Einhaltung des EU-KI-Gesetzes
The EU AI Act requires high-risk AI systems to be accurate, robust and secure. Learn how ImmuniWeb supports its Article 15 cybersecurity obligations by securing the systems and apps around your AI.
Einhaltung des EU-Gesetzes über künstliche Intelligenz (KI)
Was ist das EU-KI-Gesetz?
The AI Act takes a risk-based approach, classifying AI systems as prohibited, high-risk, limited-risk or minimal-risk. Providers of high-risk AI systems must meet a set of requirements (Articles 8-15) covering risk management, data governance, technical documentation, logging, human oversight, and accuracy, robustness and cybersecurity, and must complete a conformity assessment.
Cybersicherheit ist eine verbindliche Anforderung für Hochrisiko-KI. Wichtig ist, dass ein Hochrisiko-KI-System, das auch unter den Cyber Resilience Act fällt und dessen Bedingungen erfüllt, als konform mit der Cybersicherheitsanforderung gemäß Artikel 15 der KI-Verordnung angesehen werden kann.
See how ImmuniWeb supports AI Act Article 15 - securing the web apps, APIs and infrastructure through which your AI systems are exposed. Request a demo · or run a free Community Edition test.
Who Must Comply with EU AI Act?
Das AI Act gilt für:
- Anbieter, die KI-Systeme entwickeln oder auf den EU-Markt bringen, einschließlich Hochrisikosystemen.
- Betreiber, die KI-Systeme in der EU einsetzen.
- Organizations outside the EU whose AI systems or outputs are used in the EU (extraterritorial reach).
Webanwendungen, APIs und Infrastruktur, über die auf KI-Systeme zugegriffen wird, sind Teil der Angriffsfläche, die gesichert werden muss.
Wichtige AI Act-Anforderungen für die Application Security
Die Anwendungssicherheit wird durch Artikel 15 bestimmt:
- Artikel 15 – Cybersicherheit: Hochrisiko-KI-Systeme müssen widerstandsfähig gegen Versuche unbefugter Dritter sein, Schwachstellen auszunutzen und deren Nutzung, Verhalten oder Leistung zu verändern.
- Artikel 15 – Robustheit: Die Systeme müssen konsistent funktionieren und gegen Fehler, Ausfälle und Inkonsistenzen widerstandsfähig sein.
- Unterstützende Systeme: Die Apps, APIs und die Infrastruktur, die KI-Systeme bereitstellen, müssen ihrerseits sicher sein.
AI Act Cybersecurity Requirements in Depth
Article 15 - Cybersecurity of High-Risk AI
Artikel 15 verlangt, dass Hochrisiko-KI-Systeme widerstandsfähig gegen Versuche sein müssen, ihre Schwachstellen auszunutzen. In der Praxis bildet die Angriffsfläche in der realen Welt größtenteils die Webanwendungen, APIs und Infrastruktur, über die KI-Systeme bereitgestellt und darauf zugegriffen wird – diese müssen getestet und gesichert werden.
Sichern der Anwendungen rund um KI
KI-Systeme arbeiten selten isoliert; sie sind über Web- und mobile Anwendungen sowie APIs exponiert. Penetrationstests und Schwachstellenscans dieser Anwendungen und APIs reduzieren die Angriffsfläche, die Anbieter gemäß Artikel 15 verteidigen müssen.
Gängige Risiken in Web- und mobilen Anwendungen, die zu beheben sind
Die Schwachstellen in den Anwendungen und APIs rund um KI-Systeme entsprechen weitgehend den OWASP Top 10:
- Zugriffsfehlsteuerung — Nutzer erreichen Daten oder Aktionen, auf die sie keinen Zugriff haben sollten.
- Kryptografische Ausfälle – schwache oder fehlende Verschlüsselung, die sensible Daten exponiert.
- Injection — SQL-, Befehls- oder andere Injections durch nicht validierte Eingaben.
- Insecure Design — fehlende Sicherheitskontrollen durch Design, nicht nur durch Bugs.
- Sicherheitsmiskonfiguration — Standard-, unvollständige oder unsichere Konfiguration.
- Anfällige und veraltete Komponenten — ungepatchte Bibliotheken und Frameworks.
- Identification & Authentication Failures — schwache Login-, Session- oder Credential-Handhabung.
- Software & Data Integrity Failures — untrusted updates, insecure CI/CD pipelines.
- Mängel in der Sicherheitsprotokollierung und -überwachung — Angriffe, die unentdeckt bleiben.
- Server-Side Request Forgery (SSRF) — Der Server wird dazu verleitet, bösartige Anfragen zu stellen.
Für mobile Apps ist die OWASP Mobile Top 10 die entsprechende Referenz (unsichere Datenspeicherung, unsichere Kommunikation, schwache Kryptografie usw.). Das zuverlässige Finden dieser Probleme erfordert das Testen der laufenden Anwendung, nicht nur eine Dokumentenüberprüfung.
So unterstützen Sie Artikel 15 des AI Act mit ImmuniWeb
- Erfassen Sie die AI-Angriffsfläche. Inventarisieren Sie Apps, APIs und Infrastruktur, die AI-Systeme exponieren, mit ImmuniWeb Discovery.
- Testen Sie Webanwendungen & APIs mit On-Demand und Neuron.
- Test mobile front-endswith MobileSuite and Neuron Mobile.
- Behebung und erneutes Testen mit umsetzbaren Berichten ohne False Positives.
- Sichere Entwicklung mit Continuous in CI/CD.
- Überwachen Sie die Exposition mit Discovery.
So hilft Ihnen ImmuniWeb, die Konformität mit dem EU AI Act zu erreichen.
ImmuniWeb unterstützt Artikel 15, indem es die Anwendungen, APIs und Infrastruktur absichert, über die High-Risk AI-Systeme exponiert und zugänglich sind.
| Anforderung | Was erforderlich ist | ImmuniWeb-Produkte |
|---|---|---|
| Artikel 15 – Cybersicherheit | Widerstandsfähigkeit gegen die Ausnutzung von Schwachstellen. | On-Demand, Neuron, Continuous |
| Unterstützung von Apps und APIs | Sichern Sie die Apps und APIs, die KI-Systeme bereitstellen. | On-Demand, Neuron, MobileSuite, Neuron Mobile |
| Angriffsfläche | Map and monitor the AI-facing attack surface. | Discovery (ASM / Dark Web) |
ImmuniWeb On-Demand and MobileSuite deliver web, mobile and API penetration testing; Neuron and Neuron Mobile provide automated scanning; Continuous embeds testing into CI/CD; and Discovery maps the attack surface around your AI systems - supporting the Article 15 cybersecurity requirement.
EU-KI-Gesetz vs. internationale Rahmenwerke
Wenn Sie bereits nach internationalen Standards arbeiten, decken dieselben ImmuniWeb-Tests alle diese Standards ab:
| Framework | Aspekt der Anwendungssicherheit | Wie ImmuniWeb abbildet |
|---|---|---|
| EU AI Act | Artikel 15: Cybersicherheit von Hochrisiko-KI | Sichern von Apps, APIs und Infrastruktur rund um KI |
| EU CRA | Product cybersecurity (may satisfy Art 15) | Web-/Mobile-Penetrationstests + Scans |
| EU-DSGVO | Sicherheit der Verarbeitung (Artikel 32) | Dieselben Tests decken beide ab |
| ISO/IEC 27001 | Anhang A technische Kontrollen | Tests als Kontrollnachweis |
Penetrationstests vs. Security Scanning
Beides ist erforderlich. Automatisiertes Scannen (DAST) bietet eine breite, häufige Abdeckung und ist ideal für kontinuierliche Tests im CI/CD-Pipeline; manuelle Penetrationstests finden Geschäftslogik- und komplexe Schwachstellen, die Scanner übersehen, und liefern die Tiefe, die Prüfer und Regulierungsbehörden erwarten. Kombinieren Sie kontinuierliches Scannen mit regelmäßigen manuellen Penetrationstests und führen Sie nach wesentlichen Änderungen erneut Tests durch.
Compliance-Checkliste (Anwendungssicherheit)
- AI-facing apps, APIs and infrastructure inventoried
- Webanwendungen und APIs gegen die OWASP Top 10 getestet
- Mobile Frontends getestet gegen die OWASP Mobile Top 10
- Unterstützende Systeme gehärtet und resilient gegen Ausnutzung
- Mängel behoben und erneut getestet; Aufzeichnungen aufbewahrt.
- In den Entwicklungslebenszyklus integrierte Tests
- Attack-Surface-Monitoring vorhanden
Warum die EU AI Act Compliance wichtig ist
The AI Act carries significant penalties (up to EUR 35 million or 7% of global turnover for prohibited practices, and up to EUR 15 million or 3% for other violations), and high-risk obligations - including cybersecurity under Article 15 - apply from 2 August 2026. Conformity is a precondition for placing high-risk AI on the EU market.
Da die praktische Angriffsfläche von KI-Systemen aus den Apps, APIs und der umgebenden Infrastruktur besteht, ist deren Absicherung und Prüfung eine der direktesten Möglichkeiten, Artikel 15 zu unterstützen.