Illustration Absmeier foto freepik

Globale Technologien und lokale Gesetze erfordern verantwortungsvollen Umgang mit KI.

Die Entwicklung von künstlicher Intelligenz schreitet weiter voran, doch weltweit fehlt es an einheitlichen Vorgaben. Während die EU mit dem AI Act und der Datenschutzgrundverordnung (DSGVO) zwei rechtlich verbindliche Regelwerke geschaffen hat, gibt es international viele Lücken. Für global tätige Unternehmen bedeutet das vor allem eines: Unsicherheit.

»Darauf zu setzen, dass Regulierungsbehörden rechtzeitig liefern, funktioniert nicht«, sagt Roman Kilun, Chief Compliance Officer beim Softwareanbieter für intelligente Automatisierung ABBYY. »Unternehmen müssen verstehen, wie ihre KI-Systeme funktionieren, und selbst Verantwortung übernehmen.« Es geht um Einblick in Datenflüsse, lückenlose Prüfpfade und Systeme zur laufenden Überwachung.

Transparenz und Kontrolle statt intransparenter Systeme

Künstliche Intelligenz ist längst Teil operativer Abläufe. Je weiter ihre Integration voranschreitet, desto klarer wird: Ohne wirksames Risikomanagement geraten Unternehmen in rechtliche, wirtschaftliche und gesellschaftliche Konflikte. Besonders der Einsatz sogenannter agentenbasierter Systeme – etwa bei Entscheidungsfindung oder Prozessautomatisierung – verlangt nach Kontrollmechanismen.

Ein zentrales Thema bleibt die Transparenz. Systeme, deren Logik sich nicht nachvollziehen lässt, bergen Missbrauchspotenzial und gefährden das Vertrauen. Die öffentliche Debatte um Amazons kassenlose Geschäfte, in denen KI-gestützte Entscheidungen offenbar auch durch Menschen beeinflusst wurden, hat die Problematik offengelegt. Die Kritik richtete sich dabei nicht gegen die menschliche Kontrolle, sondern gegen fehlende Offenlegung. Gerade wenn personenbezogene Daten verarbeitet werden, ist eine verständliche und vollständige Offenlegung notwendig. Vage Angaben wie »Verwendung zu Trainingszwecken« genügen nicht.

Risiken erkennen, bevor sie entstehen

Mit dem AI Act verfolgt die EU einen risikobasierten Ansatz. Systeme im Gesundheitswesen, der Strafverfolgung oder dem Finanzsektor gelten als Hochrisiko-Anwendungen und unterliegen strengeren Auflagen. Hier sind nachvollziehbare Dokumentationen, menschliche Aufsicht und die Möglichkeit zur Kontrolle verpflichtend. Weniger kritische Systeme müssen hingegen nur grundlegende Anforderungen erfüllen, etwa zur Transparenz oder Datensicherheit.

Gerade bei Hochrisiko-Anwendungen ergibt sich für Unternehmen ein erheblicher Handlungsbedarf. Ähnlich wie bei der Einführung der DSGVO sind interne Audits, Dokumentationspflichten und externe Prüfungen erforderlich. Die Kosten sind hoch, doch die Risiken durch unzureichende Compliance wiegen schwerer. Verstöße führen nicht nur zu hohen Bußgeldern, sondern gefährden auch das Vertrauen von Kunden, Partnern und Öffentlichkeit.

Externe Abhängigkeiten im Blick behalten

Viele Unternehmen greifen auf Modelle oder Tools von Drittanbietern zurück. Das erhöht die Komplexität und den Abstimmungsaufwand. Laut der Unternehmensberatung Accenture sehen 39 Prozent der Führungskräfte in der Zusammenarbeit mit externen Partnern die größte Herausforderung bei der Umsetzung von KI-Vorgaben. Klare Zuständigkeiten und transparente Prozesse entlang der Lieferkette werden damit zu einem zentralen Bestandteil jeder KI-Strategie.

Hilfreich sind praxisnahe Orientierungsrahmen wie etwa das Modell der Organisation ForHumanity. Es unterstützt Unternehmen bei der Etablierung unabhängiger Audits und flexibler Governance-Strukturen, die sich an veränderte Rahmenbedingungen anpassen lassen. Gerade bei komplexen Systemen mit mehreren Beteiligten ist das entscheidend.

Mensch und Maschine im richtigen Verhältnis

Menschliche Aufsicht bleibt unverzichtbar. Algorithmen können Prozesse beschleunigen und Entscheidungen vorbereiten. Sie sollten aber nicht anstelle menschlichen Urteils handeln. Unternehmen, die auf eine Kombination aus technischer Effizienz und menschlicher Kontrolle setzen, schaffen belastbare Strukturen und bewahren ethische Maßstäbe in sensiblen Bereichen.

Technologische Eigenständigkeit gewinnen

Auch geopolitische Fragen beeinflussen den Umgang mit KI. Frankreich unterstützt aktiv den Aufbau eigener Infrastruktur und treibt mit der Partnerschaft zwischen Mistral AI und Nvidia ein nationales Rechenzentrumsprojekt voran. Präsident Macron bezeichnete das Vorhaben im Juni 2025 als einen »Kampf um Souveränität und Autonomie«. Mit dem geplanten Einsatz von 18.000 Hochleistungs-GPUs entsteht nahe Paris eine Alternative zu US-amerikanischen Hyperscalern wie Amazon Web Services, Microsoft Azure oder Google Cloud.

Das Projekt steht exemplarisch für Europas Bestreben, zentrale Technologiekompetenzen nicht nur zu nutzen, sondern auch unabhängig zu kontrollieren. Nationale Rechenzentren gewinnen dabei strategisch an Bedeutung – als Hebel zur Sicherung wirtschaftlicher Stabilität und technologischer Eigenständigkeit.

Verantwortung zeigt sich im Handeln

Künstliche Intelligenz stellt Unternehmen nicht nur vor technische und regulatorische Fragen, sondern auch vor eine Grundsatzentscheidung: aktiv gestalten oder passiv reagieren. In einem Umfeld, das noch keine globalen Standards kennt, braucht es klare interne Strukturen und den Mut zur eigenen Positionierung.

Unternehmen, die heute in nachvollziehbare Prozesse, transparente Systeme und wirksame Kontrollmechanismen investieren, schaffen nicht nur Sicherheit. Sie machen KI zu einem vertrauenswürdigen Werkzeug – im Dienst von Geschäftserfolg, Regulierung und gesellschaftlicher Akzeptanz.

Wirksames KI-Risikomanagement

Globale Technologien und lokale Gesetze wie der EU AI Act oder die DSGVO erfordern ein formales, kontinuierliches Risikomanagement für KI-Systeme. Ein wirksames Framework besteht aus klar definierten Schritten, Rollen und Werkzeugen, um Risiken frühzeitig zu identifizieren, zu beurteilen und dauerhaft zu kontrollieren.

Kontinuierlicher Vier-Schritte-Prozess

Schritt	Ziel
1. Risikoidentifizierung	Alle bekannten und vorhersehbaren Risiken aufspüren
2. Risikoanalyse & ‑bewertung	Eintrittswahrscheinlichkeit und potenzielle Schäden bewerten
3. Risikominderung	Technische und organisatorische Gegenmaßnahmen implementieren
4. Kontinuierliche Aktualisierung	Laufende Überprüfung, Audits und Anpassung der Maßnahmen

Jeder dieser Schritte ist iterativ und muss den kompletten Lebenszyklus des KI-Systems abdecken.

Risiken verstehen und klassifizieren

Ein praxisnaher Ansatz unterteilt KI-Risiken in vier Hauptkategorien:

Kategorie	Beispiele
Datenrisiken	Verzerrungen (Bias), Datenmanipulation, Datenschutzverletzungen
Modellrisiken	Adversarial Attacks, Prompt-Injektionen, mangelnde Interpretierbarkeit
Operationelle Risiken	Modelldrift, Systemausfälle, Integrationsprobleme
Ethische & rechtliche Risiken	Diskriminierung, Nichteinhaltung gesetzlicher Vorgaben, Transparenzdefizite

Wird keine aktive Gegensteuerung betrieben, drohen finanzielle Verluste, Reputations- und Compliance-Schäden.

Governance & Compliance

Regulatorische Rahmenwerke – EU AI Act (Artikel 9: Risikomanagementpflicht für Hochrisiko-KI) – NIST AI Risk Management Framework (AI RMF) – ISO/IEC-Standards (z. B. ISO/IEC 42001 für KI-Managementsysteme)
Rollen & Verantwortlichkeiten
1. KI-Steering Committee: definiert Strategie und Richtlinien
2. Data Owners: gewährleisten Datenqualität und -schutz
3. KI-Entwicklungsteam: implementiert technische Controls
4. Compliance & Audit: führt regelmäßige Prüfungen durch
Dokumentation & Reporting Lückenlose Protokollierung aller Risiken, Bewertungen und Maßnahmen für Audits und Behörden.

Technische & organisatorische Gegenmaßnahmen

Daten-Governance:
• Versionierung, Provenienz und Bereinigung von Trainingsdaten
• Privacy-Enhancing Technologies (PETs) wie Differential Privacy
Modell-Hardening:
• Adversarial Training gegen böswillige Manipulationen
• Explainable AI (XAI) zur Nachvollziehbarkeit von Entscheidungen
Kontinuierliches Monitoring:
• Drift-Detection-Mechanismen überwachen Eingabe- und Leistungsänderungen
• Live-Logging und Anomalie-Alerts für Echtzeit-Eingriffe
Awareness & Training:
• Schulungen zu Ethik, Bias-Erkennung und Notfall-Prozessen
• Simulierte Incident-Response-Übungen für KI-Ausfälle

Tools und Frameworks

Tool/Framework	Einsatzgebiet	Kommentar
IBM AI Fairness 360	Bias-Detection und Metriken	Open-Source, unterstützender Toolkit
Microsoft Responsible AI Toolkit	Modellmonitoring, Fairness, Explainability	SDK für Python und .NET
WhiteSource for AI	Supply-Chain-Risikoanalysen	Scannt externe Komponenten auf Schwachstellen
ServiceNow GRC with GenAI	Automatisierte Compliance und Reporting	Integriert KI in GRC-Workflows

Weiterführende Themen

Agile Methoden im KI-Risikomanagement
Zertifizierungsprozesse für KI-Modelle
Privacy-by-Design und Security-by-Design
Integration von Threat Intelligence in Modell-Operations

Genki Absmeier

3951 Artikel zu „Risiko KI“

Ausgabe 5-6-2025 | News | Cloud Computing | IT-Security | Künstliche Intelligenz

KI zwingt Unternehmen, Abstriche in Sachen Hybrid-Cloud-Sicherheit zu machen – Public Cloud als größtes Risiko

27. Juni 2025

KI verursacht größeres Netzwerkdatenvolumen und -komplexität und folglich auch das Risiko. Zudem gefährden Kompromisse die Sicherheit der hybriden Cloud-Infrastruktur, weshalb deutsche Sicherheits- und IT-Entscheider ihre Strategie überdenken und sich zunehmend von der Public Cloud entfernen. Gleichzeitig gewinnt die Netzwerksichtbarkeit weiter an Bedeutung.