Schließung der Governance-Lücke im Bereich KI mit ISO 42001

Schließung der Lücke in der KI-Governance mit ISO 42001

Von Phil Muncaster • 20 Januar 2026

Großbritannien hat ein Problem mit der KI-Governance. Vor einigen Jahren, als Projekte in den meisten Organisationen noch lückenhaft umgesetzt wurden, wäre dies vielleicht kein Problem gewesen. Doch die heutigen Unternehmen setzen die Technologie mit wachsendem Enthusiasmus ein. Laut BSIFast zwei Drittel (62 %) der Unternehmensführer in Großbritannien und anderen Ländern planen, ihre Investitionen in KI im kommenden Jahr zu erhöhen, um Produktivität und Effizienz zu steigern und Kosten zu senken. Mehr als die Hälfte (59 %) hält dies für entscheidend für Wachstumspläne.

Doch genau diese Organisationen steuern laut der Normungsorganisation „schlafwandelnd“ auf eine Krise der KI-Governance zu. Sie behauptet, dass nur ein Viertel (24 %) über ein KI-Governance-Programm verfügt, darunter lediglich ein Drittel (34 %) der Großunternehmen. Hier sollte ISO 42001 eigentlich selbstverständlich sein.

Was das BSI sagt

Die Studie des BSI basiert auf Interviews mit 850 Führungskräften in acht Ländern sowie einer KI-gestützten Analyse von über 100 Geschäftsberichten multinationaler Unternehmen. Sie ergab, dass nur ein Viertel (24 %) der Unternehmen die Nutzung von KI-Tools durch ihre Mitarbeiter überwacht und lediglich 30 % über Prozesse zur Bewertung von KI-Risiken und deren Minderung verfügen. Nur ein Fünftel (22 %) verhindert die Nutzung nicht autorisierter KI-Tools durch Mitarbeiter.

Die Governance-Lücken reichen über das Risiko von Schatten-IT hinaus. Nur 28 % der Befragten geben an, zu wissen, welche Datenquellen sie für das Training und den Einsatz von KI nutzen. Dieser Wert ist sogar von 35 % zu Jahresbeginn gesunken. Lediglich 40 % verfügen über Prozesse zur Regelung der Nutzung sensibler/vertraulicher Daten für das KI-Training.

Organisationen sind gleichermaßen schlecht auf den Fall von Problemen vorbereitet. Nur ein Drittel weist auf Bedenken oder Ungenauigkeiten hin, und lediglich 29 % verfügen über Prozesse für den Umgang mit und die Reaktion auf KI-Vorfälle. Nur 30 % haben einen formalen Risikobewertungsprozess, um zu prüfen, ob KI neue Schwachstellen mit sich bringen könnte. Dies erhöht das Risiko eines schwerwiegenden Ausfalls oder Vorfalls. Dennoch räumt ein Fünftel der Befragten ein, dass generative KI (GenAI) so geschäftskritisch geworden ist, dass sie nicht glauben, dass die Organisation lange ohne sie funktionieren könnte.

Selbstzufriedenheit könnte Teil des Problems sein. Über die Hälfte der globalen Unternehmensführer (56 %) geben an, dass ihre Berufseinsteiger über die notwendigen KI-Kenntnisse verfügen, und ein ähnlich hoher Anteil sagt dies auch über das gesamte Unternehmen. Über die Hälfte (55 %) ist zuversichtlich, ihre Mitarbeiter im Umgang mit GenAI „kritisch, strategisch und analytisch“ schulen zu können. Doch nur ein Drittel verfügt über ein eigenes Weiterbildungsprogramm. Und Schulungen allein reichen nicht aus.

Ist es wichtig?

Die Einhaltung von Vorschriften im Bereich KI scheint tatsächlich nachzulassen. Heute berücksichtigen nur noch 49 % der globalen Unternehmen KI-bezogene Risiken in ihren umfassenderen Compliance-Programmen, verglichen mit 60 % vor sechs Monaten. Dieser Rückgang erklärt sich jedoch nicht durch die geringere Anzahl an Unternehmen, die dedizierte Programme zur Verwaltung der Technologie einführen.

Warum ist das wichtig? Weil KI-Risiken bereits die Geschäftswelt durchdringen. Beispiele hierfür sind:

Versehentliche Weitergabe sensibler Informationen durch kommerzielle Chatbots
Verzerrte Trainingsdaten/Modelle, die zu Ergebnissen führen, welche den Markenruf beeinträchtigen könnten.
Schatten-KI, die zu Datenlecks oder fehlerhaftem Code führt
Mangelhafte oder manipulierte Daten führen zu Hintertüren und ungenauen Ergebnissen.
Verstöße gegen Datenschutz-, Cybersicherheits- und IP-Rechte
Schwachstellen in der KI-Lieferkette, die nicht behoben werden, setzen das Unternehmen Sicherheitslücken aus.

Diese Risiken werden mit zunehmender Verbreitung von KI-gesteuerten Systemen weiter zunehmen – was potenziell erhebliche Folgewirkungen auf den Gewinn und den Ruf von Unternehmen nach sich ziehen kann. Laut einer Studie… aktuelle Studie von EYFast alle (98 %) der befragten Unternehmen in Großbritannien berichteten von Verlusten im vergangenen Jahr aufgrund von KI-bezogenen Risiken. Über die Hälfte (55 %) gab an, dass ihnen dadurch Kosten von über 1 Million US-Dollar (750,000 Pfund) entstanden seien, während der durchschnittliche Verlust pro Unternehmen auf 3.9 Millionen US-Dollar (2.9 Millionen Pfund) geschätzt wurde. Zu den häufigsten Risiken zählten die Nichteinhaltung regulatorischer Vorgaben, ungenaue oder qualitativ minderwertige Trainingsdaten sowie ein hoher Energieverbrauch, der die Nachhaltigkeitsziele beeinträchtigte.

Mind the Gap

Der BSI-Bericht enthielt einige positive Aspekte. Die Keyword-Analyse zeigte, dass „Governance“ und „Regulierung“ in den Berichten britischer Unternehmen eine zentralere Rolle spielten. Sie tauchten 80 % häufiger auf als in Berichten indischer und 73 % häufiger als in Berichten chinesischer Unternehmen. Dennoch arbeiten die Bereiche Risikomanagement und Compliance in Großbritannien „nach wie vor mit einem begrenzten und sich ständig weiterentwickelnden Handlungsspielraum“, argumentiert Chris Newton-Smith, CEO von IO (ehemals ISMS.online).

„Das größte Problem, das wir sehen, ist nicht mangelnder Wille, sondern mangelnde Struktur. Unternehmen verfügen schlichtweg noch nicht über die Rahmenbedingungen, Richtlinien oder funktionsübergreifende Verantwortlichkeit, die erforderlich sind, um KI auf die gleiche Weise zu steuern wie Informationssicherheit oder Datenschutz“, erklärt er gegenüber IO.

„Ich glaube, das größte Hindernis besteht derzeit darin, dass viele Führungsteams die Risiken immer noch unterschätzen, weil KI in erster Linie als Innovationswerkzeug betrachtet wird und nicht als Technologie, die die Bedrohungslandschaft einer Organisation grundlegend verändern kann und dies auch tut.“

Ohne ein formalisiertes Governance-Modell laufen die von Sicherheitsteams geäußerten Bedenken Gefahr, in Silos unterzugehen oder als Wachstumshindernis abgetan zu werden. Erst wenn KI-Risiken als Angelegenheit der Geschäftsleitung behandelt werden, kann sich die Kluft zwischen Einführung und Kontrolle verringern, ergänzt Newton-Smith.

Die gute Nachricht ist, dass ISO 42001 genau für diesen Zweck entwickelt wurde, argumentiert Mark Thirlwell, globaler Digitaldirektor bei BSI.

„Es bietet einen praktischen Rahmen für die Einrichtung eines formalen KI-Managementsystems und führt Organisationen von vagen Prinzipien zu konkreten Maßnahmen. Der Standard verpflichtet Führungskräfte, KI-spezifische Risiken formell zu bewerten und zu behandeln, klare Verantwortlichkeiten festzulegen und sicherzustellen, dass für den gesamten KI-Lebenszyklus sichere Prozesse vorhanden sind“, erklärt er gegenüber IO.

„Bei diesem strukturierten Ansatz geht es nicht darum, Innovationen zu bremsen, sondern sie verantwortungsvoll und sicher zu ermöglichen. Er gibt der Führungsebene die Instrumente an die Hand, um von einer reaktiven Haltung zu einer strategischen Steuerung überzugehen und sicherzustellen, dass KI zu einem sicheren und zuverlässigen Treiber langfristigen Wachstums wird.“

Newton-Smith von IO stimmt dem zu und erklärt, dass der Standard Klarheit über Rollen, Risikobewertung, Modelllebenszykluskontrollen, Lieferantenaufsicht und Überwachung schafft.

„Es passt auch ganz natürlich zu bestehenden Rahmenwerken wie ISO 27001 und ISO 27701, was bedeutet, dass Unternehmen die Governance- und Risikostrukturen, auf die sie sich wahrscheinlich bereits im Bereich Sicherheit und Datenschutz verlassen, erweitern können“, fügt er hinzu.

Erste Schritte

Wie sollten Unternehmen also ihren Weg zur ISO 42001-Konformität beginnen? Newton-Smith rät, die KI-Governance in ein bestehendes ISMS zu integrieren, anstatt sie als eigenständiges Projekt zu behandeln.

„Im Wesentlichen bedeutet das: KI-Anwendungsfälle Risiken zuordnen; klare Verantwortlichkeiten in den Bereichen Führung, Entwicklung, Recht und Compliance schaffen; wiederholbare Prozesse für die Modellüberwachung und das Vorfallmanagement etablieren; und sicherstellen, dass die Lieferkette denselben Standards unterliegt“, sagt er.

„Durch den Einsatz eines zentralisierten Kontrollsystems lässt sich das Programm vom ersten Tag an leichter messen, skalieren und prüfen. ISO 42001 ist keine bloße Konformitätsprüfung, sondern vielmehr die Grundlage für eine vertrauenswürdige und wirtschaftlich tragfähige KI-Einführung.“

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 3 Februar 2026

Betrugsmeldungen im Zusammenhang mit dem WEF-Bericht sind mittlerweile die größte Cybersicherheitssorge von CEOs, aber nicht die einzige.

WEF-Bericht: Betrug ist mittlerweile die größte Cyber-Sorge von CEOs, aber nicht die einzige

Fünf Jahre sind eine lange Zeit in der Cybersicherheit. Doch genau so lange befragt das Weltwirtschaftsforum (WEF) bereits CEOs für seine globale Cybersicherheitsinitiative.

Phil Muncaster

Internet-Sicherheit 27 Januar 2026

Datenschutz ist wichtig: Was Compliance-Teams im Jahr 2026 erwarten können

Der 28. Januar ist der Welttag des Datenschutzes – ein Anlass, das Recht auf Datenschutz und Datensicherheit zu feiern, das viele von uns heute als selbstverständlich ansehen. Es war…

Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster