EU-KI-Verordnung in Kraft · Datenstandort in Frankfurt · 6 Monate kostenlos

Die EU-KI-Verordnung gilt.
Wissen Sie, welche KI Ihre Mitarbeitenden nutzen?

Erkennen Sie die Schatten-KI, die in Ihrem Unternehmen bereits läuft, testen Sie sie kontinuierlich per Red-Team und exportieren Sie prüffähige Nachweise für EU-KI-Verordnung, NIS2 und DORA — mit Datenstandort in Frankfurt, 6 Monate kostenlos, in 10 Minuten installiert.

10 Min.
Von der Anmeldung zum ersten Inventar
180 Tage
Kostenlos, ohne Kreditkarte
Frankfurt
EU-Datenstandort, live
554+
erkannte KI-Dienste
Warum jetzt

Die Durchsetzung hat begonnen. Die erste Frage der Prüfer: „Welche KI setzen Sie ein?“

Die EU-KI-Verordnung ist 2024 in Kraft getreten und wird stufenweise wirksam. Verbote bestimmter Praktiken und KI-Kompetenzpflichten gelten bereits; die volle Anwendbarkeit greift im August 2026. Sie brauchen keinen Countdown, um zu handeln — Sie brauchen ein Inventar.

📅
Durchsetzung läuft, Fristen werden konkreter
Wesentliche Pflichten gelten bereits; die breitere Anwendbarkeit folgt im August 2026. Einzelne Fristen für Hochrisiko-Systeme könnten sich durch den vorgeschlagenen Digital Omnibus verschieben — die kluge Strategie ist daher, vorauszugehen, statt auf ein einzelnes Datum zu setzen.
👤
80 % der Mitarbeitenden nutzen nicht freigegebene KI
Schatten-KI ist das unmittelbare, von Aufsichtsbehörden benannte Problem: Beschäftigte fügen Arbeitsinhalte in Tools ein, die niemand freigegeben hat. Was Sie nicht sehen, können Sie weder steuern noch nachweisen. Quelle: UpGuard, The State of Shadow AI Report 2025 (1.500 Beschäftigte in 7 Ländern) — mehr als 80 % nutzen bei der Arbeit nicht freigegebene KI-Tools.
🔓
38 % teilen vertrauliche Daten
Ein erheblicher Anteil der Mitarbeitenden gibt an, vertrauliche Daten oder Kundendaten mit KI-Tools zu teilen. Das ist ein DSGVO- und Geschäftsgeheimnis-Risiko, das heute besteht — noch vor jeder Frist der KI-Verordnung. Quelle: National Cybersecurity Alliance & CybSafe, Oh, Behave! Cybersecurity Attitudes & Behaviors Report 2024 (über 7.000 Befragte) — 38 % gaben vertrauliche Arbeitsdaten ohne Wissen ihres Arbeitgebers an KI-Tools weiter.
📋
Inventar + Nachweise sind das erste Arbeitsergebnis
Vor der Risikoeinstufung oder Konformitätsarbeit brauchen Sie ein belastbares, kontinuierlich aktualisiertes Inventar der eingesetzten KI — und den Nachweispfad, der einer Behörde zeigt, wie Sie es aktuell halten.
Was anders ist

Erkennung und kontinuierliches Red-Team und Compliance-Nachweise — in einer Plattform, EU-ansässig

Die meisten Tools übernehmen nur einen Teil der Aufgabe. ThreatVec kombiniert vier — und läuft auf in der EU betriebener Infrastruktur mit einem kostenlosen Self-Service-Tarif. Im Vordergrund steht für uns die Kombination; falsche Behauptungen über andere stellen wir nicht auf.

🔍
Schatten-KI-Erkennung
Chrome-Erweiterung + Host-Scan + Desktop-Agent machen jeden genutzten KI-Dienst sichtbar — 554+ benannte Tools in 24 Kategorien — ohne Netzwerkänderungen.
🎯
Kontinuierliches, autonomes Red-Team
Eine durchgehende 7-stufige Schleife (Intel → Generieren → Verifizieren → Ausführen → Patchen → Erneut verifizieren → Lernen) testet Ihre KI gegen Angriffstechniken und verfolgt die Abdeckung.
📜
Compliance-Nachweise
Live-Scorecards je Kontrolle und prüffähige, um PII/Geheimnisse bereinigte Nachweispakete für die Rahmenwerke, die Ihre Prüfer tatsächlich verwenden.
🇪🇺
Live-EU-Datenstandort
Mandantenbezogenes regionales Routing speichert EU-Kundendaten im Ruhezustand in Frankfurt. Bei der Anmeldung gewählt, fail-closed, Isolation in der CI getestet.
Funktion ThreatVec Governance-/Erkennungstools z. B. Holistic AI, Zenity, Credo AI KI-Red-Team-Tools z. B. Giskard (EU-nativ), Lakera, Mindgard
Schatten-KI-Erkennung (Endpunkt + Host)✓ Integriert~ Fokus Governance/Register✗ Nicht der Fokus
Kontinuierliches, autonomes Red-Team✓ Durchgehende 7-stufige Schleife~ Teils mit Tests (z. B. Holistic AI)✓ Kernstärke
Compliance-Nachweisexport je Rahmenwerk✓ Scorecards + Nachweispakete✓ Kernstärke~ Testberichte
Live-EU-Datenstandort (ruhend)✓ Frankfurt, mandantenbezogen— je nach Anbieter~ Teils EU-nativ (z. B. Giskard)
Kostenlose Self-Service-Stufe✓ 180 Tage gehostet, ohne Karte— oft vertriebsgesteuert~ Teils kostenloses OSS (z. B. Giskard)

Anbieter werden nach ihrem primär beworbenen Schwerpunkt gruppiert, und einige überschneiden sich — Holistic AI ergänzt Red-Team-Tests; Giskard ist ein starker EU-souveräner Red-Team-Anbieter mit kostenloser Open-Source-Stufe. Wo öffentliches Material eine Funktion nicht bestätigt, markieren wir sie als „— je nach Anbieter“, statt zu raten. Unser Vorsprung ist keine einzelne Zeile, sondern die Kombination: Endpunkt-Schatten-KI-Erkennung + kontinuierliches autonomes Red-Team + Nachweise je Rahmenwerk + gehosteter EU-Datenstandort + kostenlose Self-Service-Stufe — in einem Produkt. Kein Anbieter hier bietet alle fünf.

EU-Datenstandort

Ihre Daten bleiben in Frankfurt

Wählen Sie bei der Anmeldung die EU-Region, und die ruhenden Daten Ihres Mandanten werden auf Infrastruktur in Frankfurt (Deutschland) geleitet. Das Routing ist mandantenbezogen und fail-closed — lässt sich die EU-Region nicht bestätigen, fällt die Anfrage nicht stillschweigend auf eine andere Region zurück.

🇩🇪
Ruhend in Frankfurt
EU-Kundendaten werden in einer regionalen PostgreSQL-Datenbank in Frankfurt (Deutschland, Hostinger) gespeichert, mit TLS bei der Übertragung und einer Datenbank, deren Firewall nur unseren Anwendungs-Host zulässt.
🔀
Mandantenbezogenes regionales Routing
Jeder Mandant ist an seine gewählte Region gebunden. Das Routing ist fail-closed: Ist der EU-Datenspeicher nicht erreichbar, schlägt der Vorgang fehl, statt auf einen Nicht-EU-Speicher zuzugreifen.
🧪
Isolation in der CI getestet
Eine Zwei-Regionen-Testsuite läuft in der Continuous Integration und verteidigt die Grenze — sie stellt bei jeder Änderung sicher, dass EU-Mandantendaten nicht in den US-Datenspeicher gelangen.
Bei der Anmeldung gewählt, live prüfbar
Sie wählen Ihre Region bei der Anmeldung. Der Live-Status der Region wird über unseren Regions-Endpunkt veröffentlicht; das Gesamtbild finden Sie auf unserer Trust-Seite.

Verarbeitung vs. Speicherung — ein ehrlicher Hinweis. Kundendaten der EU-Region werden im Ruhezustand in Frankfurt gespeichert. Ein Teil der Verarbeitung erfolgt weiterhin über US-Unterauftragsverarbeiter auf Grundlage der EU-Standardvertragsklauseln und des EU-US Data Privacy Framework — KI-Analyse (Anthropic, DeepSeek), Authentifizierung (Clerk) und transaktionale E-Mails (Resend). Von Kunden eingegebene Inhalte werden niemals an DeepSeek weitergeleitet. Die vollständige Liste der Unterauftragsverarbeiter finden Sie in unserer Datenschutzerklärung; dieselbe Offenlegung wird bei der Registrierung als Einwilligung angezeigt.

Zur Trust-Seite → Live-Regionsstatus ansehen
Compliance-Nachweise

Live-Scorecards und prüffähige Nachweispakete

ThreatVec ordnet Ihre KI-Sicherheitskontrollen den Rahmenwerken zu, denen EU-Teams unterliegen — mit Live-Scorecards je Kontrolle und Nachweispaket-Export per Klick, bereinigt um PII und Geheimnisse.

  • EU-KI-Verordnung — Kontroll-Scorecards für Risikomanagement (Art. 9), Daten-Governance (Art. 10), Aufzeichnung/Protokollierung (Art. 12) sowie Genauigkeit & Robustheit (Art. 15)
  • NIS2 — Zuordnung von Sicherheitsmaßnahmen und Vorfallsnachweisen
  • DORA — Nachweise zu IKT-Risiko und digitaler operationaler Resilienz
  • ISO/IEC 23894 — Leitlinien zum KI-Risikomanagement
  • NIST AI Risk Management Framework — Govern / Map / Measure / Manage
  • OWASP LLM Top 10 — alle zehn Kontrollen bewertet und exportierbar
Eine ehrliche Anmerkung zum Umfang. Die kontinuierliche Schatten-KI-Erkennung ist ein direkter Input für die Pflichten der EU-KI-Verordnung zum KI-Inventar und zur Beobachtung nach dem Inverkehrbringen. Sie ist ein Input neben Ihrer eigenen Governance — keine eigenständige Konformitätsbescheinigung. ThreatVec erstellt Nachweise; die Verantwortung für Ihre Pflichten aus der KI-Verordnung verbleibt bei Ihrer Organisation.
# Live-Scorecard zur EU-KI-Verordnung abrufen
curl https://app.threatvec.com/api/v1/compliance/eu-ai-act/scorecard \
  -H "X-Org-Key: tvk_..."

# Antwort:
{
  "framework": "EU AI Act",
  "articles": ["9", "10", "12", "15"],
  "data_region": "eu",
  "generated_at": "2026-06-01T..."
}

# Bereinigtes, prüffähiges Nachweispaket exportieren
curl .../api/v1/compliance/evidence-pack?redact=pii,secrets \
  -H "X-Org-Key: tvk_..."
Bereitstellung

Von null Sichtbarkeit zum KI-Inventar in unter 10 Minuten

Am ersten Tag keine Infrastrukturänderungen. 180 Tage kostenlos, ohne Kreditkarte, EU-ansässig, selbst installierbar.

01
Anmelden — EU wählen
Wählen Sie bei der Anmeldung die EU-Region. Die ruhenden Daten Ihres Mandanten liegen ab der ersten Anfrage in Frankfurt. Kein Vertriebsgespräch, keine Kreditkarte.
02
Chrome-Erweiterung installieren
Live im Chrome Web Store. Sehen Sie sofort, welche KI-Dienste Mitarbeitende nutzen — ChatGPT, Claude, Gemini, Copilot — und ob PII eingefügt wird.
03
Host-Scan + Desktop-Agent ausführen
Ein-Zeilen-Installation für macOS, Windows oder Linux. Erkennt KI-Coding-Tools und die API-Endpunkte, die sie ansprechen. Meldet in Sekunden.
04
Inventar & Scorecards lesen
Ihr Schatten-KI-Inventar und die Live-Scorecards zu EU-KI-Verordnung / NIS2 / DORA erscheinen automatisch — Ihre erste prüffähige Momentaufnahme, exportbereit.
# Ein-Zeilen-Client-Installation — alles vorausgefüllt
curl -sSL https://app.threatvec.com/client-setup.sh | bash
Kostenlos starten — EU-Datenstandort

Seien Sie der EU-KI-Verordnung einen Schritt voraus.
Beginnen Sie mit dem fehlenden Inventar.

Ihr erstes Schatten-KI-Inventar und die Compliance-Scorecards in 10 Minuten. 180 Tage kostenlos — ohne Kreditkarte, ohne Vertriebsgespräch, Datenstandort in Frankfurt.

Ohne Kreditkarte · 180-tägige kostenlose Beta · Datenstandort in Frankfurt · Selbst installierbar · Chrome-Erweiterung live