Lösungen Aegis Branchen Einblicke Preise Unternehmen Bewertung anfordern
Beispielbewertung – Fiktives Unternehmen Nur zu Illustrationszwecken Telekommunikation

KI-Sicherheit

NordTel Communications S.A. – Europäischer Telekommunikationsanbieter

Bewertungsdatum
Q1 2026
Art der Bewertung
OASAT 2
Mitarbeiter
~6,800
Gutachter
OneCompliant .r.o.
Hinweis: NordTel Communications S.A. ist eine fiktive Organisation, die zu Demonstrationszwecken geschaffen wurde. Alle Ergebnisse, Bewertungen und Empfehlungen dienen lediglich der Veranschaulichung. Echte Kundenbewertungen werden gemäß den geltenden Datenschutz- und Vertraulichkeitsverpflichtungen streng vertraulich behandelt.
Zusammenfassung

Gesamtbewertung KI-Governance : Hohes Risk

Die OASAT von NordTel Communications ergab erhebliche KI-Governance in allen sechs Kontrollbereichen. Die Einführung von KI hat die Governance überholt – es wurden 23 nicht genehmigte KI-Tools identifiziert, die in verschiedenen Geschäftsbereichen aktiv genutzt werden, ohne Laufzeitkontrollen, ohne audit und mit erheblichen regulatorischen Risiken im Hinblick auf das EU-KI-Gesetz, NIS2 und die DSGVO. In drei kritischen Bereichen sind vor Ablauf der behördlichen Fristen sofortige Abhilfemaßnahmen erforderlich.

Gesamt KI-Governance Risk
NiedrigMäßigHochKritisch
72 / 100 — Hohes Risk. Sofortige Maßnahmen der Unternehmensführung erforderlich.
3
Kritische Feststellungen, die sofortiges Handeln erfordern
7
risk , die innerhalb von 30 Tagen Maßnahmen erfordern
23
Identifizierte, nicht zugelassene AI , die aktiv genutzt werden
4
Regulierungsrahmen mit erheblichen Lücken
Risk für Domänen

Risk Reifegradbewertungen in allen sechs OASF .

Jeder Bereich wurde anhand des OASF bewertet und hinsichtlich risk und Reifegrad der Governance benotet. Der Reifegrad wird auf einer Skala von 1 bis 5 bewertet: 1 = Ad-hoc, 2 = In Entwicklung, 3 = Definiert, 4 = Verwaltet, 5 = Optimiert.

Domäne Risk Reife Wichtige Lücke
Daten-GovernanceOASF Kritisch 1,4 / 5 Es gibt keine policy zur Klassifizierung von KI-Daten. PII von Kunden PII ohne Überprüfung oder Schwärzung an externe LLMs PII .
Modell-GovernanceOASF Kritisch 1,2 / 5 Es gibt kein zugelassenes Modellregister. 23 nicht zugelassene AI werden in 8 Geschäftsbereichen aktiv genutzt.
Zugang und IdentitätAI Hoch 2.1 / 5 KI-Interaktionen sind nicht identitätsgebunden. Keine SSO-Integration mit KI-Tools. Kein audit die KI-Nutzung mit bestimmten Personen verknüpft.
Operative SicherheitOASF Hoch 1,8 / 5 Keine Abwehrmaßnahmen gegen Prompt-Injection. Keine Überwachung auf böswillige Eingaben. Kein AI Bedrohungsmodell.
Audit ComplianceOASF Kritisch 1,0 / 5 Keine Protokollierung von KI-Interaktionen. Kein audit . Die Einhaltung von Art. 12 des EU-KI-Gesetzes oder Art. 30 der DSGVO kann nicht nachgewiesen werden.
Reaktion auf VorfälleOASF Mäßig 2,4 / 5 Es gibt zwar einen allgemeinen IR-Prozess, dieser enthält jedoch keine AI Vorfallkategorien, Playbooks oder Eskalationsverfahren.
Wichtigste Ergebnisse

Kritische undrisk , die sofortige Maßnahmen erfordern.

OASAT · Kritisch
An externe KI-Modelle PII ohne Überprüfung
Kritisch

Kundendienstmitarbeiter nutzen ChatGPT andere KI-Tools für Endverbraucher, um Antworten zu entwerfen und Beschwerden zusammenzufassen, wobei sie vollständige Kundennamen, Kontaktdaten, Kontonummern und den Inhalt der Kommunikation einbeziehen. Es gibt keinerlei Kontrollen zur Datenüberprüfung, Schwärzung oder Governance. Dies stellt einen aktiven Verstoß gegen die DSGVO und eine Nichteinhaltung des EU-KI-Gesetzes dar.

DSGVO Art. 5 – Datenminimierung DSGVO Art. 32 – Sicherheit der Verarbeitung EU-KI-Gesetz Art. 10 NIS2 . 21
OASAT · Kritisch
Kein audit – es können keine Nachweise für behördliche Anforderungen vorgelegt werden
Kritisch

Innerhalb des Unternehmens werden AI an keiner Stelle protokolliert. Sollte dies von einer Aufsichtsbehörde verlangt werden oder im Falle einer Untersuchung wegen einer Datenpanne, kann NordTel nicht nachweisen, welche Daten von welchem AI wann und von wem verarbeitet wurden. Dies stellt einen direkten Verstoß gegen die Aufbewahrungspflichten gemäß Art. 12 AI und die Verpflichtungen zur Führung von Verarbeitungsprotokollen gemäß Art. 30 der DSGVO dar.

EU-KI-Gesetz Art. 12 DSGVO Art. 30 NIS2 . 23 – Meldung von Vorfällen
OASAT · Kritisch
23 nicht genehmigte AI , die in Unternehmen aktiv eingesetzt werden
Kritisch

Die Untersuchung ergab, dass in acht Geschäftsbereichen 23 verschiedene AI aktiv genutzt werden – von denen keines genehmigt, bewertet oder registriert wurde. Zu den Tools zählen LLMs für Endverbraucher, Assistenten zur Codegenerierung, Dienste zur Dokumentenzusammenfassung sowie AI Produktivitäts-Add-ons. AI ist unternehmensweit verbreitet, ohne dass eine zentrale Übersicht, Kontrolle oder Steuerung besteht.

EU-KI-Gesetz, Art. 9 – Risk OASF – Shadow AI NIS2 . 21
OASAT · Hoch
Netzwerkkonfigurationsdaten, die an AI Programmierassistenten weitergegeben werden
Hoch

Die Mitglieder des Netzwerk-Engineering-Teams nutzen KI-Programmierassistenten (GitHub Copilot, ChatGPT) zur Unterstützung bei der Erstellung von Skripten für die Netzwerkautomatisierung. Eine Überprüfung hat ergeben, dass Details zur Netzwerktopologie, Konfigurationsparameter und IP-Adressierungsschemata in die Eingabeaufforderungen aufgenommen werden. Dies stellt sowohl ein risk dar risk ein potenzielles Risiko hinsichtlich der Einhaltung der Vorschriften zur rechtmäßigen Überwachung.

NIS2 . 21 – Netzwerksicherheit DSGVO Art. 32 OASF
OASAT · Hoch
Keine AI Kapazitäten zur Reaktion auf Vorfälle
Hoch

Der derzeitige Prozess von NordTel zur Reaktion auf Vorfälle umfasst keine AI Vorfallkategorien oder Reaktionsverfahren. Im Falle einer AI Datenpanne, einer Manipulation von Modellen oder eines Versagens der Governance verfügt das Unternehmen weder über einen festgelegten Reaktionsplan noch über ein Eskalationsverfahren oder die Bereitschaft zur Meldung innerhalb der in der DSGVO vorgeschriebenen Frist von 72 Stunden.

DSGVO Art. 33 – Meldung gemäß Art. 72h NIS2 . 23 OASF
OASAT · Hoch
Lücke beirisk “ im EU-KI-Gesetz – zwei Anwendungsfälle bleiben unberücksichtigt
Hoch

Zwei in der Bewertung identifizierte Anwendungsfälle für KI werdenrisk Anhang III des EU-KI-Gesetzes wahrscheinlich alsrisk eingestuft: KI-gestützte Bonitätsbewertung bei Entscheidungen über Postpaid-Verträge und KI-gestütztes Netzwerkmanagement für kritische Infrastrukturen. Keiner dieser Anwendungsfälle hat die gemäß dem EU-KI-Gesetz vorgeschriebene Konformitätsbewertung oder die erforderliche menschliche Aufsicht durchlaufen.

EU AI , Anhang III EU AI Art. 14 – Menschliche Aufsicht EU AI Art. 17
Analyse von Regulierungslücken

Aktueller Stand der Einhaltung der geltenden Rahmenwerke.

Im Rahmen der Bewertung wurden KI-Governance aktuellen KI-Governance von NordTel anhand von vier geltenden regulatorischen Rahmenwerken überprüft. Die als Lücken ausgewiesenen Punkte stellen Anforderungen dar, die derzeit nicht erfüllt sind und ein regulatorisches Risiko darstellen.

EU AI

Art. 9 – Es gibt kein KI risk
Art. 10 – Keine Datenverwaltung für AI
§ 12 – Keine Aufzeichnungspflicht / keine audit
Art. 14 – Fehlen eines Rahmens für die menschliche Aufsicht
~
§ 13 – Maßnahmen zur teilweisen Transparenz

NIST AI RMF

GOVERN — Keine KI-Governance oder Rechenschaftspflicht
~
MAP – Teilweise risk (diese Bewertung)
MASSNAHME — Keine risk oder -verfolgung im Bereich KI
VERWALTUNG — Kein risk und keine Kontrollmechanismen im Bereich KI

NIS2

Art. 21 – KI-Sicherheit nicht umgesetzt
Art. 21 – KI-Sicherheit in der Lieferkette KI-Sicherheit berücksichtigt
Art. 23 – Kein Verfahren zur Meldung von AI
~
Allgemeine Sicherheitsmaßnahmen gelten teilweise

DSGVO + AI

Art. 5 – Dateneinschränkung wird im Bereich AI nicht durchgesetzt
Art. 30 – Keine Aufzeichnungen über AI
§ 32 – Keine technischen Maßnahmen zur KI-Sicherheit
~
Art. 33 – Allgemeine Meldepflicht bei Datenschutzverletzungen
Maßnahmenplan zur Sanierung

Priorisiertes Governance-Programm – drei Phasen.

Die Bewertung empfiehlt ein strukturiertes, dreistufiges Abhilfeprogramm, das auf die behördlichen Fristen und risk operativen risk abgestimmt ist. In Phase 1 werden unmittelbare kritische Risiken angegangen. In Phase 2 wird die Governance-Architektur aufgebaut. In Phase 3 wird die Durchsetzung im laufenden Betrieb umgesetzt.

Phase 1
Sofortige Risk
Wochen 1–6
Vorläufige policy zur KI-Nutzung einführen policy LLM für Endnutzer in sensiblen Funktionen sperren
Einführung einer grundlegenden Protokollierung AI für kundenorientierte Geschäftsbereiche
Durchführungrisk gemäß dem EU-KI-Gesetz für KI-Anwendungen im Bereich der Bonitätsbewertung und des Netzwerkmanagements
Durchführung von OASAP schulungen für die Kundendienst- und Netzwerktechnik-Teams
Festlegung eines Kontakt- und Benachrichtigungsverfahrens für die Reaktion AI
Phase 2
Governance-Architektur
Wochen 7–16
Das OASF -Framework in allen sechs Kontrollbereichen implementieren
Ein Register für genehmigte AI erstellen und veröffentlichen
policy zur KI-basierten Datenklassifizierung policy entsprechende Verarbeitungsregeln umsetzen
Entwicklung von AI Leitfäden für die Reaktion auf Vorfälle für alle kritischen Kategorien
Umfassendes OASAP -Sensibilisierungsprogramm OASAP
Phase 3
Durchsetzung zur Laufzeit
Wochen 17–26
Stellen Sie gateway Aegis KI gateway KI-Zugangspunkt für Ihr Unternehmen bereit
Integrationpolicy OASF policy in die Aegis teuerung
Umfassende audit KI audit und Governance-Berichte aktivieren
Verbinden Sieaudit Aegis audit mit dem SIEM-System, um eine kontinuierliche Überwachung zu gewährleisten
Erste Überprüfung der Governance-Reife – angestrebte Reifegradstufe 3,5+ in allen Bereichen

Sind Sie bereit, Ihre KI-Governance zu bewerten?

Dies ist eine Beispielbewertung zu Illustrationszwecken. Eine echte OASAT wird speziell auf Ihr Unternehmen zugeschnitten – Ihre Branche, Ihre AI , Ihre regulatorischen Verpflichtungen – und definiert die Governance-Maßnahmen, die Aegis in der Produktion umsetzt. Festpreis. Lieferung innerhalb weniger Wochen.

Beantragen Sie Ihre Bewertung Preise für die Bewertung anzeigen