Der AIC4 (Artificial Intelligence Cloud Services Compliance Criteria Catalogue) ist ein Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) für die Absicherung von KI-basierten Clouddiensten. Er wurde im Jahr 2021 veröffentlicht und definiert ein Basisniveau an Sicherheit für KI-Systeme, die in Cloudinfrastrukturen entwickelt und betrieben werden.
Der AIC4 umfasst insgesamt 47 Kriterien, die sich in sechs Bereiche unterteilen:
- Basisanforderungen: Diese Anforderungen gelten für alle KI-Systeme, unabhängig von ihrer Art oder Anwendung. Dazu gehören beispielsweise Anforderungen an die Sicherheit der Daten, die Vertraulichkeit der Daten und die Integrität der Systeme.
- Daten: Diese Anforderungen beziehen sich auf die Daten, die für die KI-Systeme verwendet werden. Dazu gehören beispielsweise Anforderungen an die Qualität der Daten, die Vertraulichkeit der Daten und die Sicherheit der Datenspeicherung.
- Prozesse: Diese Anforderungen beziehen sich auf die Prozesse, die zur Entwicklung, dem Betrieb und der Wartung von KI-Systemen erforderlich sind. Dazu gehören beispielsweise Anforderungen an die Dokumentation der Systeme, die Schulung der Mitarbeiter und die Notfallplanung.
- Architektur: Diese Anforderungen beziehen sich auf die Architektur von KI-Systemen. Dazu gehören beispielsweise Anforderungen an die Sicherheit der Architektur, die Skalierbarkeit der Systeme und die Resilienz der Systeme.
- Sicherheitsfunktionen: Diese Anforderungen beziehen sich auf die Sicherheitsfunktionen, die in KI-Systemen implementiert sein müssen. Dazu gehören beispielsweise Anforderungen an die Authentifizierung, die Autorisierung und die Verschlüsselung.
- Testen und Bewertung: Diese Anforderungen beziehen sich auf das Testen und die Bewertung von KI-Systemen. Dazu gehören beispielsweise Anforderungen an die Testverfahren, die Bewertungsverfahren und die Dokumentation der Testergebnisse.
Der AIC4 kann von Anbietern von KI-basierten Clouddiensten verwendet werden, um die Sicherheit ihrer Systeme zu bewerten und zu verbessern. Er kann auch von Kunden von KI-basierten Clouddiensten verwendet werden, um die Sicherheit der Systeme zu bewerten, die sie nutzen.
Der AIC4 ist ein wichtiger Schritt zur Verbesserung der Sicherheit von KI-Systemen. Er bietet einen einheitlichen Rahmen für die Bewertung der Sicherheit von KI-Systemen und trägt dazu bei, dass KI-Systeme vertrauenswürdiger werden.
Konkrete Beispiele für Kriterien aus dem AIC4 sind:
- Die Daten, die für die KI-Systeme verwendet werden, müssen vor unbefugtem Zugriff, Veränderung oder Zerstörung geschützt werden.
- Die KI-Systeme müssen so entwickelt werden, dass sie gegen Angriffe wie Phishing, Malware oder Denial-of-Service-Angriffe resistent sind.
- Die KI-Systeme müssen so dokumentiert sein, dass sie von Fachkräften verstanden und gewartet werden können.
Weitere Informationen finden Sie auf der Seite des BSI
Den kompletten AI-Cloud-Service-Compliance-Criteria-Catalogue (englisch) können Sie hier herunterladen: