Capstone: Dein KI-Sicherheitskonzept

🔄 Kurzer Rueckblick: In 7 Lektionen hast du alle Bausteine kennengelernt: Bedrohungslandschaft, KI-spezifische Risiken, Schutzmassnahmen, ISMS-Integration, Vorfallmanagement und Lieferkettenrisiken. Jetzt bringst du alles zusammen.

Du hast jetzt den vollstaendigen Werkzeugkasten fuer KI-Sicherheit. In dieser Lektion erstellst du dein KI-Sicherheitskonzept — mit einem strukturierten Rahmen, den du direkt anwenden kannst.

Kurs-Rueckblick: Dein Werkzeug-Set

Praxis-Uebung: Dein KI-Sicherheitskonzept

Erstelle ein KI-Sicherheitskonzept fuer mein Unternehmen:

UNTERNEHMENSPROFIL:
Branche: [z.B. Finanzdienstleistung, Produktion, Handel]
Mitarbeiterzahl: [Anzahl]
Bestehendes ISMS: [ISO 27001 zertifiziert / in Aufbau / keines]
KI-Reifegrad: [Pilot / produktiv / skaliert]

KI-SYSTEME (alle auflisten):
1. [System-Name: Zweck, Anbieter, Datentypen]
2. [System-Name: Zweck, Anbieter, Datentypen]
3. [System-Name: Zweck, Anbieter, Datentypen]

ERSTELLE:
1. KI-Inventar mit Schutzbedarfsklassifizierung
2. Bedrohungsanalyse (STRIDE + KI-Erweiterung) pro System
3. Risikobewertung (Eintrittswahrscheinlichkeit × Auswirkung)
4. Massnahmenplan (technisch + organisatorisch) mit Prioritaet
5. ISMS-Erweiterung (Gap-Analyse: bestehend/erweiterbar/neu)
6. Incident-Response-Playbook fuer die drei KI-Angriffstypen
7. Lieferkettenrisiko-Bewertung fuer jeden Anbieter
8. KPI-Dashboard (5 Metriken mit Zielwerten)
9. Umsetzungs-Roadmap (Phasen, Verantwortliche, Zeitrahmen)

Die KI-Sicherheits-Checkliste (Gesamt)

Phase 1 — Inventar:

• Alle KI-Systeme erfasst (offiziell und inoffiziell)
• Schutzbedarfsklassifizierung pro System
• EU-AI-Act-Risikoklasse zugeordnet
• Verantwortliche benannt

Phase 2 — Bedrohungsanalyse:

• STRIDE + KI-Erweiterung pro System durchgefuehrt
• Angreifer-Typen identifiziert (Insider, extern, Wettbewerber)
• Angriffsszenarien dokumentiert (Prompt Injection, Data Poisoning, Model Extraction)
• OWASP LLM Top 10 abgeglichen

Phase 3 — Risikobewertung:

• Eintrittswahrscheinlichkeit × Auswirkung bewertet
• Risikomatrix erstellt
• Risikoakzeptanzschwelle definiert
• Priorisierung der Risiken

Phase 4 — Massnahmen:

• Technische Massnahmen pro Risiko definiert
• Organisatorische Massnahmen pro Risiko definiert
• Shadow-AI-Policy erstellt
• Schulungsplan vorhanden

Phase 5 — ISMS-Integration:

• Gap-Analyse ISO 27001 → KI durchgefuehrt
• KI-Controls definiert (KI-C1 bis KI-C6)
• Statement of Applicability erweitert
• ISO-42001-Anforderungen geprueft
• Audit-Programm angepasst

Phase 6 — Vorfallmanagement:

• KI-Incident-Response-Plan erstellt
• Schweregrade definiert (Kritisch/Hoch/Mittel)
• Meldepflichten dokumentiert (DSGVO, EU AI Act, NIS2)
• Eskalationskette festgelegt
• Playbooks fuer die drei Angriffstypen vorhanden

Phase 7 — Lieferkette:

• Anbieter-Assessment fuer jeden KI-Dienstleister
• AVVs vorhanden und geprueft
• Modell-Pinning konfiguriert
• Exit-Strategie dokumentiert
• Open-Source-Modelle auf Provenienz geprueft

Phase 8 — Monitoring:

• KI-spezifische KPIs definiert (MTTD, MTTR, Abdeckung)
• Monitoring-Dashboard aufgesetzt
• Drift-Erkennung aktiv
• Review-Zyklus festgelegt (quartalsweise)
• Lessons-Learned-Prozess etabliert

Erfolgs-KPIs fuer KI-Sicherheit

Key Takeaways

• KI-Sicherheit ist ein kontinuierlicher Prozess — nicht ein einmaliges Projekt
• Acht Phasen: Inventar → Bedrohungsanalyse → Risikobewertung → Massnahmen → ISMS → Vorfallmanagement → Lieferkette → Monitoring
• Jede Phase baut auf der vorherigen auf — ueberspringe keine
• Ein mehrdimensionales KPI-Set misst die Wirksamkeit ueber alle Phasen
• Der PDCA-Zyklus haelt dein KI-Sicherheitskonzept aktuell — Plan, Do, Check, Act

Du hast jetzt das vollstaendige Handwerkszeug fuer KI-Sicherheit in deinem Unternehmen. Der naechste Schritt: Starte mit dem KI-Inventar — du wirst ueberrascht sein, wie viele KI-Systeme bereits im Einsatz sind.