KI-Nutzungsalarme und Compliance-Berichte einrichten
Erstellen Sie einen Audit Trail fuer jeden KI-API-Aufruf. Activity Logging, Compliance-Berichte, Zero-Data Mode und Team-Zugriffskontrollen — alles, was Sie fuer KI-Governance brauchen.
Das Problem: "Wie steuern Sie die KI-Nutzung?"
Regulierungsbehoerden stellen diese Frage. Ihr Sicherheitsteam stellt sie. Ihre Auditoren stellen sie. Und wenn Sie KI-Aufrufe direkt an OpenAI, Anthropic oder Google weiterleiten, haben Sie keine Antwort.
Die EU-KI-Verordnung verlangt Risikobewertung und Transparenz fuer KI-Systeme. SOC 2 erwartet Zugriffskontrollen und Audit Trails fuer sensible Datenfluesse. Ihre eigenen internen Sicherheitsrichtlinien schreiben wahrscheinlich Protokollierung fuer die Nutzung von Drittanbieter-APIs vor. Aber im Moment geht Ihr KI-Traffic direkt an die Anbieter — ohne zentrale Aufzeichnung darueber, was gesendet wurde, was zurueckkam oder wer es autorisiert hat.
Sie brauchen eine Governance-Schicht — keine weitere Compliance-Tabelle.
Die Loesung: Grepture als KI-Governance-Schicht
Grepture ist ein KI-Gateway, das zwischen Ihrer Anwendung und jedem LLM-Anbieter sitzt. Jede Anfrage, die ueber den Proxy laeuft, wird mit operativen Metadaten protokolliert. Darueber hinaus erhalten Sie Compliance-Berichte, einen vollstaendigen Activity Audit Trail, Team-Zugriffskontrollen und Zero-Data Mode fuer regulierte Umgebungen.
Keine Agents zu installieren. Keine Code-Instrumentierung. Leiten Sie Ihren Traffic ueber den Proxy und Governance ist integriert.
Was aufgezeichnet wird
Fuer jede Anfrage, die den Proxy durchlaeuft, erfasst Grepture:
- HTTP-Methode und Statuscode — was aufgerufen wurde und ob es erfolgreich war
- Latenz — wie lange der Anbieter fuer die Antwort gebraucht hat
- Modell — welches LLM die Anfrage bearbeitet hat
- Token-Zaehler — Input-Token, Output-Token, Gesamt
- Kosten — berechnet anhand der modellspezifischen Preise jedes Anbieters
- Erkennungsregel-Treffer — welche Regeln ausgeloest wurden und welche Aktionen ergriffen wurden
- Request ID — eindeutiger Bezeichner zur Nachverfolgung einzelner Aufrufe
Optional werden die vollstaendigen Request- und Response-Bodies gespeichert und im Traffic Log einsehbar. Wenn Ihre Compliance-Anforderungen die Speicherung von Inhalten verbieten, haelt Zero-Data Mode (siehe unten) die Bodies nur im Arbeitsspeicher.
Das Gateway einrichten
Die Einrichtung erfordert drei Schritte. Wenn Sie bereits einen der anbieterspezifischen Leitfaeden verwendet haben, ist es dasselbe Muster.
1. SDK installieren
npm install @grepture/sdk
2. API Key erhalten
Registrieren Sie sich unter grepture.com/en/pricing und kopieren Sie Ihren API Key aus dem Dashboard.
3. KI-Traffic ueber den Proxy leiten
import OpenAI from "openai";
import { Grepture } from "@grepture/sdk";
const grepture = new Grepture({
apiKey: process.env.GREPTURE_API_KEY!,
proxyUrl: "https://proxy.grepture.com",
});
const openai = new OpenAI({
...grepture.clientOptions({
apiKey: process.env.OPENAI_API_KEY!,
baseURL: "https://api.openai.com/v1",
}),
});
Das funktioniert mit jedem Anbieter — OpenAI, Anthropic, Google, Azure. Sehen Sie die SDK-Dokumentation und die anbieterspezifischen Leitfaeden fuer eine detaillierte Einrichtung.
Sobald der Traffic ueber den Proxy laeuft, wird jede Anfrage automatisch protokolliert. Keine zusaetzliche Konfiguration fuer grundlegende Governance erforderlich.
Activity Logging (Business+)
Das Activity Log im Dashboard bietet einen vollstaendigen Audit Trail jeder administrativen Aenderung an Ihrem Grepture-Konto:
- Regelaenderungen — Erstellung, Aktualisierung und Loeschung von Erkennungsregeln
- Teamaenderungen — Hinzufuegen und Entfernen von Mitgliedern
- Einstellungsaenderungen — Konfigurationsaktualisierungen, Modus-Umschaltungen, Key-Neugenerierung
Jeder Eintrag erfasst, wer die Aenderung vorgenommen hat und wann. Dies ist der Audit Trail, den Ihr Compliance-Team benoetigt, um nachzuweisen, dass KI-Governance-Kontrollen aktiv verwaltet werden — und nicht nur einmal konfiguriert und vergessen wurden.
Greifen Sie ueber die Dashboard-Seitenleiste auf das Activity Log zu. Eintraege werden fuer die gesamte Lebensdauer Ihres Kontos aufbewahrt.
Compliance-Berichte (Business+)
Die Reports-Seite im Dashboard ermoeglicht die Erstellung von zwei Berichtstypen:
Einfacher Bericht
Eine Zusammenfassung von Traffic-Volumen, Erkennungsaktivitaet und Regelleistung ueber einen bestimmten Zeitraum. Verwenden Sie diesen fuer woechentliche Standups, interne Reviews oder schnelle Statuspruefungen mit Ihrem Sicherheitsteam.
Vollstaendiger Bericht
Ein detaillierter Compliance-Bericht, exportiert als PDF. Dieser enthaelt granulare Ergebnisse — Erkennungszahlen nach Kategorie, Regeltrefferquoten, Traffic-Muster und eine Aufschluesselung der ergriffenen Massnahmen. Verwenden Sie diesen fuer Auditor-Anfragen, Quartalspruefungen oder regulatorische Einreichungen.
Beide Berichte basieren auf denselben operativen Metadaten, die vom Proxy erfasst werden. Wenn Zero-Data Mode aktiviert ist, enthalten die Berichte nur Metadaten — keine Request- oder Response-Inhalte.
Zero-Data Mode (Business+)
Fuer regulierte Umgebungen, in denen die dauerhafte Speicherung von Anfrageinhalten keine Option ist, stellt Zero-Data Mode sicher, dass Request- und Response-Bodies den Arbeitsspeicher nie verlassen.
Wenn aktiviert:
- Request- und Response-Bodies werden nur waehrend der Verarbeitung im Speicher gehalten — nie auf Festplatte oder in Datenbanken geschrieben
- Header, URLs und Query-Parameter werden nicht gespeichert
- Erkennungsregeln funktionieren weiterhin normal — PII-Erkennung, Schwaerzung, Blockierung arbeiten waehrend der Verarbeitung
- Nur operative Metadaten werden dauerhaft gespeichert: HTTP-Methode, Statuscode, Latenz, Token-Zaehler, Kosten und Regeltreffer
Aktivieren Sie Zero-Data Mode im Dashboard unter API-Einstellungen. So erhalten Sie volle Governance-Transparenz — wer welches Modell aufgerufen hat, wann, zu welchen Kosten und welche Regeln gegriffen haben — ohne Inhalte zu speichern.
Team-Zugriffskontrollen
Grepture unterstuetzt teambasierte Zugriffskontrolle mit zwei Rollen:
| Rolle | Berechtigungen |
|---|---|
| Owner | Vollzugriff — Regeln, Einstellungen, Abrechnung und Teammitglieder verwalten |
| Member | Regeln anzeigen und verwalten, Traffic und Einstellungen einsehen |
Unter Settings im Dashboard koennen Owner:
- Mitglieder per E-Mail einladen — neue Mitglieder erhalten eine Einladung zum Team
- Zugriff entziehen — Teammitglieder sofort entfernen
- Ausstehende Einladungen verwalten — offene Einladungen einsehen und stornieren
Diese Trennung bedeutet, dass Ihr Engineering-Team Erkennungsregeln verwalten und Traffic ueberwachen kann, waehrend Abrechnung und Teamverwaltung bei den designierten Ownern verbleiben. Fuer Compliance-Zwecke wird jede Teamaenderung im Activity Log erfasst.
Erkennungsregeln fuer Compliance
Ueber PII- und Geheimnis-Erkennung hinaus bietet Grepture KI-gestuetzte Regeln fuer Compliance-Monitoring:
- Compliance-Erkennung — kennzeichnet Verstoesse in den Bereichen Gesundheitswesen, Finanzen, Recht und Versicherung im KI-Traffic
- DLP (Data Loss Prevention) — erkennt Quellcode, Zugangsdaten, interne Dokumente und Finanzdaten, die Ihre Organisation ueber KI-Aufrufe verlassen
- Toxizitaetserkennung — identifiziert toxische, bedrohliche oder hasserfuellte Inhalte
Fuer Governance-Workflows, bei denen Sie Transparenz wuenschen, ohne Produktions-Traffic zu blockieren, verwenden Sie die Aktion Log only. Diese zeichnet Erkennungen mit konfigurierbaren Schweregrad-Stufen (Info, Warn, Critical) und benutzerdefinierten Labels auf — so erhaelt Ihr Compliance-Team volle Transparenz, waehrend der Traffic weiter fliesst.
Alle KI-Erkennungsmodelle laufen auf der Grepture-Infrastruktur. Es werden keine Daten an weitere Drittanbieter weitergeleitet.
Integration in bestehende Workflows
Das Traffic Log und die Compliance-Berichte sind dafuer konzipiert, sich in Ihre bestehenden Compliance-Prozesse einzufuegen:
- Traffic Log — filterbar nach Modell, Status, Kostenbereich und Zeitfenster. Nutzen Sie es als zentrale Informationsquelle fuer die KI-Nutzung in Ihrer Organisation.
- Compliance-Berichte — exportieren Sie PDFs fuer Auditor-Anfragen oder fuegen Sie sie Ihrer bestehenden Compliance-Dokumentation bei.
- Activity Log — weist die laufende Governance von KI-Kontrollen fuer SOC 2 oder interne Audit-Reviews nach.
Alle Daten werden in der EU gehostet, was die DSGVO-Compliance fuer Organisationen mit Anforderungen an die Datenresidenz vereinfacht.
Naechste Schritte
- Preise ansehen — der Business-Plan umfasst Compliance-Berichte, Activity Logging und Zero-Data Mode
- Konfigurationsdokumentation lesen — Erkennungsregeln, Aktionen und Zero-Data Mode-Einrichtung
- Dashboard erkunden — Traffic Log, Berichte, Teamverwaltung und API-Einstellungen
- Observability einrichten — einheitliches Logging ueber alle KI-Anbieter