KI als blinden Fleck im Unternehmensrisiko.
Die meisten Unternehmen können nicht sagen, wie schnell sie ein KI-System in einer Krise stoppen könnten – und viele könnten danach nicht erklären, was schiefgelaufen ist.
Zusammenfassung (TL; DR):
- KI-Technologie wird in europäischen Unternehmen in rasantem Tempo eingeführt, aber viele haben sie ohne die passende Governance- und Sicherheitsinfrastruktur implementiert.
- Auf die Frage, wie schnell ihr Unternehmen ein KI-System im Falle eines Sicherheitsvorfalls stoppen könnte, gaben fast drei Fünftel (59 %) der Befragten an, dies nicht zu wissen
- Daten deuten darauf hin, dass viele Unternehmen das KI-Risiko weiterhin als ein technologisches Problem und nicht als eine unternehmensweite Governance-Herausforderung betrachten.
KI-Technologie wird in europäischen Unternehmen in rasantem Tempo eingeführt, aber viele haben sie ohne die passende Governance- und Sicherheitsinfrastruktur implementiert. Das geht aus einer neuen Studie von ISACA hervor, dem globalen Berufsverband für Fachleute im Bereich digitales Vertrauen. Die Ergebnisse basieren auf einer Vorabveröffentlichung der ISACA AI Pulse Poll 2026, für die Fachleute für digitales Vertrauen in Europa befragt wurden. Sie verdeutlichen eine signifikante und wachsende Kluft zwischen der schnellen KI-Einführung und der organisatorischen Bereitschaft, die damit verbundenen Risiken zu managen.
Das KI-Kontrollproblem
Auf die Frage, wie schnell ihr Unternehmen ein KI-System im Falle eines Sicherheitsvorfalls stoppen könnte, gaben fast drei Fünftel (59 %) der Befragten an, dies nicht zu wissen. Nur ein Fünftel (21 %) sagte, sie könnten dies innerhalb einer halben Stunde tun. Dies deutet darauf hin, dass bei der Mehrheit der Unternehmen ein kompromittiertes oder fehlerhaftes KI-System länger als eine halbe Stunde unkontrolliert weiterarbeiten könnte.
Angesichts der zunehmenden Integration von KI-Systemen in zentrale Geschäftsprozesse stellen die Ergebnisse die operative Vorbereitung infrage. Das Fehlen klarer Reaktionsverfahren hat direkte Auswirkungen auf das regulatorische Risiko, den Ruf des Unternehmens und die Kontinuität der Prozesse und Dienstleistungen, die diese Systeme unterstützen.
Das Verständnisproblem
Die Studie deckt noch eine weitere Lücke auf: Unternehmen können nicht nur ein KI-System im Notfall kaum stoppen, sie sind oft auch nicht in der Lage, danach zu verstehen und zu erklären, was vorgefallen ist. Weniger als die Hälfte (42 %) der Befragten äußern Vertrauen in die Fähigkeit ihres Unternehmens, einen schwerwiegenden KI-Vorfall zu untersuchen und der Führungsebene oder den Aufsichtsbehörden zu erklären, und nur elf Prozent sind vollkommen zuversichtlich.
Dies ist besonders bedeutsam, da die Regulierung nun in Kraft tritt. Das EU-KI-Gesetz, das sich nun in der Durchsetzungsphase befindet, stellt explizite Anforderungen an Erklärbarkeit und Rechenschaftspflicht. Diese Verpflichtungen erfordern nicht nur technische Kontrollen, sondern auch Governance-Strukturen, Audit-Pfade und – was am wichtigsten ist – Fachleute mit den Fähigkeiten, das Verhalten von KI-Systemen zu interpretieren und zu kommunizieren. Die ISACA-Befragung legt nahe, dass diese Fähigkeiten noch nicht in großem Umfang vorhanden sind.
Die Ursache: Eine Governance, die nicht Schritt gehalten hat
Diese Ergebnisse deuten auf ein tieferliegendes strukturelles Problem hin. In einem Drittel der Unternehmen (33 %) müssen Mitarbeitende nicht offenlegen, wann sie KI für ihre Arbeit nutzen. Dies führt zu erheblichen Transparenzlücken, da unklar bleibt, wo und wie KI tatsächlich eingesetzt wird.
Weitere 20 Prozent der Befragten wissen nicht, wer zur Rechenschaft gezogen würde, wenn ein KI-System Schaden verursacht. Nur 38 Prozent identifizieren dafür den Vorstand oder eine Führungskraft. Diese Erkenntnis steht im Widerspruch zur Ausrichtung der Regulierung, die weitgehend darauf abzielt, die Rechenschaftspflicht bei der obersten Führungsebene anzusiedeln.
Auf den ersten Blick scheint die Lage bei der Aufsicht durchaus beruhigend. 40 Prozent der Befragten geben an, dass die meisten KI-generierten Aktionen vor der Ausführung durch Menschen genehmigt werden. Weitere 26 Prozent überprüfen Entscheidungen im Nachhinein. Ohne die unterstützende breitere Governance-Infrastruktur könnte die menschliche Aufsicht allein jedoch nicht ausreichen, um Probleme zu erkennen oder zu beheben, bevor sie eskalieren.
Die Daten deuten darauf hin, dass viele Unternehmen das KI-Risiko weiterhin als ein technologisches Problem und nicht als eine unternehmensweite Governance-Herausforderung betrachten. Dies ist nicht nachhaltig, insbesondere in einer Zeit, in der Künstliche Intelligenz zunehmend Entscheidungen, Ergebnisse und Kundeninteraktionen in allen Unternehmensbereichen prägt.
Chris Dimitriadis, Chief Global Strategy Officer bei ISACA, sagt: „Die Studie spiegelt wider, dass unser Innovationsdrang nicht von unserem Willen begleitet wird, den Wandel zu steuern. Das setzt uns kritischen Risiken aus. Die Werkzeuge zur verantwortungsvollen Steuerung von KI existieren bereits. Risikomanagement, präventive Kontrollen, Erkennungsmechanismen, Reaktion auf Vorfälle und Wiederherstellungsstrategien sind die Grundlagen guter Cybersicherheitspraktiken. Und sie müssen mit der gleichen Strenge und Dringlichkeit auf Künstliche Intelligenz angewendet werden.“
Er ergänzt: „Die Kluft zwischen Implementierung und Governance schließt sich nicht, sie wird größer. Unternehmen müssen schnell handeln. Das beginnt damit, festzulegen, wer rechenschaftspflichtig ist, die Fähigkeit zur Reaktion auf Vorfälle aufzubauen und durch Audits die nötige Transparenz über die KI-Nutzung zu schaffen, um eine Kultur der sinnvollen Aufsicht zu fördern. Aber die Lücke wirklich zu schließen, kann nicht allein durch Prozessänderungen erreicht werden. Vielmehr erfordert es Fachleute, die das Fachwissen haben, KI-Risiken rigoros zu bewerten, die Aufsicht über den gesamten Lebenszyklus zu verankern und dies in Entscheidungen umzusetzen, die vor dem Vorstand und den Aufsichtsbehörden bestehen. Die Unternehmen, die dies richtig machen, sind diejenigen, die sich auf das Vertrauen der Kundinnen, Kunden und aller Stakeholder konzentrieren und die durch nachhaltige Innovationen führen werden.“
