top of page
Kopie von logo (1).jpg

AI-Governance für CISOs: Wie du KI im Unternehmen steuerst, statt nur hinterherzulaufen

  • Autorenbild: Marcel Küppers
    Marcel Küppers
  • 3. Dez. 2025
  • 4 Min. Lesezeit

Aktualisiert: 16. Jan.



Künstliche Intelligenz – vor allem generative KI – ist in den Unternehmen angekommen, lange bevor Governance-Strukturen dafür existieren:


  • Fachbereiche experimentieren mit ChatGPT & Co.

  • SaaS-Anbieter aktivieren „AI-Features“ per Default

  • Security & Legal werden oft erst später dazu geholt


Als CISO stehst du damit in einem Spannungsfeld:

Innovation ermöglichen – und gleichzeitig Risiken steuern, Compliance einhalten und Daten schützen.

Genau darum geht es bei AI-Governance: Nicht darum, KI zu „verhindern“, sondern sie führbar zu machen.


In diesem Artikel schauen wir uns an:

  • Was AI-Governance aus CISO-Sicht bedeutet

  • Welche Rollen & Gremien du brauchst

  • Wie ein pragmatischer AI-Use-Case-Prozess aussieht

  • Und wie du das in deine bestehende Governance integrierst – statt noch ein Paralleluniversum zu schaffen


Was bedeutet „AI-Governance“ für CISOs wirklich?

Viele verbinden mit Governance sofort Policies, Richtlinien und Gremien. Das gehört dazu – aber aus CISO-Sicht ist der Kern:


AI-Governance = Rahmen, in dem KI-Anwendungen sicher, compliant und kontrolliert genutzt werden können.


Das umfasst drei Ebenen:

  1. Strategische Ebene

    • Welche Rolle soll KI im Unternehmen spielen?

    • Welche Risiken sind akzeptabel, welche nicht?

    • Wie passt KI zur Business- und Datenstrategie?

  2. Organisatorische Ebene

    • Wer darf welche KI-Use-Cases initiieren?

    • Welche Rollen sind involviert (CISO, CDO, Legal, Fachbereiche)?

    • Welche Gremien entscheiden was?

  3. Operative Ebene

    • Wie werden KI-Use-Cases bewertet, freigegeben, überwacht?

    • Welche Kontrollen sind Pflicht? (Daten, Logging, Monitoring, Human-in-the-Loop)


Als CISO bist du nicht der alleinige AI-Besitzer – aber du bist ein zentraler Architekt für die Risiko- & Kontrollseite.


Ohne klaren Rahmen passiert häufig Folgendes:

  • Shadow AI

    • Mitarbeiter nutzen private oder nicht geprüfte Tools

    • Daten wandern in Systeme, die nie freigegeben wurden

  • Wildwuchs bei Use-Cases

    • KI wird in Prozesse eingebaut, ohne dass jemand Fragen stellt wie:

      „Welche Daten gehen rein? Was passiert, wenn das Modell sich irrt?“

  • Compliance-Risiken

    • DSGVO, branchenspezifische Regulierung, AI Act & Co.

    • Fehlende Dokumentation, keine Nachweisbarkeit von Entscheidungen

  • Vertrauensrisiko

    • Wenn etwas schiefgeht (falsche Entscheidung, Datenabfluss),

      fragt das Management: „Wer steuert das eigentlich?“


AI-Governance ist daher kein Luxus – sondern eine Schutzschicht um dein Geschäftsmodell.


Bevor wir in Rollen und Prozesse einsteigen, brauchst du ein paar Leitplanken, an denen du alles ausrichten kannst:

  1. Enablement vor Verbot

    – Ziel ist nicht, KI zu blockieren, sondern „sicher nutzbar“ zu machen.

  2. Transparenz

    – Es ist bekannt, wo KI eingesetzt wird, welche Daten genutzt werden und wie Entscheidungen getroffen werden.

  3. Verhältnismäßigkeit

    – Nicht jeder kleine Use Case braucht ein halbes Jahr Review – Risiko- und Impact-basiert vorgehen.

  4. Human-in-the-Loop bei kritischen Entscheidungen

    – KI unterstützt, ersetzt aber nicht überall menschliches Urteil.

  5. Privacy & Security by Design

    – Datenschutz und Security sind von Anfang an Teil der Use-Case-Bewertung.

Diese Prinzipien kannst du später in Policy, Prozesse und Kommunikation übersetzen.


Rollen & Gremien: Wer spielt welche Rolle?

Ein typisches Setup (abhängig von Unternehmensgröße) besteht aus folgenden Schlüsselrollen:

  • CISO / Security

    • Bewertung von Sicherheits- und Integritätsrisiken

    • Anforderungen an Logging, Zugriff, Monitoring, Incident-Handling

    • Integration in bestehende Security-Prozesse (SOC, IR, Risk)

  • Datenschutz (DPO)

    • Bewertung von personenbezogenen Daten

    • Datenschutz-Folgenabschätzung (DSFA), Rechtsgrundlagen, Betroffenenrechte

  • Legal / Compliance

    • Vertragsrecht, Haftung, branchenspezifische Anforderungen

    • AI Act / Regulierungsentwicklung im Blick behalten

  • CDO / Data & AI-Verantwortliche

    • Datenqualität, Datenquellen, Modellmanagement

    • technische Governance von Datenströmen & Modellen

  • Fachbereichsverantwortliche (Business Owner)

    • Business-Need, Verantwortlichkeit für Prozess & Ergebnis

    • Akzeptanz & Umsetzung im operativen Betrieb


Neben den Schlüsselrollen ist es sinnvoll ein AI Review Board bzw. AI Steering Committee in Leben zu rufen, welches folgende Aufgaben abdeckt:

  • Neue AI-Use-Cases bewerten und priorisieren

  • Anforderungen an Daten, Kontrolle, Monitoring festlegen

  • Grenzen definieren: Was ist (noch) nicht akzeptabel?

  • Verständnis zwischen Business & Risk-Seite herstellen


Das Board sollte klein genug sein, um arbeitsfähig zu sein – und hoch genug verankert, um Entscheidungen tragen zu können.


Ein pragmatischer Use-Case-Lifecycle

Statt „AI überall“ brauchst du einen klaren Prozess, wie KI-Use-Cases entstehen, bewertet und betrieben werden.


Ein schlanker Lifecycle könnte so aussehen:

Phase 1: Idee & Pre-Check

  • Fachbereich bringt Idee ein (Formular / Template)

    • Problem / Use Case

    • grober Nutzen

    • grobe Datenarten (z. B. interne Reports, Kundendaten, Logs)

  • Pre-Check durch Security/Legal/Data:

    • Offensichtliche No-Gos? (z. B. hochsensible Daten in externe Public-AI-Dienste)

    • Einstufung der Kritikalität

Ergebnis:→ „Go für Exploration“ oder „No-Go / Anpassung nötig“


Phase 2: Risiko- & Impact-Analyse

  • Detaillierte Bewertung:

    • Welche Daten genau werden genutzt?

    • Werden personenbezogene Daten verarbeitet?

    • Welchen Einfluss hat das KI-Ergebnis auf Entscheidungen?

  • Klassifizierung:

    • „Low Impact“ (Assistenz, Entwürfe, interne Effizienz)

    • „High Impact“ (Entscheidungsunterstützung in kritischen Prozessen)

  • Definition von Kontrollen:

    • Human-in-the-Loop, 4-Augen-Prinzip

    • Test-Umgebung vs. Produktion

    • Logging und Monitoring Anforderungen


Phase 3: Pilot / kontrollierte Einführung

  • Begrenzte Nutzergruppe

  • Klare Erfolgskriterien (KPIs, Qualität, Fehlerraten)

  • Überwachung:

    • Werden die Ergebnisse plausibilisiert?

    • Gibt es unerwartete Effekte?

Diese Phase ist ideal, um:

  • Schulungsbedarf zu erkennen

  • zusätzliche Safeguards zu definieren

  • technische und organisatorische Lücken sichtbar zu machen


Phase 4: Produktivbetrieb mit Governance

  • Offizielle Freigabe durch AI Review Board / verantwortliche Stellen

  • Dokumentation:

    • Beschreibung des Use Cases

    • Datenkategorien

    • Verantwortliche Personen

    • Kontrollen & Monitoring

  • Integration in:

    • Risikoregister

    • Asset-/Applikationsinventar

    • Regelmäßige Reviews (z. B. jährlich oder anlassbezogen)


Phase 5: Review & Abschaltung

  • Regelmäßige Überprüfung:

    • Nutzen vs. Risiko

    • Änderungen in Regulatorik, Datenlage, Modellen

  • Klarer Prozess zur Abschaltung / Anpassung bei:

    • regulatorischen Änderungen

    • Sicherheitsvorfällen

    • veränderten Geschäftsanforderungen


AI-Governance in bestehende Strukturen integrieren

Wichtig: Du musst kein komplett neues Governance-Universum bauen.

Stattdessen:

  • Risk Management

    → AI-Use-Cases in Risikomanagement-Prozess integrieren (als eigene Risikoart / -quelle)

  • Change & Architektur-Review

    → KI-Projekte als Change mit speziellen AI-Checklisten behandeln

  • Third-Party Risk Management

    → KI-Funktionen von Dienstleistern und SaaS-Anbietern explizit bewerten

  • Security Operations

    → Logging & Monitoring für AI-Anwendungen sicherstellen, AI-bezogene Incidents definieren


Kurz: AI wird Teil deines bestehenden Security Operating Models, nicht ein Satellit.


Typische Fehler bei AI-Governance – und wie du sie vermeidest


  • Nur Policy, keine Praxis

    – Schöne AI-Richtlinie im Intranet, aber keine Prozesse, Rollen, Gremien → Governance bleibt theoretisch.

  • Over-Engineering

    – Jeder kleine Use Case wird durch einen monatelangen Prozess gezwungen → Business umgeht das System.

  • Security will „alles“ entscheiden

    – CISO versucht, AI alleine zu kontrollieren → Widerstand, Frust, Blockaden.

  • Kein Management-Sponsor

    – AI-Governance wird als „Security-Thema“ gesehen, nicht als Business- & Risikothema.


Besser:

  • Leichtgewichtiger Start – lieber einfacher Prozess, den alle nutzen, als perfektes Modell, das keiner akzeptiert.

  • Schrittweise nachschärfen – auf Basis realer Use Cases und Erfahrungen.


Nächste Schritte


Wenn du AI-Governance nicht nur verstehen, sondern in deinem Unternehmen umsetzen willst, hast du zwei Hebel:


  • 👉 CISO Masterclass – dort erarbeitest du u. a. ein konkretes AI-Governance-Setup und erhältst 1:1 Coaching zu deinem Kontext:Mehr zur CISO Masterclass


  • 📘 Mein CISO-Buch – die inhaltliche Basis zu moderner CISO-Rolle, Governance und AI im Detail:Zum CISO-Buch

 
 
 

Kommentare

bottom of page