← Blog
14. Juni 2026 Technologie

SOVP vs. ISO 27001: Warum klassische Zertifikate den EU AI Act nicht abdecken

Von Thorsten Litzki · Litzki Systems LLC

tl;dr

Kernaussagen

  • •  ISO 27001 zertifiziert, dass Sie einen Prozess etabliert haben. SOVP belegt, was Ihre Infrastruktur tatsächlich tut.
  • •  EU AI Act Art. 15 fordert Evidenz — keinen Prozessnachweis. Ein ISO-Zertifikat allein erfüllt diese Anforderung nicht.
  • •  SOVP ist deterministische Infrastruktur-Validierung: kein Ermessen, keine Interpretationsspielräume, kein Auditor-Urteil.
  • •  Beide Instrumente sind komplementär: ISO 27001 deckt Governance, SOVP deckt technische Infrastruktur-Evidenz.

Das Problem mit Prozess-Zertifikaten

ISO 27001 ist ein exzellentes Werkzeug. Es hilft Organisationen, ein Information Security Management System (ISMS) zu etablieren, dokumentiert Risikomanagement-Prozesse und zeigt Dritten, dass Informationssicherheit ernst genommen wird. Für viele regulatorische Kontexte ist ISO 27001 eine sinnvolle Grundlage.

Das Problem ist, was ISO 27001 nicht belegt: den tatsächlichen Infrastrukturzustand zum Zeitpunkt eines Audits.

Ein Unternehmen kann ISO 27001-zertifiziert sein und gleichzeitig:

  • TLS-Zertifikate mit veralteten Cipher-Suites ausliefern
  • DNSSEC nicht implementiert haben
  • Fehlende HTTP-Security-Header auf produktiven Endpunkten betreiben
  • Keine kryptografische Verifizierbarkeit für externe Auditoren bereitstellen

Das ISO-Zertifikat sagt: "Wir haben uns verpflichtet, Prozesse zu folgen." SOVP-Validierung sagt: "Hier ist der kryptografisch signierte Infrastrukturzustand von heute, 14:37 Uhr UTC."

Was Art. 15 EU AI Act wirklich verlangt

Art. 15 Abs. 1 EU AI Act fordert, dass Hochrisiko-KI-Systeme so konzipiert und entwickelt werden, dass sie ein dem Risiko angemessenes Niveau an Genauigkeit, Robustheit und Cybersicherheit erreichen. Art. 15 Abs. 3 konkretisiert: technische Redundanzlösungen, Back-up-Pläne, und Schutz vor Angriffen, die die KI-Systemausgabe manipulieren.

Das ist kein Prozess-Anforderung. Das ist eine Infrastruktur-Anforderung.

Konformitätsbewertungsstellen nach Art. 43 werden fragen: "Können Sie belegen, dass Ihre Infrastruktur zum Zeitpunkt X diesen Anforderungen entspricht?" Ein ISO-Zertifikat, das 12 Monate zurückliegt und die allgemeine ISMS-Reife bestätigt, beantwortet diese Frage nicht.

Wie SOVP funktioniert

Das Sovereign Validation Protocol ist eine deterministische Infrastruktur-Validierungsmethode. "Deterministisch" bedeutet: bei gleicher Infrastruktur kommt jede konforme Implementierung zu demselben Ergebnis. Kein Auditor-Ermessen, keine Interpretationsspielräume.

SOVP prüft 6 Cluster mit insgesamt 80+ Parametern:

  • Cluster A — DNS-Integrität: DNSSEC-Signaturkette, Registrar-Signale, Delegationspfade
  • Cluster B — TLS/Kryptografie: Protokollversion, Cipher-Suites, Zertifikatskette, HSTS
  • Cluster C — HTTP-Security-Header: CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy
  • Cluster D — E-Mail-Infrastruktur: SPF, DKIM, DMARC-Policy und Enforcement-Level
  • Cluster E — Erreichbarkeit: Latenz, Redundanz, Failover-Signale
  • Cluster F — AI Governance Gate: Harter Mindest-Score; muss ≥ 40 erreichen für CERTIFIED

Das Ergebnis ist ein Compliance Evidence Score (CES) von 0–100. CERTIFIED wird vergeben, wenn CES ≥ 75 UND Cluster F ≥ 40. Das ist binär, nachvollziehbar, maschinenlesbar.

Der entscheidende Unterschied: Verifikation vs. Zertifizierung

ISO 27001 beruht auf dem Vertrauen in den Zertifizierungsprozess: ein akkreditierter Auditor hat geprüft, dass Prozesse dokumentiert und gelebt werden. Das ist wertvoll — aber es ist ein subjektives Urteil zu einem bestimmten Zeitpunkt, das schnell veraltet.

SOVP-Nachweise sind kryptografisch signiert und im Sovereign Vault verankert. Jeder Auditor, jede Konformitätsbewertungsstelle, jede KI-Behörde kann den Nachweis unabhängig verifizieren — ohne CERTavia, ohne Dritte, allein über die DNS-verankerte Signaturkette.

Das ist der Unterschied zwischen "wir haben ein Zertifikat" und "hier ist der kryptografische Beweis".

Wann brauche ich was?

Anwendungsfall ISO 27001 SOVP / CERTavia
ISMS-Nachweis für Kunden / Partner
Infrastruktur-Evidenz nach Art. 15 EU AI Act
Drittanbieter-Risikobewertung (DORA Art. 28) begrenzt
Konformitätsbewertungs-Dossier (Art. 43) ergänzend
Kryptografisch verifizierbarer Stichtag-Nachweis
Governance & Policy-Framework

Fazit: Ergänzung, nicht Konkurrenz

ISO 27001 und SOVP lösen unterschiedliche Probleme. ISO 27001 beantwortet die Frage: "Haben wir ein funktionierendes Sicherheitsmanagement?" SOVP beantwortet: "Ist unsere Infrastruktur zum Zeitpunkt X nachweislich compliant?"

Für Unternehmen, die Hochrisiko-KI nach EU AI Act betreiben, sind beide relevant. ISO 27001 deckt die organisatorische Ebene. SOVP deckt die technische Infrastruktur-Ebene mit kryptografischer Verifikation — exakt das, was Art. 15 und Konformitätsbewertungsstellen nach Art. 43 für das CAD-Dossier brauchen.

Ein ISO-Zertifikat ist kein Ersatz für Infrastruktur-Evidenz. Aber mit einem SOVP-Nachweis im Dossier haben Sie beides.

Infrastruktur-Nachweis

Ihren SOVP-Nachweis in 90 Sekunden

Kostenloser Scan — kein Account erforderlich. CERTIFIED oder FAILED mit vollständigem Cluster-Report.

Domain jetzt scannen – kostenlos Angebote ansehen