Log In

Termin vereinbaren
KI im Defense-Mittelstand

KI in der Verteidigungsindustrie: TISAX, Prototypenschutz und souveräne Modelle

Wie der deutsche Defense-Mittelstand KI nutzen kann, ohne TISAX, Prototypenschutz und Geheimhaltungsauflagen zu verletzen. Der Beitrag zeigt praxisnahe Architektur-Optionen, typische Compliance-Fallen und konkrete Umsetzungspfade.

KI in der Verteidigungsindustrie: TISAX, Prototypenschutz, souverän

Warum die Verteidigungsindustrie KI nicht über US-Hyperscaler beziehen darf

Für Unternehmen der Verteidigungsindustrie ist KI heute ein operatives Werkzeug. Sie hilft bei Auswertung, Planung und Dokumentation. Der schnelle Griff zu Standard-Clouds aus den USA kollidiert jedoch mit Geheimschutz, TISAX-Anforderungen und Exportkontrolle. Wenn Sie KI über außereuropäische Cloud-Infrastrukturen beziehen, riskieren Sie extraterritoriale Zugriffe und verlieren Kontrolle über besonders schützenswerte Daten.

Im Umfeld von Prototypen, geheimhaltungsbedürftigen Projekten und klassifizierten Informationen ist dieses Risiko besonders hoch. Einmal aufgebaute KI-Workflows lassen sich nur schwer aus proprietären Plattformen lösen. Für Compliance-Verantwortliche im Defense-Mittelstand lautet die Kernfrage daher nicht, ob KI genutzt wird. Entscheidend ist, wie eine souveräne Architektur aussieht, die TISAX, Geheimschutz und internationale Vorgaben gleichzeitig erfüllt.

sensified adressiert diese Herausforderung mit drei klaren Modellen. Im KI-Projekt wird ein konkreter Anwendungsfall, zum Beispiel die automatisierte Analyse von Fertigungsdokumentation, als Festpreis-Pilot in rund acht Wochen umgesetzt. Sie erhalten den vollständigen Code. So vermeiden Sie eine Abhängigkeit von einem einzelnen Plattformanbieter. Mit der KI-Plattform betreibt sensified eine gemanagte, TISAX-konforme Infrastruktur in der EU, die Sie für mehrere Use Cases nutzen können. KI-Result liefert geprüfte Ergebnisse, etwa extrahierte Stücklisten aus geheimhaltungsbedürftigen Dokumenten, als Output-as-a-Service. Sie erhalten nur die Resultate und müssen keine eigene Plattform aufbauen.

KI-Souveränität ist im Defense-Bereich keine Option, sondern Pflicht

Wer in der Verteidigungsindustrie KI über außereuropäische Standard-Clouds bezieht, riskiert Kontrollverlust über klassifizierte Daten und gerät in Konflikt mit TISAX, Geheimschutz und Exportkontrolle. Eine souveräne, EU-gehostete Architektur ist deshalb Grundvoraussetzung, nicht Luxus.

In einem typischen mittelständischen Rüstungsbetrieb mit 400 Mitarbeitenden zeigt sich dieses Spannungsfeld deutlich. Die Entwicklung möchte ein generatives KI-System, das Lastenhefte und Spezifikationen schneller auswertet. Die IT verweist auf bestehende Cloud-Verträge. Die Compliance-Abteilung warnt vor möglichen Zugriffen aus Drittstaaten. Ohne klare Leitplanken und eine souveräne KI-Architektur entsteht Stillstand, während Wettbewerber bereits mit automatisierten Auswertungen arbeiten.

Was Sie davon mitnehmen: In einem typischen mittelständischen Rüstungsbetrieb mit 400 Mitarbeitenden zeigt sich dieses Spannungsfeld deutlich.

Welche KI-Anwendungen im Defense-Mittelstand realistisch sind

Viele öffentliche Debatten zu KI in der Verteidigungsindustrie drehen sich um autonome Systeme und Gefechtsfeldszenarien. Für den Defense-Mittelstand liegen die realistischen Hebel meist in Büro, Fertigung und Logistik. Dort können Sie Prozesse beschleunigen, Fehlerquoten senken und Compliance-Risiken reduzieren, ohne operative Einsatzentscheidungen zu automatisieren.

Typische Anwendungsfelder sind zum Beispiel:

  • Dokumenten- und Angebotsanalyse entlang der TISAX-Anforderungen, etwa die automatisierte Prüfung von NDAs, Geheimhaltungsstufen und Prototypenschutz-Klauseln.
  • KI-gestützte Unterstützung bei der Erstellung technischer Dokumentation, etwa Bedienungsanleitungen oder Wartungshandbücher, basierend auf vorhandenen Spezifikationen.
  • Qualitätssicherung mit Vision-KI, etwa zur Erkennung von Oberflächenfehlern an sicherheitskritischen Bauteilen.
  • Unterstützung der Compliance-Funktion, etwa durch KI-gestützte Klassifizierung von Dokumenten nach CUI, ITAR-Relevanz oder internen Geheimhaltungsstufen.
  • Optimierung von Supply-Chain-Prozessen, insbesondere bei der Bewertung von Risiken in der Defense-Lieferkette.

Ein Beispiel aus einem sensified-Kundenprojekt in der Verteidigungsindustrie: In einer hochsicheren Fertigungshalle entstehen täglich hunderte Prüfprotokolle für sicherheitsrelevante Komponenten. Bisher wurden diese Protokolle manuell gesichtet und in ein Qualitätssystem übertragen. Durch ein KI-Projekt mit sensified wurde ein System aufgebaut, das die Protokolle automatisch ausliest, Abweichungen markiert und die Daten in die vorhandenen Systeme überführt. Die Lösung läuft auf einer EU-gehosteten KI-Plattform, erfüllt TISAX-Anforderungen und bleibt vollständig unter Kontrolle des Kunden.

Für Compliance-Verantwortliche ist wichtig, dass jede dieser Anwendungen von Beginn an mit Geheimschutz und TISAX-Prototypenschutz geplant wird. KI in der Rüstungsindustrie ist kein Experimentierfeld für Schatten-IT, sondern ein regulierter Bestandteil der Sicherheitsarchitektur.

Realistische Roadmap für KI im Defense-Mittelstand

Eine sinnvolle Roadmap für KI im Defense-Mittelstand startet meist mit einem klar abgegrenzten Pilotprojekt. Im Rahmen eines KI-Projekts von sensified werden in einer Discovery-Phase Anwendungsfälle priorisiert, Datenquellen bewertet und Compliance-Anforderungen erhoben. In der Design-Phase entsteht eine Architektur, die TISAX, CUI-Klassifizierung und mögliche Exportkontrollauflagen berücksichtigt. Anschließend wird in der Build-Phase ein funktionsfähiger Prototyp umgesetzt, der in einer Operate-Phase in den sicheren Betrieb überführt wird.

Auf dieser Basis kann Ihr Unternehmen entscheiden, ob eine eigene KI-Plattform sinnvoll ist oder ob einzelne Prozesse über KI-Result als Output-as-a-Service abgebildet werden. Viele klassische KI-Beratungen liefern an dieser Stelle nur Strategiepapiere. sensified übernimmt dagegen die konkrete Umsetzung und den Betrieb, inklusive Monitoring, Auditierbarkeit und Anpassung an neue regulatorische Vorgaben.

KI in der Verteidigungsindustrie: TISAX, Prototypenschutz und souveräne Modelle – Variation 1

Was Sie davon mitnehmen: Auf dieser Basis kann Ihr Unternehmen entscheiden, ob eine eigene KI-Plattform sinnvoll ist oder ob einzelne Prozesse über KI-Result als Output-as-a-Service abgebildet werden.

TISAX, Prototypenschutz und die 22 Controls in der Praxis

TISAX ist in vielen Bereichen der Verteidigungsindustrie etabliert, vor allem dort, wo Unternehmen auch in der Automobilzulieferkette aktiv sind. Mit der Einführung von KI-Systemen verschiebt sich der Fokus. Es geht nicht mehr nur um klassische Informationssicherheit. Entscheidend ist, wie Trainingsdaten, Prompts und generierte Inhalte in das TISAX-Kontrollsystem eingebettet werden.

Für kleine und mittlere Unternehmen mit 20 bis 50 Mitarbeitenden liegen die Gesamtkosten einer TISAX-Implementierung typischerweise zwischen 30.000 und 65.000 Euro. Diese Spanne umfasst organisatorische Maßnahmen, technische Umsetzung und Auditkosten. Wenn Sie KI integrieren, sollten die zusätzlichen Risiken so gesteuert werden, dass kein erneuter, teurer Audit-Marathon entsteht.

Besonders sensibel ist der TISAX-Prototypenschutz. Er umfasst 22 spezifische Controls, die den Schutz von Prototypen und geheimhaltungsbedürftigen Entwicklungen regeln. Für jedes zusätzliche Prüfziel entstehen in der Praxis Zusatzkosten von etwa 1.000 bis 2.000 Euro. Wenn KI-Systeme mit Prototypendaten arbeiten, müssen diese Controls konsequent auf Trainingsdaten, Logs und generierte Inhalte angewendet werden.

Aspekt Relevanz für KI im Prototypenschutz
Zugriffskontrolle Wer darf Trainingsdaten, Modelle und Logs einsehen oder verändern?
Datenklassifizierung Wie werden Prototypendaten, CUI und andere Schutzklassen im KI-System markiert?
Übertragungswege Werden Daten ausschließlich innerhalb der EU übertragen und verschlüsselt?
Protokollierung Welche Abfragen, Antworten und Modellversionen werden auditierbar dokumentiert?
Löschkonzept Wie werden Trainingsdaten und Logs nach Ablauf von Aufbewahrungsfristen entfernt?

In der Praxis bedeutet dies: Eine KI-Plattform für die Verteidigungsindustrie muss mehr leisten als rollenbasierte Zugriffe und Verschlüsselung. Sie benötigt eine feingranulare Mandantentrennung. So wird verhindert, dass Prototypendaten aus einem Projekt in anderen Kontexten auftauchen. sensified implementiert solche Mechanismen standardmäßig in der KI-Plattform, inklusive Audit-Trails. Diese zeigen TISAX-Prüfern nachvollziehbar, welche Daten wann von welchem System verarbeitet wurden.

Ein weiterer kritischer Punkt ist die Integration in bestehende TISAX-Prozesse. Wenn Ihr Unternehmen bereits ein Informationssicherheits-Managementsystem betreibt, muss die KI-Architektur dort verankert werden. Dazu gehören Richtlinien für die Nutzung von generativen Assistenten, Freigabeprozesse für neue Use Cases und eine klare Zuordnung von Verantwortlichkeiten zwischen IT, Fachbereichen und Compliance.

KI-Projekte müssen TISAX von Anfang an mitdenken

Wer KI-Systeme im Defense-Umfeld erst nachträglich in TISAX-Strukturen einpasst, zahlt doppelt. Effizienter ist es, Prototypenschutz und die 22 Controls bereits in der Architektur- und Use-Case-Definition zu berücksichtigen.

Was Sie davon mitnehmen: Wer KI-Systeme im Defense-Umfeld erst nachträglich in TISAX-Strukturen einpasst, zahlt doppelt.

CMMC 2.0, ITAR und CUI in der KI-Pipeline

Viele Unternehmen der Verteidigungsindustrie in Deutschland arbeiten in Programmen, die US-Regelwerke wie CMMC 2.0, ITAR oder Vorgaben zur Behandlung von Controlled Unclassified Information (CUI) berühren. Diese Regelwerke treffen auf KI-Systeme besonders stark, weil KI Datenströme bündelt und automatisiert auswertet.

Für Compliance-Verantwortliche stellt sich die Frage, wie CUI in einer KI-Pipeline gekennzeichnet, verarbeitet und geschützt wird. Ein generativer Assistent, der Entwicklungsdokumente, E-Mails und Tickets durchsucht, kann schnell CUI-relevante Inhalte sammeln. Ohne saubere Klassifizierung und klare Zugriffsregeln entsteht ein Risiko, das über klassische Dateifreigaben hinausgeht.

Eine robuste Architektur für KI in der Verteidigungsindustrie berücksichtigt daher:

  • Die Trennung von CUI-Datenräumen und weniger sensiblen Informationen,
  • Die Möglichkeit, bestimmte Datenkategorien komplett von KI-Trainingsprozessen auszuschließen,
  • Die Protokollierung aller Zugriffe auf CUI innerhalb der KI-Plattform,
  • Und die Abbildung von Exportkontrollanforderungen in Rollen- und Berechtigungskonzepten.

sensified setzt in KI-Projekten für den Defense-Mittelstand auf klar definierte Datenpipelines. In der Discovery-Phase wird gemeinsam mit Compliance und IT festgelegt, welche Daten in welcher Form in die KI fließen dürfen. In der Design-Phase werden CUI-Klassen, ITAR-relevante Inhalte und nationale Geheimhaltungsstufen in ein technisches Klassifizierungsmodell überführt. Die KI-Plattform von sensified unterstützt diese Klassifizierung durch Metadaten, Tagging und dedizierte Speicherbereiche.

Für Unternehmen, die CMMC 2.0-Anforderungen erfüllen müssen, ist Transparenz zentral. KI-Systeme dürfen keine Blackbox sein. Es muss nachvollziehbar sein, welche Daten in welchem Modell gelandet sind und wie Ergebnisse zustande kommen. sensified adressiert dies durch Monitoring, Modellversionierung und Audit-Logs, die sich in bestehende Compliance-Reports integrieren lassen.

KI in der Verteidigungsindustrie: TISAX, Prototypenschutz und souveräne Modelle – Variation 2

Was Sie davon mitnehmen: Für Unternehmen, die CMMC 2.0-Anforderungen erfüllen müssen, ist Transparenz zentral.

Souveräne Modelle und EU-Hosting in der Architektur

Die Diskussion um souveräne KI-Modelle ist im Defense-Bereich mehr als ein politisches Thema. Sie entscheidet darüber, ob Ihr Unternehmen langfristig Herr über Daten, Modelle und Prozesse bleibt. Souveränität bedeutet hier: Modelle laufen in der EU, Datenverarbeitung und Speicherung unterliegen europäischem Recht, und es entstehen keine versteckten Abhängigkeiten von einzelnen Hyperscalern.

Für den Defense-Mittelstand bietet sensified drei abgestufte Optionen, um diese Souveränität zu erreichen:

  • Im KI-Projekt wird ein konkreter Use Case mit einem oder mehreren geeigneten Modellen umgesetzt, die ausschließlich in EU-Rechenzentren betrieben werden. Die vollständige Code-Übergabe ermöglicht es Ihrem Unternehmen, die Lösung selbst weiterzuführen oder auf eine andere Infrastruktur zu migrieren.
  • Mit der KI-Plattform stellt sensified eine gemanagte Multi-LLM-Umgebung bereit, die verschiedene Modelle parallel unterstützt. So können Sie je nach Sensibilität der Daten zwischen unterschiedlichen Modelltypen wählen, ohne die Compliance-Architektur neu aufzubauen.
  • Über KI-Result erhalten Sie geprüfte Ergebnisse, etwa klassifizierte Dokumente oder freigegebene Rechnungen, ohne dass Sie selbst Modelle betreiben. Die Verarbeitung findet in der EU statt und folgt Ihren Vorgaben zu TISAX, CUI und Geheimschutz.

Im Unterschied zu vielen Beratungen, die vor allem Strategiepapiere und Lizenzen liefern, versteht sich sensified als Umsetzungspartner. Architektur, Betrieb und Weiterentwicklung kommen aus einer Hand. So vermeiden Sie eine unübersichtliche Mischung aus Tools und Verträgen.

Ein weiterer Vorteil souveräner Modelle liegt in branchenspezifischen Anpassungen. In der Verteidigungsindustrie können dies zum Beispiel Sicherheitsmechanismen für KI-gestützte Chat-Systeme sein, die verhindern, dass vertrauliche Informationen in Antworten auftauchen. Möglich sind auch Filter, die sicherstellen, dass bestimmte Themenbereiche gar nicht erst verarbeitet werden.

Architektur-Bausteine für souveräne KI im Defense-Umfeld

Eine belastbare Architektur für souveräne KI im Defense-Umfeld umfasst typischerweise folgende Bausteine:

  • EU-gehostete Rechenzentren mit klaren Verträgen zur Datenverarbeitung,
  • Eine Multi-LLM-Schicht, die je nach Sensibilität unterschiedliche Modelle einsetzt,
  • Ein Retrieval-System, das nur freigegebene Dokumente in Antworten einbezieht,
  • Monitoring und Auditing, die TISAX, CMMC 2.0 und interne Vorgaben abbilden,
  • Und Schnittstellen zu bestehenden Systemen wie DMS, ERP-Standardsoftware oder Ticket-Systemen.

sensified integriert diese Bausteine so, dass Ihr Unternehmen nicht in einer proprietären Sackgasse landet. Vendor-Lock-in wird vermieden, indem offene Schnittstellen, portable Konfigurationen und eine klare Trennung von Daten, Modellen und Orchestrierung eingesetzt werden.

Was Sie davon mitnehmen: sensified integriert diese Bausteine so, dass Ihr Unternehmen nicht in einer proprietären Sackgasse landet.

Personenschulung und KI-Kompetenz für Defense-Teams

Technische Architektur allein reicht im Defense-Bereich nicht aus. KI-gestützte Prozesse sind nur so sicher wie die Menschen, die Sie bedienen. Gerade in der Verteidigungsindustrie mit strengen Geheimhaltungsanforderungen ist die Schulung der Mitarbeitenden entscheidend. Es geht um mehr als klassische Awareness-Trainings. Ziel ist eine gezielte Befähigung, KI-Systeme sicher, effizient und regelkonform zu nutzen.

Ein typisches Szenario: In einem Entwicklungsbereich wird ein interner KI-Assistent eingeführt, der Spezifikationen, Normen und interne Richtlinien durchsucht. Ohne klare Leitplanken besteht die Gefahr, dass Mitarbeitende vertrauliche Inhalte in Freitext-Prompts eingeben, die nicht für die Verarbeitung freigegeben sind. Schulungskonzepte müssen daher erklären, welche Daten in KI-Systeme eingegeben werden dürfen, wie CUI und Prototypendaten zu behandeln sind und welche Konsequenzen Verstöße haben.

sensified begleitet KI-Projekte im Defense-Mittelstand mit gezielten Trainingsformaten. Dazu gehören rollenbezogene Schulungen für Entwickler, Mitarbeitende in der Fertigung, Compliance-Teams und Führungskräfte. In diesen Formaten werden nicht nur Funktionen erklärt. Es werden auch konkrete Anwendungsfälle und Fehlerszenarien durchgespielt. So entsteht ein realistisches Bild, wie KI im Alltag eingesetzt werden kann, ohne TISAX, ITAR oder interne Richtlinien zu verletzen.

Wichtig ist die kontinuierliche Weiterentwicklung der KI-Kompetenz. Neue Use Cases, Modellupdates und regulatorische Änderungen erfordern regelmäßige Aktualisierungen der Schulungsinhalte. sensified integriert diese Updates in die Operate-Phase von KI-Projekten und in den laufenden Betrieb der KI-Plattform. So arbeiten Ihre Teams nicht mit veralteten Schulungsunterlagen.

KI in der Verteidigungsindustrie: TISAX, Prototypenschutz und souveräne Modelle – Variation 3

Was Sie davon mitnehmen: Wichtig ist die kontinuierliche Weiterentwicklung der KI-Kompetenz.

Schnittstelle zu NIS2, Cyber Resilience Act und EU AI Act

Die Verteidigungsindustrie ist von mehreren europäischen Regelwerken betroffen, die sich direkt oder indirekt auf KI auswirken. Neben branchenspezifischen Vorgaben rücken vor allem NIS2, der Cyber Resilience Act und der EU AI Act in den Fokus. Für Compliance-Verantwortliche stellt sich die Frage, wie diese Regelwerke mit Anforderungen wie TISAX, CMMC 2.0 und Geheimschutz zusammenspielen.

NIS2 adressiert die Sicherheit von Netz- und Informationssystemen. KI-Systeme, die in kritischen Prozessen eingesetzt werden, fallen damit in den Geltungsbereich. Das bedeutet: Verfügbarkeit, Integrität und Vertraulichkeit der KI-Plattform müssen nachweisbar geschützt sein. Monitoring, Incident-Response-Prozesse und regelmäßige Tests sind Pflicht.

Der Cyber Resilience Act richtet sich an Hersteller und Anbieter vernetzter Produkte und Software. Er wird ab Dezember 2027 für vernetzte Produkte anwendbar sein. Für KI-Systeme in der Verteidigungsindustrie bedeutet dies, dass Sicherheitsanforderungen bereits in der Entwicklung berücksichtigt werden müssen. Dazu gehören ein strukturiertes Schwachstellenmanagement, klare Update-Prozesse und Transparenzpflichten.

Der EU AI Act schafft einen Rahmen für den Einsatz von KI in der EU. Viele Anwendungen im Defense-Mittelstand werden als Hochrisiko-Systeme einzustufen sein, insbesondere wenn Sie sicherheitsrelevante Entscheidungen unterstützen oder in kritischen Infrastrukturen eingesetzt werden. Anforderungen an Datenqualität, Transparenz, menschliche Aufsicht und Dokumentation stehen hier im Mittelpunkt.

sensified entwickelt KI-Architekturen so, dass diese Regelwerke nicht isoliert, sondern im Zusammenspiel adressiert werden. In einem KI-Projekt werden die relevanten Anforderungen identifiziert und in technische und organisatorische Maßnahmen übersetzt. Die KI-Plattform von sensified bietet Funktionen für Monitoring, Auditierbarkeit und Dokumentation, die sowohl NIS2 als auch den EU AI Act unterstützen. Für vernetzte Produkte, die unter den Cyber Resilience Act fallen, können spezifische Sicherheitsfunktionen und Update-Mechanismen integriert werden.

Regulatorik als Designparameter, nicht als Nachtrag

Wer NIS2, Cyber Resilience Act und EU AI Act erst nach der technischen Umsetzung von KI-Systemen betrachtet, riskiert teure Nachbesserungen. Effizienter ist es, diese Vorgaben als Designparameter in Architektur und Use-Case-Auswahl zu verankern.

Was Sie davon mitnehmen: Wer NIS2, Cyber Resilience Act und EU AI Act erst nach der technischen Umsetzung von KI-Systemen betrachtet, riskiert teure Nachbesserungen.

Nächste Schritte

Wenn Ihr Unternehmen in der Verteidigungsindustrie KI einsetzen möchte, ohne TISAX, Prototypenschutz, CMMC 2.0 und europäische Vorgaben zu verletzen, ist ein strukturierter Einstieg entscheidend. Ein erster Schritt kann ein kompaktes KI-Projekt mit sensified sein, in dem ein klar abgegrenzter Use Case unter realen Bedingungen umgesetzt und bewertet wird.

Auf Basis dieser Erfahrungen lässt sich entscheiden, ob eine eigene KI-Plattform als souveräne Infrastruktur sinnvoll ist oder ob ausgewählte Prozesse über KI-Result als Output-as-a-Service abgebildet werden. In einem Strategiegespräch klärt sensified mit Ihnen, welche Architektur-Optionen zu Ihrer Sicherheitslage, Ihrer Rolle in der Lieferkette und Ihren regulatorischen Verpflichtungen passen.

So entsteht ein Weg zu KI im Defense-Mittelstand, der technische Leistungsfähigkeit und Compliance-Anforderungen in Einklang bringt und Ihnen langfristige Souveränität über Daten, Modelle und Prozesse sichert.


Jetzt Strategiegespräch buchen (60 Minuten)

Wählen Sie bitte Ihren Wunschtermin direkt im Kalender aus.

FAQ

Was bedeutet TISAX-Prototypenschutz im Kontext von KI-Systemen?
TISAX-Prototypenschutz umfasst 22 spezifische Controls, die den Schutz von Prototypen und geheimhaltungsbedürftigen Entwicklungen regeln. Im Kontext von KI-Systemen müssen diese Controls auf Trainingsdaten, Logs und generierte Inhalte angewendet werden, wenn Prototypendaten verarbeitet werden. Dazu gehören strenge Zugriffskontrollen, eine klare Datenklassifizierung und eine nachvollziehbare Protokollierung aller relevanten Vorgänge.
Warum sind US-Hyperscaler für KI in der Verteidigungsindustrie problematisch?
US-Hyperscaler unterliegen extraterritorialen Rechtsrahmen, die Zugriffe auf Daten ermöglichen können, selbst wenn diese in europäischen Rechenzentren liegen. Für Unternehmen der Verteidigungsindustrie mit TISAX-, CUI- oder ITAR-Anforderungen entsteht dadurch ein erhebliches Compliance- und Geheimschutzrisiko. Souveräne, EU-gehostete KI-Architekturen reduzieren dieses Risiko deutlich und stärken die Datenhoheit.
Wie hoch sind typische Kosten für eine TISAX-Implementierung im KMU-Bereich?
Für kleine und mittlere Unternehmen mit etwa 20 bis 50 Mitarbeitenden liegen die Gesamtkosten einer TISAX-Implementierung typischerweise zwischen 30.000 und 65.000 Euro. Diese Spanne umfasst organisatorische Maßnahmen, technische Umsetzung und Auditkosten. Zusätzliche Prüfziele, etwa im Prototypenschutz, verursachen weitere Kosten von meist 1.000 bis 2.000 Euro pro zusätzlichem Prüfziel.
Wie lässt sich CUI in einer KI-Pipeline sicher verarbeiten?
CUI sollte in einer KI-Pipeline strikt klassifiziert, getrennt gespeichert und nur in klar definierten Prozessen verarbeitet werden. Technisch gehören dazu dedizierte Datenräume, rollenbasierte Zugriffe, der Ausschluss bestimmter Daten aus Trainingsprozessen und eine vollständige Protokollierung aller Zugriffe. Organisatorisch sind verbindliche Richtlinien, Schulungen und Freigabeprozesse für neue Use Cases erforderlich.
Welche Rolle spielt der Cyber Resilience Act für KI im Defense-Mittelstand?
Der Cyber Resilience Act legt Sicherheitsanforderungen für vernetzte Produkte und Software fest und wird ab Dezember 2027 anwendbar sein. KI-Komponenten in solchen Produkten müssen dann nachweisbar sicher entwickelt, betrieben und aktualisiert werden. Dazu gehören ein strukturiertes Schwachstellenmanagement, klare Update-Prozesse und Transparenz über Sicherheitsfunktionen und bekannte Risiken.
Was versteht man unter souveränen KI-Modellen in der Verteidigungsindustrie?
Souveräne KI-Modelle sind Modelle, die in der EU betrieben werden, europäischen Rechtsrahmen unterliegen und keine versteckten Abhängigkeiten von einzelnen Cloud-Anbietern erzeugen. Für die Verteidigungsindustrie bedeutet dies, dass Datenhoheit, Exportkontrolle und Geheimschutz gewahrt bleiben und dass Modelle bei Bedarf auf andere Infrastrukturen migriert oder mit eigenen Sicherheitsmechanismen ergänzt werden können.
Wie können Mitarbeitende im Defense-Umfeld sicher im Umgang mit KI geschult werden?
Mitarbeitende im Defense-Umfeld sollten in rollenbezogenen Trainings geschult werden, die Funktionen, Risiken und konkrete Anwendungsfälle abdecken. Inhalte sollten den Umgang mit vertraulichen Daten, CUI und Prototypen in KI-Systemen erläutern und typische Fehlerszenarien durchspielen. Regelmäßige Aktualisierungen der Schulungen sind nötig, um neue Use Cases, Modellupdates und regulatorische Änderungen abzubilden.

Weitere Artikel