Third-Party AI Readiness
Third-Party AI Cyber Readiness Check
Systematische Bewertung der KI-Cyber-Readiness von Drittanbietern und Dienstleistern gemäss EU Action Plan und ECB CEO Letter.
3
Hohes/Kritisches KI-Risiko
1
Niedriges KI-Risiko
6
Dienstleister-Typen
30
Prüfkriterien
Cloud-AI-Plattform (z.B. Azure AI, AWS SageMaker, GCP Vertex)
Prüfkriterien
- • KI-Modell-Isolation zwischen Mandanten
- • Verschlüsselung von Trainingsdaten
- • Zertifizierungen (ISO 27001, SOC 2, PCI DSS)
- • KI-spezifisches Incident-Response-Verfahren
- • Transparenz über KI-Sicherheitsmassnahmen
Erforderliche Nachweise
ISO 27001 Zertifikat, SOC 2 Bericht, KI-Sicherheitsrichtlinie
KI-Modell-Anbieter (API-basierte LLMs, Embedding-Modelle)
Prüfkriterien
- • Modellherkunft und Trainingsdaten-Transparenz
- • Input-/Output-Filtermechanismen
- • Datenschutz-Folgenabschätzung (DPIA)
- • Vertragliche Regelung zu Model Extraction
- • SLA für Sicherheitsupdates und Patches
Erforderliche Nachweise
Modellkarte (Model Card), DPIA, Sicherheits-SLA
KI-Entwicklungsplattform (Jupyter, MLFlow, Weights & Biases)
Prüfkriterien
- • Zugriffskontrollen und Authentifizierung
- • Datenverschlüsselung (Ruhend, in Transit)
- • Audit-Logging aller Aktivitäten
- • Sicherheitsupdates und Patch-Management
- • Multi-Tenant-Isolation
Erforderliche Nachweise
SOC 2 Bericht, Pentest-Berichte, Sicherheitsdokumentation
KI-Komponenten im Auslagerungsvertrag (SaaS mit KI-Funktionen)
Prüfkriterien
- • KI-Funktionen im Leistungsumfang eindeutig definiert
- • Haftung für KI-Fehlentscheidungen geregelt
- • Auditrechte für KI-Prozesse
- • Datenschutz und Datenherkunft der KI-Komponente
- • Exit-Szenario bei Ausfall des KI-Dienstes
Erforderliche Nachweise
Vertragsklauseln, Notfallkonzept, Auditleistungsvereinbarung
Open-Source-KI-Bibliotheken mit Wartungsvertrag
Prüfkriterien
- • Wartungs- und Support-Umfang
- • SLA für Sicherheitsupdates
- • SBOM-Bereitstellung
- • Transparenz über bekannte Schwachstellen
- • Kommunikationsweg bei kritischen CVEs
Erforderliche Nachweise
Wartungsvertrag, SBOM, CVE-Reporting-Prozess
KI-Beratungs- und Integrationsdienstleister
Prüfkriterien
- • Sicherheitsqualifikation der Berater
- • Zugriff auf sensible Daten und Systeme
- • NDA und Vertraulichkeitsvereinbarungen
- • Sicherheitsreview der erstellten KI-Lösungen
- • Haftungsregelung für KI-Fehlfunktionen
Erforderliche Nachweise
Sicherheitszertifikate, Referenzen, Haftungsvereinbarung
Third-Party Readiness prüfen?
Vereinbaren Sie ein Pilotgespräch für den Third-Party AI Cyber Readiness Check.
Pilotgespräch anfragen