What is an AI vendor security assessment?

An AI vendor security assessment is the process of evaluating whether an AI vendor meets your organisation's security and compliance standards before procurement. It covers governance, data handling, security controls, AI model security, and contractual protections. Unlike a standard vendor assessment, it includes AI-specific questions about model training data, prompt injection defences, and AI governance policies.

What should I look for in a SOC 2 report when evaluating an AI vendor?

When reviewing a SOC 2 report for an AI vendor, check whether it is Type 2 (covers a period of time, not just a point in time). Review which trust service categories are in scope - Security is the minimum, but Availability and Confidentiality are also important for AI services. Check for any exceptions or qualified opinions noted by the auditor. For vendors with reports older than 12 months, request a bridge letter confirming controls remain in place.

Does my AI vendor need to be GDPR compliant?

Yes, if the AI vendor processes personal data belonging to EU residents, GDPR applies regardless of where the vendor is located. Before procurement, check that the vendor can provide a Data Processing Agreement (DPA), maintains an up-to-date sub-processor list, and supports data residency requirements if applicable. Also verify their process for handling data subject rights requests and their approach to cross-border data transfers.

How often should I reassess AI vendors?

AI vendors should be reassessed at least annually, as part of your vendor risk management programme. Additionally, trigger an out-of-cycle reassessment when the vendor announces major product changes, new data processing activities, a change of ownership or acquisition, a significant security incident, or when your organisation's data sharing with the vendor materially increases.

Sichern Sie sich Ihre kostenlose 90-Tage-Testversion zur Risikoerkennung für generative KI:90 Tage Risikoerkennung für generative KI:Jetzt starten

Demo buchen

Kostenlose Vorlage

Fragebogen zur Sicherheitsbewertung
von KI-Anbietern

Über 50 Fragen, um jeden KI-Anbieter vor der Beschaffung zu bewerten. Frei nutzbar und anpassbar.

Vorlage herunterladen Demo buchen

Bewertungsfragen

0 Domänen

Abdeckungsbereiche

0 Stufen

Risikobewertung

Kostenlos

nutzbar und anpassbar

Warum die Sicherheit von KI-Anbietern wichtig ist

Wenn Ihr Team einen KI-Anbieter einführt, übergibt es einige der sensibelsten Daten Ihres Unternehmens: Prompts mit Kundendatensätzen, Finanzanalysen, Rechtsdokumenten und geistigem Eigentum. Die meisten Einkaufsteams verwenden Standard-Sicherheitsfragebögen für Anbieter, die lange vor dem Aufkommen von KI-Tools entwickelt wurden.

Das Risiko ist real: Die Einführung von Shadow AI überholt die Einkaufskontrollen. Mitarbeitende nutzen KI-Tools, bevor Sicherheitsteams sie bewertet haben. Anbieter trainieren Modelle mit Kundendaten ohne klare Offenlegung. Und die regulatorische Exposition durch KI-bezogene Datenschutzverletzungen nimmt zu, da die Durchsetzung der DSGVO, der EU AI Act und der Australian Privacy Act zunehmend auf die KI-Verarbeitung angewendet werden.

Dieser Fragebogen liefert Sicherheitsteams, CISOs und Einkaufsverantwortlichen die KI-spezifischen Fragen, die Standard-Rahmenwerke übersehen. Verwenden Sie ihn, bevor Sie einen Vertrag mit einem KI-Anbieter unterzeichnen, und greifen Sie ihn jährlich oder nach wesentlichen Änderungen beim Anbieter erneut auf.

Risiko durch Shadow AI

Mitarbeitende nutzen den Anbieter möglicherweise bereits ohne IT-Freigabe: Bewerten Sie die Bedrohungsfläche vor der Beschaffung.

Datenabfluss

KI-Anbieter können Ihre Daten aufbewahren, protokollieren oder damit trainieren. Wissen Sie genau, was mit Ihren Eingaben geschieht.

Regulatorische Exposition

DSGVO, AU Privacy Act und der EU AI Act schaffen eine reale Haftung für die KI-Datenverarbeitung. Bewerten Sie, bevor Sie unterschreiben.

Die Bewertung mit 50 Fragen

Klicken Sie auf jeden Abschnitt, um die Fragen aufzuklappen. Bewerten Sie jeden Abschnitt von 0 bis 10 anhand der Vollständigkeit und Glaubwürdigkeit der Antworten des Anbieters.

Verfügt der Anbieter über eine veröffentlichte KI-Ethik- oder Responsible-AI-Richtlinie?

Wer ist beim Anbieter für die KI-Governance verantwortlich? (CAIO, CTO, dediziertes Team?)

Führt der Anbieter ein KI-Risikoregister oder ein Inventar der KI-Systeme?

Veröffentlicht er Model Cards oder Transparenzberichte für seine KI-Modelle?

Gibt es einen Prozess zur Offenlegung von KI-Vorfällen: Wird er Sie über KI-bezogene Sicherheitsereignisse informieren?

Wie lautet seine Richtlinie zur Nutzung von Kundendaten für das Training oder Feintuning von Modellen?

Verfügt er über einen Prozess zur menschlichen Aufsicht über KI-Entscheidungen mit hohem Einsatz?

Hat er eine KI-Folgenabschätzung oder ethische Prüfung durchgeführt?

Gibt es einen Prozess, mit dem Kunden KI-generierte Entscheidungen anfechten oder Einspruch einlegen können?

Verfügt er über einen dokumentierten KI-Änderungsmanagementprozess für Modellaktualisierungen?

Bewertungsleitfaden

Bewerten Sie jeden der fünf Abschnitte von 0 bis 10 anhand der Qualität und Vollständigkeit der Antworten des Anbieters. Addieren Sie die Werte zu einer Gesamtsumme von maximal 50. Verwenden Sie die folgende Tabelle, um Ihre Beschaffungsempfehlung zu bestimmen.

45-50

Geringes Risiko

Mit der Beschaffung fortfahren

35-44

Mittleres Risiko

Vor der Unterzeichnung zusätzliche Kontrollen aushandeln

25-34

Hohes Risiko

An den CISO eskalieren: Maßnahmenplan erforderlich

Unter 25

Sehr hohes Risiko

Nicht ohne formalen Maßnahmenplan fortfahren

So verwenden Sie diesen Bewertungsleitfaden

Eine Gesamtpunktzahl ist ein Ausgangspunkt, keine endgültige Entscheidung. Ein Anbieter mit insgesamt 40 Punkten kann dennoch eine kritische Lücke in der Datenverarbeitung aufweisen, die ein regulatorisches Risiko schafft. Prüfen Sie stets die einzelnen Abschnittswerte und markieren Sie jede Frage, bei der der Anbieter keine Nachweise liefert oder die Antwort verweigert: Das sind Ihre Bereiche mit dem höchsten Risiko, unabhängig von der Gesamtpunktzahl.

Erste Schritte

Erhalten Sie den vollständigen Fragebogen als PDF

Laden Sie den vollständigen Sicherheitsfragebogen für KI-Anbieter als formatiertes PDF herunter, bereit zum Versand an Ihre Anbieter. Enthält Bewertungsspalten, Leitfaden-Hinweise und eine Checkliste zur Nachweisanforderung.

Kostenlose Testversion starten

Verwandte Ressourcen

Aona-AI-Plattform KI-Governance-Rahmenwerk Alle Vorlagen

Fragebogen zur Sicherheitsbewertungvon KI-Anbietern

Erhalten Sie den vollständigen Fragebogen als PDF

Fragebogen zur Sicherheitsbewertung
von KI-Anbietern