Kriterienkatalog für KI-Cloud-Dienste – AIC4

Der AIC4 (Artificial Intelligence Cloud Services Compliance Criteria Catalogue) ist ein Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) für die Absicherung von KI-basierten Clouddiensten. Er wurde im Jahr 2021 veröffentlicht und definiert ein Basisniveau an Sicherheit für KI-Systeme, die in Cloudinfrastrukturen entwickelt und betrieben werden.

Der AIC4 umfasst insgesamt 47 Kriterien, die sich in sechs Bereiche unterteilen:

Basisanforderungen: Diese Anforderungen gelten für alle KI-Systeme, unabhängig von ihrer Art oder Anwendung. Dazu gehören beispielsweise Anforderungen an die Sicherheit der Daten, die Vertraulichkeit der Daten und die Integrität der Systeme.
Daten: Diese Anforderungen beziehen sich auf die Daten, die für die KI-Systeme verwendet werden. Dazu gehören beispielsweise Anforderungen an die Qualität der Daten, die Vertraulichkeit der Daten und die Sicherheit der Datenspeicherung.
Prozesse: Diese Anforderungen beziehen sich auf die Prozesse, die zur Entwicklung, dem Betrieb und der Wartung von KI-Systemen erforderlich sind. Dazu gehören beispielsweise Anforderungen an die Dokumentation der Systeme, die Schulung der Mitarbeiter und die Notfallplanung.
Architektur: Diese Anforderungen beziehen sich auf die Architektur von KI-Systemen. Dazu gehören beispielsweise Anforderungen an die Sicherheit der Architektur, die Skalierbarkeit der Systeme und die Resilienz der Systeme.
Sicherheitsfunktionen: Diese Anforderungen beziehen sich auf die Sicherheitsfunktionen, die in KI-Systemen implementiert sein müssen. Dazu gehören beispielsweise Anforderungen an die Authentifizierung, die Autorisierung und die Verschlüsselung.
Testen und Bewertung: Diese Anforderungen beziehen sich auf das Testen und die Bewertung von KI-Systemen. Dazu gehören beispielsweise Anforderungen an die Testverfahren, die Bewertungsverfahren und die Dokumentation der Testergebnisse.

Der AIC4 kann von Anbietern von KI-basierten Clouddiensten verwendet werden, um die Sicherheit ihrer Systeme zu bewerten und zu verbessern. Er kann auch von Kunden von KI-basierten Clouddiensten verwendet werden, um die Sicherheit der Systeme zu bewerten, die sie nutzen.

Der AIC4 ist ein wichtiger Schritt zur Verbesserung der Sicherheit von KI-Systemen. Er bietet einen einheitlichen Rahmen für die Bewertung der Sicherheit von KI-Systemen und trägt dazu bei, dass KI-Systeme vertrauenswürdiger werden.

Konkrete Beispiele für Kriterien aus dem AIC4 sind:

Die Daten, die für die KI-Systeme verwendet werden, müssen vor unbefugtem Zugriff, Veränderung oder Zerstörung geschützt werden.
Die KI-Systeme müssen so entwickelt werden, dass sie gegen Angriffe wie Phishing, Malware oder Denial-of-Service-Angriffe resistent sind.
Die KI-Systeme müssen so dokumentiert sein, dass sie von Fachkräften verstanden und gewartet werden können.

Weitere Informationen finden Sie auf der Seite des BSI

Den kompletten AI-Cloud-Service-Compliance-Criteria-Catalogue (englisch) können Sie hier herunterladen:

AI-Cloud-Service-Compliance-Criteria-Catalogue_AIC4.pdf

PDF

871kb