Diese Seite wird in englischer Sprache angezeigt, während eine geprüfte Übersetzung für Ihre Region vorbereitet wird.
Wie wir bei Perspectis AI über mehrschichtige Informationssicherheit denken
Eine leicht verständliche Perspectis AI-Perspektive auf die gestaffelte Verteidigung: granularer Zugriff, ethische Schranken, Minimierung, Überwachung, KI innerhalb derselben Leitplanken – und eine ehrliche Darstellung der Zertifizierung im Vergleich zum Produktdesign.
Ein Leitfaden in einfacher Sprache für Führungskräfte, Kunden und Teams (April 2026)
Die Kurzfassung
Seriöse Organisationen setzen nicht auf eine einzige Sicherheitsmaßnahme. Wir betrachten Informationssicherheit als mehrschichtige Verteidigung: Mehrere unabhängige Mechanismen verstärken sich gegenseitig – Zugriffsoptionen, Richtlinienhierarchie, ethische Schranken, Vertraulichkeitsbehandlung, sorgfältiger Umgang mit personenbezogenen Daten, gehärtete Netzwerkränder, Überwachung und Auditierbarkeit – sodass selbst bei Fehlfunktionen oder Umgehungen einer Ebene der Schaden durch die anderen begrenzt wird.
Dieses Dokument erläutert, wie wir diese Vorgehensweise mit nicht-technischen Stakeholdern kommunizieren. Es handelt sich weder um ein Zertifikat noch um einen Prüfbericht oder eine vollständige Kontrollliste. Formale Ergebnisse wie Zertifizierungen für Informationssicherheitsmanagement, unabhängige Vertrauensberichte und regulatorische Schlussfolgerungen hängen davon ab, wie Perspectis AI implementiert wird, welche Unterauftragnehmer einbezogen sind und welche Nachweise ein Kunde gegenüber Auditoren und Rechtsberatern vorlegt.
Warum „vielschichtige Sicherheitsvorkehrungen“ das richtige Denkmodell sind
Ein anschauliches Beispiel ist ein Forschungscampus mit verschiedenen Sicherheitsstufen: Ausweise am Eingang, verschlossene Labore im Inneren, Regeln für den Abtransport von Gegenständen aus dem Gebäude, Kameras, wo angebracht, und getrennte Teams, die sich nicht austauschen dürfen, wenn dies laut Richtlinie nicht zulässig ist. Keine einzelne Maßnahme allein reicht aus; die Kombination schafft Resilienz.
Das ist der Grundgedanke hinter Perspectis AI: gestaffelte Kontrollen, die auf die tatsächliche Arbeitsweise regulierter und reputationssensibler Organisationen abgestimmt sind – kein Versprechen, dass eine einzelne Funktion Risiken beseitigt.
Ebene 1 – Was die Plattform sehen und tun darf (granularer Zugriff)
Organisationen unterscheiden sich darin, wie viel Automatisierung sie für E-MAIls, Kalender, Dokumente und verwandte Kanäle wünschen. Wir unterstützen granulare Zugriffsmuster, sodass Teams klar wählen können:
-
Kein Zugriff – die Plattform greift für inhaltliche Aufgaben nicht auf diesen Kanal zu.
-
Metadatenbasierter Zugriff – ausreichend Kontext zur Koordination der Arbeit (z. B. Timing- und Routing-Signale), ohne vollständige Nachrichteninhalte abzurufen, wenn dies gegen Richtlinien verstößt.
-
Inhaltszugriff – sofern Richtlinien und Verträge eine umfassendere Unterstützung ermöglichen.
Zusätzliche Schalter regeln, ob die Verarbeitung natürlicher Sprache, tiefergehende Analysefunktionen, produktübergreifende Zusammenarbeit und ähnliche Funktionen für die jeweilige Organisation zulässig sind. Wir bezeichnen dies als einen richtliniengesteuerten Bereich: Dasselbe Produkt kann je nach Kundenwunsch und berufsständischen Vorgaben strengere oder weniger strenge Richtlinien haben.
Ebene 2 – Wenn zwei Richtlinien einander widersprechen (klare Hierarchie)
In realen Unternehmen existieren Regeln auf vielen Ebenen: unternehmensweite Standards, kundenspezifische Anforderungen, fallbezogene Einschränkungen. Diese Regeln können in Konflikt geraten. Wir implementieren Präemptionsmuster, um ein vorhersehbares Ergebnis zu gewährleisten: Manchmal setzt sich die strengere Regel durch, manchmal begrenzt eine höhere Instanz die Möglichkeiten niedrigerer Ebenen, und manchmal verschmelzen Richtlinien zum sichersten effektiven Ergebnis, wenn mehrere Regeln gleichzeitig gelten.
Vorhersagbarkeit ist genauso wichtig wie Strenge. Ethische Schranken (Informationsbarrieren) funktionieren nur, wenn Personen – und Systeme – wissen, welche Regel für eine bestimmte Anfrage gilt.
Ebene 3 – Ethische Schranken und Trennungspflichten
Ethische Schranken bezeichnen in der Praxis die Regel, dass bestimmte Personen, Teams oder KI-gestützte Arbeitsabläufe bestimmte Informationen nicht einsehen oder kombinieren dürfen. Wir behandeln diese Schranken als durchsetzbare Trennung und nicht als TrAIningsmaßnahme für das Modell. Barrieren werden mit einer revisionssicheren Semantik bewertet, sodass die Regel „Diese Grenze darf nicht überschritten werden“ eine zentrale Aufgabe der Plattform ist und nicht nur eine Wunschvorstellung in einer Eingabeaufforderung.
Dies ist besonders relevant, wenn Vertraulichkeitsstufen (öffentlich, intern, hochsensibel und ähnliche Abstufungen, die in der Praxis üblich sind) konsistent durch die Arbeitsabläufe fließen müssen.
Ebene 4 – Personenbezogene Daten und Datenminimierung
Personenbezogene Daten sind alle Daten, die eine Person direkt oder indirekt identifizieren können. Wir investieren in Erkennung und Bereinigung unterstützter Pfade, sodass viele Artefakte – wo angebracht – geschwärzte oder gehashte Darstellungen speichern. Gleichzeitig sind wir ehrlich und betonen, dass mehrschichtige Sicherheit auch auf Mandantenisolation, Zugriffskontrollen und Verschlüsselung beruht. Nicht jedes Feld in jedem Workflow durchläuft denselben Bereinigungsprozess. Wir vermeiden absolute Marketingaussagen, die interne technische Bewertungen nicht bestätigen würden.
Das Designziel ist Minimierung: Wir reduzieren unnötige sensible Daten, speichern professionelle Aufzeichnungen dort, wo sie für die Produktfunktion erforderlich sind, und schützen tiefergehende Analysen durch die oben beschriebenen Zugriffs- und Sicherheitsrichtlinien.
Schicht 5 – Anwendungsrand und Betriebsüberwachung
Kundenseitige Systeme profitieren von disziplinierten HTTP-Rand-Praktiken – sicherheitsorientierten Headern, sorgfältig eingeschränkten Browserintegrationsregeln und operativen Schnittstellen zur Überwachung von Missbrauchsarten wie Prompt-Injection-Versuchen gegen regulierte Routen. Wir investieren auch in Beobachtbarkeitsmuster (Metriken, Alarme, strukturierte Protokolle), damit Bediener Anomalien erkennen und reagieren können – wohl wissend, dass die genauen Dashboards und Schwellenwerte bereitstellungsspezifisch sind.
Ebene 6 – KI-gestützte Arbeit innerhalb der bestehenden Sicherheitsvorkehrungen
Die Funktionen des persönlichen Agenten und des Executive Personal Assistant bilden bewusst keinen separaten „Wildwest“. Dieselben Prinzipien für Zugriff, Sicherheitsvorkehrungen, Vertraulichkeit und menschliche Interaktion, die auch in anderen Bereichen gelten, gelten auch für unterstützte Aktionen: Genehmigungen bei wichtigen Entscheidungen, dauerhafte Aufzeichnungen, wo Kontinuität entscheidend ist, und keine Illusion, dass geschickte Formulierungen Berechtigungen außer Kraft setzen können.
In der Perspectis AI Demo Environment machen wir dies greifbar: End-to-End-Szenarien zeigen, wie die Unterstützung in die professionellen Kontrollmechanismen integriert ist – und nicht daneben.
Compliance-Sprache, die wir sorgfältig verwenden
Stakeholder fragen oft, wie sich dies auf bekannte Frameworks übertragen lässt. Wir richten unsere Produkt- und Entwicklungsarbeit an gemeinsamen Themen aus (z. B. Themen des internationalen Anhangs für Informationssicherheitsmanagement, Kriterien für Vertrauensdienste in unabhängigen Prüfberichten, europäische Datenschutzanforderungen und Sicherheitsmuster aus dem Gesundheitswesen, sofern die Implementierungen auf diese Systeme abzielen). Wir stellen ausdrücklich klar, dass die Zuordnung nicht mit einer Zertifizierung gleichzusetzen ist: Auditoren geben Stellungnahmen zu Organisationen und Produktionsgrenzen ab, nicht zu einer Momentaufnahme des Quellcode-Repositorys.
| Thema | Was die Produktpositionierung glaubwürdig aussagen kann | Was weiterhin Kunden- und Auditorenarbeit erfordert |
| --- | --- | --- |
| Zertifizierung und Attestierung | Starke Designausrichtung und sorgfältige Dokumentation | Formale Zertifikate, relevante Systeme, Richtlinien, Betriebsnachweise |
Verschlüsselung | Branchenübliche Muster für Daten während der Übertragung und im Ruhezustand bei korrekter Konfiguration | Schlüsselverwaltung, -rotation und Infrastrukturauswahl pro Implementierung |
Nutzung in Schulungen | Architektonische Trennung zwischen Kunden-Workloads und Perspectis-eigenen ModelltrAIningsmustern; Drittanbieter von Modellen unterliegen weiterhin ihren Bedingungen und den Kundenpräferenzen | Kundenprüfung von Unterauftragnehmern, Datenverarbeitungsvereinbarungen und Aufbewahrungsmodi |
| KI-Aufsicht | Menschliche Interaktion, Audit-Logs, Tool-Governance und barrierebewusste Pfade, sofern implementiert | Unternehmensspezifische Schlussfolgerungen zu Privilegien, Ethik und lokalem Recht |
Ehrliche Grenzen (denn Glaubwürdigkeit ist auch ein Kontrollmechanismus)
Wir benennen einige Grenzen klar:
-
Keine „perfekte Sicherheit“. Jedes reale System kann Fehler, Fehlkonfigurationen oder neuartige Angriffe aufweisen.
-
Sicherheit ist gemeinsame Arbeit. Kunden müssen Identitäten, Geräte und Geschäftsprozesse entsprechend ihrer Risikotoleranz betreiben.
-
Bewertungen und Überwachungsfunktionen interner Validierungstools sind operative Signale, keine permanenten Marketingbewertungen – die kryptografische Sicherheitslage entwickelt sich mit Standards und Infrastrukturentscheidungen weiter.
Quellen (öffentliche Referenzen für Frameworks, keine Produktangaben)
- National Institute of Standards and Technology: Cybersecurity Framework
- Internationale Organisation für Normung: ISO/IEC 27001 – Informationssicherheitsmanagement
- American Institute of Certified Public Accountants: Trust Services Criteria overview (SOC)
- National Institute of Standards and Technology: Artificial Intelligence Risk Management Framework (AI RMF 1.0)
Dieses Dokument richtet sich an externe, nicht-technische Leser. Wir pflegen unter Wahrung der Vertraulichkeit maßgebliche technische Bewertungen und Implementierungsreferenzen für die Sorgfaltsprüfung unserer Kunden.