Das Bundesamt für Sicherheit in der Informationstechnik hat den Entwurf der AI Audit and Assurance Assessment Architecture (A5) veröffentlicht. Die als Community Draft vorgelegte Prüfarchitektur soll eine modulare und erweiterbare Grundlage für die Bewertung von Systemen mit Künstlicher Intelligenz schaffen.
Das Bundesamt ruft jetzt Anbieter, Betreiber sowie Fachleute aus Entwicklung, Betrieb und Aufsicht dazu auf, den Entwurf bis zum 31. August 2026 zu kommentieren.
Nach Angaben des Bundesamtes reagiert die neue Architektur auf die zunehmende Verbreitung von Systemen mit Künstlicher Intelligenz und die wachsenden regulatorischen Anforderungen. Die Architektur soll Kriterien und Methoden bereitstellen, mit denen sich die Vertrauenswürdigkeit solcher Systeme systematisch und nachvollziehbar bewerten lässt. Sie berücksichtigt unter anderem den Europäischen Rechtsakt über Künstliche Intelligenz sowie den Cyber Resilience Act.
Das Bundesamt hat zunächst technologie- und anwendungsunabhängige Prüfkriterien in einem horizontalen Basismodul zusammengefasst. Für die Prüfmethodik orientiert sich die Behörde am Cloud Computing Compliance Criteria Catalogue, der auf dem internationalen Prüfstandard International Standard on Assurance Engagements 3000 basiert. Über das Betriebsmodul Cloud-Infrastruktur besteht zudem eine Verbindung zum bestehenden Kriterienkatalog für Cloud-Dienste.
Die Prüfkriterien folgen den Strukturen der Stand-der-Technik-Bibliothek des BSI. Die Behörde stellt sie außerdem im Open Security Controls Assessment Language-Format bereit. Dadurch lassen sich die Kriterien in bestehende Werkzeuge für Compliance-Prüfungen integrieren.
Das Bundesamt entwickelte die Prüfarchitektur im Projekt AICRID – Entwicklung von Prüfkriterien und Prüfmethoden für KI-Systeme. Nach Angaben der Behörde flossen dabei nationale und internationale Standards, bewährte Verfahren sowie Ergebnisse weiterer Projekte ein. Das Bundesamt will die Architektur kontinuierlich weiterentwickeln, erweitern und erproben.




