Die Stückliste für KI ist seit gestern keine Vision mehr, sondern eine G7-Richtlinie. Unter Federführung des BSI und der italienischen Cybersicherheitsbehörde ACN haben die G7-Staaten und die EU-Kommission am 12. Mai 2026 die Mindestelemente einer SBOM for AI veröffentlicht.
Hand aufs Herz: Wissen Sie, welches Sprachmodell unter Ihrem Marketing-Chatbot läuft, mit welchen Daten trainiert wurde und welche Komponenten in der Pipeline stecken? Genau diese Lücke schließt die neue Richtlinie. Für Mittelständler, die KI einsetzen oder weiterverkaufen, wird daraus mittelfristig eine Pflichtaufgabe.
Das Wichtigste in Kürze
- G7-Cybersicherheitsbehörden und EU-Kommission veröffentlichen Mindeststandard für KI-Stücklisten
- Sieben Cluster: Metadaten, Systemeigenschaften, Modelle, Datensätze, Komponenten, Lizenzen, Sicherheit
- BSI und italienisches ACN führen federführend, Arbeitsphase von August 2025 bis Februar 2026
- Anwendung zunächst freiwillig, Bezug zu EU AI Act und Cyber Resilience Act in Vorbereitung
Was leistet eine SBOM for AI konkret?
KI-Software Bill of Materials dokumentiert Bibliotheken, Frameworks, Module, Modell-Informationen, Trainingsdaten, Verzerrungen und Lebenszyklus-Daten in sieben ClusternDas Konzept ist einfach beschrieben. Eine klassische Software Bill of Materials listet auf, welche Bibliotheken, Frameworks und Module in einer Anwendung stecken. Die KI-Variante erweitert das um Modell-Informationen, Trainingsdatenquellen, dokumentierte Verzerrungen und Lebenszyklus-Daten. Die Richtlinie strukturiert diese Inhalte in sieben Clustern und liefert für jeden Cluster Praxisbeispiele.
Für Unternehmen, die KI entwickeln oder einkaufen, entsteht damit ein einheitlicher Prüfraster. Anbieter müssen offenlegen, was im Modell steckt, und Kunden können vor Vertragsabschluss eine Stückliste einfordern. Modelle mit unklarer Trainingsdatenquelle lassen sich künftig schwerer verschleiern.
Warum führt das BSI die Initiative?
BSI veröffentlicht KI-Erweiterung der SBOM-Richtlinie TR-03183 für Transparenz in der KI-LieferketteDie Federführung ist kein Zufall. Bereits 2024 hatte das BSI mit der Technischen Richtlinie TR-03183 SBOM-Anforderungen für klassische Software definiert. Die KI-Erweiterung baut auf dieser Grundlage auf. BSI-Präsidentin Claudia Plattner ordnet die Richtlinie als ersten konkreten Schritt zur Transparenz entlang der KI-Lieferkette ein.
Eine KI-Einkaufsentscheidung ohne Blick auf die Lieferkette ist ein Blindflug. Die SBOM for AI ist die Brille, die Unternehmen jetzt aufsetzen sollten.
— Michael Dobler, Herausgeber Dr. WebWas bedeutet das für deutsche Unternehmen?
Richtlinie zu Software Bill of Materials bleibt freiwillig, wird aber mittelfristig in EU-Verordnungen und Beschaffungsrichtlinien verbindlichKurzfristig nichts Verpflichtendes. Die Richtlinie ist freiwillig und schafft kein neues Recht. Mittelfristig dürfte sie als Referenz in Vergaberichtlinien, im Cyber Resilience Act und im EU AI Act einfließen. Beschaffungsabteilungen großer Konzerne fordern SBOMs heute schon bei klassischer Software ein, künftig auch bei KI-Diensten.
Für KMU heißt das konkret: Beim Einkauf von KI als Service sollten Vertragsverhandlungen jetzt eine Stückliste vorsehen. Bei selbst integrierter KI lohnt es sich, interne SBOMs aufzubauen. Das spart Aufwand, wenn die EU-Pflicht kommt, und schützt vor unerwarteten Lieferkettenrisiken. Mehr Hintergrund zur strategischen KI-Sichtbarkeit liefert auch unser GEO-Ratgeber.
Mehr Newshunger?
Die Hacker-Gruppe ShinyHunters erbeutet 3,65 TB Daten von Canvas-Betreiber Instructure, dieser zahlt Lösegeld- ShinyHunters knackt Canvas zweimal: Instructure zahlt Lösegeld für 3,65 TB
- Windows 11 Mai-Update KB5083631: Jetzt patchen, bevor Secure Boot abläuft
- 70 Prozent des Weltkobalts unter Exportbeschränkung: Europas Lieferkette auf der Kippe
- Patch jetzt: Dirty Frag gibt jedem lokalen Nutzer Root-Zugriff auf Linux
