Referenz

Glossar

Fachbegriffe rund um SOVP, EU AI Act und Infrastruktur-Nachweis — verständlich erklärt. Alle Definitionen sind verbindlich für die Kommunikation auf dieser Website.

SOVP Sovereign Validation Protocol

Das Sovereign Validation Protocol ist ein deterministisches, maschinenlesbares Prüfprotokoll für technische Infrastruktur-Nachweise. Es wurde als IETF Draft eingereicht und ist patentrechtlich geschützt.

SOVP bewertet 80+ Parameter in 6 Clustern und erzeugt einen kryptografisch signierten, DNS-verankerten Nachweis — den Sovereign Vault. Das Ergebnis ist binär: CERTIFIED oder FAILED.

Relevant für: EU AI Act Art. 15 (technische Robustheit), DORA Art. 28 (Drittanbieter-Risiko), NIS2 (Cybersicherheitsanforderungen).

Technische Details zum SOVP →

CES Compliance Evidence Score

Der Compliance Evidence Score ist der numerische Gesamtwert eines SOVP-Scans auf einer Skala von 0 bis 100. Er ergibt sich aus der gewichteten Aggregation aller 6 Cluster-Scores.

Ein System gilt als CERTIFIED, wenn zwei Bedingungen gleichzeitig erfüllt sind:

  • CES-Gesamtwert ≥ 75
  • Cluster-F-Score ≥ 40 (Cybersecurity-Mindestanforderung)

Wird eine der beiden Bedingungen nicht erfüllt, lautet das Ergebnis FAILED — unabhängig vom Gesamtscore.

Cluster F Cybersecurity-Cluster

Cluster F ist einer der 6 SOVP-Prüfcluster und bewertet die Cybersicherheits-Konfiguration der geprüften Infrastruktur. Er ist der einzige Cluster mit einer eigenständigen Mindestpunktzahl (≥ 40), die für CERTIFIED zwingend erforderlich ist.

Geprüfte Parameter umfassen: TLS-Version und Cipher-Suites, DNSSEC-Konfiguration, HTTP-Sicherheitsheader (HSTS, CSP, X-Frame-Options), Zertifikatsstatus und -kette, sowie weitere Cybersicherheits-Indikatoren.

Hintergrund: EU AI Act Art. 15 verlangt explizit Cybersicherheitsmaßnahmen als Teil der technischen Robustheit. Cluster F übersetzt diese regulatorische Anforderung in messbare Parameter.

CERTIFIED / FAILED

Das binäre Ergebnis eines SOVP-Scans. Es gibt keine Zwischenstufen.

CERTIFIED bedeutet: Die geprüfte Infrastruktur erfüllt alle Mindestanforderungen des SOVP-Protokolls. Der Nachweis ist institutionell verwertbar — für Audits nach EU AI Act Art. 15, DORA und NIS2.

FAILED bedeutet: Mindestens ein Schwellwert wurde nicht erreicht (CES < 75 oder Cluster-F-Score < 40). Der detaillierte Report zeigt, welche Cluster betroffen sind und welche Maßnahmen zur Verbesserung führen.

Wichtig: CERTIFIED ist kein behördlich anerkanntes Zertifikat, sondern ein technischer Infrastruktur-Nachweis. Weitere Informationen unter Kein Zertifikat — was ist der Unterschied?

Sovereign Vault

Der Sovereign Vault ist der persistente, kryptografisch gesicherte Nachweis-Speicher für ein SOVP-Scan-Ergebnis. Jeder Kauf eines Full Scans erzeugt einen eindeutigen Vault-Eintrag mit einer stabilen URL.

Eigenschaften: DNS-verankert (der Hash ist im DNS des geprüften Systems hinterlegt), kryptografisch signiert (nachträgliche Manipulation erkennbar), direkt teilbar mit Auditoren oder Auftraggebern.

Laufzeiten: Basic-Scans haben 90 Tage Vault-Zugang, Pro-Scans haben dauerhaften Vault-Zugang — empfohlen für Audit-Dossiers und langfristige Compliance-Nachweise.

CAD Conformity Assessment Dossier

Das Conformity Assessment Dossier ist das technische Audit-Dossier, das Betreiber von Hochrisiko-KI-Systemen nach EU AI Act Art. 43 führen müssen. Es dokumentiert, wie das System die Anforderungen der Art. 8–15 erfüllt.

Ein CERTavia Full Scan Pro liefert den Infrastruktur-Nachweis für den CAD-relevanten Teil aus Art. 15 (technische Robustheit und Cybersicherheit). Der Sovereign Vault dient als dauerhafter, verifizierbarer Anhang zum Dossier.

CAD-Mapping: Welche Cluster welchen Artikeln entsprechen →

Annex III EU AI Act

Anhang III des EU AI Act listet die Kategorien von Hochrisiko-KI-Systemen nach Sektor und Anwendungsfall. Systeme, die unter Annex III fallen, unterliegen den verschärften Anforderungen der Art. 8–15, darunter Robustheitsanforderungen, Transparenzpflichten und Cybersicherheitsmaßnahmen.

Betroffene Sektoren umfassen unter anderem: kritische Infrastruktur, Bildung, Beschäftigung, grundlegende Dienstleistungen (Kredit, Versicherung), Strafverfolgung, Biometrie und Grenzkontrolle.

Ob Ihr System unter Annex III fällt, können Sie mit dem kostenlosen Schnelltest prüfen: Zum Annex-III-Schnelltest →

QUAIDAL

QUAIDAL steht für Quality criteria for AI Data Lifecycle — ein Qualitätsrahmen des BSI (Bundesamt für Sicherheit in der Informationstechnik) für KI-Trainingsdaten.

Im Kontext des EU AI Act ist QUAIDAL relevant für Betreiber, die die Qualität ihrer Trainingsdaten als Teil der Konformitätsbewertung dokumentieren müssen. CERTavia berücksichtigt QUAIDAL-relevante Parameter in der SOVP-Prüfung.

Hochrisiko-KI-System

Ein KI-System gilt nach EU AI Act als Hochrisiko-System, wenn es entweder in Annex III gelistet ist oder als Sicherheitskomponente in einem Produkt eingebettet ist, das unter bestehende EU-Produktsicherheitsrichtlinien fällt (z. B. Medizinprodukte, Fahrzeuge).

Betreiber von Hochrisiko-KI-Systemen sind zur Konformitätsbewertung verpflichtet. Ein zentrales Element ist der Nachweis technischer Robustheit und Cybersicherheit nach Art. 15 — genau das liefert ein CERTavia-Scan.

Technischer Nachweis vs. offizielle Zertifizierung

CERTavia stellt keinen behördlich anerkannten Zertifikat aus. Das Ergebnis eines SOVP-Scans ist ein technischer Infrastruktur-Nachweis — vergleichbar mit einem Penetrationstest-Bericht oder einem Sicherheitsaudit, aber vollständig automatisiert, deterministisch und maschinenlesbar.

Offizielle Zertifizierungen (z. B. durch benannte Stellen nach Art. 43 EU AI Act) bauen auf solchen technischen Nachweisen auf. CERTavia liefert den Infrastruktur-Teil dieses Nachweispakets — kryptografisch gesichert, direkt verwendbar als Anlage zum CAD.

Der Unterschied zu einem Pentest: Ein Pentest prüft Angriffsflächen aktiv und manuell. SOVP prüft deterministisch und passiv die Infrastrukturkonfiguration gegen einen definierten Anforderungskatalog — reproduzierbar, automatisierbar, auditierbar.

Vendor-Scan

Ein Vendor-Scan ist ein SOVP-basierter Infrastruktur-Nachweis für externe Dienstleister und Drittanbieter. Er wird vom auftraggebenden Unternehmen initiiert, nicht vom Dienstleister selbst.

Relevant für: DORA Art. 28 (Risikobewertung von IKT-Drittdienstleistern), NIS2-Lieferkettenpflichten, EU AI Act Anforderungen an Anbieter eingebetteter Systeme.

Hinweis zur Einwilligung: Eine technische Infrastrukturprüfung einer öffentlich erreichbaren Domain erfordert keine Zustimmung des Domaininhaber, da nur öffentlich sichtbare Konfigurationsparameter ausgewertet werden. Rechtliche Verantwortung liegt beim Auftraggeber des Scans.

Vendor-Scan anfragen →

Full Scan Basic vs. Pro

Beide Tiers führen denselben vollständigen SOVP-Scan durch (80+ Parameter, 6 Cluster, kryptografisch signiertes PDF-Ergebnis).

Der Unterschied liegt ausschließlich in der Vault-Laufzeit:

  • Basic: Sovereign Vault mit 90 Tagen Laufzeit — geeignet für kurzfristige Nachweise und einmalige Audits.
  • Pro: Sovereign Vault dauerhaft — empfohlen für Audit-Dossiers (CAD), langfristige Compliance-Nachweise und Archivierungspflichten.

Tiers und Preise im Vergleich →

Bereit zum Prüfen?

Ihre Domain in 90 Sekunden prüfen

Kostenlos, kein Login erforderlich, sofortiges Ergebnis.

Jetzt prüfen Angebote ansehen