NordTel Communications S.A. – Europäischer Telekommunikationsanbieter
Die OASAT von NordTel Communications ergab erhebliche KI-Governance in allen sechs Kontrollbereichen. Die Einführung von KI hat die Governance überholt – es wurden 23 nicht genehmigte KI-Tools identifiziert, die in verschiedenen Geschäftsbereichen aktiv genutzt werden, ohne Laufzeitkontrollen, ohne audit und mit erheblichen regulatorischen Risiken im Hinblick auf das EU-KI-Gesetz, NIS2 und die DSGVO. In drei kritischen Bereichen sind vor Ablauf der behördlichen Fristen sofortige Abhilfemaßnahmen erforderlich.
Jeder Bereich wurde anhand des OASF bewertet und hinsichtlich risk und Reifegrad der Governance benotet. Der Reifegrad wird auf einer Skala von 1 bis 5 bewertet: 1 = Ad-hoc, 2 = In Entwicklung, 3 = Definiert, 4 = Verwaltet, 5 = Optimiert.
| Domäne | Risk | Reife | Wichtige Lücke |
|---|---|---|---|
| Daten-GovernanceOASF | Kritisch | 1,4 / 5 | Es gibt keine policy zur Klassifizierung von KI-Daten. PII von Kunden PII ohne Überprüfung oder Schwärzung an externe LLMs PII . |
| Modell-GovernanceOASF | Kritisch | 1,2 / 5 | Es gibt kein zugelassenes Modellregister. 23 nicht zugelassene AI werden in 8 Geschäftsbereichen aktiv genutzt. |
| Zugang und IdentitätAI | Hoch | 2.1 / 5 | KI-Interaktionen sind nicht identitätsgebunden. Keine SSO-Integration mit KI-Tools. Kein audit die KI-Nutzung mit bestimmten Personen verknüpft. |
| Operative SicherheitOASF | Hoch | 1,8 / 5 | Keine Abwehrmaßnahmen gegen Prompt-Injection. Keine Überwachung auf böswillige Eingaben. Kein AI Bedrohungsmodell. |
| Audit ComplianceOASF | Kritisch | 1,0 / 5 | Keine Protokollierung von KI-Interaktionen. Kein audit . Die Einhaltung von Art. 12 des EU-KI-Gesetzes oder Art. 30 der DSGVO kann nicht nachgewiesen werden. |
| Reaktion auf VorfälleOASF | Mäßig | 2,4 / 5 | Es gibt zwar einen allgemeinen IR-Prozess, dieser enthält jedoch keine AI Vorfallkategorien, Playbooks oder Eskalationsverfahren. |
Kundendienstmitarbeiter nutzen ChatGPT andere KI-Tools für Endverbraucher, um Antworten zu entwerfen und Beschwerden zusammenzufassen, wobei sie vollständige Kundennamen, Kontaktdaten, Kontonummern und den Inhalt der Kommunikation einbeziehen. Es gibt keinerlei Kontrollen zur Datenüberprüfung, Schwärzung oder Governance. Dies stellt einen aktiven Verstoß gegen die DSGVO und eine Nichteinhaltung des EU-KI-Gesetzes dar.
Innerhalb des Unternehmens werden AI an keiner Stelle protokolliert. Sollte dies von einer Aufsichtsbehörde verlangt werden oder im Falle einer Untersuchung wegen einer Datenpanne, kann NordTel nicht nachweisen, welche Daten von welchem AI wann und von wem verarbeitet wurden. Dies stellt einen direkten Verstoß gegen die Aufbewahrungspflichten gemäß Art. 12 AI und die Verpflichtungen zur Führung von Verarbeitungsprotokollen gemäß Art. 30 der DSGVO dar.
Die Untersuchung ergab, dass in acht Geschäftsbereichen 23 verschiedene AI aktiv genutzt werden – von denen keines genehmigt, bewertet oder registriert wurde. Zu den Tools zählen LLMs für Endverbraucher, Assistenten zur Codegenerierung, Dienste zur Dokumentenzusammenfassung sowie AI Produktivitäts-Add-ons. AI ist unternehmensweit verbreitet, ohne dass eine zentrale Übersicht, Kontrolle oder Steuerung besteht.
Die Mitglieder des Netzwerk-Engineering-Teams nutzen KI-Programmierassistenten (GitHub Copilot, ChatGPT) zur Unterstützung bei der Erstellung von Skripten für die Netzwerkautomatisierung. Eine Überprüfung hat ergeben, dass Details zur Netzwerktopologie, Konfigurationsparameter und IP-Adressierungsschemata in die Eingabeaufforderungen aufgenommen werden. Dies stellt sowohl ein risk dar risk ein potenzielles Risiko hinsichtlich der Einhaltung der Vorschriften zur rechtmäßigen Überwachung.
Der derzeitige Prozess von NordTel zur Reaktion auf Vorfälle umfasst keine AI Vorfallkategorien oder Reaktionsverfahren. Im Falle einer AI Datenpanne, einer Manipulation von Modellen oder eines Versagens der Governance verfügt das Unternehmen weder über einen festgelegten Reaktionsplan noch über ein Eskalationsverfahren oder die Bereitschaft zur Meldung innerhalb der in der DSGVO vorgeschriebenen Frist von 72 Stunden.
Zwei in der Bewertung identifizierte Anwendungsfälle für KI werdenrisk Anhang III des EU-KI-Gesetzes wahrscheinlich alsrisk eingestuft: KI-gestützte Bonitätsbewertung bei Entscheidungen über Postpaid-Verträge und KI-gestütztes Netzwerkmanagement für kritische Infrastrukturen. Keiner dieser Anwendungsfälle hat die gemäß dem EU-KI-Gesetz vorgeschriebene Konformitätsbewertung oder die erforderliche menschliche Aufsicht durchlaufen.
Im Rahmen der Bewertung wurden KI-Governance aktuellen KI-Governance von NordTel anhand von vier geltenden regulatorischen Rahmenwerken überprüft. Die als Lücken ausgewiesenen Punkte stellen Anforderungen dar, die derzeit nicht erfüllt sind und ein regulatorisches Risiko darstellen.
Die Bewertung empfiehlt ein strukturiertes, dreistufiges Abhilfeprogramm, das auf die behördlichen Fristen und risk operativen risk abgestimmt ist. In Phase 1 werden unmittelbare kritische Risiken angegangen. In Phase 2 wird die Governance-Architektur aufgebaut. In Phase 3 wird die Durchsetzung im laufenden Betrieb umgesetzt.
Dies ist eine Beispielbewertung zu Illustrationszwecken. Eine echte OASAT wird speziell auf Ihr Unternehmen zugeschnitten – Ihre Branche, Ihre AI , Ihre regulatorischen Verpflichtungen – und definiert die Governance-Maßnahmen, die Aegis in der Produktion umsetzt. Festpreis. Lieferung innerhalb weniger Wochen.