Analyse - Risiko Detaillierte Risikoanalyse zur Cybersicherheit einschließlich Quantifizierung von Eintrittswahrscheinlichkeiten und Risiken:

• Identifikation der möglichen Risiken und ihrer Ursachen
• Zuweisung der Risikoverantwortung
• Schätzung der Eintrittswahrscheinlichkeit
• Schätzung der Aufdeckungswahrscheinlichkeit
• Schätzung der Auswirkung
• Strukturierte Abstufung und Priorisierung der Risiken

Die Risikobewertung sollte unter Beachtung des Verwendungszwecks und Anwendungsbereichs (siehe TR1.1) mindestens berücksichtigen:

• Alle klassischen Schutzziele der Cybersicherheit, also Vertraulichkeit (z.B. Schutz von Trainingsdaten vor böswilliger Offenlegung oder Missbrauch), Integrität (z.B. Schutz des KI-Systems vor einer böswilligen Einflussnahme auf den Output zum Vorteil des Angreifers) und Verfügbarkeit (z.B. Schutz des KI-Systems vor einer böswillig ausgelösten Überlastung)
• Bedrohungsbewertung (Threat Modelling) zur Bestimmung von Eintrittswahrscheinlichkeiten
• Schwachstellenanalyse zur Bestimmung von Eintrittswahrscheinlichkeiten
• Analyse der zu schützenden System-Assets zur Bestimmung der Auswirkungen

Das Risikobewertungsframework sollte möglichst in ein Cybersicherheitsmanagementsystem eingebettet werden können und dabei idealerweise bekannten Standards folgen.

Analyse - Risiko Limitierte Risikoanalyse mit Fokus auf den Schutzbedarf ohne Quantifizierung von Wahrscheinlichkeiten

• Identifikation der möglichen Risiken
• Zuweisung der Risikoverantwortung
• Schätzung der Auswirkung
• Strukturierte Abstufung und Priorisierung der Risiken

Die Risikobewertung sollte unter Beachtung des Verwendungszwecks und Anwendungsbereichs (siehe TR1.1) mindestens berücksichtigen:

• Alle klassischen Schutzziele der Cybersicherheit, also Vertraulichkeit (z.B. Schutz personenbezogener Trainingsdaten vor böswilliger Offenlegung oder Missbrauch), Integrität (z.B. Schutz des KI-Systems vor einer böswilligen Einflussnahme auf den Output zum Vorteil des Angreifers) und Verfügbarkeit (z.B. Schutz des KI-Systems vor einer böswillig ausgelösten Überlastung)
• Bedrohungsbewertung (Threat Modelling) zur Bestimmung von Eintrittswahrscheinlichkeiten
• Schwachstellenanalyse zur Bestimmung von Eintrittswahrscheinlichkeiten
• Analyse der zu schützenden System-Assets zur Bestimmung der Auswirkungen

Das Risikobewertungsframework sollte möglichst in ein Cybersicherheitsmanagementsystem eingebettet werden können und dabei idealerweise bekannten Standards folgen.

Analyse - Risiko Hauptsächlich qualitative Abschätzung ohne Wahrscheinlichkeiten

• Identifikation der möglichen Risiken
• Zuweisung der Risikoverantwortung
• Qualitative Schätzung der Auswirkung
• Qualitative Abstufung und Priorisierung der Risiken

Die Risikobewertung sollte unter Beachtung des Verwendungszwecks und Anwendungsbereichs (siehe TR1.1) mindestens berücksichtigen:

• Alle klassischen Schutzziele der Cybersicherheit, also Vertraulichkeit (z.B. Schutz personenbezogener Trainingsdaten vor böswilliger Offenlegung oder Missbrauch), Integrität (z.B. Schutz des KI-Systems vor einer böswilligen Einflussnahme auf den Output zum Vorteil des Angreifers) und Verfügbarkeit (z.B. Schutz des KI-Systems vor einer böswillig ausgelösten Überlastung)
• Bedrohungsbewertung (Threat Modelling) zur Bestimmung von Eintrittswahrscheinlichkeiten
• Schwachstellenanalyse zur Bestimmung von Eintrittswahrscheinlichkeiten
• Analyse der zu schützenden System-Assets zur Bestimmung der Auswirkungen

Das Risikobewertungsframework sollte möglichst in ein Cybersicherheitsmanagementsystem eingebettet werden können und dabei idealerweise bekannten Standards folgen.

Es wurde keine Risikoanalyse durchgeführt