AIVSS-SSVC: Qualitative Entscheidungen für Agentic AI Risiken
Das OWASP AIVSS-SSVC Framework übersetzt komplexe AI-Risikobewertungen in klare, handlungsorientierte Entscheidungen. Von Scoring zu Action — für Security-Teams, Entwickler und Leadership.
Quantitatives Scoring
AIVSS bewertet Schwachstellen mit einem numerischen Score für agentische Risiken
Qualitative Entscheidungen
SSVC-Methodik liefert klare Handlungsanweisungen statt weiterer Zahlen
12 Amplification Factors
Agentische Fähigkeiten wie Autonomie, Tool Use und Self-Modification bewerten
4 Actionable Outcomes
Defer · Scheduled · Out-of-Cycle · Immediate — keine Mehrdeutigkeit
Ein Score allein reicht nicht
Ein numerischer Schwachstellen-Score sagt, WIE SCHLIMM etwas ist. Aber nicht, WAS ZU TUN ist. AIVSS-SSVC schließt diese Lücke.
AIVSS Quantitative Score
Misst Schweregrad mit einem Zahlenwert — erfasst agentische Force Multipliers wie Autonomie, Tool Use, Identität
AIVSS-SSVC Qualitative Decision
Liefert eine klare Handlungsanweisung: Defer, Scheduled, Out-of-Cycle oder Immediate
Komplementärer Ansatz
Score + Decision Framework = vollständiges Risikomanagement für agentische KI-Systeme
Drei Leitprinzipien
Action-Oriented
Output ist keine Zahl — sondern eine direkte Priorität mit klarer Handlungsanweisung
Context-Aware
Bewertet die spezifischen Fähigkeiten des Agenten und seinen potenziellen Wirkungsradius
Stakeholder-Specific
Maßgeschneiderte Response-Level für technische Teams, Supervisory Staff und Executive Leadership
Vier handlungsorientierte Ergebnisse
Jede Bewertung führt zu einer von vier klaren Entscheidungen — keine Mehrdeutigkeit, keine Interpretation nötig.
Defer
Kein unmittelbarer Handlungsbedarf. Schwachstelle und Bedrohungslage weiter beobachten.
Scheduled
Behebung im regulären Patching-Zyklus einplanen. Keine Dringlichkeit, aber Aufmerksamkeit nötig.
Out-of-Cycle
Schneller als regulär handeln. Team-Leads und Management informieren. Analyse und Mitigation starten.
Immediate
Alle Ebenen mobilisieren. Incident Response aktivieren. Sofortige Behebung — klare und gegenwärtige Gefahr.
Drei Entscheidungspunkte
Um zu einem der vier Ergebnisse zu gelangen, werden drei Kernaspekte bewertet — zusammengeführt in der Decision Matrix.
Exploitation
Wird die Schwachstelle aktiv ausgenutzt?
None → PoC → ActiveAgentic Impact
Wie gefährlich ist der Agent bei Kompromittierung?
Copilot → Specialist → Prime MoverSystemic Impact
Wie groß ist der Wirkungsradius eines Angriffs?
Contained → Significant → CriticalWie gefährlich ist Ihr KI-Agent?
Basierend auf 12 Amplification Factors werden KI-Agenten in drei Impact-Stufen klassifiziert — vom harmlosen Assistenten bis zum systemischen Risiko.
Copilot
Stark eingeschränkter Assistent. Menschliche Aufsicht für alle Aktionen erforderlich. Keine eigenständigen Entscheidungen.
Specialist
Signifikante Autonomie in einer definierten Domäne. Kann mächtige Tools nutzen und aus Interaktionen lernen.
Prime Mover
Breite Autonomie. Orchestriert andere Systeme, kann eigene Logik modifizieren. Systemisches Bedrohungspotenzial.
Drei Assessment-Dimensionen
Die 12 Amplification Factors werden in drei handhabbare Gruppen kondensiert — für eine effiziente und wiederholbare Bewertung.
Execution Power
Bestimmt, wie viel Ausführungsgewalt dem Agenten gewährt wird — von eingeschränkt bis hochprivilegiert.
Environment & Adaptation
Misst, wie stark der Agent seine Umgebung wahrnimmt und sich dynamisch anpasst.
Predictability & Influence
Erfasst, wie vorhersagbar, transparent und verifizierbar das Verhalten des Agenten ist.
AIVSS-SSVC Entscheidungsmatrix
Drei Eingaben → ein klares Ergebnis. Die vollständige Matrix für alle 27 Kombinationen aus Exploitation, Agentic Impact und Systemic Impact.
| Exploitation | Agentic Impact | Contained | Significant | Critical |
|---|---|---|---|---|
| None | Copilot | Defer | Scheduled | Out-of-Cycle |
| None | Specialist | Scheduled | Scheduled | Out-of-Cycle |
| None | Prime Mover | Scheduled | Out-of-Cycle | Immediate |
| PoC | Copilot | Scheduled | Scheduled | Out-of-Cycle |
| PoC | Specialist | Scheduled | Out-of-Cycle | Out-of-Cycle |
| PoC | Prime Mover | Out-of-Cycle | Out-of-Cycle | Immediate |
| Active | Copilot | Out-of-Cycle | Out-of-Cycle | Immediate |
| Active | Specialist | Out-of-Cycle | Immediate | Immediate |
| Active | Prime Mover | Immediate | Immediate | Immediate |
Zwei Szenarien im Detail
Anwendungsbeispiel: Ein autonomer DevOps-Agent, der Cloud-Infrastruktur-Deployments verwaltet.
Szenario 1: Agentic AI Tool Misuse
DP1 Exploitation: PoC — Security Researcher veröffentlicht Exploit-Script DP2 Agentic Impact: Prime Mover — Volle Autonomie, terraform apply, assume-role DP3 Systemic Impact: Critical — Kontrolliert gesamte Produktions-CloudAgent sofort deaktivieren. Incident Response einberufen. Leadership über Production-Takeover-Risiko informieren.
Szenario 2: Agent Untraceability
DP1 Exploitation: None — Kein Exploit bekannt, bei internem Audit entdeckt DP2 Agentic Impact: Prime Mover — Hochfähiger Agent mit breiter Autonomie DP3 Systemic Impact: Critical — Kontrolliert kritische InfrastrukturArchitektureller Fehler. Security & DevOps Teams auf Logging-Fix ansetzen. Im nächsten Sprint priorisieren.
Was ist neu in AIVSS v0.8
Nach über 1.900 öffentlichen Kommentaren: ein präziseres, praxistauglicheres und enterprise-ready Framework.
Updated Quantitative Model
Verfeinertes mathematisches Modell zur präziseren Berechnung agentischer Risikoverstärkung.
Revised Core Risks & Scenarios
Aktualisierte Kernrisiken mit hochrelevanten, realen Angriffsszenarien aus der Praxis.
Industry Framework Mappings
Neue Mappings zu OWASP GenAI Top 10 (2026), CSA MAESTRO und AIUC-1 Standard.
NIST AI RMF Alignment
Engere und präzisere Ausrichtung am NIST AI Risk Management Framework.
Expert Survey Data (Appendix D)
Neuer Anhang mit empirischen Daten und relativen Risiko-Rankings der Core Risks.
AIUC-1 Co-Publication
Strategische Zusammenarbeit für eine quantifizierbare Grundlage für Cyber-Versicherung und Compliance.
AIVSS Maturity Model
Dokumentiert und kommuniziert die Bewertungstiefe eines KI-Systems — von der Erstbewertung bis zur vollständigen Analyse.
IMMATURE
System wurde noch nicht bewertet
Bewertet, aber Ergebnisse nicht eindeutig
MATURE
Bewertet und eindeutig: Faktor nicht vorhanden
Bewertet und eindeutig: ein oder mehrere Faktoren vorhanden
Maturity Score = Mature Factors / Total Factors
Beispiel: 5 mature von 10 Faktoren = 50% Maturity. Eine erweiterte Version kann relative Gewichtungen einführen. In Kombination mit CVSS-Scores entsteht eine relative Risikopriorisierung über AI- und IT/OT-Systeme hinweg.
Der Weg zu AIVSS v1.0
Von der Community-getriebenen Entwicklung zum finalisierten Enterprise-Standard.
Agentic AI Risiken verstehen und handeln
Kontaktieren Sie uns für ein individuelles AIVSS-Assessment Ihrer KI-Systeme — praxisnah, audit-ready und auf Ihre Anforderungen abgestimmt.