Glossar

KI-Systeme, die autonom Aufgaben planen, ausführen und Entscheidungen treffen. Im Gegensatz zu klassischen Chatbots handeln Agenten proaktiv und können mehrere Schritte eigenständig durchführen.

Lückenlose, chronologische Aufzeichnung aller sicherheitsrelevanten Aktivitäten und Änderungen in einem IT-System. Dient als Nachweis für Compliance-Prüfungen (NIS2, ISO 27001) und zur forensischen Analyse bei Sicherheitsvorfällen.

Abstufung der Selbstständigkeit eines KI-Agenten: assistierend (Mensch entscheidet), teil-autonom (Agent handelt in definierten Grenzen) oder autonom (Agent handelt selbstständig im Regelrahmen).

Bundesamt für Sicherheit in der Informationstechnik. Deutsche Bundesbehörde, die für Cybersicherheit zuständig ist. Verantwortlich für NIS2-Umsetzung, C5-Testate und KRITIS-Regulierung.

Ansatz, bei dem regulatorische Anforderungen (EU AI Act, NIS2, DSGVO) von Anfang an im Design eines KI-Systems verankert werden – nicht erst nachträglich geprüft.

Datenschutz-Grundverordnung (EU) 2016/679. Regelt den Schutz personenbezogener Daten in der EU. Besonders relevant für KI-Systeme, die personenbezogene Daten verarbeiten – z.B. bei Kundenanfragen oder HR-Prozessen.

Strukturierter Ansatz zur Begleitung organisatorischer Veränderungen – z.B. bei der Einführung von KI-Agenten oder einer IT-Separation. Umfasst Stakeholder-Kommunikation, Schulung und Akzeptanzmanagement.

Numerische Vektordarstellung von Text, Bildern oder anderen Daten, die semantische Ähnlichkeiten abbildet. Grundlage für Vektordatenbanken und RAG-Architekturen bei KI-Agenten.

Verordnung (EU) 2024/1689 zur Regulierung von KI-Systemen. Definiert 4 Risikoklassen (verboten, hoch, begrenzt, minimal) und tritt am 2. August 2026 vollständig in Kraft.

Nachtraining eines vortrainierten KI-Modells (z.B. LLM) auf unternehmensspezifischen Daten, um die Qualität für domänenspezifische Aufgaben zu verbessern. Alternative zu RAG, aber aufwändiger und teurer.

Externer KI-Verantwortlicher auf C-Level, der 3–4 Tage pro Monat die KI-Strategie, Governance und Compliance eines Unternehmens steuert – ohne Vollzeitstelle.

Phänomen, bei dem ein KI-Modell plausibel klingende, aber faktisch falsche Informationen generiert. Besonders kritisch in regulierten Umfeldern – deshalb ist Human-in-the-Loop und Faktenprüfung essenziell.

Designprinzip, bei dem ein Mensch in den Entscheidungsprozess eines KI-Agenten eingebunden ist – z.B. zur Freigabe, Qualitätskontrolle oder bei kritischen Entscheidungen. Pflicht bei Hochrisiko-KI-Systemen laut EU AI Act.

Informationssicherheits-Managementsystem. Strukturierter Rahmen für Informationssicherheit nach ISO 27001/BSI-Grundschutz. Kern der NIS2-Umsetzung: Policies, Risikomanagement, Incident Response und kontinuierliche Verbesserung.

Herauslösung der IT-Landschaft eines Unternehmens(-teils) im Rahmen einer M&A-Transaktion. Umfasst Infrastruktur, Applikationen, Lizenzen, Verträge und Identity – unter Zeitdruck von Signing/Closing.

Organisatorischer Rahmen für den Einsatz von KI: Rollen, Verantwortlichkeiten, Entscheidungsprozesse, Dokumentation und Monitoring von KI-Systemen.

Bewertung der Reife eines Unternehmens für KI-Einsatz über 5 Dimensionen: Strategie, Daten, Compliance, Organisation und Technologie.

Dokumentation aller im Unternehmen eingesetzten KI-Systeme mit Risikoklassifizierung nach EU AI Act. Pflicht für Hochrisiko-KI und Teil der Konformitätsdokumentation.

Kritische Infrastrukturen gemäß BSI-Gesetz. Unternehmen aus Sektoren wie Energie, Gesundheit, Transport und Finanzen mit besonderen Cybersicherheitspflichten.

Großes Sprachmodell wie GPT-4, Claude oder Llama. Grundlage für KI-Agenten, die natürliche Sprache verstehen, generieren und in Geschäftsprozessen einsetzen können.

Gesetzliche Pflicht zur Meldung von Sicherheitsvorfällen: 24-Stunden-Frühwarnung an das BSI, 72-Stunden-Vorfallmeldung mit Erstbewertung und 1-Monat-Abschlussbericht mit Root-Cause-Analyse.

EU-Richtlinie 2022/2555 zur Netzwerk- und Informationssicherheit. Seit Dezember 2025 in Deutschland in Kraft. Betrifft ca. 29.500 Unternehmen mit Meldepflichten (24h/72h) und persönlicher Haftung der Geschäftsleitung.

Prototypische Umsetzung eines KI-Agenten im echten Fachprozess, um Machbarkeit und Geschäftswert zu validieren, bevor in den produktiven Rollout investiert wird.

Systematische Gestaltung von Eingabeanweisungen (Prompts) für LLMs, um präzise und verlässliche Ergebnisse zu erzielen. In regulierten Umfeldern besonders relevant für reproduzierbare, dokumentierbare KI-Outputs.

Beratungsansatz, bei dem der Gründer persönlich in Kundenprojekten arbeitet – im Gegensatz zum Pyramidenmodell großer Beratungen, wo Junior-Consultants die operative Arbeit übernehmen.

Architekturmuster, bei dem ein LLM zur Beantwortung von Anfragen auf eine externe Wissensbasis zugreift (z.B. Unternehmensdokumente). Reduziert Halluzinationen und ermöglicht domänenspezifische KI ohne Fine-Tuning.

Einstufung eines KI-Systems nach Art. 6 EU AI Act in eine von 4 Klassen: Verboten (z.B. Social Scoring), Hochrisiko (z.B. KI in HR, Kreditentscheidungen), Begrenzt (z.B. Chatbots mit Transparenzpflicht) oder Minimal (z.B. Spam-Filter).

Vertragliche Vereinbarung über Qualität, Verfügbarkeit und Reaktionszeiten von IT-Services. Bei IT Carve-Outs definieren SLAs die Leistungsparameter für Transition Service Agreements (TSA) zwischen Mutter- und Zielgesellschaft.

Softwareroboter, die regelbasierte, repetitive Aufgaben automatisieren. Plattformen wie UiPath kombinieren RPA zunehmend mit KI-Agenten (Agentic AI) für intelligentere, kontextbewusste Automatisierung.

Vertrag, der bei M&A-Transaktionen die vorübergehende Weitererbringung von IT-Services durch die Muttergesellschaft an die separierte Einheit regelt – bis die Zielumgebung eigenständig betriebsfähig ist.

Spezialisierte Datenbank zur Speicherung und Suche von Embeddings (Vektordarstellungen). Kernkomponente von RAG-Architekturen, die KI-Agenten den Zugriff auf unternehmensspezifisches Wissen ermöglichen.

Externer Chief Information Security Officer, der die Cybersicherheitsstrategie eines Unternehmens auf Abruf steuert. Typisch 3–4 Tage/Monat für Risikomanagement, Compliance-Monitoring, Incident Response und Management-Reporting.