Ein KI-Vorfall liegt vor, wenn durch Prompts, Ausgaben, angebundene Datenquellen oder KI-Agenten Sicherheits- oder Datenschutzrisiken entstehen (z. B. Datenabfluss, Manipulation, Fehlaktionen).
In den ersten 10 Minuten erfolgt eine Triage mit drei Fragen: Sind personenbezogene Daten betroffen? Konnte etwas nach außen gelangen? Kann sich der Vorfall wiederholen? Bei mindestens zwei „Ja“ oder „Unklar“ wird der Vorfallmodus aktiviert.
Die ersten 60 Minuten sind entscheidend:
- Stabilisieren – betroffene KI-Funktionen einschränken oder pausieren, Berechtigungen reduzieren, Zugangsdaten rotieren.
- Beweise sichern – Prompts, Kontexte, Ausgaben und Logs vollständig sichern.
- Überblick schaffen – Vorfalltyp, betroffene Systeme und erste Risiken bewerten.
Typische Vorfälle sind Prompt-Lecks, Datenabfluss über Eingaben/Uploads, ungewollte Aktionen von KI-Agenten und manipulierte Wissensbasen (RAG) – jeweils mit klaren Sofortmaßnahmen.
Wichtig: frühe Dokumentation, eindeutige Vorfall-Kennung und ein kleines Kernteam (IT-Sicherheit, KI-Verantwortliche, Datenschutz) sichern schnelle und rechtssichere Reaktionen.