DE EN
Digital Compliance

Prüfung von KI- und KI gestützten Softwarelösungen (AIC4 und IDW PS 861)

Beratung anfragen

KI im Fokus: Sicherheit, Qualität und Vertrauen. Künstliche Intelligenz eröffnet enorme Chancen – doch nur geprüfte Systeme schaffen Vertrauen. Mit einer Zertifizierung nach AIC4 oder IDW PS 861 sichern Sie Qualität, Transparenz sowie Compliance und positionieren sich als verlässlicher Partner im digitalen Markt.

 

Wir beraten Sie:

Wenn Sie KI-Services in Ihren Cloud-Diensten nutzen, die maschinelles Lernen einsetzen und Einfluss auf Ihre Informations­sicherheit haben, oder wenn Sie belastbare Aussagen zur Sicherheit und Transparenz benötigen, unterstützen wir Sie beim Aufbau, der Prüfung und der Testierung dieser Dienste nach BSI AIC4 und IDW PS 861.

Durch die Einhaltung eines anerkannten Kriterienkatalogs können Sie gegenüber Geschäftspartnern und Kunden den Nachweis für Sicherheit, Qualität und ethische Standards erbringen.

 

Profitieren Sie von den folgenden Vorteilen:

  • Geeignet für Prüfungen und Sicherheitsbewertungen von KI-Cloud-Services
  • Minimierung von Risiken wie Bias, mangelnder Transparenz und unzureichender IT-Sicherheit
  • Stärkung des Nutzervertrauens und der Reputation
  • Sicherstellung von Compliance und Governance – zuverlässig und transparent
  • Klare, einheitliche und nachvollziehbare Prüfprozesse für Cloud-KI-Dienste
  • Vergleichbarkeit und Wettbewerbsvorteile bei der Lieferantenauswahl
 
 

Mehr erfahren?
 

AIC4 – Artificial Intelligence Cloud Services Compliance Criteria Catalogue

Der Kriterienkatalog AIC4 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verankert Sicherheits- und Qualitätsvorgaben speziell für die Erbringung von KI-Cloud-Services, die Methoden des maschinellen Lernens (ML) verwenden.

AIC4 definiert explizite Kriterien zur Sicherheit, Robustheit, Datenqualität und Erklärbarkeit sowie zum Schutz vor Bias über den gesamten Lebenszyklus des KI-Services, d.h. über die Entwicklung, Erprobung, Validierung, Bereitstellung und die Überwachung solcher Services. Ziel ist die transparente Darstellung der Informationssicherheit eines KI-Cloud-Dienstes auf Basis einer standardisierten Prüfung.

Eine Prüfung nach AIC4 bestätigt Cloud-Dienstanbietern und -Kunden ein vertrauenswürdiges Level an Cloud- und KI-Sicherheit und schafft eine objektive Vergleichbarkeit von KI-Softwarelösungen und -Anbietern. Da der AIC4 eine Erweiterung zum etablierten BSI C5-Standard darstellt, sind Prüfungen analog oder ergänzend zum BSI C5 möglich.

Typische KI-Services aus dem AIC4-Anwendungsbereich sind:

  • Cloud-Dienste mit ML-Komponenten
    • Dienste, die Algorithmen des maschinellen Lernens aktiv verwenden, z. B. zur Bilderkennung, Datenanalyse oder Sprachverarbeitung
  • Intensiver bzw. sicherheitsrelevanter Einsatz von ML
    • Insbesondere ML-Funktionalitäten, die sich direkt auf Vertraulichkeit, Integrität oder Verfügbarkeit auswirken können.
    • Eine Prüfung ist sinnvoll, wenn Kunden erkennen müssen, wie KI ihre Risikosituation beeinflusst.
  • Cloud-Services gemäß C5-Definition mit KI-Erweiterung
    • Jeder C5-konforme Cloud-Dienst (z. B. IaaS, PaaS oder SaaS) mit dem Zusatz der KI-Komponente ist AIC4-prüfbar.
    • AIC4 ist eine freiwillige Ergänzung zur C5-Zertifizierung, speziell für die Evaluierung und das Testat durch Auditoren.
       

IDW PS 861 – Prüfung von KI‑Systemen

Der IDW PS 861 ist ein Prüfungsstandard des deutschen Instituts der Wirtschaftsprüfer (IDW) zur freiwilligen Prüfung von (jeglichen) KI-Systemen außerhalb der Abschlussprüfung.

Er basiert auf dem internationalen Rahmenwerk ISAE 3000 und bietet ein einheitliches Prüfverfahren mit formellen Anforderungen zur Auftragsannahme, Prüfungsdurchführung, Auswahl von Kriterien und Dokumentation sowie zum Prüfungsurteil in einem schriftlichen Prüfungsbericht.

Gegenstand der Prüfung ist die Beschreibung des KI-Systems einschließlich der in der Beschreibung enthaltenen Darstellungen der gesetzlichen Vertreter des Unternehmens dazu, ob das beschriebene KI-System die Kriterien einhält.

Eine Prüfung nach IDW PS 861 kann als Angemessenheitsprüfung zu einem definierten Zeitpunkt oder als Wirksamkeitsprüfung über einen definierten Prüfungszeitraum erfolgen.

Ziel der Angemessenheitsprüfung ist eine Beurteilung,

  • ob die Beschreibung des KI-Systems (zu erstellen von den gesetzlichen Vertretern des Unternehmens) in allen wesentlichen Belangen in Übereinstimmung mit den im Prüfungsstandard enthaltenen Mindestinhalten aufgestellt wurde und
  • ob die in der Beschreibung des KI-Systems dargestellten und von den gesetzlichen Vertretern umzusetzenden Maßnahmen in allen wesentlichen Belangen geeignet waren und zu dem zu prüfenden Zeitpunkt implementiert waren.

Ziel der Wirksamkeitsprüfung ist es – über die Angemessenheitsprüfung hinaus – zu beurteilen, ob diese Maßnahmen geeignet, im geprüften Zeitraum implementiert sowie im geprüften Zeitraum wirksam waren.

Zur Ausgestaltung des KI-Systems fordert der Standard vier zentrale Qualitätsdimensionen als Mindestinhalte:

  • Ethische und rechtliche Anforderungen für künstliche Intelligenz: Einhaltung gesetzlicher und regulatorischer Vorgaben, Schutz der menschlichen Autonomie, Fairness, Nichtdiskriminierung etc.
  • Nachvollziehbarkeit: Transparenz und Erklärbarkeit der genutzten Daten und KI-Algorithmen bzw. -Modelle (u.a. Dokumentation der Entscheidungswege, Modellkarten, Datenherkunft)
  • IT Sicherheit: Schutz von Vertraulichkeit, Integrität, Verfügbarkeit, Autorisierung (Berechtigungen, Zugriffsschutz) und Authentizität (Eindeutigkeit der durch KI durchgeführten Transaktionen), Verbindlichkeit 
  • Leistungsfähigkeit: Robustheit, Konsistenz und Zielerreichung der KI in Bezug auf die vom Unternehmen zugrunde gelegten Anforderungen