert Verbraucher über Künstliche Intelligenz im Alltag aufzuklären / Stellungnahme von Deutschland sicher im Netz zum „Safer Internet Day 2018“

[datensicherheit.de, 28.01.2021] Um die technologische Souveränität in Deutschland und Europa gewährleisten zu können, spielt Cloud-Sicherheit eine bedeutende Rolle. Ein Konsortium aus Industrie und Forschung bündelt im Projekt MEDINA Kompetenzen um Sicherheitsbewertungen auf Basis zukünftiger Standards zu automatisieren.

Automatisierung auf Basis vorab definierter Standards

Cloud-Systeme sind dynamisch und verändern sich schnell. Auch die Sicherheitsbetrachtungen dieser Systeme sind damit schnell veraltet. Ein möglicher Ausweg ist, diese Analysen nicht mehr manuell durchzuführen, sondern sie auf Basis von vorab definierten Standards zu automatisieren. Im EU-Projekt MEDINA arbeiten Partner aus Industrie und Forschung nun daran, Methoden und Werkzeuge zu entwickeln, um europaweit einheitliche Zertifizierungskataloge automatisiert zu prüfen und damit die Sicherheit von Cloud-Systemen zu verbessern.

Getrieben durch den EU Cyber Security Act entwickelt die European Union Agency for Cybersecurity (ENISA) derzeit ein Zertifizierungsschema, um Cloud-Systeme in Europa nach einheitlichen Kriterien zu überprüfen. Für die technologische Souveränität in Deutschland und Europa spielt das eine signifikante Rolle: Beispielsweise wird auch im Zusammenhang der europäischen Cloud GAIA-X diskutiert, ob alle Teilnehmenden entsprechende Nachweise über die Einhaltung von Compliance-Vorgaben erbringen müssen. Das Projekt MEDINA untersucht dafür in einem ersten Schritt unterschiedliche Messmethoden, um anschließend Werkzeuge zu entwickeln, die automatisierte Überprüfungen ermöglichen.

Wachsende Komplexität und hohe Dynamik

Die hohe Agilität aktueller Cloud-Systeme stellt Entwickler, Betreiber aber auch Nutzer häufig vor Herausforderungen: sie sind schnelllebig, komplex und zu umfassend, um sie manuell zu überprüfen. Auch die hohe Dynamik der Cloud-Systeme, wie beispielsweise die automatische Skalierung von virtuellen Maschinen oder Serverless Functions, macht eine Automatisierung der Sicherheitsbetrachtung notwendig, um das Sicherheitslevel immer auf dem aktuellen Stand zu halten.

Technische vs. organisatorische Vorgaben

Neben der wachsenden Komplexität und der hohen Dynamik von Cloud-Systemen stellen sowohl die technischen als auch organisatorischen Vorgaben der Zertifizierungskataloge eine zentrale Herausforderung dar. Die technischen Vorgaben – wie beispielsweise der Einsatz von Verschlüsselungsalgorithmen oder Zugangskontrollmechanismen wie Authentifizierung und Autorisierung – werden in den Kriterienkatalogen oft allgemein gehalten, um auf möglichst viele Systeme anwendbar zu sein. Erst, wenn die Anforderungen auch in tatsächlich abprüfbare Regeln übersetzt wurden, kann deren Überprüfung automatisiert stattfinden. Diesen sogenannten »Semantic Gap« zu schließen ist eine der Herausforderungen, die das MEDINA-Projekt adressiert.

Um auch organisatorische Maßnahmen wie beispielsweise Onboarding-Prozesse oder andere unternehmensintern dokumentierte Abläufe automatisiert überprüfen zu können, werden Methoden und Werkzeuge entwickelt, um Dokumente auf Basis von Natural Language Processing (NLP) zu untersuchen. Erst, wenn die Programme lernen, die Inhalte der Dokumente richtig zu interpretieren, kann überprüft werden, ob die organisatorischen Maßnahmen entsprechend umgesetzt wurden.

Projektstart im Herbst 2020

Ziel des MEDINA-Projekts ist es, zukünftige Standards für die Cloud-Sicherheit automatisiert zu überprüfen. Die Werkzeuge und Methoden, die von den Partnern des Konsortiums entwickelt werden, werden noch im Projekt erprobt und zur Anwendung gebracht. Das gibt Cloud-Providern und Anbietern von Cloud-basierten Diensten Werkzeuge an die Hand, um die Sicherheit ihrer Dienste automatisiert überprüfen zu können. Auch Auditoren sollen von den Werkzeugen profitieren können.

Konsortialleiter des europäischen Projekts ist das Forschungs- und Entwicklungszentrum TECNALIA aus Spanien. Neben dem Fraunhofer AISEC zählen außerdem die Robert Bosch GmbH, das österreichische Softwareunternehmen Fabasoft, der finnische Service-Anbieter und Auditor NIXU, das Softwareunternehmen XLAB aus Slowenien und die nationale Forschungsrat Consiglio Nazionale delle Ricerche aus Italien zu den Partnern des Projekts.

Expertise in automatisierter Sicherheit

Das Fraunhofer AISEC verfügt nach eigenen Angaben über umfassende Expertise im Bereich »Automatisierte Sicherheit« und hat bereits Werkzeuge entwickelt, die im Projekt MEDINA eingesetzt werden. Der Clouditor beispielsweise, ein Open-Source-Assurance-Werkzeug, überprüft die sichere Konfiguration von Diensten und Anwendungen in der Cloud und misst damit die korrekte Einhaltung der definierten Kriterien auf der Infrastrukturebene. Für eine Analyse auf Applikationsebene kommt Codyze zum Einsatz: Das Tool überprüft die Sicherheit bereits während des Entwicklungsprozesses und überprüft dafür beispielsweise die Verwendung geeigneter Verschlüsselungsalgorithmen. Die NLP-Tools, die für die Messung der Kriterien auf Text-Ebene eingesetzt werden, befinden sich derzeit in der Entwicklung. Die zugrunde liegenden Methoden wurden bereits auf Fachkonferenzen vorgestellt.

Weitere Informationen zum Thema:

datensicherheit.de, 13.01.2021
Zunahme der Bedeutung der Cloud – und der Unsicherheit

MEDINA
Projektwebsite

[datensicherheit.de, 13.07.2020] Für mehr Sicherheit vernetzter Geräte im sogenannten Smart Home soll laut einer aktuellen Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) der Europäische Standard (EN) 303 645 nun die Grundlage liefern. Auf Basis dieses neuen Standards erarbeitet das BSI nach eigenen Angaben mit weiteren Partnern bei der europäischen Standardisierungsorganisation ETSI eine Prüfspezifikation, um zu definieren, wie Anforderungen aus dem Sicherheitsstandard strukturiert und umfassend getestet werden können.

Abbildung: ETSI

(EN) 303 645: Grundlage für mehr Sicherheit vernetzter Geräte…

Smart Home: Schutz durch neuen Standard mit maßgeblicher BSI-Beteiligung

Als Cyber-Sicherheitsbehörde des Bundes war das BSI nach eigenen Angaben „maßgeblich an der Entwicklung des am 30. Juni 2020 durch die europäische Normungsorganisation ETSI (European Telecommunications Standards Institute) veröffentlichten Standards beteiligt“.
Auf Basis dieses neuen Standards erarbeitet das BSI nach eigenen Angaben mit weiteren Partnern bei der europäischen Standardisierungsorganisation ETSI derzeit bereits eine Prüfspezifikation zu EN 303 645 – diese soll definieren, „wie die Anforderungen aus dem Sicherheitsstandard strukturiert und umfassend getestet werden können“.

Jedes internetfähige Gerät eröffnet Angriffsmöglichkeiten – auch im Smart Home

„Immer mehr Menschen in Deutschland nutzen die Möglichkeiten der Digitalisierung und Vernetzung des eigenen Zuhauses. Jedes neue internetfähige Gerät eröffnet aber auch Cyber-Kriminellen neue Angriffsmöglichkeiten“, warnt BSI-Vizepräsident Gerhard Schabhüser.
Daher habe das BSI gemeinsam mit Herstellern, Prüfinstituten und internationalen Regierungsorganisationen die Entwicklung des neuen Standards vorangetrieben. Es gilt demnach, „vernetze Geräte als Teil des täglich wachsenden Internets der Dinge (IoT) auf eine sichere Basis zu stellen“.

Neuer EU-Standard ein Meilenstein für Verbraucher und ihr Smart Home

Mit dem neuen EU-Standard sei dies gelungen – „für die Informationssicherheit und Privatsphäre der Verbraucherinnen und Verbraucher in Deutschland und Europa ist dies ein Meilenstein“, so der BSI-Vizepräsident.
Der neue, weltweit anwendbare Mindestsicherheitsstandard EN 303 645 diene als Empfehlung für die sichere Entwicklung (Security by Design) von IoT-Geräten. Er baue auf dem vorherigen Standard TS 103 645 auf und auch der vom BSI mitentwickelte deutsche Sicherheitsstandard DIN SPEC 27072 sei in die Erstellung des neuen europäischen Standards eingeflossen.

Unzureichend geschützte IoT-Geräte auch ein Risiko für das Smart Home

Unzureichend geschützte IoT-Geräte seien ein Risiko für die Informationssicherheit und Privatsphäre der Nutzer und daher ein beliebtes Ziel von Cyber-Angreifern. Kompromittierte Geräte könnten missbraucht werden, um an persönliche Daten der Besitzer zu gelangen oder um großflächige Cyber-Angriffe auf Infrastrukturen Dritter durchzuführen.
Um diesen Bedrohungen zu begegnen, beinhalte dieser Standard verpflichtend umzusetzende Anforderungen: „Hierzu gehören sichere Authentisierungsmechanismen, ein angemessenes Update-Management und die Absicherung der Kommunikation“, erläutert Schabhüser.

Weitere Informationen zum Thema:

ETSI
Final draft ETSI EN 303 645 V2.1.0 (2020-04)

datensicherheit.de, 09.07.2015
ISO 27034-basiertes Certified Secure Software Development & Testing

[datensicherheit.de, 02.05.2017] Nach Erkenntnissen der Stiftung Datenschutz speichern und bearbeiten mehr als zwei Drittel der Unternehmen ihre Daten nicht mehr ausschließlich lokal – insbesondere für kollaboratives Arbeiten sei eine Cloud-Lösung unerlässlich geworden. Doch stellt sich die Frage, ob Clouds immer sicher sind und welchem Siegel man vertrauen kann. Auf der neugestalteten Website „tcdp.de“ bietet die Stiftung Datenschutz nun Informationen zum sicheren Standard TCDP, der den hohen bundesdatenschutzrechtlichen Anforderungen entsprechen und Rechtssicherheit für Unternehmen sowie Anwender bieten soll.

Prüfstandard für Datenschutz-Zertifizierung von Cloud-Diensten

Das „Trusted Cloud Datenschutz“-Profil (TCDP) sei ein Prüfstandard für die Datenschutz-Zertifizierung von Cloud-Diensten. Das Zertifikat bescheinige dem Nutzer, dass die Daten sicher und datenschutzgerecht gespeichert werden.
Der Anbieter einer Cloud-Lösung könne seine Dienstleistungen durch TCDP nach einem rechtsverbindlichen Standard zertifizieren lassen und so Vertrauen bei den Nutzern und Geschäftspartnern schaffen. Dadurch würden Kosten eingespart und der Grad von Compliance und Transparenz erhöht. Federführend bei der Entwicklung dieses Standards sei das Bundesministerium für Wirtschaft und Energie gewesen.
Die Bundesregierung hat laut Stiftung Datenschutz zum Frühjahr 2017 die Verwaltung des „Trusted Cloud“-Datenschutzprofils der Bundesstiftung für den Datenschutz übertragen. Gleichzeitig werde der TCDP-Standard in den kommenden Monaten von einem Konsortium am die neuen europäischen Vorgaben angepasst.

TCDP: Bekanntheit entscheidend für Akzeptanz und Anwendung

Neben der technischen Umsetzung spiele die Bekanntheit des Standards eine wichtige Rolle für die Akzeptanz und Anwendung von TCDP. Um neuen Zielgruppen die Wichtigkeit von datenschutzkonformen Lösungen im „Cloud Computing“ näherzubringen, betreue die Stiftung Datenschutz mit Sitz in Leipzig nun die Website „tcdp.de“.
Dieses Portal soll sich zum einen an datenverarbeitende Unternehmen richten, die sich über Cloud-Lösungen informieren wollen. Zum anderen gebe das Portal Betreibern von Cloud-Diensten praktische Hinweise für den Zertifizierungsprozess. Auf der neugestalteten Website seien die Zertifizierungskriterien und alle begleitenden Dokumente kostenlos erhältlich.

Zentraler Herausforderung der Cloud-Nutzung begegnen

„TCDP hat das Potenzial, eine zentrale Herausforderung bei der Cloud-Nutzung zu beantworten“, so Stiftungsvorstand Frederick Richter. Denn „Cloud Computing“ werde in Deutschland datenschutzrechtlich als Auftragsdatenverarbeitung nach §11 BDSG klassifiziert. Das bedeute für den Cloud-Nutzer, dass er „die rechtskonforme Verarbeitung der Daten in der Cloud verantwortliche Stelle ist und bleibt“. Das die Cloud nutzende Unternehmen müsse sich somit von der ordnungsgemäßen Bearbeitung der Daten eigenständig überzeugen, betont Richter. In der Praxis sei das nahezu unmöglich, weil es große zeitliche und technische Ressourcen erfordern würde. Das TDCP-Zertifikat biete dafür Entlastung.
Über die Zertifizierungsstellen und den Ablauf des Verfahrens gebe das neue Angebot der Stiftung Datenschutz ebenso Auskunft wie zu technischen Hintergründen der Entwicklung und Darstellung.

Weitere Informationen zum Thema:

Trusted Cloud
Datenschutz-Profil für Cloud-Dienste

datensicherheit.de, 16.03.2017
BSI-Warnung: Tausende Clouds in Deutschland für Cyber-Attacken anfällig

[datensicherheit.de, 13.03.2016] Laut einer Stellungnahme von F5 Networks aus dem März 2016 bestehen Sicherheitsrisiken beim 5G-Standard. Die neueste Generation von internetfähigen Mobilgeräten verlange den Serviceanbietern einiges ab, denn die Umstellung der Netze von 4G auf den neuen 5G-Standard mache nicht nur hohe Investitionen in den Netzausbau nötig, auch die damit einhergehenden Sicherheitsrisiken müssten parallel angegangen werden, um steigenden Anforderungen zu genügen.

Massive Zunahme des mobilen Datenverkehr erwartet

Neue Gerätegenerationen – vor allem im Kontetxt des „Internet der Dinge“ – sowie generell breitere Anwendungsbereiche, werden den mobilen Datenverkehr künftig massiv steigen lassen. Die Anbindung von 50 Milliarden Geräten und vernetzten Autos kann laut F5 Networks „mit dem derzeitigen Netzvolumen schlicht nicht bewerkstelligt werden“. Dies habe vor allem großen Einfluss auf die Skalierbarkeit der Sicherheitsarchitektur, weil die Geräte mehrere Sessions aufbauen könnten, die dann verschiedene Domänen im Netzwerk beträfen. Die Sicherheitsarchitekturen müssten unbedingt mit neuen Lösungen aufwarten, um auch den künftigen Anforderungen Rechnung zu tragen.

Netze noch nicht auf Datenmassen und Zugriffszahlen vorbereitet

Die Netzwerke der Service-Provider seien bislang noch nicht auf die Datenmasse und die Menge an Zugriffen mit höheren Verbindungsgeschwindigkeiten ausgelegt – und somit auch nicht auf die Sicherheitsanforderungen, die schon 4G oder dann erst recht 5G mit sich brächten. Serviceanbieter kämen deswegen nicht umhin, die neuen Netze in Echtzeit und auf dynamischer Basis abzusichern. Massenangriffe wie DDos-Attacken müssten durch die neuen Strukturen entschärft, sowie schädlicher „Traffic“ erkannt und neutralisiert werden. Trotz allem müsse jederzeit das hohe Daten-Volumen aufgefangen werden können.

Lösungsansatz: Virtualisierung von Netzwerkfunktionen

„Network Functions Virtualization“ (NFV), d.h. die Virtualisierung von Netzwerkfunktionen, setze deshalb genau dort an, wo die Serviceanbieter an ihre Umsetzungsgrenzen stoßen. NFV liefere eine flexible Netzwerkstruktur, auf deren Basis sich neue Services schneller auf den Markt bringen ließen. Die Provider könnten somit sowohl Unternehmen als auch Endkunden Zugang zu diversen Anwendungstypen und Services bieten. Des Weiteren nutze NFV viele Prinzipien des Cloud-Computings, wie Virtualisierung, Abstraktion und die Automatisierung von Netzwerkservices. Letztere könnten dann zum Beispiel auf Abruf skaliert werden. Durch diese Form der Bereitstellung ließen sich Dienste bei Bedarf schneller auf den Markt bringen, Netzwerke skalieren und auch die Gesamtbetriebskosten (TCO) langfristig senken, so F5 Networks.

Bild: F5 Networks

Treiber für die Implementierung von Netzwerkfunktionen