Oliver Schonschek im Gespräch mit Valeri Milke von VamiSec
Episode zum Anschauen
Episode zum Anhören
In dieser Folge sprechen Oliver Schonschek und Valeri Milke (VamiSec) über die Integration von AI-Compliance (AI Act) in ISO 27001/ISO 42001 und damit über die Umsetzung von AI Act und Cybersecurity als integriertes Managementsystem anstelle von Silos und Redundanzen. Zudem wird VamiAI vorgestellt, damit lassen sich Policies beantworten, Fragebögen automatisieren, Gaps erkennen, in Sekunden statt Tagen. Den Abschluss bilden Hinweise zum LLM-Pentesting gemäß AI Act und zu OWASP Top 10. Valeri Milke ist Gründer & CEO der VamiSec GmbH. Als zertifizierter ISO 27001 & ISO 42001 Lead Auditor sowie AI Officer begleitet er Unternehmen seit über 15 Jahren in regulierten Branchen. Sein Schwerpunkt liegt auf der Integration von Informationssicherheit, Datenschutz und KI-Compliance in einheitliche Managementsysteme. Mit VamiAI, einem KI-gestützten ISMS-Assistenten, treibt er die Automatisierung von Compliance- und Sicherheitsprozessen voran und unterstützt Organisationen dabei, Cyber-Resilienz effizient aufzubauen.
Fragen aus dem Interview:
– Kannst Du uns etwas zu VamiSec erzählen?
– Auf Unternehmen kommen zahlreiche neue Digitalregulierungen zu, wie NIS2 und AI Act. Da stellt sich die Frage, wie sich dies am besten gewährleisten lässt. Gibt es Synergien, kann man Mehraufwände vermeiden?
– Was fordert denn der AI Act mit Blick auf Cybersicherheit?
– Und was sagt die Cybersicherheit bzw. NIS2 zu AI?
– Wie kann dies konkret aussehen, wenn man seine neuen AI-Policies in das bestehende ISMS integrieren möchte?
– Nun muss man ja erst einmal AI-Richtlinien haben. Viele Unternehmen sind sich unsicher, wie sie Vorgaben zu AI im eigenen Betrieb umsetzen können. Und dann müssen diese Richtlinien auch intern im Unternehmen bekannt sein. Wie schafft man dies mit möglichst wenig Aufwand?
– Wie genau hilft VamiAI zum Beispiel bei der Vorbereitung eines Audits?
– Kommen wir nun zur Sicherheit von AI. Wir haben ja zum einen AI als Unterstützung der Sicherheit, dann wird AI auch als Angriffsunterstützung genutzt. Nicht zuletzt aber muss auch AI selbst sicher sein. Was kannst Du uns zu diesem Punkt sagen?
– Hast Du Beispiele für AI Schwachstellen?
– Wie findet man denn Sicherheitslücken und Schwachstellen bei AI?
– Nun haben die meisten Unternehmen kaum die Expertise, um all diese Aufgaben selbst zu stemmen. Wie kann VamiSec helfen?
Als zertifizierter ISO 27001 & ISO 42001 Lead Auditor sowie AI Officer begleitet er Unternehmen seit über 15 Jahren in regulierten Branchen. Sein Schwerpunkt liegt auf der Integration von Informationssicherheit, Datenschutz und KI-Compliance in einheitliche Managementsysteme. Mit VamiAI, einem KI-gestützten ISMS-Assistenten, treibt er die Automatisierung von Compliance- und Sicherheitsprozessen voran und unterstützt Organisationen dabei, Cyber-Resilienz effizient aufzubauen.
Ich freu mich sehr, Valerie Milke, Gründer und CEO der VAMISEC GmbH bei Drehpunkt IT Sicherheit zu begrüßen. Hallo Valerie, schön dich hier auf der virtuellen IT Sicherheitscouch zu haben.
Hallo Oliver, ich freu mich auch sehr, hier mit dir beim Drehpunkt auf der Sicherheitscouch heute, ja, über IT Sicherheit und Computereien zu sprechen.
Absolut. Da haben wir nämlich superspannendes Thema, was ich glaube, viele Unternehmen ohne Zweifel interessieren wird, denn viele klagen ja über zu hohe Aufwände im Bereich Compliance und so wichtig die auch ist, man sagt einfach, es gibt ja wirklich viele neue Digitalregulierungen, die auf die Unternehmen zukommen. Da sagt man sich, meine Güte, wie soll ich das alles schaffen? Und wir wollen heut mal zusammen angucken, wenn wir neue Digitalregulierungen im Bereich künstliche Intelligenz anschauen, aber natürlich auch Cybersicherheit, dann hofft man, dass man vielleicht Aufwände reduzieren könnte. Und ich würde gern mit dir darüber sprechen, welche Möglichkeiten gibt es hier, ein integriertes Vorgehen zu setzen, Also Silus Insellösung zu vermeiden und zu schauen, wie kann man das, was man hat, möglichst gut verwenden und das neu integrieren?
Und da bist Du, glaub ich, ganz genau der Richtige, weil Du in dem Thema spezialisiert bist. Aber vielleicht zuerst einmal, wenn dich jemand noch nicht kennt, was kannst Du uns über VARMISEC erzählen?
Ja, wir VARMISEC, wir verstehen uns als produkt- und technologieunabhängiges Beratungshaus mit Fokus auf IT Sicherheit und Compliance. Wir sind in Deutschland ansässig, das heißt Security Meta in Germany und fokussieren uns da darauf, zum einen auf der einen Seite Unternehmen cyberresilient herzustellen, das ist so die die klassische IT Sicherheit und auf der anderen Seite aber eben auch die Compliance zu gewährleisten, ne. Durch die Regulatorik, die Du angesprochen hast, mit NIS 2, mit DORA, mit dem AI Act, also KI Compliance, ne, und dass wir halt eben auch Compliance gewährleisten und das Ganze mit der IT Sicherheit Hand in Hand geht. Und zwar, ne, mit bezüglich der Ressourcenthematik. Natürlich sind das Aufwände, die dadurch, ich mein, irgendwo auch bisschen Bürokratie jetzt auf uns zukommt, auf die deutschen Unternehmen und EU weit die Unternehmen entsprechend sich aufstellen müssen und compliant herstellen müssen.
Dafür müssen Aufwände generiert werden, aber gleichzeitig können wir das auch synergisch nutzen durch ein integriertes Managementsystem, wie Du schon vorhin gesagt hast, indem wir eben KI Compliance und Compliance im Bereich der Informationssicherheit vereinen, so kurz gesagt.
Ja, da würde ich natürlich gerne noch genauer mit dir draufschauen, weil zum einen, ich hab’s so in meinem kurzen Intro gesagt, diese zahlreichen, man hat ja wirklich den Eindruck, es ist eine Flut an Digitalregulierungen, die da auf die Unternehmen zukommt und es werden noch mehr werden, das wissen wir ja alle. Wenn wir jetzt mal NIS 2 und AI Act anschauen und kann kannst Du da sagen, wie sich da vielleicht Synergien finden lassen? Gibt’s da irgendwas, wo man sagt, Mensch, wenn ich das eine gemacht hab, brauch ich das nicht zu wiederholen? Oder wie wie gibt’s da? Gibt’s da so Schnittmengen, wenn man so möchte?
Ja, da gibt es sehr große Schnittmengen. Also NS 2 ist ja eine Regulatorik für Informationssicherheit. Jetzt gibt es bei der Informationssicherheit den internationalen Standard ISO 27001, ein Standard für Informationssicherheitsmanagementsystem. Und dieses Managementsystem, das hat unterschiedliche Anforderungen von Asset Management, Lieferantenmanagement. Wir müssen die Lieferkette sicher gestalten.
Wir brauchen interne Audit Prozesse, Management Reviews, Prozesse im Personalwesen, in der IT und so weiter und so fort. Und wenn man sich dann auf der anderen Seite den AI Act anschaut, die KI Compliance mit abdecken möchte, dort gibt es den internationalen Standard ISO 42001. Das ist ein Standard für ein KI Managementsystem. Und wenn man sich diese beiden Standards ISO 27001 und 42001 nebeneinanderlegt, dann sieht man da ganz, ganz viele Schnittpunkte, was interne Audits angeht, Management Reviews. Wir müssen auch in der Informationssicherheit die Assets inventarisieren und aufnehmen und auch im KI als Beispiel müssen wir auch unsere KI Assets kennen.
Wir müssen wissen, welche KI Systeme setzen wir ein? Sind das Hochrisiko KI Systeme? Sind das Risiko KI Systeme mit beschränktem Risiko? Und das Gleiche müssen wir auf der Informationssicherheitszeit. Wir müssen unsere Assets kennen, kritische Assets kennen, weniger kritische Assets kennen, Assets, die in S2 relevant sind, Assets, die vielleicht weniger relevant sind in den Kontext S2.
Und dieses Asset Management, das muss ich beispielsweise am Asset Management, das muss ich für beide Seiten aufbauen. Und wenn ich das, wenn ich wenn ich diesen Prozess einmalig aufbaue und beide Seiten berücksichtige, brauch ich das nur einmal machen. Das Gleiche für Lieferant Management, das Gleiche im Bereich im Projektmanagement, Sicherheit im Projektmanagement, Sicherheit im KI Compliance. Da kann ich viele Prozesse einheitlich aufsetzen und damit praktisch keine Insellösung herstellen mit ‘nem Informationssicherheitsmanagementsystem und KI Managementsystem, sondern sondern eine konsolidiertes ein konsolidiertes Managementsystem, das beide Aspekte betrachtet. Und damit kann ich deutlich effizienter NIS 2 und AI Compliance, AI Act Compliance herstellen, als wenn ich das separat aufsetzen würde.
Jetzt hast Du uns schon mal sehr schön erzählt, man kann’s dir das auch gut vorstellen, diese Deckung zwischen den ISO Standards, also einerseits für Cybersicherheit, andererseits für KI. Und in beiden Fällen muss man sozusagen eine Ist Analyse machen. Was hab ich für Assets? Aber auch die Lieferkette angucken. In beiden Fällen gibt’s Audits und so weiter.
Du hast ja gesagt, wo die Parallelen sind. Wenn wenn wir jetzt mal auf die ja, eigentlichen EU Regulierungen gucken, also so was wie AI Act und NIS 2 oder eben andere Cybersicherheitsvorgaben der EU, Gibt’s da auch irgendwas, wo man sagen kann, ja Mensch, der AI Act enthält auch Forderungen zur Cybersicherheit? Also da kommt Cybersicherheit auch vor und vielleicht auch umgekehrt, dass es Punkte gibt in der Cybersicherheitsvorgabe, die wiederum auf AI verweisen. Kannst Du uns da auch so diese Parallelen aufzeigen?
Ja, genau. Also der größte gemeinsame Nenner, ich sag mal auch, wo der größte Aufwand entsteht, ist im Bereich des Risikomanagements. So, ich muss, wenn ich dann meine Assetanalyse gemacht habe, im im S2 Kontext muss ich Risikomanagement aufsetzen. Das heißt, ich muss meine Assets anschauen, wie kritisch sind diese und bei den kritischen Assets die Risiken betrachten, mitigierenden Maßnahmen platzieren. Das Gleiche muss ich bei AI Act.
Es gibt ja die 4 Risikoklassen bei KI System gemäß dem AI Act mit Low Risk AI, Limited Risk AI, High Risk und Forbidden AI. Und bei High Risk KI Systemen muss ich auch Risikomanagement betreiben. Das heißt, ich hab dort halt auch die Risikomanagementanforderung. Die ist auch im ISO 42001 Standard verankert, im KI Managementsystem Standard verankert. Und da kann ich entsprechend gemäß dem den den Standards mit dem einheitlichen Risikomanagement beide Regularien bedienen und hab damit eben mein Risikomanagement für KI Compliance und Informationssicherheit umgesetzt.
Das fordern beide Regularien. Im Übrigen, wir haben ja in der EU noch für die Finanzindustrie DORA Regulatorik, dann gibt es für Produktsicherheit Cyber Resilience Act, der kommt dann Ende 27 auf uns zu, der auch eher praktisch eine horizontale Regulatorik ist. Also betrifft nicht einzelne Sektoren, sondern betrifft alle Unternehmen, die irgendwo ein Produkt herstellen, egal ob Hardware oder Software. Und auch da gibt es auch wiederum Risikomanagement. Das heißt, das geht über verschiedene Standards und Regularien hinweg, wo ich Risikomanagement brauche.
Mhm, absolut. Und dass man jetzt eben hingeht und sagt, die Regularien, die wir schon haben, dass man da die Deckung sozusagen sucht, herstellt, das schon mal integriert und wenn jetzt so neue Dinge dazukommen, wieder genau diesen Weg angeht und sagt, jetzt gucke ich wieder nach den Überschneidungen und integriere das und wenn man zum Beispiel in AI Act reinguckt, findet man ja sogar Cybersicherheitsanforderungen genau für das Risikomanagement. So Hochrisikosysteme müssen ja sicher sein. Ja. Da gibt’s ja konkrete Forderungen und auch AI Systeme müssen umgekehrt cybersicher sein.
Ja, beim vielleicht noch mal ganz kurz bei KI Systemen. Wenn man sich als Beispiel ein KI System, was ja über im Übrigen auch vom Bund gefördert wird durch das KHZG für Krankenhäuser oder in der in der Medizin. Da gibt es ja KI Systeme, die die sind nach AI Act in der Regel Hochrisiko KI System. Und jetzt kann ich da hingehen und über Prompt Injection Angriffe praktisch die das das die die KI manipulieren oder halt auch Daten exfiltrieren. Und deswegen ist es halt eben wichtig, dort die Informationssicherheitsrisiken zu betrachten nachm LMA Act.
Und gleichzeitig ist es ja im KI System aus Sicht der Informationssicherheit nach NIS 2 auch wieder ein normales IT System, was ich sowieso aus betrachten muss unter Risiko Gesichtspunkten, ne. Und so habe ich zwar unterschiedliche Sichtweisen, aber schlussendlich gleiche Instrumente, die ich anwende.
Und das ist auf jeden Fall sehr gut zu hören, weil immer so was, wenn man sagt, da da gibt’s solche Schnittmengen, da kann man eben so Mehrarbeit vermeiden und erprobtes Vorgehen auch. Also jetzt nicht nur der Aufwand, sondern auch, dass ich gelernt habe, wie ich zum Beispiel Asset Management, erst mal Discovery Management, wie ich vorgehe oder wie ich die Lieferanten erfasse. Also diese Prozesse, dass ich das wiederverwenden kann, das hilft ja letztlich jedem Unternehmen. Und man muss ja auch so oder sollte dann KI Richtlinien haben und viele Unternehmer haben vielleicht jetzt auch schon IT Sicherheitsrichtlinien. Kann man da auch was Ähnliches machen, dass man vielleicht auch auf Ebene der Policies hingeht und sagt, ich gucke mal, dass ich das integriere, wo es sinnvoll ist, dass ich eben nicht alle damit überfordere, dass ich sage, jetzt hatten wir erst 20 Policies und jetzt haben wir 40, sondern dass sie sagen, na gut, jetzt haben wir vielleicht 25, aber ich nutze eben auch da den Deckungsgrad.
Ja, haben wir tatsächlich auch genauso gemacht. Wir haben schon mal ein integriertes Managementsystem implementiert und überall da, wo es Schnittmengen gibt bei den Prozessen, dort hab ich auch Schnittmengen bei den Policies. Also in der Regel vom Prinzip her, ich hab ja immer ISMS oder AIMS. Ich hab Richtlinien. Ich hab dann Prozesse, Arbeitsanweisungen, SOPs sogenannte, die die Richtlinien bedienen, die praktisch die Umsetzung der Richtlinien dokumentieren.
Und immer, wenn ich Synergien im Prozess habe, habe ich automatisch Synergien in Richtlinien. Wir haben das mal genau so umgesetzt, dass wir die Richtlinien als Beispiel auch im Asset Management. Wir haben da eine Richtlinie erstellt fürs Asset Management, die dann entsprechend KI Compliance nachm AI Act gemäß dem ISO 42001 Standard und auch NIS 2 gemäß ISO 27001 implementiert. Und vielleicht dazu noch mal ‘n ‘n kurze Ergänzung. Es ist ja nicht nur die Regulatorik, wir haben ja auch noch andere Synergie Möglichkeiten.
Wir haben einmal die Anforderung, regulatorisch compliant uns aufzustellen gemäß dem Gesetz. Was wir jetzt machen können, wir können die das, was wir sowieso schon machen und machen müssen, nutzen, uns auch zu zertifizieren. Das heißt, wir können für mit mit wenig mehr Aufwand auch ISO 27001 Standard erreichen, uns da hingegen zertifizieren und auch ISO 42001. Das heißt, der Sprung, wenn man die Regulatorik einmal erreicht hat und compliant aufgestellt ist und dann hin zur Zertifizierung, da fehlen nur noch die letzten paar Prozent. Das heißt, wir können da auch noch mal Wettbewerbsvorteil damit generieren, wenn wir uns noch zertifizieren lassen.
Absolut, weil weil wir sehen ja, es gibt ja auf dem Markt immer sone gewisse Unsicherheit, dass man sagt, ah, welche Lösung kann ich einsetzen oder welchen Unternehmen kann ich vertrauen? Und da helfen natürlich so anerkannte Zertifikate sehr. Und so wie wir’s aus der IT Sicherheit kennen, wo das ja eben schon länger so praktiziert wird, kommt das jetzt genauso mit KI. Und auch da ist es dann wichtig, wenn man vorweisen kann, kann man sagen, hier zertifizierte künstliche Intelligenz, dann hat man natürlich auch ganz anderes Standing am Markt, weil wir wissen ja, grade bei neuen Technologien hat man auch mal einen viel höheren Bedarf, den Kundinnen und Kunden zu sagen: Hier, du kannst der Lösung und du kannst dem Anbieter vertrauen. Und das sagt nicht nur ich selbst, sondern das sagt auch ein unabhängiger Dritter Und das ist natürlich großer Vorteil.
Genau, genau. Das wird das wird alles noch kommen. Also, ne, dieser Bedarf von Zertifizierungen im Bereich KI nach 42001, der wird, ich geh davon aus, erst so Mitte, Ende nächsten Jahres so langsam aufkommen. Denn der AI Act, der wird ja erst im August 26 voll in Kraft treten. Bis dahin sind die meisten Unternehmen jetzt bereiten sich so langsam vor.
Und dann wird es kommen, dass ich dadurch halt auch deutlich größere, ja, Marktchancen überhaupt habe, wenn ich eben auch eine Zertifizierung hab. Und wenn ich das machen muss, dann kann ich mich gleich dahingehend auch zertifizieren lassen. Das ist
Und jetzt genau diese Vorbereitungsphase, die könnte man ja wirklich wunderbar nutzen, indem man diese Integrationen schafft, die Du uns hier erklärst Absolut. Dass man diese Zeit Nutzen dann eben schon wirklich gut dasteht. Und die Unternehmen haben ja auch einiges zu tun. Ja. Wenn man sagt, also ich denk nur an die KI Richtlinien, wenn ich mit Unternehmen spreche, dann setzen so einige vielleicht KI durchaus ein, aber dass die tatsächlich fundierte Richtlinien da schon hätten, ist so die Frage.
Und das dann noch schulen, ne? Also da ist wieder eine Parallele zur IT Sicherheit, wo man sagt, ja, erst mal eine Richtlinie haben, dann musst Du dich aber auch bekannt machen und gucken, dass die genutzt wird. Gibt’s denn da irgendwas, wie man das möglichst einfach schafft? Weil das ist ja doch einiges, was die Unternehmen jetzt zu tun haben.
Ja, also es ist zunächst mal, die meisten kümmern sich jetzt NIS 2 Projekte, NIS 2 Umsetzungsprojekte, dass sie halt schon mal schauen, sie compliant aufgestellt sind, machen Gap Analysen nach NIS 2 und dann geht es in die Maßnahmenplanung und dann in die Umsetzung. Wenige kümmern sich aktuell AI Act, KI Compliance, aber im Grunde ist das ja jetzt in einem Jahr ja auch schon dann rechtskräftig, ist ein Act. Das heißt, wir brauchen ja nicht mehr auf Umsetzungsgesetz zu warten aus Deutschland. Das ist ja dann schon rechtskräftig, die EU Verordnung. Das heißt, im Grunde macht das überhaupt gar keinen Sinn, aktuell, wenn es 2 separat, wenn AI Act auch anwendbar ist für das Unternehmen, sprich, wenn man KI Systeme nutzt oder auch entwickelt.
Das ist halt noch mal wichtiger, ganz wichtiger Punkt. Selbst ein Unternehmen, was nur KI Systeme nutzt, also nur wenn ich beispielsweise Copilot nutze, bin ich ja schon betroffen gemäß AI Act. Das heißt, ich muss ja nicht mal groß KI Hightechunternehmen sein, das jetzt hier große KI Systeme entwickelt. Nur Betreiber von KI Systemen sind auch schon betroffen. Das heißt, für die meisten Unternehmen macht es Sinn, direkt beides parallel zu fahren.
Und bezüglich der Schulung, ne, das war, glaube ich, die Frage, die Du vorhin meintest, Bei der Schulung ist es so, wir haben das Thema Awareness, das bei beiden Seiten gefordert ist. Wir müssen ja alle Mitarbeiter schulen bezüglich Informationssicherheit, Awareness herzustellen zum einen. Und auf der anderen Seite gemäß AI Act das gleiche Spielchen, ich muss meine Anwender schulen und auch Entwickler von KI Systemen, Betreiber von KI Systemen, die irgendwo auch Betrieb von einzelnen technischen Lösungen, ja, verantworten, die muss ich auch schulen, dass halt meine KI dann auch resilient und, ja, sicher aufgestellt ist. Entsprechend kann ich hingehen und diese Schulungen auch konsolidieren. Das sind eher die allgemeinen Schulungen, Awareness Schulungen.
Was man halt auch noch mal mit an der Stelle wichtig ist zu sagen, es nicht nur die allgemeinen Awarena Schulungen sind gefordert, sondern auch zielgruppenspezifische Schulungen. Das heißt, ich habe den ein Wir haben ja das Thema Lieferkette, das sowohl bei NIS 2 als auch bei AI Act gefragt ist. Wen muss ich bei der bei bei der beim Thema Lieferkette schulen, da den Prozess sauber abzumelden? Den Einkauf. Ich muss meinen Einkauf schulen, zielgruppenspezifisch.
Ich muss Einkauf Anforderungen im Kontext NIS 2 schulen. Da da geht’s nicht nur Phishing Angriffe, Passwortsicherheit, MFA, bei den was bei den normalen Awareness Schulungen gefragt ist. Da geht’s Anforderungen im Bereich der Lieferkettensicherheit, ne, oder im Personalwesen, im HR Bereich. Das heißt, ich muss neben den normalen Awareness Schulungen auch zielgruppenspezifische Schulungen durchführen, die Verantwortlichen, die ich habe, im Kontext ihrer Informationssicherheitsverantwortung und KI Compliance Verantwortung auch zu schulen, damit sie ihre Prozesse erleben können, ne, das Enablement. Es nützt ja nicht, wenn ich meine Policies habe, meine Prozesse runtergeschrieben habe und diese Prozesse sind alle schön in in in in verschiedenen Abteilungen integriert, aber keiner weiß jemand, die lebt.
Deswegen muss ich halt auch dann meine verschiedenen Rollen im Informationssicherheits- und KI Managementsystem schulen, zielgruppenspezifisch. Und das kann ich natürlich auch super so eine, synergisch aufsetzen. Egal, ob ich jetzt die Lieferkette aus KI Compliance Sicht angehen will oder die Lieferkette aus der Informationssicherheit angehen will. Ich muss sie compliant aufstellen und dann muss ich auch nur einmal schulen. Nicht nur bei mir, bei der Abteilung, die die Schulungen durchführen, bringen sich dadurch die Aufwände, sondern auch auf der anderen Seite, die müssen ja dann halt auch entsprechend Zeit finden für diese Schulungen.
Alle meine Abteilungen, die ich habe, die Personen, die die die Verantwortung tragen, die muss ich alle schulen, Die sind sicherlich auch dankbar, wenn sie nicht 2 Schulungen machen müssen, einmal für AI Act, einmal für NIS 2.
Mhm. Absolut. Ohne Frage, auch wenn man sich’s klassisch vorstellt, dass die Leute sozusagen in den Schulungsraum gehen, sich da versammeln für 2 Stunden und dann am nächsten Tag heißt, so, jetzt gestern war IT Sicherheit, jetzt ist KI. Dann sagen die, was schon
man sich das sehr gut vorstellen, dass alle Beteiligten, sowohl die, die schulen müssen, die die Schulung durchführen, aber auch die geschult werden, dass die wirklich dann Aufwände sparen können und das steigert auch die Akzeptanz von dem
Absolut. Das steigert absolut die Akzeptanz nicht nur bei der Belegschaft, auch Topmanagement, ne. Es ist natürlich super, wenn man da diese Synergien herstellen kann, das Ganze halt auch Ressourcen und das war ja so der auch der Einstieg unseres Gesprächs. Natürlich ist NIS 2 und AI Act und diverse Standards und Regulierungen, da sind Aufwände selbstverständlich, aber wenn man das, ja, effizient gestaltet, synergisch gestaltet, kriegt man das dennoch, ja, wettbewerbsfähig compliant, die compliance hergestellt.
Das ist eine gute, wichtige Botschaft an alle, die da draußen sind, die das jetzt hören und sehen, weil man steht einfach vor dieser Herausforderung. Und ich hab vor unserem Gespräch auch mal geguckt, ich bin neugieriger Mensch und hab dann gesehen, es gibt da so was, Warme Ist das irgendwie ein KI Tool, was vielleicht auch dabei helfen kann, Aufwände zu reduzieren oder das irgendwie zu vereinfachen? Was was bietet das denn?
Genau, also BAMAI ein, wir nennen das Informationssicherheits- und KI Compliance Assistent. Der Gedanke ist, dass wir alle unsere Prozesse, Richtlinien, Dokumentationen zur KI Compliance, zur zur Informationssicherheit einmal als Trainingsdaten BAMAI zur Verfügung stellen vom jeweiligen Unternehmen, für den wir das implementieren. Und Warm AI kennt dann alle Prozesse, kennt kennt kennt alle Richtlinien im Bereich KI, im Bereich Informationssicherheit, kennt natürlich auch die n s 2 Standards, kennt hier den AI Act, kennt ISO 27001 Und kann damit mit den eigenen Daten zielgerichtet Standardaufgaben erledigen. Als Beispiel im Bereich der Lieferkette, was tagtäglich bei Unternehmen als, ja, Aufgabe vorliegt, ist die Beantwortung von Fragebögen. Die man vielleicht von Kunden kriegt, die man von Partnern kriegt, wie man dann im Bereich Informationssicherheit und KI Compliance aufgestellt ist, wenn man zusammenarbeiten möchte.
Die Lieferkette Lieferkettensicherheit fordert das. NIS 2 fordert das. DORA fordert das. Lieferkette Und entsprechend müssen sich die Unternehmen alle absichern. Und das geschieht durch Fragebögen.
Diese Fragebögen, ich hab letztens einen Fragebogen gesehen, 200 a 8 Prüffragen muss man beantworten. So, wenn man jetzt diese 208 Prüffragen alle gewissenhaft beantworten möchte, dann dauert das vielleicht auch schon mal einen Tag oder vielleicht sogar eineinhalb Mitten vielleicht noch nachweisen. Und genau das, da setzt Warme AI an. Warme AI hat alle Daten zum Informationssicherheitsmanagementsystem, zum KI Managementsystem, hat alle Daten parat mit Sourcen, welche Richtlinien, welche Prozesse sind dokumentiert und kann diese Prüffragen automatisiert beantworten. Dafür ist ein LLM prädestiniert.
Das ist die Natur 1 1 LLM ist ja dafür da, solche großen Datenmengen zu verarbeiten und dann passende Antworten herauszusuchen und zu generieren. Das heißt, diese Antworten lassen sich dann in wenigen Sekunden automatisch beantworten, bis hin zur ganzen Bearbeitung von Dateien. Zum Beispiel, ich kann dem einfach eine Excel übergeben mit all den Fragen und der gibt mir dann die ausgefüllte Excel zurück als Beispiel. Aber ich kann halt auch für andere Einsatzzwecke nutzen. Warm AI ist in Teams, Microsoft Teams integrierbar und ist für alle Mitarbeiter verfügbar, verfügbar, wenn man das über Teams integriert als Beispiel.
Da gibt es natürlich auch andere Möglichkeiten, Kanäle, aber Teams ist ja schon recht verbreitet. Deswegen haben wir das ein bisschen fokussiert. Und wenn ich jetzt irgendwo einen Mitarbeiter habe, der beispielsweise im HR Bereich grade jetzt neuen Kandidaten onboarden will oder die den Prozess durchspielen will. Und vielleicht ist er neu, vielleicht kennt er nicht alle Informationssicherheitsvorgaben, KI Compliancevorgaben. Er kann einfach WAME AI über Teams anchatten und fragen, wie der Prozess ausschaut, damit wir compliant sind.
Was sind unsere Vorgaben? Wie sieht der Prozess aus? Und WAME AI kann ihm direkt liefern, das ist zu tun. Wir brauchen Background Checks. Wir müssen Informationssicherheits und KI Compliance in die Verträge einsetzen.
Das heißt, wir haben vielleicht noch ‘n irgendwie ‘n Vertragsanhang für Mitarbeiter, die die noch unterschreiben müssen. Dann fängt der Schulungsprozess an, der sieht so und so aus. Das heißt, das ist für mich einfach ein Assistent. Wird der verlängerte Arm vom ISB oder vom AI Officer oder vom vom CISO, verlängerte Arm vom CISO, man könnte auch CISO oder AI Officer Assistent nennen. Der kann schnell die passenden Informationen liefern zu den Prozessen, zu den Vorgaben.
Also das ist son bisschen der Grundgedanke, halt eben, ne, nicht nur die internationalen Standards. Ich kann natürlich jetzt irgendwie bei Copilot oder bei ChatGPT oder wo auch immer kann ich nachfragen, aber der kann mir ja nur die die Standards ausgeben. Der kennt ja meine eigenen Prozesse nicht und das ist genau das, was gefehlt hat aus unserer Sicht, einfach da die die Synergien zu erzeugen, die Aufwände noch mal zu reduzieren. Weil wir sehen häufig in den Informationssicherheitsabteilungen und Compliance Abteilungen massive Personalengpässe. Der CISO, der ISB, massiv unterbesetzt, ist irgendwie macht teilweise den den One Man Show, kommt von kriegt Anfragen von allen Seiten und kann sie kann sich im Grunde dann dadurch auch nicht gut Verbesserungsthemen kümmern, Verbesserung der Prozesse kümmern, ist mit den Alltagsaufgaben
Wir von der VamiSec GmbH sind ein auf Informationssicherheit spezialisiertes Beratungsunternehmen mit langjähriger Erfahrung in der Entwicklung zukunftsfähiger IT-Sicherheitsstrategien, insbesondere im regulierten Umfeld. Unser Ziel ist es, Organisationen branchenübergreifend dabei zu unterstützen, ihre IT-Infrastrukturen sicher, resilient und innovativ zu gestalten.
Mit über 15 Jahren Beratungserfahrung und mehr als 100 erfolgreich abgeschlossenen Projekten in Informationssicherheitsmanagement, Cloud-Sicherheit und Compliance wissen wir, worauf es ankommt: den Schutz Ihrer Assets und eine nachhaltige Sicherheitskultur, die den Geschäftsbetrieb fördert statt blockiert.
Unsere Kernkompetenzen umfassen die Absicherung von Cloud- und On-Premise-Umgebungen nach ISO 27001, TISAX und BSI IT-Grundschutz sowie die Entwicklung von Strategien für Risikomanagement und Incident Response. Ein besonderer Fokus liegt auf der Einhaltung neuer Regulierungen wie AI Act, DORA und NIS2.
Herzlich willkommen zu der Reihe Drehpunkt IT-Sicherheit. Hier dreht sich alles um die Sicherheit. Mein Name ist Oliver Schonschek. Ich bin News Analyst und spreche mit Experten aus dem Kreis der IT Sicherheit, die uns praktische Tipps geben, wie sich konkrete Aufgaben der IT Sicherheit lösen lassen.
