Blog

Künstliche Intelligenz im Unternehmen: Governance, Risk und Compliance im Fokus

Sicherheit und Integrität in einer KI-gesteuerten Unternehmenswelt

von Aldo Richner

Consultant

30. Juni 2025

Die rasante Entwicklung der Künstlichen Intelligenz (KI) bietet Unternehmen vielfältige Chancen, stellt sie jedoch gleichzeitig vor erhebliche Herausforderungen in den Bereichen Governance, Risk und Compliance. Als Chief Information Security Officer (CISO) ist es entscheidend, diese Aspekte sorgfältig zu berücksichtigen, um sowohl die Sicherheit als auch die Integrität des Unternehmens und dessen Daten zu gewährleisten.​

Governance: Etablierung klarer Rahmenbedingungen und Vorgaben

Der Einsatz von KI im Unternehmen erfordert die Etablierung klarer, unternehmensweiten Richtlinien, um rechtliche Konformität, ethisches Handeln und somit einen geregelten Umgang mit KI-Technologien sicherzustellen. Ein erster und wichtiger Schritt ist dabei die Definition von Grundsätzen für den KI-Einsatz. Diese können unter anderem Transparenz, Verantwortlichkeit und Datenschutz umfassen schliessen aber auch Grundsätze wie die Informationssicherheit, Rechte der Betroffenen oder Riskmanagement nicht aus. Ein weiterer wichtiger Aspekt für das Unternehmen ist die Entwicklung spezifischer KI-Rahmenbedingungen und Regelungen. Die Grundsätze als auch die Rahmenbedingungen und Regelungen sollten gemeinsam in Workshops mit den verschiedenen Stakeholdern erarbeitet und in Form einer Weisung für Mitarbeitende festgehalten werden. Die grösste Herausforderung ist oft, dass die Verantwortung dem CISO übertragen wird, obwohl es eigentlich ein unternehmensweites Thema ist, an dem mehrere Stakeholder beteiligt sein müssen. Die Identifikation der relevanten Stakeholder sowie der Umfang und der Detaillierungsgrad einer solchen Weisung sind matchentscheidend. Dabei ist es sinnvoll, externe Unterstützung in Anspruch zu nehmen, um diesen Prozess effizient und umfassend zu gestalten. Dieses Vorgehen fördert nicht nur die Compliance, sondern auch das Bewusstsein und die Verantwortung im Umgang mit KI-Technologien.

Riskmanagement: Identifikation und Bewertung von Gefahren

Der Einsatz von KI bringt spezifische Risiken mit sich, die es zu identifizieren und zu bewerten gilt. Ein effektives Riskmanagement in Zusammenhang mit KI sollte im Minimum folgende Schritte umfassen:​

  1. Gefährdungsanalyse: Ermitteln von potenziellen Risiken, die durch den Einsatz von KI entstehen können, wie beispielsweise Datenlecks oder Fehlentscheidungen aufgrund von algorithmischen Fehlern oder Befangenheiten.​
  2. Risikobewertung: Bewerten der identifizierten Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeit und potenziellen Auswirkungen auf das Unternehmen.​
  3. Massnahmenplanung: Entwickeln eines Plans zur Risikominimierung, wie etwa die Implementierung zusätzlicher Kontrollmechanismen oder die Schulung von Mitarbeitenden im Umgang mit KI-Systemen.​

Compliance: Einhaltung gesetzlicher Vorgaben

Die rechtlichen Anforderungen an den Einsatz von KI sind vielfältig und unterliegen ständigen Veränderungen. Es ist daher essenziell, die geltenden Gesetze und Vorschriften zu kennen und einzuhalten, weshalb der Einbezug der Rechts- und Datenschutzabteilung sehr wichtig ist.  Um Unternehmen dabei zu unterstützen, frühzeitig potenzielle Risiken zu erkennen, empfehlen wir den Einsatz gezielter Checkfragen. Diese dienen als effektives Tool für eine Vorsondierung, um schnell zu entscheiden, ob eine vertiefte Compliance-Prüfung notwendig ist. Unsere Erfahrung zeigt: Oft lassen sich Compliance-Risiken bereits in einer frühen Phase erkennen und adressieren. Wir unterstützen Unternehmen dabei, die richtigen Fragen zu stellen und bieten praxisnahe Hilfestellung. Hier einige entscheidende Fragen, die Sie sich stellen sollten:

  • Werden bei der Nutzung von KI personenbezogene Daten oder vertrauliche Geschäftsinformationen verarbeitet?
  • Wird geistiges Eigentum Dritter für das Training oder den Einsatz der KI verwendet?
  • Besteht ein hohes Risiko für die betroffenen Personen durch den Einsatz von KI? Beispielsweise dass KI-Entscheidungen einen massgeblichen Einfluss auf die Sicherheit oder das Leben von Personen haben könnte?  

Ein „Ja“ zu einer dieser Fragen signalisiert, dass eine tiefere Compliance-Prüfung notwendig sein könnte.

Schulung und Sensibilisierung der Mitarbeitenden

Ein weiterer entscheidender Faktor ist die Schulung der Mitarbeitenden im Umgang mit KI. Sie sollten nicht nur die Vorteile, sondern auch die potenziellen Risiken und ethischen Implikationen verstehen. Die Implementierung klarer Weisungen und Richtlinien unterstützt dabei, einen verantwortungsvollen und gesetzeskonformen Einsatz von KI im Unternehmen sicherzustellen. Die Top Herausforderungen im Zusammenhang mit den Mitarbeitenden und der Nutzung von KI, die wir dabei immer wieder antreffen sind:

  • Transparenz: Mitarbeitende sollten offenlegen, wenn KI-generierte Inhalte verwendet werden.​
  • Datenverwendung: Es dürfen nur freigegebene Daten für KI-Tools genutzt werden, um Datenschutz und Geheimhaltung zu gewährleisten.​
  • Qualitätskontrolle: Der Output von KI-Systemen ist stets manuell auf Richtigkeit zu überprüfen, um Fehler zu vermeiden.

Fazit

Der Einsatz von KI bietet grosse Chancen, erfordert aber eine durchdachte Herangehensweise, um Risiken zu minimieren und regulatorische Anforderungen zu erfüllen. Governance, Risk und Compliance sind dabei keine isolierten Themen der Informationssicherheit, sondern betreffen das gesamte Unternehmen. KI kann nur dann sicher und verantwortungsvoll genutzt werden, wenn neben den Sicherheitsaspekten auch rechtliche, ethische und betriebliche Fragestellungen berücksichtigt werden. Daher ist es entscheidend, dass alle relevanten Stakeholder – von der Rechts- und Datenschutzabteilung über das Riskmanagement bis hin zu den Fachbereichen – gemeinsam klare Rahmenbedingungen schaffen. Nur durch diesen interdisziplinären Ansatz lassen sich KI-Richtlinien und Weisungen entwickeln, die nicht nur konform, sondern auch praxistauglich sind und im Unternehmen auf Akzeptanz stossen.

Kontaktieren Sie uns

Blog- und Eventserie KI in der IT-Infrastruktur

Dieser Blog ist einer von drei Blogartikel, welche die spezifischen Chancen und Anwendungen von KI im IT-Betrieb, Service Management und aus der Sicht der IT-Security beleuchten.

Ein besonderes Highlight wird dann kurz nach den Sommerferien unserer für Endkunden reservierter virtueller Breakfast Event sein, bei dem wir in einem interaktiven online Meeting einen Erfahrungsaustausch zwischen den Teilnehmern und atrete ermöglichen. Hier haben Sie die Gelegenheit, von den Erfahrungen anderer zu lernen und Ihre eigenen Fragen und Ideen einzubringen.

Als Follower von atrete keinen Blog verpassen!

Folgen Sie uns auf LinkedIn, um keinen unserer spannenden Blog-Artikel zu verpassen.
Wir freuen uns darauf, diese faszinierende Reise mit Ihnen zu beginnen und die vielfältigen Möglichkeiten der Künstlichen Intelligenz in der KI-gestützten IT-Transformation hin zu einer smarteren IT-Infrastruktur zu erkunden. Bleiben Sie dran für weitere Updates und inspirierende Einblicke in die Welt der KI.

Image for Design Thinking & IaC-Automatisierung: Mit klarem Fokus schneller Wirkung erzielen

Design Thinking & IaC-Automatisierung: Mit klarem Fokus schneller Wirkung erzielen
Image for atrete erweitert Beraterteam

atrete erweitert Beraterteam
Image for Wir gehören zu den besten Arbeitgebern der Schweiz!

Wir gehören zu den besten Arbeitgebern der Schweiz!
Image for Künstliche Intelligenz im Service Management

Künstliche Intelligenz im Service Management
alle News