Die KI-Stückliste erklärt für DevSecOps-Teams #
Die Diskussion um KI-basierte Stücklisten entstand nicht aus akademischem Interesse. Sie kam auf, weil Sicherheitsteams zunehmend die Übersicht verloren. Da maschinelle Lernmodelle, Basismodelle und KI-gestützte Codegenerierung Als Software in Produktionssysteme Einzug hielt, reichten herkömmliche Softwareinventare nicht mehr aus. Man konnte zwar Pakete, Container und Bibliotheken auflisten, hatte aber dennoch keine Ahnung, welche Modelle eingebettet waren, woher die Trainingsdaten stammten oder welche externen APIs das Laufzeitverhalten beeinflussten. Dies ist die Vorgeschichte.cisDie Lücke, die die Stückliste für künstliche Intelligenz schließen soll.
Als die Zahlen vorlagen, war der Bedarf nicht mehr zu ignorieren. Heute weisen 40 % des von KI generierten Codes Sicherheitslücken auf, der KI-gestützte Diebstahl von Zugangsdaten stieg zwischen dem vierten Quartal 2025 und dem ersten Quartal 2026 um 376 %, und die technischen Dokumentationsanforderungen des EU-KI-Gesetzes für Hochrisiko-KI-Systeme treten am 2. August 2026 in Kraft.Organisationen, die keine strukturierte Bestandsaufnahme ihrer KI-Komponenten (eine KI-Stückliste) erstellen können, sind gleichzeitig dreifach gefährdet: Sicherheit, Compliance und Integrität der KI-Lieferkette. Bevor wir fortfahren, sollten wir eine klare Ausgangsbasis schaffen.
Detaillierte Analyse der KI-Stückliste #
Was ist eine KI-Stückliste? Eine KI-Stückliste (kurz für AI Bill of Materials) ist ein strukturiertes Verzeichnis, das alle in einem System verwendeten KI-Komponenten dokumentiert. Dazu gehören Modelle, Datensätze, Trainingsframeworks, Inferenzmaschinen, APIs von Drittanbietern, Open-Source-Abhängigkeiten und Konfigurationsartefakte, die das Verhalten der KI während der Kompilierung und Laufzeit beeinflussen. Software-Stückliste (SBOMEine KI-Stückliste beantwortet nicht die Frage: „Welcher Code befindet sich in dieser Anwendung?“, während eine KI-Stückliste eine komplexere Frage beantwortet: Welche Intelligenz ist hier eingebettet, woher stammt sie und welche Risiken birgt sie? Eine KI-Stückliste ersetzt nicht … SBOMEs erweitert es auf Bereiche, in denen die traditionelle Abhängigkeitsverfolgung versagt, insbesondere im Hinblick auf undurchsichtige Modelle, externe KI-Dienste und sich ständig weiterentwickelnde Artefakte.
Warum existiert die KI-Stückliste als separates Konzept? #
Die Sicherheitsteams versuchten zunächst, die Reichweite zu vergrößern. SBOMUm KI-Ressourcen abzudecken, ist dieser Ansatz wenig zielführend. Modelle sind keine Bibliotheken, Trainingsdatensätze keine Pakete und Eingabeaufforderungsvorlagen keine statischen Konfigurationsdateien. Eine KI-Stückliste existiert, weil KI-Systeme Risikodimensionen mit sich bringen, die … SBOMs waren nie dafür konzipiert, Daten einzufangen.
Wenn Teams fragen, was eine KI-Stückliste ist, reagieren sie oft auf eine der folgenden Realitäten:
- Ein Modell wurde aus einem öffentlichen Register mit unbekannter Herkunft entnommen.
- Die Schulungsdaten enthielten lizenziertes oder sensibles Material
- Eine externe LLM-API hat ihr Verhalten ohne Vorwarnung geändert.
- Eine Modellaktualisierung führte zu Verzerrungen, Datenlecks oder unsicheren Ergebnissen.
Die KI-Stückliste bietet Rückverfolgbarkeit für diese Szenarien, weshalb sie in Diskussionen über KI-Sicherheit, Governance und Compliance immer häufiger Erwähnung findet.
Kernkomponenten dokumentiert in einer KI-Stückliste #
Eine KI-Stückliste ist nur dann nützlich, wenn sie spezifisch ist. Obwohl die Implementierungen variieren, dokumentieren ausgereifte KI-Stücklistenstrukturen einheitlich die folgenden Kategorien.
Modelle und Modellartefakte #
Dies umfasst Modellname, Version, Architektur, Quellcode-Repository oder Anbieter, Prüfsumme oder Hashwert sowie den Bereitstellungskontext. Ohne diese Angaben wird die Reaktion auf Sicherheitsvorfälle zum Ratespiel.
Trainings- und Feinabstimmungsdaten #
Eine KI-basierte Stückliste erfasst Datensätze, die für das Training oder die Feinabstimmung verwendet werden, einschließlich Herkunft, Lizenzbeschränkungen und Sensibilitätsklassifizierung. Dies ist entscheidend für die Beurteilung von regulatorischen Risiken und des Risikos im Bereich des geistigen Eigentums.
Frameworks und Toolchains #
TensorFlow, PyTorch, Inferenz-Laufzeitumgebungen, Optimierungsbibliotheken und Modellkonverter sind hier enthalten. Aus Sicherheitssicht handelt es sich um ausführbare Abhängigkeiten mit denselben Malware- und Sicherheitslückenrisiken wie herkömmlicher Code.
Externe KI-Dienste und APIs #
Jegliche Nutzung von KI-Diensten Dritter muss in der KI-Stückliste aufgeführt werden, einschließlich Anbieter, Nutzungsumfang, Datenflüsse und Aktualisierungsfrequenz.
Konfigurations- und Eingabeaufforderungsressourcen #
Eingabeaufforderungen, guardrailsRichtlinienebenen haben einen wesentlichen Einfluss auf das Verhalten von KI. Eine KI-Stückliste behandelt sie als erstklassige Ressourcen und nicht als Kommentare in einem Repository.
Wie eine KI-basierte Stückliste sichere Entwicklungspraktiken unterstützt #
Sicherheitsexperten gehen oft fälschlicherweise davon aus, dass bestehende Kontrollmechanismen automatisch auch für KI gelten. Das ist ein Irrtum. Dieses Missverständnis ähnelt früheren Fehlern im Umgang mit KI. Open-Source-Lieferketten.
Eine KI-basierte Stückliste ermöglicht Steuerungen, die andernfalls unter der Komplexität zusammenbrechen würden:
- Risikobewertung in Verbindung mit spezifischen Modellen und Datenquellen
- Schnellere Eindämmung bei Kompromittierung einer KI-Komponente
- Durchsetzung der Kontrolle über die Nutzung von Schatten-KI
- Klare Zuständigkeit für KI-gesteuerte Funktionen
Wenn Teams fragen, was eine KI-Stückliste ist, ist die praktische Antwort einfach: Es handelt sich um das minimale Artefakt, das erforderlich ist, um KI-Systeme als überprüfbare Softwarekomponenten und nicht als Blackboxes zu behandeln.
Häufige Missverständnisse #
Irrtum Nr. 1: „Wir erfassen bereits Abhängigkeiten, daher haben wir eine KI-basierte Stückliste.“
Die Nachverfolgung von Python-Paketen gibt keine Auskunft darüber, welche Modellgewichte geladen wurden, welche datensatzförmigen Ausgaben erzeugt wurden oder ob ein Inferenz-Endpunkt einen externen Anbieter aufruft. Eine KI-Stückliste wird nicht automatisch abgeleitet; sie muss explizit generiert und gepflegt werden.
Irrtum Nr. 2: „KI-Stücklisten sind nur für regulierte Branchen geeignet.“ #
Regulierungen beschleunigen die Einführung, Sicherheitsvorfälle hingegen machen sie notwendig. Modellmanipulation, Prompt-Injection, Datenlecks und bösartige Modellaktualisierungen betreffen jede Organisation, die KI einsetzt. Die KI-Stückliste ist ein Schutzinstrument und nicht nur eine Compliance-Maßnahme.
Irrtum Nr. 3: „Modellanbieter übernehmen dieses Risiko für uns.“ #
Externe Anbieter reduzieren den operativen Aufwand, nicht aber die Verantwortlichkeit. Wenn Ihr System KI-Ergebnisse nutzt, tragen Sie das Risiko. Eine KI-Stückliste dokumentiert diese Abhängigkeit, sodass sie gesteuert statt ignoriert werden kann.
KI-Stückliste vs. SBOMWarum werden beide benötigt? #
Dieser Vergleich ist wichtig für DevSecOps-Teams, die eine unkontrollierte Werkzeugflut vermeiden wollen, und es lohnt sich, ihn im Voraus zu betrachten.cisEs geht darum, wo das eine Artefakt endet und das andere beginnt.
An SBOM Eine Stückliste erfasst Softwarekomponenten, Pakete, Bibliotheken, Container sowie deren Versionen und Lizenzen. Sie beantwortet die Frage: Welcher Code läuft in dieser Anwendung? Eine KI-Stückliste erfasst Intelligenzkomponenten, Modelle, Datensätze, Trainingsframeworks, externe APIs und Konfigurationseinstellungen. Sie beantwortet eine andere Frage: Welche KI prägt das Verhalten dieses Systems, woher stammt sie und welches Risiko birgt sie?
Der blinde Fleck wird an einem konkreten Beispiel deutlich. Angenommen, ein Drittanbieter eines Basismodells aktualisiert im Hintergrund die Gewichtungen hinter einem API-Endpunkt. Keine Änderungen der Paketversion. Keine Aktualisierungen der Einträge im Abhängigkeitsgraphen. Ihr SBOM Es zeigt nichts an. Das von Ihrer Anwendung aufgerufene Modell verhält sich jedoch nun anders – mit anderen Ausgaben, anderen Fehlermodi und potenziell anderen Sicherheitseigenschaften. Eine KI-Stückliste (BOM) verfolgt die Modellversion, den Anbieter, die Aktualisierungsfrequenz und die beteiligten Datenflüsse. Sie erfasst genau, was die Anwendung aufruft. SBOM Ich kann nichts sehen.
Ein zweites Beispiel: Eine in einer Konfigurationsdatei gespeicherte Eingabeaufforderungsvorlage wird so geändert, dass eine Schutzbarriere entfernt wird. Dies ist keine Codeänderung, keine Aktualisierung von Abhängigkeiten und kein Neuaufbau des Containers. Sie erscheint nirgendwo in einem SBOMDies verändert jedoch wesentlich das Verhalten des KI-Systems zur Laufzeit. Eine KI-Stückliste behandelt Prompt-Assets als vollwertige Komponenten, die versioniert, nachverfolgt und auditierbar sind.
Es gibt Überschneidungen zwischen den beiden Artefakten. KI-Frameworks wie PyTorch, TensorFlow und LangChain tauchen in beiden auf. SBOM und eine KI-Stückliste, da es sich um ausführbare Abhängigkeiten mit realen Sicherheitslücken und Malware-Risiken handelt. Die Überschneidung ist jedoch gering. Die Modellschicht, die Datenschicht, die Eingabeaufforderungsschicht und die externe API-Schicht liegen vollständig außerhalb dieser Grenzen. SBOM Abdeckung.
Zusammen, ein SBOM Eine KI-gestützte Stückliste und eine KI-basierte Stückliste liefern ein vollständiges Bild der Risiken in der Software-Lieferkette. Für sich genommen lassen beide jedoch die blinden Flecken des jeweils anderen ungedeckt. Daher wird die KI-gestützte Stückliste in Branchenrichtlinien zunehmend als Ergänzung zur KI-gestützten Stückliste positioniert. SBOM, nicht optional und kein Ersatz.
Operationalisierung einer KI-basierten Stückliste in DevSecOps #
Eine KI-Stückliste sollte nicht als statische Dokumentation existieren. Sie muss sich in die KI integrieren. SDLCEffektive Implementierungen erzeugen und pflegen es an drei Punkten im Entwicklungslebenszyklus:
- Modell-Onboarding. Wird ein neues Modell, ein neuer Datensatz oder eine externe KI-API in die Umgebung eingeführt, wird in diesem Moment der entsprechende Eintrag in der KI-Stückliste erstellt. Dieser erfasst Herkunft, Version, Lizenzierung, Datenflüsse und Risikoklassifizierung, bevor die Komponente irgendeinen Zugriff erhält. pipeline oder Produktionssystem. Dies ist der Punkt, an dem unbekannte KI aufhört, Schatten-KI zu sein.
- CI/CD Ausführung. Jede pipeline Der Testlauf bietet die Möglichkeit zu überprüfen, ob die verwendeten KI-Komponenten mit den Einträgen in der KI-Stückliste übereinstimmen. Automatisierte Prüfungen während des Testlaufs. CI/CD Es lassen sich Abweichungen erkennen, etwa eine geänderte Modellversion, eine modifizierte Prompt-Datei oder ein API-Endpunkt, der nun auf einen anderen Anbieter verweist. Solche Probleme lassen sich bereits beim Kompilieren erkennen, was deutlich weniger Aufwand bedeutet als ihre Entdeckung im Ernstfall.
- Änderungen bei der Bereitstellung und Laufzeit. Werden KI-Komponenten im Produktivbetrieb aktualisiert, ausgetauscht oder außer Betrieb genommen, wird die KI-Stückliste entsprechend angepasst, und der vorherige Zustand bleibt im Änderungsprotokoll erhalten. Dadurch entsteht der Prüfpfad, auf dem die Reaktion auf Sicherheitsvorfälle, behördliche Prüfungen und das Berichtswesen basieren – ein mit Zeitstempel versehener Nachweis darüber, welche KI wann und in welcher Konfiguration ausgeführt wurde.
Dieses kontinuierliche Aktualisierungsmodell unterscheidet eine operative KI-Stückliste von einem Compliance-Dokument. Ein Compliance-Dokument beantwortet Fragen im Rahmen einer Prüfung. Eine operative KI-Stückliste beantwortet Fragen im Falle eines Vorfalls – also genau dann, wenn die Antworten wirklich wichtig sind.
Warum sind KI-Stücklisten für die Reaktion auf Vorfälle wichtig? #
Wird eine Schwachstelle oder ein schädliches Verhalten in einem KI-Modell oder -Framework entdeckt, ist Zeit entscheidend. Ohne eine KI-Stückliste können Teams folgende Fragen nicht zuverlässig beantworten:
- Welche Anwendungen sind betroffen?
- Welchen Umgebungen sind sie ausgesetzt?
- Ob sensible Daten betroffen waren
Die Kosten dieser Unsicherheit sind messbar. Beim PromptMink-Lieferkettenangriff (bei dem eine nordkoreanische, staatlich geförderte Gruppe bösartige npm-Pakete speziell zur Täuschung von KI-Programmieragenten entwickelte) hatten Teams ohne KI-Inventar keine schnelle Möglichkeit festzustellen, welche Agenten die kompromittierte Abhängigkeit bezogen hatten, welche Umgebungen gefährdet waren oder ob Wallet-Zugangsdaten und CI/CD Die Token waren bereits entwendet worden. Die Ermittlungen begannen daher bei null, anstatt von einer bekannten Ausgangslage auszugehen.
Die KI-gestützte Stückliste verkürzt die Reaktionszeit, indem sie Unbekanntes in suchbare Fakten umwandelt. Ist der Bestand vorhanden und aktuell, lässt sich die erste Frage bei einem Vorfall (Was ist betroffen?) innerhalb von Minuten statt Tagen beantworten.
Die Rolle von KI-Stücklisten in KI-gestützter Anwendungssicherheit #
Da KI zunehmend in die Entwicklung integriert wird, müssen sich auch die Sicherheitswerkzeuge weiterentwickeln. Plattformen, die bereits bieten SBOMs, Malware-Erkennung und Abhängigkeitsintelligenz erweitern nun die Transparenz von KI-Komponenten. Hier kommen Plattformen wie zum Einsatz. Xygeni sich auf natürliche Weise mit dem KI-Stücklistenkonzept verbinden. Durch die Korrelation von KI-bezogenen Artefakten mit Code, Abhängigkeiten, pipelineund Laufzeitverhalten, KI-Stücklisten hören auf, theoretische Diagramme zu sein, und werden zu umsetzbaren Sicherheitskontrollen.
Eine KI-basierte Stückliste kombiniert mit Malware-Erkennung in Echtzeit, SCA, CI/CD Sicherheitdienst und ASPM Ermöglicht es Teams, KI-Risiken zu managen, ohne die Entwicklung zu verlangsamen. Das ist das praktische Ziel: Transparenz ohne Reibungsverluste.
Schlussbetrachtung: Warum die Frage „Was ist eine KI-Stückliste?“ die richtige Frage ist #
Die Frage nach einer KI-Stückliste hat nichts mit Definitionen zu tun. Es geht vielmehr darum zu erkennen, dass KI-Systeme mittlerweile Teil der Software-Lieferkette sind und dass unkontrollierte Lieferketten scheitern. Die KI-Stückliste gibt DevSecOps-Teams dieselbe Kontrolle über KI wie SBOMDie Einführung von Open Source ermöglicht zwar keine perfekte Kontrolle, aber genügend Transparenz für fundierte Entscheidungen.cisIonen, reagieren schnell und reduzieren vermeidbare Risiken.
Für Teams, die die Einhaltung der KI-Inventarrichtlinien in einer KI-nativen Umgebung verwalten SDLCDie KI-Stückliste ist keine zukünftige Anforderung. Sie ist die minimale, praktikable Kontrollmaßnahme, um KI heute als Teil der Software-Lieferkette zu behandeln. Deshalb handelt es sich nicht um einen Trend, sondern um eine Korrekturmaßnahme.
FAQ #
Für Anbieter von KI-Systemen mit hohem Risiko: Ja. Artikel 11 und Anhang IV des EU-KI-Gesetzes fordern eine technische Dokumentation, die Systembeschreibung, Trainingsmethodik, Datensatzmerkmale und Überwachungsverfahren umfasst. Diese Dokumentation muss stets aktuell sein und den Aufsichtsbehörden auf Anfrage zur Verfügung gestellt werden. Die Frist für die Durchsetzung der Vorschriften gemäß geltendem Recht ist der 2. August 2026. Die KI-Stückliste (AI-BOM) ist die operative Struktur, die diese Dokumentation kontinuierlich erstellt und pflegt, anstatt sie nur punktuell zu erfassen.cise. Auch Organisationen außerhalb der Hochrisikoklassifizierung unterliegen den Dokumentationsanforderungen des NIST AI RMF und enterprise Beschaffungsanforderungen, bei denen Käufer zunehmend KI-basierte Stücklisten als Teil der Lieferantenprüfung fordern.
Neben den oben genannten Kernkomponenten umfasst eine vollständige KI-Stückliste auch: Genehmigungshistorie und Änderungsprotokoll, Evaluierungsergebnisse und bekannte Fehlermodi, Konformitätsbescheinigungen, Anforderungen an die menschliche Aufsicht sowie die Dokumentation der Risikobewertung. Im Gegensatz zu einem statischen Dokument ist eine KI-Stückliste ein dynamisches Artefakt, das sich aktualisiert, sobald Modelle neu trainiert, optimiert oder ersetzt werden und sich APIs und Integrationen ändern. Das Änderungsprotokoll selbst ist Bestandteil des Artefakts.
Die Verantwortlichkeiten hängen von der jeweiligen Rolle in der KI-Lieferkette ab. Anbieter (Organisationen, die KI-Systeme entwickeln oder optimieren) sind für die Erstellung und Pflege der KI-Stückliste (AI-BOM) sowie deren Bereitstellung für nachgelagerte Anwender und Aufsichtsbehörden verantwortlich. Anwender (Organisationen, die KI von Drittanbietern in ihre eigenen Produkte oder Arbeitsabläufe integrieren) erhalten die KI-BOM von ihren Anbietern und führen ein eigenes Verzeichnis der verwendeten Komponenten. In der Praxis sind die meisten Organisationen gleichzeitig Anbieter und Anwender. Daher muss die Verantwortung für die KI-BOM explizit den Sicherheits-, Entwicklungs- und Compliance-Teams zugewiesen werden und darf nicht geteilt werden.