Künstliche Intelligenz auf dem Prüfstand BSI legt Prüfkatalog A5 für vertrauenswürdige KI vor

Von Berk Kutsal 2 min Lesedauer

Anbieter zum Thema

Mit der „AI Audit and Assurance Assessment Architecture“ (A5) veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstmals einen Entwurf für eine standardisierte Prüfarchitektur von KI-Systemen. Das Framework soll Unternehmen dabei unterstützen, regulatorische Anforderungen wie den EU AI Act nachvollziehbar und prüfbar umzusetzen.

Das BSI veröffentlicht mit A5 einen Community Draft für die standardisierte Prüfung von KI-Systemen und bittet bis Ende August um Feedback.(Bild: ©  artacet)
Das BSI veröffentlicht mit A5 einen Community Draft für die standardisierte Prüfung von KI-Systemen und bittet bis Ende August um Feedback.
(Bild: © artacet)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Community Draft seiner AI Audit and Assurance Assessment Architecture (A5) veröffentlicht. Die modulare Prüfarchitektur soll die Vertrauenswürdigkeit von KI-Systemen systematisch bewertbar machen und richtet sich an Anbieter, Betreiber sowie Organisationen, die Künstliche Intellignz (KI) entwickeln, einsetzen oder prüfen. Bis zum Ende August 2026 können Unternehmen und Fachleute den Entwurf kommentieren.

Kriterienkatalog trifft Prüfmethodik

A5 besteht aus zwei Bausteinen: einem Kriterienkatalog und einer darauf abgestimmten Prüfmethodik. Herzstück ist ein technologie- und anwendungsunabhängiges Basismodul, das Anforderungen entlang des gesamten KI-Lebenszyklus definiert – von Governance und Entwicklung über Validierung und Betrieb bis zur Außerbetriebnahme.

Die Kriterien sollen unter anderem Robustheit, Erklärbarkeit, Performance, menschliche Aufsicht, Bias sowie KI-spezifische Cybersecurity abdecken. Gleichzeitig will das Framework konsequent zwischen den Verantwortlichkeiten von Anbietern und Betreibern unterscheiden und damit die Rollenverteilung des EU AI Acts aufgreifen.

Orientierung am C5-Prinzip

Für die eigentliche Prüfung orientiert sich das BSI an der Methodik seines etablierten Cloud Computing Compliance Criteria Catalog (C5). Grundlage bildet der internationale Prüfstandard ISAE 3000, auf dessen Basis unabhängige Prüfer Testate erstellen können. Anders als klassische Zertifizierungsschemata definiert A5 damit vor allem einen nachvollziehbaren Kriterien- und Prüfrahmen; das BSI selbst übernimmt keine Zertifizierungen oder Testierungen.

Eine Verbindung zum C5-Katalog besteht über ein eigenes Cloud-Infrastruktur-Modul. Unternehmen, die bereits C5-konforme Cloud-Umgebungen betreiben, könnten dadurch Dokumentations- und Compliance-Prozesse teilweise gemeinsam nutzen.

Maschinenlesbare Compliance

Ein weiterer Unterschied zu vielen bestehenden Regelwerken ist die technische Umsetzung: Die A5-Kriterien werden nicht nur als Dokument veröffentlicht, sondern zusätzlich im offenen Standard OSCAL (Open Security Controls Assessment Language) bereitgestellt. Dadurch lassen sich die Anforderungen in bestehende Governance-, Risk- und Compliance-Werkzeuge integrieren und automatisiert weiterverarbeiten.

Vorbereitung auf den EU AI Act

Mit dem EU AI Act und dem Cyber Resilience Act steigen die Anforderungen an den Nachweis vertrauenswürdiger KI-Systeme deutlich. A5 soll hierfür einen einheitlichen Orientierungsrahmen liefern und Unternehmen dabei unterstützen, Sicherheits- und Compliance-Anforderungen nachvollziehbar zu dokumentieren und prüfen zu lassen.

Der Entwurf entstand im Rahmen des BSI-Projekts AICRID und soll kontinuierlich erweitert werden. Stellungnahmen zum Community Draft nimmt das BSI bis zum 31. August 2026 entgegen.

(ID:50890520)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Big Data, Analytics & AI

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung