Suchbegriff
Demo anfordern
Suchbegriff
Demo anfordern

On-demand-Webinar kommt bald...

Blog

KI‑Governance und Risikomanagement gemeinsam als Wachstumstreiber

Unerkannte KI bei Drittanbietern schafft ein völlig neues Risikoumfeld.

17. Dezember 2025

Two women have a discussion at work

Inhalte

Um wettbewerbsfähig zu bleiben, setzen Unternehmen heute zunehmend darauf, KI schnell und umfassend einzuführen.

Doch nur wenige erkennen die zusätzlichen Risiken, die damit einhergehen, oder wie unzureichend ihre bisherigen Risikomanagementmethoden dafür ausgelegt sind.

Genau darin liegt die Herausforderung: Die mit KI verbundenen Risiken wachsen exponentiell und lassen sich ohne eine wirksame KI-Governance nicht angemessen steuern. KI-Governance kann jedoch nur erfolgreich sein, wenn sie als bereichsübergreifende Disziplin etabliert wird, die die Bereiche Sicherheit, Datenschutz, Risikomanagement, Recht und Engineering sowie den Geschäftsbetrieb an gemeinsamen Zielen ausrichtet.

Viele Unternehmen versuchen derzeit, diesen tiefgreifenden Wandel zu meistern. Führungskräfte können und sollten dabei von jenen lernen, die bereits verantwortungsvolle und skalierbare KI-Programme aufbauen und damit die Grundlage für zukunftssichere Innovation schaffen.

Warum KI-Risiken anders sind – und weshalb eine starke Governance unverzichtbar ist

KI bringt neue Unsicherheiten mit sich, die sich mit den herkömmlichen Prozessen des Sicherheits- und Drittparteien-Risikomanagements nicht bewerten lassen. Schon die Identifikation von KI-Systemen innerhalb einer Umgebung ist eine Herausforderung. Mitarbeitende nutzen eigenständig neue Tools, Drittanbieter integrieren KI-Funktionen oft stillschweigend in ihre Plattformen und interne Teams beginnen mit ersten Experimenten, noch bevor formale Prozesse überhaupt greifen.

Sicherheitsteams reagieren darauf, indem sie KI-Erkennung in ihre bestehenden Lösungen für Transparenz und Asset-Management integrieren. Sie katalogisieren KI-Systeme nach denselben Maßstäben wie andere geschäftskritische Technologien und nutzen vertragliche Schutzmechanismen, um Risiken zu reduzieren, wenn Mitarbeitende externe Tools einsetzen. Doch reine Sichtbarkeit ist erst der Anfang.

Die eigentliche Herausforderung besteht darin, dass KI-Systeme dynamisch, probabilistisch und ständig im Wandel sind. Modelle lernen kontinuierlich aus neuen Daten, Anbieter veröffentlichen fortlaufend neue Funktionen und das Verhalten eines Systems kann sich mit der Zeit verändern. All dies erfordert ein Umdenken: Weg von statischen Momentaufnahmen, hin zu kontinuierlicher Überwachung und dauerhaft verankerter, programmatischer Kontrolle.

Zudem ist eine klare Haltung Ihres Unternehmens zur eigenen Risikobereitschaft erforderlich. Was gilt als akzeptable Nutzung? Welche Arten von Daten dürfen in KI-Systeme einfließen? Welche Aufgaben müssen zwingend durch Menschen überprüft werden? Ohne klare Governance-Leitplanken wird diese Frage von jedem Team anders beantwortet – und die gesamte Risikolandschaft wird praktisch unbeherrschbar.

Ein solides Fundament für KI-Governance gibt Ihren Risikoteams die nötige Orientierung und Struktur, damit diese effektiv arbeiten können. Dazu gehören:

  • Klarheit über Zweck und Einsatzbereiche
  • definierte Risikokategorien
  • verbindliche Erwartungen an Transparenz und Dokumentation
  • ein gemeinsamer Prozess zur Entscheidung zwischen Eigenentwicklung und Kauf
  • klare Richtlinien zu Daten, Modellauswahl und akzeptabler Nutzung

Dadurch wird das Management von KI-Risiken zu einem klar strukturierten und gut beherrschbaren Prozess.

Aufbau des Betriebsmodells: Das KI‑Governance‑Komitee

Die meisten Unternehmen, die ihre KI-Einführung beschleunigen möchten, richten ein KI-Governance-Komitee ein, um Aufsicht und Entscheidungsfindung zu bündeln. Das Komitee fungiert dabei als Bindeglied zwischen Innovation und verantwortungsvoller Steuerung.

Seine Zusammensetzung ist bewusst bereichsübergreifend gestaltet. Den Kern bilden die Bereiche Datenschutz, Sicherheit, Risikomanagement, Compliance, Recht, IT und Strategie. Bei Bedarf schließen sich auch Engineering-, Produkt- und Datenverantwortliche an. Je nach Betriebsmodell können auch die Betriebsführung oder die Finanzabteilung eine zentrale Rolle übernehmen.

Zu den Aufgaben des Komitees gehören in der Regel:

  • Festlegung der unternehmensweiten KI-Strategie und Leitplanken: Hierzu zählen Richtlinien und Nutzungsbedingungen, die Auswahl von Modellen sowie die Ausrichtung an regulatorischen Rahmenwerken wie den NIST-, OECD- und ISO-Normen und dem sich abzeichnenden globalen Flickenteppich an KI-Vorschriften.
  • Überprüfung von Anwendungsfällen mit hohem Risiko: Etwa 80 % der KI-Initiativen durchlaufen die üblichen Verfahren der Beschaffung und technischen Bewertung. Bei Initiativen mit hohem Risiko ist jedoch eine eingehendere, funktionsübergreifende Bewertung des Verwendungszwecks, der potenziellen Schäden, der Auswirkungen auf Kunden sowie der Risikotoleranz des Unternehmens erforderlich.
  • Orientierungshilfe bei Build-vs.-Buy-Entscheidungen: Teams prüfen unter Berücksichtigung der vorhandenen Kompetenzen, der Sicherheitsauswirkungen sowie der langfristigen Kosten, ob KI-Funktionen intern entwickelt oder von Anbietern lizenziert werden sollten.
  • Gewährleistung von Transparenz für Kunden und Stakeholder: Wenn Unternehmen KI-gestützte Funktionen einführen, müssen sie den Zweck, die Modelle, den Umgang mit Daten sowie die Erwartungen hinsichtlich der Überprüfung durch Menschen in leicht zugänglichen und gut verständlichen Dokumenten, wie beispielsweise KI-Transparenzberichten, festhalten.

Diese Struktur schützt das Unternehmen nicht nur, sondern fördert auch verantwortungsbewusste Innovationen. Da die Regeln klar definiert sind und die Abläufe konsistent bleiben, können Teams zielgerichteter agieren. Zudem weiß das Unternehmen genau, wie Ideen von der Konzeption bis zur Umsetzung gelangen.

Was bedeutet das für Ihr Drittparteien-Risikomanagement?

Wenn Unternehmen KI einführen, überschneidet sich deren Einsatz zunehmend mit dem Drittparteien-Risikomanagement (TPRM) – und das auf eine Weise, für die klassische Frameworks nie ausgelegt waren. Viele Anbieter integrieren inzwischen KI in ihre Plattformen, ohne dies deutlich zu kommunizieren. Das bedeutet für Risikoteams, dass sie nicht nur Lösungen prüfen müssen, die offen als KI-Tools vermarktet werden, sondern auch erkennen müssen, wo innerhalb bestehender Anwendungen bereits KI im Hintergrund arbeitet.

Sicherheits- und Datenschutzexperten betonen deshalb die Wichtigkeit modernisierter Aufnahme- und Bewertungsprozesse. Diese müssen erfassen, wie Anbieter KI einsetzen, welche Daten in ihre Modelle fließen, ob Kundendaten zum Training verwendet werden und wie neue Funktionen im Laufe der Zeit eingeführt werden.

Da sich KI-Systeme kontinuierlich weiterentwickeln, greift der „Set it and forget it“-Ansatz bei der Bewertung von Drittanbietern viel zu kurz. Ein wirksames KI-Governance-Programm schafft die hierfür nötigen Leitplanken. Ihr TPRM-Programm profitiert dabei von klaren Aufsichtsstrukturen, vertraglichen Schutzmechanismen, aktualisierten Richtlinien und einer kontinuierlichen Überwachung. So kann Ihr Unternehmen Innovationen vorantreiben und gleichzeitig ein verantwortungsvolles Risikomanagement sicherstellen.

Governance Schritt für Schritt in Wachstum verwandeln

Sind die Governance-Strukturen erst einmal etabliert, können Unternehmen die Einführung von KI sicher und kontrolliert operationalisieren. Der daraus entstehende Prozess ähnelt zwar dem klassischen Drittparteien-Risikomanagement, weist jedoch wesentliche Abweichungen auf.

Aufnahme: Für diesen Teil des Prozesses ist heute ein wesentlich umfassenderer Kontext erforderlich als bisher. Teams müssen neben den Eingaben und Ausgaben auch die Sensibilität der Daten, die Modellherkunft, die erwarteten Ergebnisse sowie das Potenzial für algorithmische Abweichungen oder Verzerrungen berücksichtigen. Das Ziel besteht darin, nicht nur Sicherheits- und Datenschutzrisiken zu bewerten, sondern auch darzustellen, inwiefern die KI mit den geschäftlichen Zielen und den regulatorischen Erwartungen im Einklang steht.

Bewertung: Dieses Verfahren wird umfassender und tiefgreifender. Rechts-, Datenschutz- und Sicherheitsteams arbeiten zusammen, um unter anderem folgende Fragen zu klären: Enthalten Lieferantenverträge angemessene Schutzmaßnahmen? Darf das Modelltraining mit Daten durchgeführt werden? Wie werden Updates kommuniziert?

Monitoring: Kontrolle wird zum Dauerauftrag. Da sich KI-Systeme schnell verändern, kann sich auch das Risikoprofil jederzeit verschieben. Deshalb integrieren Unternehmen neue KI-spezifische Fragestellungen in ihre Neubewertungen, aktualisieren Richtlinien fortlaufend entsprechend der Modellentwicklung und behalten kontinuierlich im Blick, wie Anbieter ihre KI-Funktionen anpassen.

Wenn Unternehmen diesen Ansatz erfolgreich umsetzen, wird Governance nicht mehr als Hindernis, sondern als echter Wachstumstreiber wahrgenommen. Mehr dazu erfahren Sie im On-Demand-Webinar mit Tim Mullen, CISO bei OneTrust, und Brett Tarr, Head of Privacy and AI Governance.

Das könnte Sie auch interessieren

Photo of abstract architecture behind a purple overlay with a play button

KI-Governance erfolgreich umsetzen: Praktische Einblicke und Tools

AI Governance
On-Demand-Webinare
Photo of abstract architecture behind a orange overlay with a play button

Der Digital Omnibus: Die wichtigsten Änderungen bei DSGVO, AI Act und ePrivacy

AI Governance
On-Demand-Webinare
Illustration of a report atop a multi gradient blue background

KI-ready Governance: Der Bericht 2025

AI Governance
Bericht