BaFin-Orientierungshilfe für KI-Anwendungen

Wir prüfen, inwie­weit euer nach DORA etab­lier­ter IKT-Risiko­manage­ment­rah­men die von der BaFin aus­ge­spro­chenen Empfeh­lun­gen zu KI-Risi­ken berück­sichtigt und schließen die für die ein­zel­nen Arte­fakte er­mittel­ten Lücken – von Stra­te­gie über Richt­linien bis zu Maß­nah­men­do­ku­men­ta­tionen. Um die Resi­lienz kon­sis­tent über die gesamte Lieferkette zu stärken, orientieren wir uns dabei entlang der Risikovererbung von "Cloud → SaaS → AI". Mit einer am KI Lebenszyklus ausgerichteten Check­liste, er­gän­zen wir eure IKT-Risiko­prüf­listen um KI-spe­zi­fi­sche Risiko­punkte in­klu­si­ve mög­li­cher Miti­gations­maß­nah­men.

Du prüfst und be­wer­test deine KI-An­bieter um­fassend mit uns, damit du ihre Eig­nung sicher­stellst und die DORA-Vor­gaben zu­ver­lässig erfüllst. Dabei fo­kussie­ren wir auf Prüf- und Kontroll­rechte, Service Level Agree­ments, Sicher­heits­ver­ein­ba­run­gen, Unter­auf­trag­neh­mer, Daten­verarbeitungs­standort und Be­endi­gung – inklusive KI-VO-Kon­for­mität. 

Auf Basis der Vertrags­prüfung erhältst du von uns klare Handlungs­empfeh­lungen und wir begleiten dich bei der Vertrags­steuerung, stets in Kombi­nation mit den Anfor­de­run­gen aus der KI-VO.

Wir leiten Aufgaben aus DORA und der KI-VO die Aufgaben ab, die bei verstärkter KI-Nutzung relevant werden und integrieren diese in eure bestehenden IKT-Governance-Strukturen. Gemeinsam entwickeln wir Lösungsansätze zur aufbau- und ablauforganisatorischen Verankerung dieser KI-spezifischen Aufgaben im Modell der drei Verteidigungslinien (3 LoD) entlang der Phasen des KI-Lebenszyklus. Um eure IKT- und KI-Governance effizient aufzustellen, identifizieren und implementieren wir Lösungen zur Automatisierung der Abläufe.

Unsere End-to-End-Beglei­tung zielt auf den ges­am­ten KI-Life­cycle ab. Der Fo­kus liegt auf der Ent­wick­lung eines durch­gän­gigen Ziel­bilds inklusive Arte­fakten. Damit stellen wir die früh­zeitige Identi­fi­kation und nach­haltige Miti­gation von KI-Ri­si­ken, den resi­lienten Be­trieb von KI-An­wen­dungen sowie die über­grei­fende Zu­sam­men­arbeit der KI-Verant­wort­lichen (FBe, IT, DSB, ISB, Recht etc.) im 3-LoD-Mo­dell sicher. 

Ansatz unserer Beglei­tung ist die ex­plizite Ein­ord­nung von KI-Sys­temen als schutz­bedürftige Netz­werk- und Infor­mations­systeme im Sinne von DORA, deren Cyber- und Daten­sicher­heit inte­graler Bestand­teil des IKT-Risiko­manage­ment-Rahmens sein muss.
Ziele sind der Schutz sen­sibler Da­ten und Mo­delle, die Ab­wehr KI-spezi­fischer Cyber­be­drohungen, die Be­herrsch­bar­keit von IKT-Vor­fällen sowie die auf­sichtl­iche Prüf­ungs- und Nach­weis­fähig­keit.
Im Fo­kus ste­hen Security-Maß­nahmen ent­lang realer KI-Be­drohun­gen, u. a.  Adversarial Attacks, Data Poisoning & Model Poisoning, Un­auto­risier­ter Zu­griff, Trainings­daten, APIs, Daten­abfluss über Prompting, Supply-Chain-Risiken (Open-Source, Cloud, KI-Services), etc.

CloudGate – KI-Risiken identi­fizie­ren und steuern, mit unserer IT-GRC- & TPRM-SaaS

Identi­fiziert und steuert KI-Risi­ken, defi­niert und über­wacht eure dazu­gehö­rigen Mitigations­maß­nahmen, managed eure KI revisions­sicher!
Die in der Orientierungs­hilfe von der Auf­sicht genannten Risiko­beispiele und Mitigations­maßnahmen haben wir um weitere typische KI-Risiken und Gegen­maß­nahmen ergänzt und stellen sie als Best Practice Prüf­listen tool­basiert in unserem Compliance-Tool CloudGate für euch bereit.
Die CloudGate-Prüf­listen bein­halten die von der DORA adressierten An­for­de­run­gen an die interne Orga­nisation – sowie die An­for­de­run­gen an IKT-Dienst­leister.