Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Cybersecurity-Risikomanagement > DHS KI-Strategie vorgestellt: Kiteworks liefert die Lösung

DHS KI-Strategie vorgestellt: Kiteworks liefert die Lösung

von Patrick Spencer updated März 4, 2026 Cybersecurity-Risikomanagement
Lesezeit: 8 Minuten

Das Department of Homeland Security (DHS) denkt nicht in kleinen Dimensionen. Zweiundzwanzig Teilbehörden. 260.000 Mitarbeitende. Aufgabenbereiche von Grenzsicherung über Cybersecurity und Einwanderung bis hin zur Katastrophenhilfe. Und jetzt ein formeller Auftrag, KI verantwortungsvoll in allen Bereichen einzusetzen.

wichtige Erkenntnisse

  1. DHS baut ein zentrales KI-Gateway mit kontinuierlicher Autorisierung. Die DHS-KI-Strategie für das OMB Memorandum M-25-21 schreibt ein zentrales Enterprise-KI-as-a-Service-API-Gateway vor – eine einzige, kontrollierte Pipeline, über die jede Komponente auf genehmigte KI-Funktionen zugreift. Das Gateway ersetzt verstreute, komponentenbezogene Deployments durch zentrale Sicherheitsdurchsetzung und kontinuierliches Monitoring – nicht nur periodische Überprüfungen.
  2. Tracking der Datenherkunft ist jetzt eine Bundesvorgabe, keine Best Practice mehr. DHS verlangt eine nachweisbare Chain-of-Custody für jedes Dataset – Herkunft, Zugriffe, Änderungen. Das GAO stellte fest, dass DHS die Dokumentation von Datenquellen und die Überprüfung der Zuverlässigkeit nicht vollständig umgesetzt hatte. Die Strategie macht Herkunftsnachweise für alle KI-Systeme verpflichtend.
  3. Das GAO stellte Defizite bei den eigenen KI-Praktiken des DHS fest. Mehrere GAO-Prüfungen ergaben, dass DHS zentrale KI-Accountability-Praktiken nicht vollständig umgesetzt hatte. Eine Prüfung zeigte, dass das KI-Inventar des Departments nicht einmal korrekt war – ein Use Case wurde als KI gelistet, war aber keine. Die Strategie ist eine direkte Reaktion auf diese Feststellungen und fordert Accountability über den gesamten Lebenszyklus – von der Entwicklung bis zum Betrieb.
  4. 57 % der Unternehmen fehlt ein zentrales KI-Daten-Gateway. Laut dem Kiteworks Prognosebericht 2026 verfügen nur 43 % der Unternehmen heute über ein zentrales KI-Daten-Gateway. Die übrigen 57 % sind fragmentiert, haben nur Teilkontrollen oder gar keine dedizierten Steuerungsmechanismen. Sieben Prozent setzen KI ein, ohne jegliche Governance darüber, wie diese Systeme auf sensible Daten zugreifen.
  5. Kiteworks liefert bereits, was die DHS-Strategie fordert. Das Private Data Network von Kiteworks umfasst einen produktiven MCP-Server als zentrales KI-Gateway, eine Data Policy Engine mit RBAC- und ABAC-Durchsetzung bei jedem Vorgang, unveränderliche Audit-Trails und einen FedRAMP-Bereitstellungspfad – genau die Architektur, die das DHS verlangt.

Im September 2025 veröffentlichte das DHS seine KI-Strategie für das OMB Memorandum M-25-21 – den operativen Plan des Departments, um KI zu skalieren und Governance, Sicherheit und Accountability vor die Technologie zu stellen, nicht hinterher. Die Strategie benennt drei Säulen: ein konsolidiertes KI-as-a-Service-Gateway mit kontinuierlicher Autorisierung, ein Data-Governance-Framework auf Basis von Herkunftsnachweisen und Kontrollmechanismen für komponentenübergreifendes Teilen sowie Governance-Mechanismen, die jede KI-Investition an messbare Missionsergebnisse koppeln.

Das ist die Strategie. Was sie wirklich relevant macht, ist nicht der Anspruch, sondern die Präzision. DHS benennt die benötigte Architektur. Und Kiteworks hat sie bereits gebaut.

22 Behörden, keine einheitliche KI-Infrastruktur – bis jetzt

DHS hat ein Proliferationsproblem. CISA, CBP, ICE, TSA, USCIS, Secret Service, Coast Guard – jede Behörde hat unabhängig KI-Tools gekauft und entwickelt. Das Ergebnis: Doppelarbeit, uneinheitliche Sicherheitsniveaus und keine zentrale Steuerung darüber, worauf diese Systeme zugreifen oder was sie produzieren.

Die Antwort der Strategie ist ein zentrales KI-as-a-Service-API-Gateway. Ein Hub. Jede Komponente verbindet sich darüber. Jede Anfrage läuft durch einen einzigen Enforcement-Point für Sicherheit, Compliance und Zugriffskontrolle. Das Gateway reduziert nicht nur redundante Verträge – es schafft den architektonischen Engpass, an dem Policy und Ausführung zusammenkommen.

Ebenso wichtig: Die Strategie beendet das Modell „einmal autorisieren, dann hoffen“. KI-Systeme müssen kontinuierlich überwacht, getestet und im laufenden Betrieb neu autorisiert werden. Nicht alle drei Jahre bei der Rezertifizierung. Kontinuierlich. Das ist ein grundlegend anderes Betriebsmodell als das, was die meisten Behörden – und Unternehmen – heute nutzen.

Data Governance: Wo die meisten Unternehmen scheitern

Die zweite Säule ist der Punkt, an dem es für alle unbequem wird, die Data Governance nur als Pflichtübung sehen.

DHS erkennt das Offensichtliche: KI ist nur so gut wie die Daten, mit denen sie arbeitet. Wenn die Daten, die Ihre KI-Systeme speisen, unzuverlässig, doppelt, falsch klassifiziert oder in Silos eingeschlossen sind, spiegeln die Ergebnisse das wider. Die Strategie reagiert mit vier Verpflichtungen: Modernisierung der Datenrichtlinien in allen Komponenten, Einführung gemeinsamer Qualitätsstandards, Stärkung der Herkunftsnachweise und Abbau von Barrieren für komponentenübergreifendes Teilen.

Gerade der letzte Punkt ist eines der hartnäckigsten operativen Probleme des DHS. Komponenten müssen regelmäßig Informationen, Fallakten und operative Daten über Organisationsgrenzen hinweg teilen. Doch der Austausch sensibler Daten zwischen Behörden – jede mit eigenen Klassifizierungen, Zugriffsrichtlinien und Compliance-Anforderungen – ist langsam, manuell und unzureichend. Die Strategie verlangt eine Architektur, die Sharing-Policies automatisch durchsetzt – nicht per E-Mail-Freigaben und Excel-Listen.

Genau das fordert das GAO seit Langem. Mehrere Prüfungen zeigten, dass das Department KI-Accountability-Praktiken nicht vollständig umgesetzt hatte – insbesondere bei der Dokumentation von Datenquellen und der Überprüfung der Zuverlässigkeit. Eine Prüfung ergab, dass das KI-Inventar selbst fehlerhaft war. Der Fokus auf Herkunftsnachweise ist kein Wunschdenken, sondern ein konkreter Maßnahmenplan.

Mission Delivery: DHS zahlt nicht mehr für KI, die nicht liefert

Die dritte Säule sollte jeden Anbieter aufhorchen lassen.

DHS fordert Governance-Mechanismen, die KI-Investitionen an messbare Missionsergebnisse koppeln. Keine Pilotmetriken. Keine Demos. Tatsächliche Verbesserungen bei der Aufgabenerfüllung des Departments – mit eingebauten Kontrollpunkten, um Projekte zu stoppen, die nicht liefern.

Dazu gehören die Befähigung der Mitarbeitenden (Training für den KI-Einsatz, nicht nur Tool-Deployment), gezielte F&E für konkrete operative Anforderungen und Ressourcenplanung, die nachweisbare Ergebnisse vor dem nächsten Budgetzyklus verlangt. Die Botschaft ist klar: DHS hat genug von KI-Projekten, die in Präsentationen beeindrucken und dann im Beschaffungsprozess verschwinden. Wenn Sie Geld für KI ausgeben und keinen konkreten Mehrwert für die Mission nachweisen können, haben Sie das gleiche Problem, das das DHS lösen will.

Die Zahlen zeigen: Die meisten Unternehmen sind nicht bereit

Die DHS-Strategie beschreibt, wie verantwortungsvolle KI-Infrastruktur aussehen muss. Der Kiteworks Data Security and Compliance Risk Forecast Report 2026 zeigt, wie weit die meisten Unternehmen davon entfernt sind.

Nur 43 % der Unternehmen verfügen über ein zentrales KI-Daten-Gateway. Die übrigen 57 % sind fragmentiert, setzen nur Teilkontrollen um oder haben gar keine. Sieben Prozent setzen KI ohne jegliche Governance darüber ein, wie diese Systeme auf sensible Daten zugreifen. Sie haben KI – aber keine Steuerung.

Sechzig Prozent können einen fehlverhaltenden KI-Agenten nicht schnell abschalten. Dreiundsechzig Prozent haben keine Begrenzung, was Agenten tun dürfen. Dreiunddreißig Prozent fehlt ein Audit-Trail in Beweisqualität vollständig. Und 78 % können die Daten, die in ihre KI-Trainingspipelines fließen, nicht validieren.

Die Lücke zwischen Governance und Containment ist besonders aufschlussreich. Unternehmen investieren in Überwachung – Logging, Monitoring, Dashboards. Aber nicht ins Stoppen. Purpose Binding fehlt in 63 % der Unternehmen. Kill Switches fehlen in 60 %. Netzwerkisolation fehlt in 55 %. Das sind keine Governance-Probleme, sondern Containment-Versäumnisse. Und Containment verhindert, dass eine fehlerhafte KI-Interaktion zur Datenpanne wird.

So sieht es aus, wenn jemand es wirklich baut

Kiteworks hat die Architektur gebaut, die die DHS-Strategie beschreibt. Nicht als Roadmap. Sondern produktiv im Einsatz.

Im Zentrum steht ein produktiver MCP-Server, der KI-Agenten mit Unternehmensinhalten im Private Data Network von Kiteworks verbindet. Das ist das private Daten-Gateway, das die DHS-Strategie vorsieht: Agenten verbinden sich darüber, und jede Anfrage – jeder Dateizugriff, jede Suche, jede Datenoperation – läuft durch die Kiteworks Data Policy Engine, bevor etwas passiert. Der Agent arbeitet. Die Data Policy Engine setzt die Regeln durch.

Die Data Policy Engine erzwingt rollenbasierte Zugriffskontrolle (RBAC) und attributbasierte Zugriffskontrolle (ABAC) bei jedem Vorgang. Das ist kein nachträgliches Logging, sondern eine Autorisierung vor Ausführung. Bevor ein KI-Agent eine Datei lesen, ein Dokument ändern oder Inhalte über Organisationsgrenzen hinweg teilen kann, prüft die Policy Engine die Anfrage anhand aller geltenden Regeln – wer fragt, worauf wird zugegriffen, welche Klassifizierung gilt, und ob die Operation laut aktueller Policy erlaubt ist.

Inhalte verlassen den kontrollierten Perimeter nie ohne explizite Autorisierung. Das unterscheidet sich deutlich von Plattformen, die Datenbewegungen erst nachträglich protokollieren und hoffen, dass das Audit Probleme erkennt, bevor daraus Vorfälle werden.

So passt Kiteworks in den DHS-Rahmen

AI-as-a-Service-Gateway. Der MCP-Server ist das zentrale, kontinuierlich autorisierte Gateway. KI-Agenten verbinden sich darüber. Die Data Policy Engine autorisiert jede Anfrage in Echtzeit. Inhalte bleiben im kontrollierten Perimeter, es sei denn, die Policy erlaubt explizit die Weitergabe. Genau diese Gateway-Architektur beschreibt das DHS – sie ist bereits im Einsatz, nicht nur geplant.

Datenherkunft und komponentenübergreifende Governance. Jede Dateioperation enthält vollständige Metadaten: Klassifizierung, Zugriffshistorie, Änderungsprotokolle, organisatorischer Kontext. RBAC und ABAC setzen Sharing-Policies über Organisationsgrenzen hinweg automatisch durch. Datenherkunft wird nicht nachträglich rekonstruiert, sondern bei jeder Interaktion erfasst – die nachweisbare Chain-of-Custody, die das DHS jetzt verlangt.

GAO-Accountability-Framework-Abdeckung. Unveränderliches Audit-Logging, das nicht verändert oder gelöscht werden kann, schafft Audit-Trails in Beweisqualität, die Prüfer und Ermittler überzeugen. Ein FedRAMP-Bereitstellungspfad und KI-Lifecycle-Accountability-Kontrollen adressieren die konkreten Empfehlungen des GAO an das DHS – keine allgemeinen Prinzipien, sondern die tatsächlich festgestellten Lücken.

Grenzüberschreitende und Multi-Framework-Compliance. Flexible Bereitstellungsoptionen – On-Premises, Private Cloud, Hybrid, FedRAMP – ermöglichen es Unternehmen, sensible Inhalte im eigenen Land zu speichern. Die Verschlüsselungsschlüssel bleiben in der eigenen Jurisdiktion. Geofencing erzwingt Datenresidenz. Vorgefertigte Compliance-Templates für DSGVO, DORA, NIS 2, HIPAA, CMMC und mehr liefern die kontinuierlichen Compliance-Nachweise, die Aufsichtsbehörden verlangen.

Was jetzt jeder Bundesauftragnehmer und CISO tun sollte

Vergleichen Sie Ihre KI-Infrastruktur mit dem DHS-Drei-Säulen-Modell. Wenn Sie kein einziges, kontrolliertes Gateway identifizieren können, über das alle KI-Agenten auf sensible Daten zugreifen, haben Sie das gleiche Fragmentierungsproblem wie das DHS – und das gleiche Compliance-Risiko. Diese Strategie ist keine optionale Empfehlung, sondern die Vorlage für Beschaffungsanforderungen und Vertragsbedingungen nach OMB M-25-21 und M-25-22.

Prüfen Sie Ihre Herkunftsnachweise und Kontrollmechanismen für komponentenübergreifendes Teilen. Das GAO stellte fest, dass das DHS Datenquellen nicht dokumentieren oder deren Zuverlässigkeit verifizieren konnte. Wenn Sie als Auftragnehmer oder Partnerbehörde keine Herkunftsnachweise und automatisierte Sharing-Durchsetzung nachweisen können, tragen Sie das gleiche Audit-Risiko – und die Uhr für die Nachbesserung läuft.

Schließen Sie die Containment-Lücke vor der Governance-Lücke. Die meisten Unternehmen investieren ins Monitoring. Nur wenige investieren ins Stoppen. Purpose Binding, Kill Switches und Netzwerkisolation sind die Kontrollen, die verhindern, dass ein fehlverhaltender KI-Agent zur Datenpanne wird. Sechzig Prozent der Unternehmen fehlt mindestens eine dieser Kontrollen. Setzen Sie Containment zuerst um. Governance ohne Containment ist nur Überwachung.

Fordern Sie Audit-Trails in Beweisqualität, die unabhängig vom KI-Agenten-Speicher existieren. Dreiunddreißig Prozent der Unternehmen haben sie überhaupt nicht. Bei den übrigen sind die Logs oft fragmentiert und über verschiedene Systeme verteilt. Unveränderliche, zentrale Audit-Trails sind kein Feature – sie sind das Fundament jeder verteidigungsfähigen Compliance-Strategie.

Die Strategie beschreibt es. Kiteworks liefert es.

Die DHS-KI-Strategie ist nicht visionär, sondern verbindlich. Sie benennt die Architektur – zentrale Gateways, kontinuierliche Autorisierung, Herkunftsnachweise, Lifecycle-Accountability – und benennt die Lücken. Für Unternehmen, die sensible Daten über Organisationsgrenzen hinweg bewegen, mit Bundesbehörden arbeiten oder erkennen, dass unkontrollierte KI ein Risiko ist, ist der Fahrplan klar.

Die Infrastruktur, um diese Anforderungen zu erfüllen, existiert bereits. Das Private Data Network von Kiteworks – mit MCP-Server, Data Policy Engine, RBAC-/ABAC-Durchsetzung, unveränderlichen Audit-Trails und FedRAMP-Bereitstellungspfad – liefert die kontrollierte KI-Dateninfrastruktur, die das DHS beschreibt und die den meisten Unternehmen noch fehlt.

Die Frage ist nicht, ob Ihr Unternehmen das braucht. Sondern, ob Sie es haben, bevor das nächste Audit, die nächste Beschaffungsentscheidung oder der nächste Vorfall die Antwort für Sie gibt.

DHS hat die Anforderungen geschrieben. Kiteworks hat die Plattform gebaut.

Häufig gestellte Fragen

Bundesauftragnehmer, die sich auf KI-Compliance-Audits vorbereiten, sollten wissen: Die DHS-KI-Strategie verlangt drei Fähigkeiten – ein zentrales Enterprise-KI-as-a-Service-Gateway mit kontinuierlicher Autorisierung, Data Governance mit Herkunftsnachweisen und komponentenübergreifenden Sharing-Controls sowie Governance, die Investitionen an Missionsergebnisse koppelt. Diese Anforderungen basieren auf OMB M-25-21 und prägen künftig die Beschaffungssprache und Vertragsbedingungen aller DHS-Komponenten.

Die DHS-KI-Strategie adressiert komponentenübergreifende Data Governance durch automatisierte Policy-Durchsetzung an Organisationsgrenzen, Herkunftsnachweise und gemeinsame Qualitätsstandards. Für Behörden, die sensible Daten zwischen Komponenten teilen, ersetzt dies manuelle Freigaben durch architektonische Kontrollen, die Sharing-Regeln vor der Datenbewegung durchsetzen.

Das GAO stellte fest, dass das DHS Datenquellen nicht dokumentierte, Datenzuverlässigkeit nicht verifizierte und kein korrektes KI-Inventar führte. Organisationen, die sich auf strengere Prüfungen vorbereiten, sollten unveränderliches Audit-Logging, Herkunftsnachweise und Lifecycle-Accountability-Kontrollen priorisieren. Kiteworks adressiert diese Lücken direkt mit Audit-Trails in Beweisqualität, vollständigem Metadaten-Tracking und einem FedRAMP-Compliance-Bereitstellungspfad.

Kiteworks erfüllt bereits die DHS-Gateway-Anforderungen für Organisationen, die KI-Agenten für sensible Inhalte einsetzen. Der produktive MCP-Server fungiert als zentrales KI-Gateway, und die Data Policy Engine setzt RBAC und ABAC bei jeder Agenten-Anfrage durch, bevor Daten bewegt werden. Unveränderliche Audit-Logs und ein FedRAMP-Bereitstellungspfad runden die Compliance-Strategie ab.

Nur 43 % der Unternehmen verfügen über ein zentrales KI-Daten-Gateway, so der Kiteworks Prognosebericht 2026. Die übrigen 57 % haben keinen einheitlichen Enforcement-Point für Zugriffskontrolle, Audit-Logging und Policy-Durchsetzung – genau die Fähigkeiten, die DHS, GAO und OMB jetzt für verantwortungsvolle KI-Implementierung bei Bundesbehörden und deren Auftragnehmern verlangen.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks