OASF kein weiteres Rahmenwerk. Es handelt sich um eine strukturierte, domänenbasierte Governance-Architektur, die die Kontrollgrenzen definiert, die Ihre Organisation benötigt – und die Vorgaben festlegt, die Aegis zur Laufzeit Aegis . Es ist direkt auf AI undRMF NIST AI RMF abgestimmt.
Jeder Bereich befasst sich mit einer bestimmten Dimension der Governance – von der Klassifizierung und dem Umgang AI über die Genehmigung und Überwachung von Modellen bis hin zur Erkennung von Vorfällen und den entsprechenden Reaktionen. Klicken Sie auf einen beliebigen Bereich, um die entsprechenden Kontrollmaßnahmen zu erkunden.
Legt fest, wie Daten im Rahmen von KI-Interaktionen klassifiziert, verarbeitet, geschützt und kontrolliert werden. Definiert die Regeln zur Datenminimierung, Zweckbindung und zum Datenschutz, die Aegis Guard zur LaufzeitGuard – und stellt so sicher, dass sensible Daten niemals in nicht genehmigte KI-Modelle gelangen.
Aegis
OASFSteuerungen steuern die Aegis Guard und legen fest, welche Datenklassifizierungen zur Schwärzung, Sperrung oder routing an eine höhere Instanz routing Laufzeit führen.
Definiert Vertraulichkeitsstufen für Daten AI – von „öffentlich“ bis „eingeschränkt“. Legt fest, welche Datenkategorien von welchen AI verarbeitet werden dürfen.
Vorschriften zur Verwendung personenbezogener Daten in AI , beim Training und bei den Ausgaben. Gewährleistet die Einhaltung der DSGVO-Grundsätze der Datenminimierung und der Zweckbindung zum Zeitpunkt der AI .
Verbietet die Verarbeitung von Daten besonderer Kategorien gemäß Art. 9 der DSGVO (Gesundheitsdaten, biometrische Daten, Daten zur ethnischen Herkunft) durch nicht zugelassene AI . Legt zulässige Ausnahmen und Kontrollmaßnahmen fest.
Vorschriften für die Übermittlung von Daten an KI-Anbieter außerhalb der EU/des EWR. Legt zugelassene Übermittlungsmechanismen und routing für bestimmte Kategorien sensibler Daten fest.
Legt fest, wie KI-Modelle bewertet, genehmigt, katalogisiert, überwacht und außer Betrieb genommen werden. Richte das Register für genehmigte Modelle ein, das Aegis Routing zur Auswahl und Durchsetzung des ModellzugriffsRouting – damit sichergestellt ist, dass Mitarbeiter ausschließlich mit geprüften, genehmigten KI-Modellen arbeiten.
Aegis
OASF füllen denRouting – dabei wird festgelegt, welche Modelle für welche Datenklassifizierungen und Geschäftskontexte zugelassen sind.
Legt den Bewertungs- und Genehmigungsprozess für AI vor deren Einsatz im Unternehmen fest. Umfasst eine Sicherheitsprüfung, eine Bewertung hinsichtlich Verzerrungen, eine Bewertung der Erklärbarkeit sowie eine Überprüfung der Einhaltung gesetzlicher Vorschriften.
Führt das maßgebliche Verzeichnis der zugelassenen AI , Anbieter und zulässigen Anwendungsfälle. Legt Regeln für die Zuordnung von Modellen zu Datenklassen sowie Zugriffsgrenzen fest.
Laufende Überwachung der eingesetzten AI hinsichtlich Drift, Verzerrungen, Leistungsabfall und adversarischer Manipulation. Festlegung von Eskalationsschwellenwerten und Reaktionsverfahren.
Maßnahmen zur Erkennung und Steuerung der Nutzung nicht genehmigter KI-Tools im gesamten Unternehmen. Definiert Erkennungsmethoden, risk und Abhilfemaßnahmen für „Shadow-KI“.
Legt fest, wie die Identität überprüft, der Zugriff autorisiert und Rollen bei KI-Interaktionen durchgesetzt werden. Jede KI-Interaktion muss an eine Identität gebunden sein – damit anhand des audit nachvollzogen werden kann, wer wann und warum auf welche Daten zugegriffen hat.
Aegis
OASF steuert die Identitätsverknüpfung mitGateway Aegis Gateway – SSO-Integration, Durchsetzung der MFA sowie rollenbasierter Zugriff auf zugelassene KI-Modelle.
Erfordert, dass alle AI an eine verifizierte Unternehmensidentität gebunden sind. Verbietet AI anonymen AI oder den Zugriff über gemeinsam genutzte Konten. Erzwingt die SSO-Integration mit dem IAM des Unternehmens.
Definiert rollenbasierte Zugriffskontrollen für die Nutzung AI . Geschäftsrollen legen fest, auf welche Modelle, Datenklassifizierungen und AI zugegriffen werden kann – dies wird auf der Governance-Ebene durchgesetzt.
Verbesserte Kontrollmechanismen für den privilegierten Zugriff auf KI-Systeme – Modelladministratoren, Governance-Beauftragte und audit . Legt Genehmigungsworkflows und Just-in-Time-Zugriffsverfahren fest.
Definiert die technischen Sicherheitsmaßnahmen zum Schutz von AI vor adversarialen Angriffen, Manipulationen und Missbrauch. Umfasst den Schutz vor Prompt-Injection, adversariale Robustheit und AI Bedrohungsmodellierung – also Sicherheitsmaßnahmen, für die SIEM-Tools und herkömmliche DLP-Lösungen nicht ausgelegt sind.
Aegis
OASF sorgen für eineGuard Überprüfung durch Aegis Guard – dabei werden Injektionsangriffe, Jailbreak-Versuche und policy erkannt, bevor sie das Modell erreichen.
Maßnahmen zur Erkennung und Abwehr von Prompt-Injection-Angriffen – Versuche, KI-Governance durch böswillige Anweisungen zu umgehen, die in Eingabeaufforderungen oder Eingabedaten eingebettet sind.
Maßnahmen zur Überwachung und Erkennung von adversarischen Eingaben, die darauf abzielen, Modellausgaben zu manipulieren, Trainingsdaten zu extrahieren oder Fehlverhalten des Modells in Produktionsumgebungen zu verursachen.
Strukturierte Bedrohungsmodellierung für AI – Identifizierung von Angriffsflächen, Angreifern und Angriffsvektoren, die speziell für AI in regulierten Unternehmensumgebungen relevant sind.
Sicherheitsmaßnahmen für die Lieferketten von KI-Modellen – Überprüfung von Modellanbietern, Validierung der Modellintegrität und Management risk KI-Komponenten von Drittanbietern.
Legt die Anforderungen an die Protokollierung, Berichterstattung und die Erstellung von Nachweisen fest, durch die KI-Governance gegenüber Aufsichtsbehörden, Vorständen und Wirtschaftsprüfern KI-Governance ist. Jede KI-Interaktion muss rekonstruierbar sein – wer, welche Daten, welches Modell, welche policy , wie lautete das Ergebnis.
Aegis
OASFKontrollen definieren das SchemaAudit – jedes Feld, jede Klassifizierung, jede policy , die erfasst und aufbewahrt werden muss.
Obligatorische Protokollierungsanforderungen für alle KI-Interaktionen – Zeitstempel, Benutzeridentität, erkannte Datenklassifizierungen, angewandte Richtlinien, verwendetes Modell und policy . Die Integrität der Protokolle muss manipulationssicher sein.
Legt den Rhythmus der Governance-Berichterstattung, die Berichtsformate sowie die Kennzahlen fest, die für die Berichterstattung an den Vorstand, die Geschäftsleitung und die Aufsichtsbehörden erforderlich sind. Umfasst risk , die Rate policy und eine Zusammenfassung der Vorfälle.
Funktionen zur Erstellung, Pflege und Bereitstellung von Nachweisen für behördliche Anforderungen – Verarbeitungsprotokolle gemäß DSGVO, Konformitätsunterlagen gemäß dem EU-KI-Gesetz, Nachweise für NIS2 sowie Exporte audit .
Legt fest, wie AI Sicherheitsvorfälle erkannt, klassifiziert, eingedämmt, untersucht und gemeldet werden. Herkömmliche Leitfäden für die Reaktion auf Sicherheitsvorfälle wurden nicht für AI , die Manipulation von Modellen oder Versäumnisse bei der Governance konzipiert – dieser Bereich schließt diese Lücke.
Aegis
Die OASFRegeln legen die Aegis Alarmschwellen fest – also die Fälle, in denen policy , ungewöhnliche Muster oder Vorfälle im Zusammenhang mit Anmeldedaten eine automatische Eskalation auslösen.
Definiert die KI-spezifische Taxonomie von Vorfällen – Datenlecks, Manipulation von Modellen, Umgehung von Governance-Maßnahmen, Kompromittierung von Zugangsdaten, adversarische Angriffe und Verstöße gegen Compliance-Vorschriften. Entspricht den Meldepflichten gemäß der DSGVO (72-Stunden-Frist) und NIS2 .
Strukturierte Vorgehensweisen für jede Kategorie AI – Maßnahmen zur Eindämmung, Anforderungen an die Untersuchung, Meldepflichten und Eskalationswege innerhalb der Unternehmensführung.
Obligatorischer Prozess zur Nachbetrachtung von KI-Sicherheit – Ursachenanalyse, Ermittlung von Kontrolllücken, Anforderungen zur Aktualisierung OASF sowie Dokumentation der Meldungen an die Aufsichtsbehörden.
Jede OASF ist den regulatorischen Rahmenbedingungen zugeordnet, denen Ihre Organisation bereits unterliegt. OASF keine neue Sprache, die es zu erlernen gilt – es handelt sich vielmehr um eine praktische Umsetzung der Standards, die Sie bereits kennen.
Die meisten Governance-Rahmenwerke liefern Dokumente. OASF operative Kontrollmaßnahmen. Jeder Bereich, jede Kontrollmaßnahme und jede policy im Rahmenwerk wird in Aegis zu einer Regel zur Durchsetzung zur Laufzeit Aegis wodurch Governance messbar, überprüfbar und nachweisbar wird.
Ermittelt risk Lücken in der Unternehmensführung – legt fest, welche Maßnahmen OASF ergreifen OASF
Definiert die Steuerungsarchitektur – wird zur policy für Aegis
Setzt OASF zur Laufzeit durch – generiert audit , die in die Governance zurückfließen
OASF die Governance-Architektur, die Aegis zur Laufzeit Aegis – diese wird in der Regel im Rahmen einer OASAT festgelegt, bei der Ihre Governance-Lücken sowie die für Ihr Unternehmen erforderlichen Kontrollmaßnahmen ermittelt werden.