EU-KI-Gesetz: Protokollpflicht kann Sicherheitsrisiko werden

Probleme in der Praxis Protokollpflicht im EU AI Act schafft neue Sicherheitsrisiken

18.11.2025 Ein Gastbeitrag von Andy Grolnick 4 min Lesedauer

Anbieter zum Thema

Graylog Germany GmbH

Securepoint GmbH

Logo_WatchGuard_Color_Vector_HighRes.jpg ()

WatchGuard Technologies GmbH

1zu1-snt-heidelberg-2025-eintrittskarten-ticket-sichers (www.mike-bergmann.com/hd-snt25)

mibeca GmbH – Mike Bergmann Akademie

Die neuen Vorschriften des EU-KI-Gesetzes verpflichten Anbieter, umfangreiche Protokolle ihrer KI-Systeme über Monate hinweg aufzubewahren. Was der Gesetzgeber als Schritt zu mehr Transparenz und Nachvollziehbarkeit versteht, kann in der Praxis neue Risiken schaffen.

Die neuen Protokollierungspflichten des EU-KI-Gesetzes sollen KI-Systeme transparenter machen, erweitern aber zugleich die Angriffsfläche und stellen Sicherheitsarchitekturen auf die Probe.(Bild: © deimos.az - stock.adobe.com) — Die neuen Protokollierungspflichten des EU-KI-Gesetzes sollen KI-Systeme transparenter machen, erweitern aber zugleich die Angriffsfläche und stellen Sicherheitsarchitekturen auf die Probe.
(Bild: © deimos.az - stock.adobe.com)

Seit dem Aufkommen von Large Language Models (LLMs) bemühen sich Regulierungsbehörden (vor allem in der EU) darum, Schutzmaßnahmen zu ergreifen. Sie befürchten, dass angesichts der potenziellen Auswirkungen der Technologie auf Arbeitsplätze, Märkte und die Gesellschaft ein gewisses Maß an Kontrolle erforderlich ist, um mögliche Schäden vorherzusehen.

Das EU-KI-Gesetz (EU AI Act) enthält eine Bestimmung, die im August 2026 in Kraft getreten ist und besagt, dass Anbieter von risikoreichen KI-Systemen ihre Protokolle mindestens sechs Monate lang, ebenso wie Finanzinstitute alle Protokolle, aufbewahren müssen, die von denselben Modellen erstellt wurden. Wenn man jedoch erfährt, dass ein risikoreiches System jede Künstliche Intelligenz (KI) ist, die in den Bereichen Biometrie, kritische Infrastruktur, Bildung, Behörden, Strafverfolgung oder wesentliche öffentliche und private Dienstleistungen eingesetzt wird, wird schnell klar, dass diese Vorschriften erhebliche Auswirkungen auf die meisten Unternehmen haben.

Der EU AI Act soll Innovationen nicht im Keim ersticken – im Gegenteil. Durch Klarheit und das damit verbundene Vertrauen soll die Entwicklung von KI gefördert sowie die öffentliche Akzeptanz erhöht werden. (Bild: Franklin - stock.adobe.com)

Gute Absichten, Komplikationen in der Praxis

Von außen betrachtet ist klar, dass die Forderung gut gemeint ist. Aber jeder Insider im Bereich Cybersicherheit erkennt sofort die realen operativen und finanziellen Konsequenzen, die dies hat. Man fragt sich, ob es nicht einfach auf das alte Sprichwort hinausläuft: Nur weil man etwas speichern kann, heißt das noch lange nicht, dass man es auch tun sollte.

Die Regulierungsbehörden wollen diese Protokolle, um die Rückverfolgbarkeit und Rechenschaftspflicht zu verbessern. Die Idee dahinter ist, dass Entwickler und Prüfer KI-Modelle untersuchen können, um ihr Verhalten zu verstehen, Verzerrungen zu identifizieren und sicherzustellen, dass sie den gesetzlichen und ethischen Grenzen entsprechen.

Neben den offensichtlichen Bedenken hinsichtlich Speicherkosten, betrieblicher Komplexität, Leistungsaspekten und den für die Bewältigung dieser Arbeitslast erforderlichen Fähigkeiten gibt es noch weitere spezifische Aspekte der Cybersicherheit zu berücksichtigen:

Erweiterung der Angriffsfläche: Sechs Monate lang gesammelte Protokolle führen zu riesigen neuen Datensätzen, die natürlich zu attraktiven Zielen für Angreifer werden. Wir dürfen nicht vergessen, dass Protokolle sensible Informationen über das Modellverhalten, Trainingsdatenmuster und sogar Benutzerinteraktionen enthalten können, die zuvor nicht zentralisiert oder langfristig gespeichert wurden.

Verstärkung von Datenverletzungen: Wenn Protokolle kompromittiert werden, reichen die Auswirkungen weit über typische Datenverletzungen hinaus. Angreifer könnten möglicherweise proprietäre Modellarchitekturen und Trainingsmethoden zurückentwickeln oder sogar sensible Trainingsdaten rekonstruieren.

Komplexität der Zugriffskontrolle: Protokolle müssen für Aufsichtsbehörden und Ermittler zugänglich sein und gleichzeitig vor unbefugtem Zugriff geschützt werden. Dies ist etwas, was die Debatte über End-to-End-Verschlüsselung mit Social-Media-Unternehmen noch nicht gelöst hat. Wie dies umgesetzt und verwaltet wird, insbesondere in verschiedenen Rechtsordnungen mit unterschiedlichen rechtlichen Rahmenbedingungen, ist daher keine leichte Aufgabe.

Herausforderungen bei der Aufbewahrungskette: Die Einhaltung gesetzlich zulässiger Beweisstandards für potenziell petabyteweise Logdaten erfordert ausgefeilte Systeme zur Integritätsprüfung. Lücken in der Aufbewahrungskette können forensische Beweise ungültig machen, was wiederum Haftungsrisiken mit sich bringt.

Verstärkung von Insider-Bedrohungen: Die detaillierten Protokollierungsanforderungen bedeuten, dass mehr Mitarbeiter Zugriff auf umfassende Systeminformationen benötigen, wodurch sich die Angriffsfläche für Insider-Bedrohungen vergrößert. Mitarbeiter mit Protokollzugriff könnten potenziell wertvolle Wettbewerbsinformationen extrahieren.

Grenzüberschreitende Datenverwaltung: Global tätige KI-Unternehmen sehen sich mit komplexen rechtlichen Fragen konfrontiert, da Protokolle möglicherweise in bestimmten Regionen gespeichert, grenzüberschreitend repliziert oder mehreren Aufsichtsbehörden mit widersprüchlichen Anforderungen zugänglich gemacht werden müssen.

Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)

Überdenken der KI-Sicherheitsarchitektur

Die neuen KI-Vorschriften bedeuten, dass Unternehmen über einen neuen Ansatz für Sicherheitsarchitektur, Risikomanagement und Untersuchungsmanagement nachdenken müssen. Denn im Gegensatz zur traditionellen digitalen Forensik, bei der man eine einzelne Festplatte oder Datenbank untersucht, werden KI-forensische Protokolle kontinuierlich über verteilte Systeme wie Trainingscluster, Inferenzserver, Datenpipelines und Überwachungssysteme hinweg generiert. Jeder Protokolleintrag muss nachweislich authentisch und unverändert sein.

Können Unternehmen einfach weniger speichern? Nicht ganz.

Was können Unternehmen also tun, um die Einhaltung der Vorschriften zu gewährleisten? Einige denken vielleicht darüber nach, ihre Geschäftstätigkeit in Länder mit weniger strengen Vorschriften zu verlagern oder eine abgestufte Compliance-Strategie zu implementieren, bei der in regulierten Märkten eine vollständige Protokollierung erfolgt und anderswo weniger. Dies könnte jedoch kurzsichtig sein, da es sich um ein kritisches Thema handelt, das im Falle eines Verstoßes sehr reale Konsequenzen hat.

Fazit

Die KI-Protokollierungsvorschrift gemäß dem EU-KI-Gesetz steht bevor und hat erhebliche Auswirkungen auf die Sicherheitsarchitektur, den Datenschutz und die Compliance. Unternehmen, die dies als einfache Checkbox-Übung betrachten, müssen später möglicherweise mit schwerwiegenden Konsequenzen rechnen.

Der bessere Ansatz besteht darin, jetzt mit dem Aufbau widerstandsfähiger KI-Protokollierungspraktiken zu beginnen, bevor Regulierungsbehörden, Angreifer oder Prüfer diese Entscheidung für die Unternehmen treffen.

Über den Autor: Andy Grolnick ist CEO vom SIEM-Sicherheitsanbieter Graylog. Er verfügt über mehr als dreißig Jahre Erfahrung im Aufbau und in der Führung wachstumsstarker Technologieunternehmen in den Bereichen Unternehmenssoftware, Sicherheit und Storage.

Ab dem 12. September 2025 gilt der EU-Data-Act, der Nutzern digitale Produkte mehr Transparenz und Kontrolle über ihre Daten gibt. (Bild: jirsak - stock.adobe.com)

(ID:50628993)

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.