Diese Seite wird auf Englisch angezeigt, während eine geprüfte Übersetzung für Ihre Sprache vorbereitet wird.
Wie wir bei Perspectis AI über mehrschichtige Informationssicherheit denken
Eine leicht verständliche Perspectis AI-Perspektive auf die gestaffelte Verteidigung: granularer Zugriff, ethische Schranken, Minimierung, Überwachung, KI innerhalb derselben Leitplanken – und eine ehrliche Darstellung der Zertifizierung im Vergleich zum Produktdesign.
Ein Leitfaden in einfacher Sprache für Führungskräfte, Kunden und Teams (April 2026)
Die Kurzfassung
Seriöse Organisationen setzen nicht auf eine einzige Sicherheitsmaßnahme. Wir betrachten Informationssicherheit als mehrschichtige Verteidigung: Mehrere unabhängige Mechanismen verstärken sich gegenseitig – Zugriffsoptionen, Richtlinienhierarchie, ethische Schranken, Vertraulichkeitsbehandlung, sorgfältiger Umgang mit personenbezogenen Daten, gehärtete Netzwerkränder, Überwachung und Auditierbarkeit – sodass selbst bei Fehlfunktionen oder Umgehungen einer Schicht die anderen den Schaden begrenzen.
Dieses Dokument erläutert, wie wir diese Vorgehensweise mit nicht-technischen Stakeholdern kommunizieren. Es handelt sich weder um ein Zertifikat noch um einen Prüfbericht oder eine vollständige Kontrollliste. Formale Ergebnisse wie Zertifizierungen für Informationssicherheitsmanagement, unabhängige Vertrauensberichte und regulatorische Schlussfolgerungen hängen davon ab, wie Perspectis AI eingesetzt wird, welche Unterauftragnehmer einbezogen sind und welche Nachweise ein Kunde gegenüber Auditoren und Rechtsberatern vorlegt.
Warum „vielschichtige Sicherheitsvorkehrungen“ das richtige Denkmodell sind
Ein anschauliches Beispiel ist ein Forschungscampus mit verschiedenen Sicherheitsstufen: Ausweise am Eingang, verschlossene Labore im Inneren, Regeln für den Abtransport von Gegenständen, Kameras, wo angebracht, und getrennte Teams, die sich nicht austauschen dürfen, wenn dies laut Richtlinien nicht zulässig ist. Keine einzelne Maßnahme allein reicht aus; die Kombination schafft Resilienz.
Das ist der Grundgedanke hinter Perspectis AI: gestaffelte Kontrollen, die auf die tatsächliche Arbeitsweise regulierter und reputationssensibler Organisationen abgestimmt sind – kein Versprechen, dass eine einzelne Funktion Risiken beseitigt.
Schicht 1 – Was die Plattform sehen und tun darf (granularer Zugriff)
Organisationen unterscheiden sich darin, wie viel Automatisierung sie für E-MAIls, Kalender, Dokumente und verwandte Kanäle wünschen. Wir unterstützen granulare Zugriffsmuster, sodass Teams klar wählen können:
-
Kein Zugriff – die Plattform greift für inhaltliche Aufgaben nicht auf diesen Kanal zu. - Metadatenbasierter Zugriff – ausreichend Kontext zur Koordination der Arbeit (z. B. Timing- und Routing-Signale), ohne vollständige Nachrichteninhalte abzurufen, wenn dies gegen Richtlinien verstößt.
-
Inhaltszugriff – sofern Richtlinien und Verträge eine umfassendere Unterstützung ermöglichen.
Zusätzliche Schalter regeln, ob die Verarbeitung natürlicher Sprache, tiefergehende Analysefunktionen, produktübergreifende Zusammenarbeit und ähnliche Funktionen für die jeweilige Organisation zulässig sind. Wir bezeichnen dies als einen richtliniengesteuerten Bereich: Dasselbe Produkt kann je nach Kundenwunsch und berufsständischen Vorgaben strenger oder weniger streng sein.
Ebene 2 – Wenn zwei Richtlinien einander widersprechen (klare Hierarchie)
In realen Unternehmen existieren Regeln auf vielen Ebenen: unternehmensweite Standards, kundenspezifische Anforderungen, fallbezogene Einschränkungen. Diese Regeln können in Konflikt geraten. Wir implementieren Präemptionsmuster, um ein vorhersehbares Ergebnis zu gewährleisten: Manchmal setzt sich die strengere Regel durch, manchmal begrenzt eine höhere Instanz die Möglichkeiten niedrigerer Ebenen, und manchmal verschmelzen Richtlinien zum sichersten effektiven Ergebnis, wenn mehrere Regeln gleichzeitig gelten.
Vorhersagbarkeit ist genauso wichtig wie Strenge. Ethische Mauern (Informationsbarrieren) funktionieren nur, wenn Personen – und Systeme – wissen, welche Regel für eine bestimmte Anfrage gilt.
Ebene 3 – Ethische Mauern und Trennungspflichten
Ethische Mauern sind das in der Berufswelt übliche Konzept, dass bestimmte Personen, Teams oder KI-gestützte Arbeitsabläufe bestimmte Informationen nicht einsehen oder kombinieren dürfen. Wir behandeln Mauern als durchsetzbare Trennung, nicht als TrAIningsübung für das Modell. Barrieren werden mit einer revisionssicheren Semantik bewertet, sodass „Diese Grenze darf nicht überschritten werden“ eine Plattformaufgabe ist und nicht nur eine Hoffnung in einer Aufforderung.
Dies ist besonders relevant, wenn Vertraulichkeitsstufen (öffentlich, intern, hochsensibel und ähnliche Abstufungen, die in der Berufspraxis verwendet werden) konsistent durch Arbeitsabläufe fließen müssen.
Ebene 4 – Personenbezogene Daten und Datenminimierung
Personenbezogene Daten sind alle Daten, die eine Person direkt oder indirekt identifizieren können. Wir investieren in Erkennung und Bereinigung auf unterstützten Wegen, sodass viele Artefakte geschwärzte oder gehashte Darstellungen speichern, wo dies angebracht ist. Gleichzeitig sind wir ehrlich, dass mehrschichtige Sicherheit auch auf Mandantenisolierung, Zugriffskontrollen und Verschlüsselung beruht. Nicht jedes Feld in jedem Workflow durchläuft denselben Bereinigungsprozess; wir vermeiden absolute Marketingaussagen, die interne technische Bewertungen nicht bestätigen würden.
Das Designziel ist Datenminimierung: Reduzierung unnötiger sensibler Daten, Speicherung von Fachdaten nur dort, wo sie für die Produktfunktion erforderlich sind, und Abschirmung tiefergehender Analysen durch die oben beschriebenen Zugriffs- und Schutzrichtlinien.
Ebene 5 – Anwendungsrand und Betriebsüberwachung
Kundenseitige Systeme profitieren von disziplinierten HTTP-Edge-Praktiken – sicherheitsorientierten Headern, sorgfältig eingeschränkten Browserintegrationsregeln und Betriebsschnittstellen zur Überwachung von Missbrauchsarten wie Prompt-Injection-Versuchen gegen regulierte Routen. Wir investieren außerdem in Beobachtbarkeitsmuster (Metriken, Alarme, strukturierte Protokolle), damit Betreiber Anomalien erkennen und reagieren können – wohl wissend, dass die genauen Dashboards und Schwellenwerte bereitstellungsspezifisch sind.
Ebene 6 – KI-gestütztes Arbeiten innerhalb der gleichen Schutzmechanismen
Die Funktionen des persönlichen Agenten und des Executive Personal Assistant werden bewusst nicht als separater „Wildwest“ betrachtet. Die gleichen Themen Zugriff, Sicherheitsvorkehrungen, Vertraulichkeit und menschliche Interaktion, die auch in anderen Bereichen gelten, gelten auch für unterstützte Aktionen: Genehmigungen bei wichtigen Entscheidungen, dauerhafte Aufzeichnungen, wo Kontinuität entscheidend ist, und keine Illusion, dass geschickte Formulierungen Berechtigungen außer Kraft setzen können.
In der Perspectis AI Demo Environment machen wir diese Konzepte greifbar: End-to-End-Szenarien zeigen, wie Unterstützung innerhalb professioneller Kontrollmechanismen integriert ist – und nicht daneben.
Compliance-Sprache, die wir sorgfältig verwenden
Stakeholder fragen oft, wie sich dies in bekannte Rahmenwerke einfügt. Wir richten unsere Produkt- und Entwicklungsarbeit an gängigen Themen aus (z. B. Themen des internationalen Anhangs für Informationssicherheitsmanagement, Kriterien für Vertrauensdienste in unabhängigen Prüfberichten, europäische Datenschutzanforderungen und im Gesundheitswesen übliche Schutzmuster, sofern die Implementierungen auf diese Regelungen abzielen). Wir stellen ausdrücklich klar, dass Mapping nicht dasselbe ist wie Zertifizierung: Auditoren geben Stellungnahmen zu Organisationen und Produktionsgrenzen ab, nicht zu einem Snapshot des Quellcode-Repositorys.
| Thema | Was die Produktpositionierung ehrlich aussagen kann | Was weiterhin Kunden- und Auditorenarbeit ist |
| --- | --- | --- |
Zertifizierung und Attestierung | Starke Designausrichtung und sorgfältige Dokumentation | Formale Zertifikate, Systeme im Geltungsbereich, Richtlinien, Betriebsnachweise |
Verschlüsselung | Branchenübliche Muster für Daten während der Übertragung und im Ruhezustand bei korrekter Konfiguration | Schlüsselverwaltung, -rotation und Infrastrukturauswahl pro Bereitstellung |
TrAIningsnutzung | Architektonische Trennung zwischen Kunden-Workloads und Perspectis-eigenen ModelltrAIningsmustern; Drittanbieter von Modellen unterliegen weiterhin ihren Bedingungen und den Kundenauswahlen | Kundenprüfung von Unterauftragnehmern, Datenverarbeitungsvereinbarungen und Aufbewahrungsmodi |
KI-Aufsicht | Menschliche Interaktion, Audit-Logs, Tool-Governance und barrierebewusste Pfade (sofern implementiert) | Unternehmensspezifische Schlussfolgerungen zu Privilegien, Ethik und lokalem Recht |
Klare Grenzen (denn Glaubwürdigkeit ist auch ein Kontrollinstrument)
Wir benennen einige Grenzen deutlich:
-
Keine „perfekte Sicherheit“. Jedes reale System kann Fehler, Fehlkonfigurationen oder neuartige Angriffe aufweisen.
-
Sicherheit ist gemeinsame Arbeit. Kunden müssen Identitäten, Geräte und Geschäftsprozesse entsprechend ihrer Risikotoleranz betreiben.
-
Bewertungen und Überwachungsergebnisse interner Validierungstools sind operative Signale, keine permanenten Marketingbewertungen – die kryptografische Sicherheitslage entwickelt sich mit Standards und Infrastrukturentscheidungen weiter.
Quellen (öffentliche Referenzen für Frameworks, keine Produktangaben)
- National Institute of Standards and Technology: Cybersecurity Framework
- Internationale Organisation für Normung: ISO/IEC 27001 – Informationssicherheitsmanagement
- American Institute of Certified Public Accountants: Trust Services Criteria overview (SOC)
- National Institute of Standards and Technology: Artificial Intelligence Risk Management Framework (AI RMF 1.0)
Dieses Dokument richtet sich an externe, nicht-technische Leser. Wir pflegen unter Wahrung der Vertraulichkeit maßgebliche technische Bewertungen und Implementierungsreferenzen für die Sorgfaltsprüfung unserer Kunden.
Wir verfügen über fundierte technische Bewertungen und Implementierungsreferenzen, die den Kunden zur Verfügung stehen und von ihnen geprüft werden.