KI-Governance,
in zwei Ebenen.
Steuerungsebene, und Datenebene.
KI-Governance-Plattformen wie ServiceNow AI Control Tower™ inventarisieren, beobachten und messen jede KI im Unternehmen. Sie zeigen, welche KI läuft. Lucairn sitzt eine Ebene tiefer: im Request-Pfad, schwärzt PII bevor das Modell sie sieht, und signiert jede Antwort, damit ein Prüfer die Entscheidung später verifizieren kann. Die beiden Ebenen ergänzen sich — sie konkurrieren nicht. Die meisten regulierten EU-Workloads brauchen beide.
Die Steuerungsebene beantwortet welche KI existiert, wer darf sie nutzen, in welche Risikoklasse fällt sie. Die Datenebene beantwortet was ging rein, was kam raus, können wir es belegen. ACT übernimmt das erste; Lucairn das zweite. Art.-12-Logging braucht die Datenebene — Anbieter-Dashboards reichen als Evidenz nicht.
Fünf Risikobereiche,
je zwei Ebenen.
Jede Zeile ist eine echte Procurement-Frage. Quer lesen, um zu sehen, welche Ebene sie beantwortet. Die meisten regulierten Käufer verdrahten am Ende beide — ACT als Governance-Hub, Lucairn als Inline-Datenebene-Gateway, dessen signierte Belege in das Audit-Modul von ACT zurückfließen.
Welche KI läuft wo
✓ Nativ — entdeckt KI über Hyperscaler, SaaS-Apps und LLM-Endpunkte hinweg. Per ServiceNow-Ankündigung auf der Knowledge 2026 entdeckt ACT KI, die in jedem System des Unternehmens eingesetzt ist.
— Nicht Lucairns Aufgabe — Lucairns Audit-Feed in das Inventar verdrahten, damit das entdeckte Asset Belege angehängt hat.
Risikoklassifikation (Hochrisiko nach KI-Verordnung?)
✓ Risiko-Frameworks ausgerichtet an NIST AI RMF und der KI-Verordnung. ACT trägt das Policy-Mapping und den Konformitäts-Workflow.
— Lucairn klassifiziert nicht; wir produzieren die pro-Entscheidung-Evidenz, die die Klassifikation braucht.
Identitäts- und Zugriffs-Governance
✓ Scoped Permissions, Least-Privilege-Durchsetzung über das entdeckte KI-Inventar.
— Out of Scope — Lucairn setzt nur an der Request-Grenze durch (BYOK-Gating, pro-Key-Rate-Limits, Mandanten-Scoping).
Pro-Entscheidung-Evidenz (Art.-12-Logging)
◐ Verfolgt die Pflicht; abhängig davon, dass jedes integrierte System das eigentliche Log tatsächlich produziert.
✓ Produziert das Artefakt — signiertes Lucairn-Zertifikat mit Eingabe-/Ausgabe-Hashes pro Anfrage.
PII erreicht das Modell nie
◐ Kann es nicht verhindern; beobachtet im Nachhinein über Runtime-Agent-Telemetrie.
✓ On-Gateway-Pseudonymisierung, bevor das LLM die Anfrage sieht.
Manipulationssicherer Audit-Trail
◐ Loggt Entscheidungen; Integrität hängt vom darunterliegenden Log-Store und der Betreiber-Policy ab.
✓ Ed25519-Signatur plus RFC-3161-TSA-Token plus öffentlicher Sigstore-Rekor-Anker — verifizierbar ohne unsere Mitwirkung.
Wir haben bereits ACT —
warum Lucairn?
Wir haben bereits ACT. Deckt das nicht die KI-Verordnung-Compliance ab?
ACT deckt die Governance-Seite der KI-Verordnung-Compliance ab — Risikoklassifikation, Modell-Inventar, Policy-Mapping. Art. 12 der Verordnung (pro-Entscheidung-Logging für Hochrisiko-Systeme) und Anhang IV (technische Dokumentation, einschließlich der tatsächlich vom System erzeugten Artefakte) verlangen Evidenz, die im Request-Pfad liegt. ACT kann die Pflicht verfolgen; Lucairn produziert das Artefakt. Die meisten Unternehmen werden beide einsetzen: ACT als Governance-Hub, Lucairn als Inline-Datenebene-Gateway, dessen Belege in das Audit-Modul von ACT zurückfließen.
Ersetzt Lucairn ACT?
Nein. ACT operiert oberhalb des Request-Flows — entdeckt, klassifiziert und beobachtet KI im Unternehmen. Lucairn operiert innerhalb des Request-Flows — schwärzt PII bevor das LLM sie sieht, signiert die Antwort. Das sind unterschiedliche Ebenen. Ein Team, das nur ACT hat, kann die Prüfer-Frage 'zeigen Sie mir den geschwärzten Prompt, der an das Modell ging, und den signierten Beleg dessen, was zurückkam' nicht beantworten. Ein Team, das nur Lucairn hat, kann nicht 'zeigen Sie mir jede im Unternehmen eingesetzte KI' beantworten. Regulierte EU-Workloads brauchen typischerweise beides.
Wird ACT die Datenebene irgendwann ebenfalls bedienen?
Möglich, und wir würden es begrüßen — der Markt braucht beide Ebenen, und eine gesunde Governance-Plattform plus Best-of-Breed-Datenebene-Gateways ist das Muster, auf das die meisten Security-Stacks konvergieren (vgl. SIEM und EDR, IAM und Secrets Manager, CIEM und Runtime-Schutz). Heute fokussiert die Secure-Fähigkeit von ACT auf Identität, Zugriff und Beobachtbarkeit von Agentenverhalten. Pro-Anfrage-PII-Schwärzung mit kryptographischen pro-Antwort-Belegen ist ein anderes Problem, und Lucairn ist genau dafür gebaut.
Wie sieht die ACT-Lucairn-Integration in der Praxis aus?
Lucairn emittiert pro LLM-Anfrage einen signierten Beleg. ACT konsumiert diese Belege wie jeden anderen KI-System-Audit-Feed: als Evidenz-Zeilen, die einem entdeckten KI-Asset zugeordnet sind. Ergebnis ist eine Single Pane of Glass für das Governance-Team (ACT), gestützt durch kryptographisch verifizierbare Evidenz aus der Datenebene (Lucairn). Verdrahtung ist REST plus signiertes JSON; keine besondere Partnerschaft nötig — das Beleg-Format ist offen.
Schichten Sie Ihre KI-Governance.
Ergänzen Sie die Datenebene.
Lassen Sie das 15-Minuten-Compliance-Assessment laufen, um zu sehen, welche Art.-12-/Anhang-IV-Kontrollen Lucairn abdeckt und wie die Belege in Ihre bestehende Governance-Plattform verdrahtet werden. Ergebnis ist ein einseitiger Exposure-Bericht für Ihren CISO, DSB und ACT-Operator.