Mehr Sicherheit, weniger Aufwand: Der Compliance-Agent für die IT

Aktuell habe ich eine Reihe von Agenten im Einsatz, die mir die Arbeit erleichtern: einige schreiben Texte, andere automatisieren Prozesse, manche machen einfach Spaß. Aber einer hat sich still und heimlich zu einem meiner Favoriten entwickelt – weil er ein echtes Problem löst, das mich schon länger begleitet: Compliance.

Autor:in

Thomas Jäger

Inhaltsverzeichnis

Klar strukturierte Compliance-Prozesse ermöglichen es IT-Teams, neue Services schnell bereitzustellen und regulatorische Anforderungen sicher zu erfüllen. Im Alltag treffen sie dabei auf zahlreiche Standards, Richtlinien und technische Vorgaben, die jederzeit konsistent bleiben müssen.

Schon kleine Änderungen an einer Vorgabe oder eines Gesetzes können große Auswirkungen haben – oft entstehen dabei schwer erkennbare Lücken. Gerade diese Überprüfungen sind repetetiv und wenig fordernd, denn sie folgen festen Mustern und Regeln. Genau hier kommt mein aktueller Lieblings-KI-Agent ins Spiel: Der Compliance-Agent übernimmt diese Aufgaben, prüft die Einhaltung aller Vorgaben und sorgt so zuverlässig für Sicherheit und Transparenz.

Das Compliance-Dilemma

Wer sich schon mal mit Themen wie ISO 27001, Digital Operational Resilience Act (DORA), Maßnahmenkatalogen oder den Grundschutzmaßnahmen des Bundesamt für Sicherheit in der Informationstechnik (BSI) beschäftigt hat, kennt das Problem: Compliance ist mehrschichtig. Und zwar so richtig.

Oft beginnt alles harmlos mit einem Standard-Dokument. Dann folgen Implementierungshinweise, interne Interpretationen, Konzepte, Umsetzungen – und am Ende steht ein produktiver Server, der all diese Anforderungen hoffentlich korrekt abbildet.

Ein typischer Ablauf sieht dabei so aus:

Der Standard sagt: Schütze deine Netzwerkkommunikation durch Verschlüsselung.
Ein Vertiefungsdokument legt fest: So gehst du mit TLS-Zertifikaten um.
Außerdem gibt es weitere, spezifische Standards und Gesetze wie DORA, TISAX, NIS2 oder CRA, die zusätzliche Anforderungen stellen können.
Die firmeneigene Richtlinie präzisiert dies vielleicht noch: Bei uns bevorzugen wir für Verschlüsselung nur noch Verfahren, die auf Integer-Faktorisierung verzichten.
Ein internes technisches Konzept beschreibt: So setzen wir dies in AWS um.
Terraform-Code konfiguriert: Das ist unsere Infrastruktur.
Der Lastverteiler läuft: Zertifikate sind ausgerollt – hoffentlich richtig.

Die Herausforderung dabei: Wie hält man das alles konsistent? Wie erkennt man, wenn eine Richtlinie angepasst wurde, aber das Konzept oder die Umsetzung nicht mitgezogen wurde? Der Compliance-Agent hilft.

Der Compliance-Agent – Ein Blick ins Innere

Mein Compliance-Agent verbindet Informationen aus verschiedenen Quellen: Er liest Standards, verarbeitet interne Richtlinien und gleicht sie mit den aktuellen Cloud-Konfigurationen ab. Er erkennt beispielsweise, wenn eine Richtlinie ein bestimmtes Verschlüsselungsverfahren fordert und prüft, ob die Konfiguration dies bereits umsetzt. Über ein Python-Skript überwacht er die Produktivumgebung und meldet Abweichungen.

Warum ich diesen Agenten mag:

Der Compliance-Agent unterstützt nicht nur, sondern versteht die Querbezüge zwischen den verschiedenen, teils hierarchischen Anforderungen.
Er hilft mir, eine der größeren Herausforderungen in der IT zu meistern: Den Weg von der Anforderung bis zur Umsetzung rückverfolgbar, konsistent und überprüfbar zu machen.

Mit einem KI-Agenten lässt sich der Aufwand für Compliance-Dokumentationen und Prüfungen deutlich reduzieren – und die Sicherheit steigt.

Ein Beispiel für den Einsatz des Compliance-Agents

In AWS (Amazon Web Services) können Lastverteiler mit Profilen ausgerollt werden, die festlegen, welche Protokolle (z. B. TLS) mit welchen kryptographischen Verfahren angeboten werden. Die Aufgabe besteht üblicherweise darin, ein geeignetes Profil entsprechend den geltenden Richtlinien und Standards auszuwählen. Dabei kann nicht einfach das strengste Profil gewählt werden, da häufig ein Kompromiss zwischen Kompatibilität und Sicherheit gefunden werden muss.

Im Fall des Compliance-Agent werden zunächst die Empfehlungen des BSI (BSI-TR-02102-2) ausgewertet, anschließend mit den Accso-Richtlinien abgeglichen und auf Basis der AWS-Dokumentation ein passendes Profil ausgewählt. In einem weiteren Schritt wird Code generiert, um das gewählte Profil in den Produktionsumgebungen gemäß dieser Empfehlung zu überprüfen.

Am Ende kann ich dann den Agenten fragen: Sind die Einstellungen des Lastverteilers für TLS in unserer Produktionsumgebung konform mit Accso und den BSI-Vorgaben?

Für die Nerds unter uns

Wir nutzen intern Langdock als eine unserer KI-Plattformen. Mit diesem Tool kann man Assistenten erstellen, die eine Knowledge-Base nach dem RAG-Pattern über Dokumente auswerten können. Diese Assistenten sind vergleichbar mit CustomGPTs, wie man sie von ChatGPT kennt. Für den Compliance-Agent sind nun einige Fachexpert:innen als Assistenten hinterlegt: der BSI-Assistent, der ISO-27001-Assistent und weitere. Die Assistenten werden per API nach ihren Empfehlungen befragt und gleichen die Anforderungen mit einem Assistenten für die Accso-Richtlinien ab. Weitere Assistenten unterstützen bei der Konfiguration der bei uns eingesetzten Systeme, zum Beispiel mit der AWS-Systemdokumentation. Hat man erst einmal eine Empfehlung für die technische Umsetzung erhalten, kann man sich den Code für Audit-Skripte generieren lassen. Alternativ könnte man sich einen MCP Server mit Zugriff auf die AWS Infrastruktur aufbauen und diesen integrieren - Ideen gibt es noch reichlich.

AI-Native Compliance: Die nächste Stufe

Mit solchen Agenten gestaltet sich Compliance als integraler Bestandteil der IT, wenn man zum Beispiel Infrastruktur-Code unter Zuhilfenahme des Compliance-Agents aufbaut. Auch die Routineprüfungen, Nachweispflichten und Aktualisierungen können weitgehend automatisch im Hintergrund mitlaufen.

Mein Fazit zum Compliance-Agent

Der Compliance-Agent ermöglicht es mir, nun regelmässig Standards zu aktualisieren und unsere Richtlinien und technischen Konzepte damit weiterzuentwickeln. Die Automatisierung von Compliance-Prüfungen schafft Transparenz, Entlastung und ermöglicht einen klaren Fokus auf die Weiterentwicklung der IT-Landschaft.

Wie automatisierst du Compliance-Aufgaben? Wer von euch kämpft auch regelmäßig mit Compliance-Kaskaden? Habt ihr schon Automatisierung oder sogar KI im Einsatz, um das zu erleichtern?

Ich freue mich auf den Austausch – und auf weitere Agenten, die uns helfen, die wirklich harten Nüsse zu knacken.

Gestalten Sie Ihre Zukunft mit Accso AI-Native: Für uns bedeutet das, Künstliche Intelligenz in jeden Aspekt des Software-Lebenszyklus zu integrieren. Von der ersten Konzeption bis zur kontinuierlichen Optimierung verbinden wir modernste KI-Technologien mit jahrzehntelanger Entwicklungsexpertise, um Ihre Geschäftsziele schneller, effizienter und nachhaltiger zu erreichen. Mit einem erfahrenen Team aus KI-Spezialist:innen und Softwarearchitekt:innen entwickeln wir maßgeschneiderte Lösungen, die perfekt auf Ihre Unternehmensanforderungen abgestimmt sind.

Jetzt direkt Kontakt aufnehmen

Name:	CraftSessionId
Beschreibung:	Craft stützt sich auf PHP-Sitzungen, um Sitzungen über Webanfragen hinweg aufrechtzuerhalten. Dies geschieht über das PHP-Session-Cookie. Dieses Cookie verfällt, sobald die Sitzung abgelaufen ist.
Anbieter:	diese Website
Ablaufzeit:	Session

Name:	CRAFT_CSRF_TOKEN
Beschreibung:	Schützt uns und Sie als Benutzer vor Cross-Site Request Forgery-Angriffen.
Anbieter:	diese Website
Ablaufzeit:	Session

Name:	accso-cookie-consent_de
Beschreibung:	Speichert Ihre getroffenen Datenschutzeinstellungen.
Anbieter:	diese Website
Ablaufzeit:	Dauerhaft

Name:	Google Ads Conversion Tracking
Beschreibung:	Google Ads Conversion Tracking verfolgt die Conversion Rate und den Erfolg von Google Ads Kampagnen. Dabei werden Cookies verwendet, um Nutzer zu differenzieren und ihr Verhalten auf der Seite detailliert zu verfolgen und diese Daten mit Werbdaten aus dem Google-Ads-Werbenetzwerk zu verknüpfen.
Anbieter:	Google Ireland Ltd
Ablaufzeit:	90 Tage

Datenschutzeinstellungen