Der zunehmende Einsatz von Systemen, die auf generativer künstlicher Intelligenz (GenAI) basieren, bringt neue Risiken und Herausforderungen für die Sicherheit von Organisationen mit sich. Das Management von Vorfällen, an denen GenAI beteiligt ist, erfordert dedizierte Richtlinien und operative Werkzeuge, die die Besonderheiten generativer Mechanismen, die zentrale Rolle von Prompts sowie die Möglichkeit von Reputations-, Betriebs- oder regulatorischen Schäden – auch ohne klassische Angriffe – berücksichtigen.

Definition eines KI-Vorfalls

Ein KI-Vorfall ist jedes Ereignis, jeder Umstand oder jede Abfolge von Ereignissen, bei denen die Entwicklung, die Nutzung oder die Fehlfunktion eines oder mehrerer KI-Systeme direkt oder indirekt zu spezifischen Schäden führt. Der Leitfaden betont, dass sich diese Definition nicht auf die Verletzung traditioneller Cybersicherheitsrichtlinien beschränkt, sondern auch Schäden umfasst, die durch die Autonomie des Systems, Verzerrungen (Bias), unbeabsichtigtes Verhalten oder generative Fehler verursacht werden.

• Prompt Injection: Schadhaft in Prompts eingefügte Anweisungen, die das Modell dazu veranlassen, ungewollte Aktionen auszuführen.
• Übermäßig sensible oder falsche Daten, die von Chatbots oder virtuellen Assistenten bereitgestellt werden.
• Fehlinformationen oder die Ausgabe falscher Inhalte, wie im Fall von Chatbots, die erfundene Unternehmensrichtlinien liefern.
• Unvorhergesehenes Verhalten aufgrund der operativen Autonomie des Systems.

Unterscheidung zu traditionellen IT-Vorfällen

Die Unterschiede liegen in der Unvorhersehbarkeit der generativen Ausgabe, der zentralen Rolle von Prompts, der Möglichkeit von Schäden auch ohne externe Angreifer sowie der Komplexität der Ursachenanalyse („Black Box“).

Vorbereitung

Risikobewertung und -management

• Identifizierung KI-spezifischer Risiken in Bezug auf Vertraulichkeit, Integrität, Verfügbarkeit und Systemautonomie.
• Bewertung der Auswirkungen auf Assets, Benutzer, Betriebsabläufe und Reputation.
• Entwicklung eines Risikomanagement-Frameworks, das Richtlinien, Bewertungsverfahren und Reaktionsstrategien wie Risikominderung, -übertragung oder -akzeptanz umfasst.
• Integration von GenAI-Risiken in das Unternehmensrisikoregister als spezifische Kategorie unter Festlegung von Verantwortlichen (Owner) und einheitlichen Kriterien.

Inventarisierung und Klassifizierung von KI-Assets

• Dynamischer Aufbau und Aktualisierung des Inventars aller KI-Assets und zugehöriger Komponenten, einschließlich Modellen, Daten, Infrastrukturen, APIs, Software, Benutzern und Plugins.
• Klassifizierung der Assets nach Funktionalität (z. B. NLP, Empfehlungsdienste), Kritikalität, Datensensibilität und Bereitstellungsmodus (Cloud, Embedded, Hybrid).
• Führung einer genauen Dokumentation über die Herkunft der Datensätze, Modellarchitekturen, Leistungsmetriken und Sicherheitsbewertungen (einschließlich der Ergebnisse von Red Teaming und Audits).

Stakeholder-Mapping und Verantwortlichkeiten

• Mapping interner Stakeholder (IT, Data Science, Legal, PR, Product Owner) und externer Partner (Modellanbieter, Cloud-Provider, Behörden, Kunden).
• Festlegung von Verantwortlichkeiten mittels RACI-Matrix und Pflege einer aktuellen Liste der wichtigsten Kontakte für jedes Asset oder jeden Prozess.

Erkennung

Erkennungstechniken (Detection)

• Erweitertes Monitoring von Modelleingaben/-ausgaben und Prompts, einschließlich Mustern für Prompt Injection, Leakage-Versuchen und Verhaltensanalysen.
• Batch-Analyse und Echtzeit-Erkennung von Anomalien in Systemprotokollen, Benutzerinteraktionen, Datenpipelines und Rechenressourcen.
• Überwachung von Modell-Drift durch Analyse von Verschiebungen in den Leistungsmetriken.
• Integration mit SIEM/SOAR sowie Mapping der Erkennungsregeln gemäß den Top OWASP LLM Vulnerabilities.

Dashboards und Alerting

• Erstellung von Dashboards für den Modellzustand, Datenpipelines, Missbrauchsmuster und Sicherheitsereignisse.
• Einrichtung einzelner und zusammengesetzter Alarm-Schwellenwerte, verknüpft mit Runbooks für schnelle Reaktion und Triage.

Berichterstattung

Kommunikations- und Benachrichtigungsprotokolle

• Definition sicherer Kanäle (einschließlich Out-of-Band-Alternativen) für die Meldung von Vorfällen.
• Festlegung von Auslösern (Triggern) für die Benachrichtigung verschiedener Stakeholder sowie Methoden und Zeitpläne für die Eskalation.
• Pflege interner Berichtsvorlagen mit wesentlichen Feldern wie Auswirkungen, betroffenes System, Sofortmaßnahmen und zugewiesene Verantwortliche.
• Planung der öffentlichen Kommunikation und des Krisenmanagements.

Schweregrad-Matrizen

• Anwendung definierter Matrizen zur Bewertung von Schweregrad und Dringlichkeit basierend auf Auswirkungen auf Funktionalität, Daten, Compliance und Reputation.
• Zuweisung operativer Prioritäten, funktionsübergreifender Teams und spezifischer Kommunikationsebenen je nach Kritikalität.

Reaktionsplan

Blast Radius und Reaktionszeiten

• Mapping des „Blast Radius“ (Auswirkungsbereich) des Vorfalls auf Modelle, Datensätze, nachgelagerte Dienste, Entscheidungsfindungen sowie finanzielle/reputative Verluste.
• Festlegung von Reaktions-SLAs (z. B. Eindämmung innerhalb von 15 Minuten bei kritischen Vorfällen), Wiederherstellungszeiten und Stakeholder-Updates.

Zusammensetzung und Schulung des Teams

• Aufbau eines KI-Incident-Response-Teams mit Experten für KI-Sicherheit, ML-Ingenieuren, Prompt-Abuse-Analysten, Data Scientists sowie Governance- und Risiko-Beratern.
• Erstellung spezifischer Runbooks und dedizierter Schulungsprogramme für die verschiedenen Teamrollen und Endbenutzer zu Bedrohungen, Fehlern und Meldeprozessen.

Management spezifischer Ereignisse

Angriffe auf KI-Systeme

• Prompt Injection, Evasion-Angriffe, Data/Model Poisoning, Datenexfiltration, RAG-Poisoning, Agent-Exploitation.
• Analyse von Beweisquellen: KI-Logs, Benutzer-Logs, Infrastruktur-Logs.
• Maßnahmen: Eindämmung (Isolierung, Zugriffsbeschränkung), Beseitigung (Entfernung kompromittierter Artefakte, Datenbereinigung), Wiederherstellung (funktionales Audit, Watermarking, Post-Recovery Red-Teaming).

Angriffe auf die Lieferkette (Supply Chain)

• Poisoning von Datensätzen/Modellen, Backdoors, Manipulationen in Bibliotheken von Drittanbietern.
• Statische Maßnahmen (AI-BOM), Laufzeitkontrollen, Verhaltens-Baselines und Mapping von Abhängigkeiten.
• Eindämmungsverfahren, forensische Analysen, Zusammenarbeit mit Anbietern und Aktualisierung des Asset-Inventars.

Angriffe auf Drittanbieter von Modellen

• Überwachung von Ausgabeanomalien, Drift, Modell- und Pipeline-Logs.
• Wiederherstellung des Vertrauens durch Widerruf von Schlüsseln/Tokens, Validierungstests, Rechenschaftspflicht des Anbieters und Governance-Prozesse für Dritte.

Rollen, physische KI, Ressourcen

Typische Rollen: Incident Manager, Analyst, IR-Ingenieur, Legal, Communications Officer, KI-Sicherheitsspezialist, ML-Ingenieur, Prompt-Analyst, Governance- und Ethik-Experte. Bei physischer KI: Außendiensttechniker, Hardware-Forensiker, medizinische/Notfall-Einsatzkräfte. Zur effektiven Reaktion tragen auch Kenntnisse der Anwendungsbereiche (Robotik, Transport, Logistik), der Risikoarten und der potenziellen Folgen (Sicherheit, Datenschutz, Reputation, Umweltschäden) bei.

Ressourcen und weiterführende Informationen

• OWASP Gen AI Security Project
• OWASP AI Exchange
• AI Incident Database
• NIST Artificial Intelligence Risk Management Framework
• ENISA Multilayer Framework for Good Cybersecurity Practices for AI
• OECD – Common Reporting Framework for AI Incidents

Dieser zielgerichtete Ansatz ermöglicht das operative Management, die Transparenz und die kontinuierliche Anpassungsfähigkeit der Reaktionsstrategien an die aufkommenden Risiken im Zusammenhang mit dem Einsatz von GenAI-Systemen.