BSI-Prüfkatalog A5.
Der erste deutsche Maßstab für
vertrauenswürdige KI.


Andreas Schönfeld
Geschäftsführer & DevOps-Berater, Comquent GmbH
18+ Jahre Erfahrung in DevOps, CI/CD und Industrial Automation
Der A5 (AI Audit and Assurance Assessment Architecture) ist der neue KI-Prüfkatalog des BSI: eine modulare Prüfarchitektur, mit der sich die Vertrauenswürdigkeit von KI-Systemen systematisch und standardisiert bewerten lässt. Der erste Community Draft ist seit dem 7. Juli 2026 öffentlich und bis zum 31. August 2026 kommentierbar. Methodisch lehnt sich A5 an den Cloud-Katalog C5 und den Prüfstandard ISAE 3000 an; die Kriterien erscheinen zusätzlich maschinenlesbar im OSCAL-Format. Adressiert sind die Nachweisanforderungen aus EU AI Act und Cyber Resilience Act.
A5 ist ein Entwurf, kein finaler Standard. Einzelne Kriterien können sich bis zur ersten stabilen Fassung noch ändern. Was sich nicht mehr ändern wird: die Richtung. Das BSI baut für KI dieselbe Prüf-Infrastruktur auf, die es mit dem C5 für die Cloud etabliert hat — und wer den C5-Weg miterlebt hat, weiß, dass aus solchen Katalogen schnell Ausschreibungsanforderungen werden.
Was ist der BSI-Prüfkatalog A5?
A5 beantwortet eine Frage, die bislang unangenehm offen war: Woran misst man eigentlich, ob ein KI-System vertrauenswürdig ist? Der EU AI Act nennt Pflichten, aber keinen Prüfmaßstab. Genau diese Lücke füllt das BSI mit einer Prüfarchitektur, die es bewusst als lebendes System anlegt — modular, erweiterbar und von Anfang an mit der Community entwickelt. Die Details stehen auf der offiziellen A5-Seite des BSI; eine gute journalistische Einordnung liefert heise online.
Wie ist der A5 aufgebaut?
A5 besteht aus einem horizontalen Basismodul und operativen Modulen, die je nach Betriebskontext hinzukommen. Der Zuschnitt ist klug gewählt: Statt für jede KI-Spielart einen eigenen Katalog zu schreiben, trennt das BSI das, was für jedes KI-System gilt, von dem, was am Betriebsmodell hängt.
Trustworthiness-Basismodul
Das horizontale Fundament: technologie- und anwendungsunabhängige Kriterien für die Vertrauenswürdigkeit von KI-Systemen. Es gilt für jedes KI-System, egal ob Computer-Vision-Inspektion in der Linie oder LLM-Agent in der Pipeline.
Betriebsmodul Cloud-Infrastruktur
Das erste operative Modul — mit direkter Querverbindung zum C5-Katalog. Wer seine KI-Workloads auf C5-testierter Cloud-Infrastruktur betreibt, kann bestehende Nachweise wiederverwenden, statt sie doppelt zu erbringen.
Weitere Module (geplant)
Die Architektur ist bewusst erweiterbar angelegt. Das BSI kündigt zusätzliche Module für weitere Betriebs- und Anwendungskontexte an — der Community Draft ist der Startpunkt, nicht der Endstand.
Die Methodik dahinter ist bewusst unspektakulär: A5 übernimmt die Prüfverfahren des C5, die auf dem international etablierten Prüfstandard ISAE 3000 basieren. Das heißt: testierte Prüfungen durch unabhängige Prüfer, keine Selbstauskunft. Für KI-Cloud-Dienste gab es mit dem AIC4 seit 2021 bereits einen BSI-Kriterienkatalog — A5 spannt den Rahmen nun über das Cloud-Bereitstellungsmodell hinaus auf.
Was bedeutet das OSCAL-Format für die Pipeline?
Das für DevOps-Teams wichtigste Detail steht fast beiläufig in der Ankündigung: Die A5-Kriterien erscheinen zusätzlich im maschinenlesbaren OSCAL-Format (Open Security Controls Assessment Language, ein NIST-Standard). Wer schon einmal einen Prüfkatalog aus einem 80-seitigen PDF in Jira-Tickets übersetzt hat, versteht sofort, warum das ein Fortschritt ist.
Maschinenlesbare Kriterien lassen sich in Compliance-Toolchains einlesen, gegen Policy-as-Code-Regeln mappen und als automatisierte Quality Gates in die CI/CD-Pipeline hängen. Die Nachweise — Audit-Trails, Testreports, signierte Artefakte, generierte Dokumentation — entstehen dann bei jedem Release als Nebenprodukt, statt vor dem Audit manuell zusammengesucht zu werden. Genau diese Nachweis-Infrastruktur beschreiben wir im Leitfaden zur EU-AI-Act-Umsetzung in der Industrie und auf der Seite DevSecOps & Compliance.
Ehrlicherweise: Heute, am Tag eins des Community Drafts, gibt es noch keine fertige Toolchain, die A5-OSCAL-Kataloge out of the box verarbeitet. Aber wer seine Pipeline-Nachweise bereits strukturiert erzeugt, hat den schwierigen Teil hinter sich — das Mapping auf einen neuen Katalog ist dann Fleißarbeit, kein Umbau.
Wie hängt A5 mit AI Act und CRA zusammen?
A5 ist kein Gesetz und ersetzt keine Konformitätsbewertung — er ist das Werkzeug, mit dem sich die gesetzlich geforderten Nachweise strukturieren und testieren lassen. Das BSI positioniert den Katalog ausdrücklich als Rahmen, um unter EU AI Act und Cyber Resilience Act technische Vertrauenswürdigkeit „nachvollziehbar zu transportieren“ — entlang der gesamten Wertschöpfungskette, vom Modellanbieter bis zum Betreiber in der Fertigung.
Für Industrieunternehmen ergibt sich daraus eine bekannte Dramaturgie. Beim C5 dauerte es vom ersten Katalog bis zur festen Ausschreibungsanforderung nur wenige Jahre; heute kommt kaum ein Cloud-Vertrag mit der öffentlichen Hand ohne C5-Testat aus. Es spricht wenig dagegen, dass A5 denselben Weg geht — zumal das BSI künftige Mindeststandards für die öffentliche Verwaltung bereits als Anwendungsfall nennt. Wer KI-Systeme liefert oder betreibt und die Auditierbarkeit seiner KI-Pipeline bislang aufgeschoben hat, bekommt mit A5 einen konkreten Anlass, das zu ändern.
Was sollten Unternehmen jetzt tun?
Betroffenheit klären
Betreiben oder liefern Sie KI-Systeme, deren Vertrauenswürdigkeit Sie gegenüber Kunden, Auditoren oder Behörden nachweisen müssen? Dann ist A5 der Maßstab, an dem sich künftige Prüfungen orientieren werden — insbesondere bei Aufträgen der öffentlichen Hand.
Draft gegen die eigene Praxis lesen
Legen Sie das Trustworthiness-Basismodul neben Ihre bestehende Dokumentation aus AI-Act-Vorbereitung und IEC-62443-Praxis. Die Lücken, die dabei sichtbar werden, sind Ihre Arbeitsliste — lange bevor ein Auditor sie findet.
Bis 31. August 2026 kommentieren
Der Kommentierungsbogen geht per E-Mail an aisecurity@bsi.bund.de. Wer jetzt Praxis-Feedback gibt, prägt den Katalog, gegen den er später geprüft wird. Diese Gelegenheit kommt bei einem BSI-Katalog selten zweimal.
Nachweise in die Pipeline verlagern
Audit-Trails, signierte Artefakte, generierte Dokumentation: Wer die Nachweisproduktion automatisiert, bedient A5, AI Act und CRA aus derselben Infrastruktur. Das OSCAL-Format des A5 ist die technische Einladung dazu.
Was ist der BSI-Prüfkatalog A5?
Der A5 (AI Audit and Assurance Assessment Architecture) ist eine modulare Prüfarchitektur des BSI für die systematische, standardisierte Bewertung der Vertrauenswürdigkeit von KI-Systemen. Er richtet sich an alle Akteure der KI-Wertschöpfungskette — Anbieter, Betreiber, Entwickler, Beschaffer und Aufsicht. Der erste Community Draft wurde am 7. Juli 2026 veröffentlicht und besteht aus einem technologieunabhängigen Trustworthiness-Basismodul und dem Betriebsmodul Cloud-Infrastruktur mit Querverbindung zum C5-Katalog.
Ist der A5-Prüfkatalog verpflichtend?
Nein. A5 ist ein Community Draft, kein Gesetz und keine Norm. Er adressiert aber die Nachweisanforderungen aus EU AI Act und Cyber Resilience Act sowie künftige Mindeststandards, insbesondere für die öffentliche Verwaltung. Wie beim C5 für Cloud-Dienste ist absehbar, dass A5-Testate zunächst in Ausschreibungen der öffentlichen Hand und später in B2B-Lieferketten gefordert werden — faktische Verbindlichkeit entsteht über den Markt, nicht über den Gesetzgeber.
Wie unterscheidet sich A5 von C5 und AIC4?
Der C5 (Cloud Computing Compliance Criteria Catalogue) prüft Cloud-Dienste, der AIC4 (AI Cloud Service Compliance Criteria Catalogue, 2021) KI-Dienste, die als Cloud-Service bereitgestellt werden. A5 spannt den Rahmen weiter: eine modulare Prüfarchitektur für KI-Systeme unabhängig vom Bereitstellungsmodell, mit einem technologieunabhängigen Basismodul und operativen Modulen — das Cloud-Modul stellt die Querverbindung zum C5 her. Methodisch bleibt A5 bei den bewährten C5-Verfahren nach ISAE 3000.
Was ist OSCAL und warum ist es für DevOps-Teams relevant?
OSCAL (Open Security Controls Assessment Language) ist ein vom NIST entwickeltes, maschinenlesbares Format für Sicherheitskriterien und Nachweise. Das BSI veröffentlicht die A5-Kriterien zusätzlich in OSCAL — damit lassen sie sich direkt in Compliance-Toolchains einlesen und als automatisierte Checks in CI/CD-Pipelines verankern, statt als PDF neben der Pipeline zu altern. Für Teams, die Policy-as-Code praktizieren, ist das der direkte Anschlusspunkt.
Bis wann kann ich den A5-Entwurf kommentieren?
Die Kommentierungsfrist läuft bis zum 31. August 2026. Feedback geht über den offiziellen Kommentierungsbogen per E-Mail an aisecurity@bsi.bund.de. Das BSI plant anschließend kontinuierliche Erprobung, Erweiterung und Aktualisierung des Katalogs — analog zur Weiterentwicklung des C5.
Ersetzt ein A5-Testat die Konformitätsbewertung nach dem EU AI Act?
Nein. Die Konformitätsbewertung für Hochrisiko-KI folgt den Verfahren der KI-Verordnung selbst; die zugehörigen harmonisierten Normen entstehen auf europäischer Ebene. A5 ist ein Prüfmaßstab für die technische Vertrauenswürdigkeit, mit dem sich die geforderten Nachweise strukturieren und testieren lassen — er erleichtert die Konformitätsarbeit erheblich, ersetzt sie aber nicht.
Weiterführende Informationen.
- BSI, Bundesamt für Sicherheit in der Informationstechnik
- BSI, Bundesamt für Sicherheit in der Informationstechnik
- heise online
- All About Security
- EUR-Lex, Amtsblatt der EU
Verwandte Artikel
EU AI Act: Was die Industrie bis zum 2. August 2026 umsetzen muss
Zeitleiste, Anbieter- vs. Betreiber-Rollen, Hochrisiko-Pflichten und das Praxis-Mapping auf CI/CD und DevSecOps.
Cyber Resilience Act im Maschinenbau
Security by Design, SBOM und Update-Pflichten — was der CRA für Hersteller vernetzter Maschinen bedeutet.
KI in der Produktion & Fertigung: Automatisierung zuerst
4-Stufen-Reifegradmodell, Agentic AI und warum Auditierbarkeit in die Pipeline gehört.
Erstgespräch.
Kostenlos.
90 Tage zum Ergebnis.
Wir klären gemeinsam, wie Sie in 90 Tagen die ersten messbaren Industrial-DevOps-Erfolge erzielen.
Industrie · Automotive · Finance
