AI-native Plattformbasis
Compliance-konforme KI-Plattform für regulierte Branchen
Kostenlose DORA-Standortbestimmung: Wir prüfen Ihre KI-Assets auf BaFin-, EU-AI-Act- und DSGVO-Konformität.
DORA-ready
KI-Assets im IKT-Inventar mit Risikoklassifizierung
100 %
Audit-Trail pro Prompt, Modell und Freigabe
EU-Hosting
Datenverarbeitung ausschliesslich in EU-Rechtsräumen
<12 Wo.
Von GenAI-Pilot zur BaFin-konformen Produktion
Exit-fest
Interoperable Formate, kein Hyperscaler-Lock-in
Das Problem
Die wichtigsten Hebel für CIOs in regulierten IT-Landschaften
In Gesprächen mit IT-Leitungen aus Banken, Versicherungen und Pharma hören wir wiederkehrende Problemmuster. Sie lassen sich auf drei Ebenen ordnen: Regulatorik, Architektur und Betrieb.
DORA-Integration scheitert
KI-Assets liegen ausserhalb des IKT-Inventars, ohne Anbindung an Change-, Incident- und BCM-Prozesse – Prüfer finden Lücken.
Kein revisionssicherer Audit-Trail
Prompt, Kontext, Modellversion und Freigabe werden nicht lückenlos protokolliert – KI-Entscheidungen sind für BaFin nicht nachvollziehbar.
Halluzinationen in Fachprozessen
LLM-Outputs ohne Anbindung an geprüftes internes Wissen produzieren falsche Zahlen, Paragraphen oder Qüllen in regulierten Workflows.
Vendor-Lock-in ohne Exit
Proprietäre Hyperscaler-KI verhindert Modell-, Daten- und Metadatenexport – DORA-konforme Ersetzbarkeit ist vertraglich nicht abgesichert.
Plattform-Architektur
6 Ebenen. Ein System.
sensified ai-os ist kein einzelnes Tool, sondern eine Plattformbasis aus aufeinander abgestimmten Shared Planes. Jede Ebene löst einen konkreten Bedarf.
Was fehlt, ist kein weiteres Tool. Was fehlt, ist eine gemeinsame Betriebsbasis, die Identität, Wissen, Prozesse, Integrationen und KI-Steuerung in einer kontrollierten Architektur verbindet.
Identity Plane
SSO, Rollen, Tenant-Trennung, sichere Session-Übergabe. Die Basis für alles.
- SSO Integration
- Roles & Rights
- Audit logs
Policy & Approval Plane
Freigabelogik, Guardrails für kritische Aktionen, Eskalationsregeln. Compliance by Design.
- SSO Integration
- Roles & Rights
- Audit logs
Audit & Evidence Plane
Nachvollziehbare Entscheidungen, Ausführungsnachweise, revisionssichere Protokolle.
- SSO Integration
- Roles & Rights
- Audit logs
Connector & MCP Plane
50+ Connectoren, einheitliche Tool-Oberfläche, API-/Webhook-/Batch-Integration.
- SSO Integration
- Roles & Rights
- Audit logs
AI Gateway Plane
Kontrolliertes Modellrouting, Provider-Steuerung, Policy-nahe KI-Nutzung.
- SSO Integration
- Roles & Rights
- Audit logs
Knowledge & RAG Plane
Dokumentenintegration, semantische Suche, Master Share als persistente Wissensbasis.
- SSO Integration
- Roles & Rights
- Audit logs
Vergleich
Punktlösung oder Compliance-Plattform: Der Unterschied für regulierte Branchen
Kriterium
DORA-Konformität
Audit-Trail
EU-AI-Act-Readiness
Hosting und Datensouveränität
Halluzinationsrisiko
Governance und Rollen
Exit-Strategie
Einführungsvorgehen
Generische KI-Tools
Keine native DORA-Abdeckung, IKT-Risiko und Meldepflichten bleiben beim Kunden.
Logs sind lückenhaft, nicht manipulationssicher und für die Revision meist unbrauchbar.
Risikoklassifizierung, Transparenzpflichten und Konformitätsnachweise fehlen vollständig.
Verarbeitung in US-Clouds, Drittlandtransfers und unklare Sub-Processor-Ketten.
Freilaufende Modelle liefern erfundene Fakten in Kredit-, Claims- oder Zulassungsprozessen.
Rollen, Freigabeworkflows und Vier-Augen-Prinzip müssen extern nachgebaut werden.
Proprietäre Formate und Modellbindung führen zu faktischem Vendor-Lock-in.
PoC-getrieben, ohne belastbare Übergabe in Betrieb, BCM und zweite Verteidigungslinie.
sensified Compliance-Plattform
DORA-Kontrollen, IKT-Risikomanagement und Vorfallmeldung sind integraler Plattformbestandteil.
Revisionssicherer, unveränderlicher Audit-Trail über Prompts, Modelle, Daten und Entscheidungen.
Modell- und Use-Case-Register mit Risikoklassen, Transparenz- und Konformitätsartefakten per Default.
EU-Hosting in zertifizierten Rechenzentren, DSGVO-konform, ohne Datenabfluss in Drittländer.
Retrieval auf geprüften Quellen, Guardrails und Evidenzpflicht je Antwort im Fachprozess.
Integrierte Governance-Architektur mit RBAC, Freigaben, SoD und nachvollziehbaren Verantwortlichkeiten.
Offene Standards, portable Artefakte und vertraglich zugesicherte Exit- und Migrationspfade.
Phasenmodell von Standortbestimmung über Governance bis Operate & Assure mit klaren Gates.
Konfiguration
Definieren Sie Ihren individuellen Arbeitsraum.
Jedes Unternehmen hat andere Prozesse, andere Systeme, andere Regeln. sensified ai-os zwingt Sie nicht in eine starre Oberfläche. Stattdessen etablieren Sie einen Compliance-Arbeitsplatz mit klaren Nachweisen und Rollenrechten. Welche Richtlinienquellen sind verknüpft, welche Freigabelogik gilt und wie schnell stehen auditierbare Antworten bereit?
Die Plattform liefert die Shared Planes. Sie liefern die Domäne. Das Ergebnis ist kein generisches Tool, sondern Ihr AI-natives Betriebssystem.
So funktioniert es
So setzen wir Compliance und Produktivität zusammen
DORA-Konformität erfordert die Erfassung aller KI-Assets im IKT-Inventar und deren Einbindung in Change-, Incident- und BCM-Prozesse. Darauf baut unsere Referenzarchitektur für regulierte Branchen auf.
1
Standortbestimmung
Regulatorisches Assessment bestehender KI-Assets und Schatten-KI
- Inventur aller KI-Assets inkl. Fachbereichs-Tools
- Gap-Analyse gegen DORA, EU-AI-Act und BaFin
- Risikoklassifizierung je Use Case und Datentyp
- Priorisierte Roadmap mit Compliance-Hebeln
2
Governance-Architektur
Plattform-Design mit EU-Hosting und Exit-Fähigkeit
- Referenzarchitektur mit EU-Datenresidenz
- Anbindung an IKT-Risikomanagement und BCM
- Rollen-, Freigabe- und Eskalationsmodell
- Exit-Strategie mit interoperablen Formaten
3
Controlled Rollout
Produktive Use Cases mit RAG, Audit-Trail und Qualitätssicherung
- RAG-Anbindung an geprüftes internes Wissen
- Audit-Trail pro Prompt, Modell und Output
- Confidence-Scores und Human-in-the-Loop
- Evaluationsmetriken für Halluzinationsrate
4
Operate & Assure
Laufender Betrieb mit Prüfungsfähigkeit und Modell-Lifecycle
- Monitoring von Drift, Qualität und Incidents
- Revisionspakete für BaFin- und interne Prüfer
- Change-Management für Modelle und Prompts
- Regelmässige DORA-Resilienztests der KI-Kette
FAQ
Häufig gestellte Fragen.
Welche KI-Plattform erfüllt DORA- und BaFin-Anforderungen?
Eine DORA- und BaFin-konforme KI-Plattform erfasst alle KI-Assets im IKT-Inventar, klassifiziert sie nach Risikoprofil und bindet sie in Change-, Incident- und BCM-Prozesse ein. Sie liefert lückenlose Audit-Trails über Prompts, Modell-Versionen und Trainingsdaten, unterstützt Adversarial Testing und bietet rollenbasiertes Zugriffsmanagement. Hosting erfolgt in EU-Rechenzentren mit ISO-27001-Nachweis. Ergänzend sind Exit-Strategien und interoperable Datenformate vertraglich und technisch abgesichert.
Wie dokumentiere ich KI-Entscheidungen revisionssicher für BaFin-Prüfer?
Richten Sie pro KI-Output einen Audit-Trail ein, der Prompt, Kontextdaten, verwendete Wissensqüllen, Modell-Version, Trainingsdaten-Snapshot, Confidence-Score und die finale menschliche Freigabe protokolliert. Speichern Sie diese Datensätze unveränderlich und mindestens über die aufsichtsrechtlichen Fristen. Ergänzen Sie Adversarial Testing und regelmässige Modell-Reviews. Stellen Sie eine Export-Schnittstelle bereit, damit Prüfer einzelne Entscheidungen rekonstruieren können – ohne Produktivbetrieb zu unterbrechen.
Wie verhindere ich Halluzinationen bei KI in regulierten Prozessen?
Koppeln Sie das Sprachmodell per Retrieval-Augmented-Generation an geprüftes internes Wissen, etwa Fachanwendungen, Handbücher und regulatorische Dokumente. Jede Antwort erhält eine Qüllenreferenz und einen Confidence-Score. Unterhalb definierter Schwellen wird der Output an einen Fachexperten eskaliert (Human-in-the-Loop). Ein unabhängiger Benchmark bei Giesecke+Devrient zeigt, dass dieser Ansatz Halluzinationen deutlich reduziert. Ergänzend prüfen Sie Outputs stichprobenartig gegen Goldstandard-Datensätze.
Welche Exit-Strategie fordert DORA für Cloud-KI-Dienste?
DORA verlangt, dass IKT-Drittdienste – einschliesslich KI – geordnet ersetzbar sind. Vertraglich ist zu sichern, dass Modelle, Trainingsdaten und Metadaten in interoperablen Formaten exportierbar bleiben. Technisch bedeutet das: keine proprietären Modell-Artefakte ohne Export-Pfad, dokumentierte Abhängigkeiten und getestete Migrationsszenarien. Betreiben Sie zusätzlich ein Multi-Provider-Fallback für kritische Funktionen und prüfen Sie die Exit-Fähigkeit jährlich im Rahmen des IKT-Drittparteienmanagements.
Wie gehen wir mit Schatten-KI in Fachbereichen um?
Schatten-KI entsteht, wenn Fachbereiche eigenständig ChatGPT, Copilot oder Low-Code-Tools einsetzen, ohne die IT einzubinden. Starten Sie mit einer Inventur: Welche Tools sind im Umlauf, welche Daten fliessen ab? Definieren Sie eine klare Nutzungsrichtlinie, stellen Sie eine zugelassene Plattform bereit und integrieren Sie Low-Code-Lösungen in den DORA-Kontrollrahmen. Schulungen und eine dokumentierte Kompetenzmatrix senken das Risiko nachhaltig.
Welche Rolle spielt EU-Hosting und Datensouveränität?
Sensible Kunden- und Unternehmensdaten dürfen regulierte Rechtsräume nicht verlassen. Eine compliance-konforme KI-Plattform betreibt Training und Inferenz in regional isolierten, hochsicheren Cloud-Umgebungen mit nachweislicher DSGVO- und ISO-27001-Konformität. Für Banken, Versicherungen und Pharma ist das häufig die Voraussetzung dafür, überhaupt produktive Use-Cases freizugeben. Ergänzend sind Schlüsselverwaltung, Netztrennung und ein dokumentiertes Berechtigungsmodell erforderlich.
Für welche Unternehmensgröße ist sensified ai-os gedacht?
Was passiert mit meinen Daten?
Strategiegespräch buchen – 60 Minuten
In 60 Minuten klären wir Ihren größten Hebel. Konkrete Architektur, kein Verkaufsgespräch.
Vertiefen Sie das Thema in der sensified-Wissensbasis
Vertiefen Sie die regulatorischen Grundlagen Ihrer KI-Plattform mit zwei Pillar-Beiträgen aus der sensified-Wissensbasis.