ai_security
Crest startet KI-Sicherheitscharta mit 60 Unterzeichnerorganisationen
Der internationale Cybersicherheitsverband Crest hat eine KI-Sicherheitscharta mit neun Kernprinzipien veröffentlicht, die den Einsatz von künstlicher Intelligenz in Sicherheitsdiensten verbindlich regeln und das Vertrauen von Käufern in diese neuen Technologien stärken soll. Wie Computer Weekly berichtet, tragen 60 Gründungsorganisationen aus aller Welt das Dokument als Erstunterzeichner mit, von globalen Konzernen bis zu spezialisierten Sicherheitsberatern. Die Charta formuliert Anforderungen an Transparenz, menschliche Aufsicht und Datenschutz und soll damit einen verbindlichen Rahmen für den gesamten Markt schaffen.
Die Dringlichkeit unterstreichen konkrete Zahlen aus dem Bereich KI-Cybersicherheit: 47 Prozent der Organisationen nutzen KI bereits für das Schwachstellen-Reporting, 44 Prozent für Scanning und Enumeration im Bereich Penetrationstests, also für kontrollierte Angriffe auf eigene IT-Systeme zur Identifikation von Sicherheitslücken. Drei Viertel aller Sicherheitsdienstleister haben ihren KI-Einsatz innerhalb der letzten 12 Monate deutlich ausgeweitet, was das Profil klassischer Sicherheitsarbeit grundlegend verändert und neue Anforderungen an Ausbildung und Prozesse mit sich bringt. Laut Crest-CEO Nick Benson ist die Branche durch akute Bedrohungen, eine sich rapide wandelnde Bedrohungslandschaft und eine ungewisse Zukunft für die eigene Belegschaft geprägt, da klassische Rollenprofile sich durch Automatisierung verschieben. Die Charta soll daher als gemeinsamer Orientierungsrahmen dienen und Anforderungen an Offenlegung, Dokumentation, Datenschutz sowie die Sichtbarkeit der gesamten KI-Lieferkette formulieren.
Was bedeutet das konkret für Ihren Betrieb?
Für mittelständische Unternehmen wird es künftig deutlich einfacher, die Seriosität von Sicherheitsdienstleistern zu bewerten, da die Selbstverpflichtung zur Charta als messbares Qualitätsmerkmal dient. Wer einen Managed Security Service Provider, kurz MSSP, beauftragt, kann gezielt nachfragen, ob dieser die Crest-Prinzipien einhält und seine KI-Nutzung offenlegt, etwa welche KI-Tools in der Schwachstellenanalyse konkret eingesetzt werden und ob eine qualifizierte menschliche Aufsicht über alle automatisierten Entscheidungen gewährleistet bleibt. Gerade für KMU ohne eigene IT-Sicherheitsabteilung entsteht damit ein konkreter Qualitätsmaßstab, der bislang fehlte und oft nur über aufwendige Einzelprüfungen erreicht werden konnte. Mittelständler, die selbst KI-gestützte Sicherheitswerkzeuge einsetzen, sollten die Transparenz- und Dokumentationspflichten der Charta als interne Checkliste für Auftragsvergabe und Kundengespräche nutzen und so Haftungsrisiken vermeiden.
Crest kündigte an, auf Basis der Charta konkrete technische Standards für KI-Sicherheit zu entwickeln, begleitet von laufenden Forschungsprogrammen und verschiedenen Arbeitsgruppen, die auch Aspekte wie Lieferketten-Transparenz und Auditierbarkeit abdecken sollen. Mittelfristig dürften die Selbstverpflichtung der Anbieter und die künftigen Sicherheitsstandards zu einem entscheidenden Auswahlkriterium bei der Vergabe von Sicherheitsaufträgen werden, vergleichbar mit heute üblichen ISO-Zertifizierungen in der Branche. Branchenbeobachter rechnen damit, dass die Prinzipien in Ausschreibungen und Vertragsbedingungen mittelständischer Unternehmen zunehmend eine Rolle spielen werden, was den Wandel hin zu mehr Nachweispflicht, überprüfbarer Qualität und einem verantwortlichen Umgang mit sensiblen Kundendaten beschleunigt.
Die Dringlichkeit unterstreichen konkrete Zahlen aus dem Bereich KI-Cybersicherheit: 47 Prozent der Organisationen nutzen KI bereits für das Schwachstellen-Reporting, 44 Prozent für Scanning und Enumeration im Bereich Penetrationstests, also für kontrollierte Angriffe auf eigene IT-Systeme zur Identifikation von Sicherheitslücken. Drei Viertel aller Sicherheitsdienstleister haben ihren KI-Einsatz innerhalb der letzten 12 Monate deutlich ausgeweitet, was das Profil klassischer Sicherheitsarbeit grundlegend verändert und neue Anforderungen an Ausbildung und Prozesse mit sich bringt. Laut Crest-CEO Nick Benson ist die Branche durch akute Bedrohungen, eine sich rapide wandelnde Bedrohungslandschaft und eine ungewisse Zukunft für die eigene Belegschaft geprägt, da klassische Rollenprofile sich durch Automatisierung verschieben. Die Charta soll daher als gemeinsamer Orientierungsrahmen dienen und Anforderungen an Offenlegung, Dokumentation, Datenschutz sowie die Sichtbarkeit der gesamten KI-Lieferkette formulieren.
Was bedeutet das konkret für Ihren Betrieb?
Für mittelständische Unternehmen wird es künftig deutlich einfacher, die Seriosität von Sicherheitsdienstleistern zu bewerten, da die Selbstverpflichtung zur Charta als messbares Qualitätsmerkmal dient. Wer einen Managed Security Service Provider, kurz MSSP, beauftragt, kann gezielt nachfragen, ob dieser die Crest-Prinzipien einhält und seine KI-Nutzung offenlegt, etwa welche KI-Tools in der Schwachstellenanalyse konkret eingesetzt werden und ob eine qualifizierte menschliche Aufsicht über alle automatisierten Entscheidungen gewährleistet bleibt. Gerade für KMU ohne eigene IT-Sicherheitsabteilung entsteht damit ein konkreter Qualitätsmaßstab, der bislang fehlte und oft nur über aufwendige Einzelprüfungen erreicht werden konnte. Mittelständler, die selbst KI-gestützte Sicherheitswerkzeuge einsetzen, sollten die Transparenz- und Dokumentationspflichten der Charta als interne Checkliste für Auftragsvergabe und Kundengespräche nutzen und so Haftungsrisiken vermeiden.
Crest kündigte an, auf Basis der Charta konkrete technische Standards für KI-Sicherheit zu entwickeln, begleitet von laufenden Forschungsprogrammen und verschiedenen Arbeitsgruppen, die auch Aspekte wie Lieferketten-Transparenz und Auditierbarkeit abdecken sollen. Mittelfristig dürften die Selbstverpflichtung der Anbieter und die künftigen Sicherheitsstandards zu einem entscheidenden Auswahlkriterium bei der Vergabe von Sicherheitsaufträgen werden, vergleichbar mit heute üblichen ISO-Zertifizierungen in der Branche. Branchenbeobachter rechnen damit, dass die Prinzipien in Ausschreibungen und Vertragsbedingungen mittelständischer Unternehmen zunehmend eine Rolle spielen werden, was den Wandel hin zu mehr Nachweispflicht, überprüfbarer Qualität und einem verantwortlichen Umgang mit sensiblen Kundendaten beschleunigt.
💡 Handlungsempfehlung: Fordern Sie von Ihrem aktuellen MSSP eine schriftliche Erklärung an, welche KI-Tools er in der Schwachstellenanalyse konkret einsetzt und wie die menschliche Aufsicht gemäß den Crest-Prinzipien dokumentiert sichergestellt ist.