TAllgemein

Third-Party Risk Management für KI

Risikosteuerung bei KI-Anbietern, Tools und Lieferkette.

Third-Party Risk Management (TPRM) für KI bezeichnet die systematische Identifikation, Bewertung, Steuerung und Überwachung von Risiken, die entstehen, wenn ein Unternehmen KI über externe Anbieter, Tools oder Dienstleister nutzt – von ChatGPT-ähnlichen Anwendungen über Large Language Model (LLM)-APIs bis hin zu Integrationen in Automatisierung (Automation)-Workflows (z. B. n8n). Ziel ist, Sicherheits-, Datenschutz-, Compliance-, Qualitäts- und Betriebsrisiken entlang der KI-Lieferkette zu minimieren.

Was umfasst Third-Party Risk Management für KI?

Im KI-Kontext geht TPRM über klassische IT-Lieferantenbewertungen hinaus, weil Modelle und Tools dynamisch sind (Modell-Updates, wechselnde Trainingsdaten, neue Sicherheitsmechanismen) und weil KI-Ausgaben schwer vorhersehbar sein können (z. B. Halluzinationen (Hallucinations)). Typische Risikofelder sind:

Datenschutz & Datenabfluss: Werden personenbezogene Daten verarbeitet? Wo liegen Daten (Data Residency)? Wie wird Logging gehandhabt? (siehe Datenschutz (DSGVO/GDPR) & KI und Data Residency (Datenresidenz))
Informationssicherheit: Zugriffskontrollen, Verschlüsselung, Incident Response, Penetration Tests, Secrets-Schutz (siehe Secrets Management (Schlüsselverwaltung))
Modell- und Output-Risiken: Falschaussagen, Bias, unerwünschte Inhalte, fehlende Nachvollziehbarkeit; Bedarf an Guardrails (KI-Leitplanken), Content-Filtern und Evals
Supply-Chain-Risiken: Subprozessoren, Hosting-Provider, Modellanbieter, Open-Source-Komponenten; Abhängigkeiten und „Hidden Vendors“
Compliance & Regulierung: Anforderungen aus EU AI Act und interner AI Governance (z. B. Rollen, Freigaben, Dokumentation)
Betriebs- und Verfügbarkeitsrisiken: SLA/SLO, Ausfallkonzepte, Rate Limits, Vendor Lock-in, Kostenrisiken (siehe SLA & SLO (Service Level Objectives), API Rate Limits (Ratenbegrenzung), Cost Optimization (Token-Kostenoptimierung))

Wie funktioniert TPRM für KI? (Prozess in 5 Schritten)

1) Inventarisieren: Alle KI-Drittanbieter, APIs, Plugins, Agent-Tools, Connectoren und Subdienstleister erfassen (inkl. Schatten-IT).
2) Risiko klassifizieren: Use Case und Datenarten bewerten (z. B. PII, Geschäftsgeheimnisse), Kritikalität und Impact festlegen.
3) Due Diligence: Fragebögen, Nachweise (z. B. SOC 2/ISO 27001), Data Processing Agreements, technische Kontrollen prüfen; bei LLMs zusätzlich: Modell-Update-Politik, Trainings-/Logging-Optionen, Safety-Maßnahmen, Eval-Ergebnisse.
4) Kontrollen umsetzen: DLP/PII-Filter, Redaction, Zugriff via API-Gateway, Prompt-Schutz gegen Prompt Injection und Jailbreak, Tool-Sandboxing, Monitoring, Freigabeprozesse.
5) Kontinuierlich überwachen: Re-Assessments, Audit-Trigger (Modellwechsel, neue Subprozessoren), Security-Events, Qualitätskennzahlen, Drift/Performance (siehe Model Monitoring & Observability (LLMOps)).

Beispiel aus der Praxis

Ein Team baut einen Kundenservice-Workflow: Ein AI Agents (KI-Agenten)-Setup greift per Function Calling / Tool Use auf CRM und Ticketsystem zu und nutzt ein externes LLM. TPRM prüft u. a.: Welche Daten werden an den Anbieter gesendet? Gibt es PII-Redaction (siehe PII Redaction (PII-Schwärzung))? Sind Ausgaben durch Guardrails abgesichert? Welche SLA gilt? Was passiert bei Anbieter-Ausfall (Fallback-Modell, On-Prem/Alternative)?

Warum ist TPRM für KI wichtig?

Weil KI-Drittanbieter direkten Einfluss auf Datenschutz, Sicherheit, Business Continuity und Markenrisiko haben. Ohne TPRM können vertrauliche Daten in Logs landen, Outputs rechtlich problematisch sein (z. B. Urheberrecht), oder ein Modell-Update die Qualität plötzlich verschlechtern. TPRM schafft Transparenz, reduziert Haftungsrisiken und macht KI-Einsatz skalierbar und auditierbar.

← Zurück zur Übersicht