{"id":1105,"date":"2026-07-07T14:34:19","date_gmt":"2026-07-07T12:34:19","guid":{"rendered":"https:\/\/www.g-lorenzen.de\/?p=1105"},"modified":"2026-07-07T14:48:06","modified_gmt":"2026-07-07T12:48:06","slug":"die-bsi-trinitaet-2026-sicherheit-souveraenitaet-und-vertrauen-in-ki","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2026\/07\/07\/die-bsi-trinitaet-2026-sicherheit-souveraenitaet-und-vertrauen-in-ki\/","title":{"rendered":"Die BSI-Trinit\u00e4t 2026: Sicherheit, Souver\u00e4nit\u00e4t und Vertrauen in KI"},"content":{"rendered":"<p>Mit der Ver\u00f6ffentlichung des <strong>A5-Pr\u00fcfkatalogs<\/strong> (AI Audit and Assurance Assessment Architecture) am 6. Juli 2026 hat das BSI das letzte Puzzleteil f\u00fcr eine sichere und selbstbestimmte Digitalisierung geliefert. Gemeinsam mit dem <strong>C5<\/strong> und dem <strong>C3A<\/strong> bildet der A5 nun ein Trio, das Unternehmen eine klare Orientierung im komplexen regulatorischen Umfeld (wie dem EU AI Act) bietet.<\/p>\n<h2>1. C5:2026 \u2013 Das technische Fundament<\/h2>\n<p>Alles beginnt mit der Sicherheit. Der <strong>C5:2026<\/strong> ist die zwingende Voraussetzung f\u00fcr die anderen Kataloge. Er definiert den Stand der Technik f\u00fcr Cloud-Sicherheit und wurde k\u00fcrzlich um kritische Themen wie <strong>Post-Quanten-Kryptografie<\/strong> und pr\u00e4ziseres <strong>Container-Management<\/strong> erweitert.<\/p>\n<h2>2. C3A \u2013 Die strategische Kontrolle<\/h2>\n<p>Auf der Sicherheit baut die Autonomie auf. Die <strong>Criteria enabling Cloud Computing Autonomy (C3A)<\/strong> nutzen den C5 als Basis. W\u00e4hrend C5 fragt: \u201eIst es sicher?\u201c, fragt C3A: \u201eBin ich unabh\u00e4ngig?\u201c.<\/p>\n<ul>\n<li><strong>Kernbereiche:<\/strong> C3A deckt Dom\u00e4nen wie rechtliche Souver\u00e4nit\u00e4t, Datensouver\u00e4nit\u00e4t und technologische Unabh\u00e4ngigkeit ab.<\/li>\n<li><strong>Operationalit\u00e4t:<\/strong> Ein Highlight ist die Forderung nach einer <strong>\u201eDisconnect\u201c-F\u00e4higkeit<\/strong>, um Dienste auch ohne Verbindung zu au\u00dfereurop\u00e4ischen Entit\u00e4ten aufrechtzuerhalten.<\/li>\n<\/ul>\n<h2>3. A5 \u2013 Das Vertrauen in K\u00fcnstliche Intelligenz<\/h2>\n<p>Die neueste S\u00e4ule, der <strong>A5<\/strong>, adressiert die spezifischen Risiken von KI-Systemen. Er ist modular aufgebaut und richtet sich an die gesamte Wertsch\u00f6pfungskette \u2013 vom Entwickler bis zum Aufseher.<\/p>\n<ul>\n<li><strong>Methodische Synergie:<\/strong> Der A5 nutzt die bew\u00e4hrte <strong>C5-Pr\u00fcfmethodik<\/strong> auf Basis des internationalen Standards ISAE 3000.<\/li>\n<li><strong>Technische Br\u00fccke:<\/strong> \u00dcber das \u201eBetriebsmodul Cloud-Infrastruktur\u201c besteht eine direkte Querverbindung zum C5, da KI-Systeme heute fast immer in der Cloud betrieben werden.<\/li>\n<li><strong>Zukunftssicher:<\/strong> Wie der C5 setzt auch der A5 auf das maschinenlesbare <strong>OSCAL-Format<\/strong>, um Compliance-Pr\u00fcfungen zu automatisieren.<\/li>\n<\/ul>\n<p>Der neue <strong>A5-Pr\u00fcfkatalog<\/strong> (AI Audit and Assurance Assessment Architecture) ist modular aufgebaut und umfasst in seiner aktuellen Fassung zwei wesentliche Komponenten:<\/p>\n<ul>\n<li><strong>Horizontales Basismodul f\u00fcr Vertrauensw\u00fcrdigkeit:<\/strong> Dies bildet das Herzst\u00fcck der Architektur und enth\u00e4lt <strong>technologie- und anwendungsunabh\u00e4ngige Kriterien<\/strong> zur Bewertung der Vertrauensw\u00fcrdigkeit von KI-Systemen.<\/li>\n<li><strong>Betriebsmodul Cloud-Infrastruktur:<\/strong> Dieses Modul stellt eine \u201ezentrale Querverbindung\u201c zum bew\u00e4hrten Cloud-Computing-Standard <strong>C5<\/strong> her und erm\u00f6glicht so die Einbindung der zugrunde liegenden Infrastruktur in die Pr\u00fcfung.<\/li>\n<\/ul>\n<p>Die Architektur ist darauf ausgelegt, stetig um weitere spezifische Module erweitert und aktualisiert zu werden, um den dynamischen Entwicklungen im Bereich der K\u00fcnstlichen Intelligenz gerecht zu werden. Zudem werden die Kriterien im maschinenlesbaren <strong>OSCAL-Format<\/strong> bereitgestellt, um die Integration in automatisierte Compliance-Werkzeuge zu erleichtern.<\/p>\n<h2>Fazit: Das Zusammenspiel macht den Unterschied<\/h2>\n<p>Unternehmen sollten diese Standards nicht isoliert betrachten. Der C5 liefert die <strong>Sicherheit<\/strong>, der C3A die <strong>Souver\u00e4nit\u00e4t<\/strong> und der A5 das <strong>Vertrauen<\/strong> in neue Technologien. Gemeinsam erm\u00f6glichen sie eine risikobasierte und regelkonforme Nutzung moderner IT-Infrastrukturen.<\/p>\n<hr \/>\n<p><strong>Hinweis zur aktuellen Phase:<\/strong> Der A5 liegt derzeit als <strong>Community Draft<\/strong> vor. Fachleute k\u00f6nnen diesen noch bis zum <strong>31. August 2026<\/strong> kommentieren, um den Standard mitzugestalten.<\/p>\n<h2>Was sind die Kernpunkte des neuen A5-Pr\u00fcfkatalogs f\u00fcr KI?<\/h2>\n<p>Der neue <strong>A5-Pr\u00fcfkatalog<\/strong> (AI Audit and Assurance Assessment Architecture) des BSI ist ein Rahmenwerk zur systematischen und standardisierten Bewertung der <strong>technischen Vertrauensw\u00fcrdigkeit von KI-Systemen<\/strong>.<\/p>\n<p>Die Kernpunkte des Katalogs lassen sich wie folgt zusammenfassen:<\/p>\n<ul>\n<li><strong>Modulare Architektur:<\/strong> Der A5 ist modular aufgebaut und richtet sich an alle Akteure der KI-Wertsch\u00f6pfungskette, einschlie\u00dflich Entwicklern, Betreibern, Aufsichtspersonen und Beschaffern. Aktuell umfasst er ein <strong>horizontales Basismodul<\/strong>, das technologie- und anwendungsunabh\u00e4ngige Kriterien zur Vertrauensw\u00fcrdigkeit festlegt.<\/li>\n<li><strong>Enge Verzahnung mit dem C5:<\/strong> Die Pr\u00fcfmethodik des A5 orientiert sich stark am bew\u00e4hrten <strong>Cloud-Computing-Standard C5<\/strong> und nutzt den international anerkannten Pr\u00fcfungsstandard <strong>ISAE 3000<\/strong>. \u00dcber das \u201eBetriebsmodul Cloud-Infrastruktur\u201c besteht zudem eine direkte technische Querverbindung zum C5-Katalog.<\/li>\n<li><strong>Maschinenlesbarkeit (OSCAL):<\/strong> Um die Automatisierung von Compliance-Prozessen zu unterst\u00fctzen, werden die Kriterien nicht nur dokumentenbasiert, sondern auch im maschinenlesbaren <strong>OSCAL-Format<\/strong> (Open Security Controls Assessment Language) bereitgestellt.<\/li>\n<li><strong>Regulatorischer Kontext:<\/strong> Das Framework dient als Hilfsmittel, um Anforderungen aus kommenden Gesetzen wie dem <strong>EU AI Act<\/strong> oder dem <strong>Cyber Resilience Act<\/strong> nachvollziehbar umzusetzen und die Vertrauensw\u00fcrdigkeit von KI-Produkten zu transportieren.<\/li>\n<li><strong>Entwicklungsstatus:<\/strong> Das Dokument wurde im Projekt \u201eAICRID\u201c erarbeitet und liegt aktuell als <strong>Community Draft<\/strong> vor. Fachleute und interessierte Stellen k\u00f6nnen bis zum <strong>31. August 2026<\/strong> Feedback zu den Entw\u00fcrfen einreichen.<\/li>\n<\/ul>\n<p>Ziel des BSI ist es, durch kontinuierliche Aktualisierungen und Erweiterungen den dynamischen Entwicklungen im Bereich der K\u00fcnstlichen Intelligenz zu begegnen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Mit der Ver\u00f6ffentlichung des A5-Pr\u00fcfkatalogs (AI Audit and Assurance Assessment Architecture) am 6. Juli 2026&hellip;<\/p>\n","protected":false},"author":1,"featured_media":1108,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-1105","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-audit"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1105","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=1105"}],"version-history":[{"count":5,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1105\/revisions"}],"predecessor-version":[{"id":1112,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1105\/revisions\/1112"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/1108"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=1105"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=1105"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=1105"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}