Da Unternehmen Cybersicherheit in ihre GRC (Governance, Risk & Compliance)-Prozesse integrieren, müssen bestehende Programme überarbeitet werden. Nur so lässt sich sicherstellen, dass der zunehmende Einsatz und die Risiken von Generative und Agentic AI Berücksichtigung finden – und Unternehmen compliant bleiben.

Die Risiken, die mit KI einhergehen, sind schwierig zu quantifizieren. Aktuelle Daten liefern jedoch Anhaltspunkte. So geht aus dem “AI Security Report 2025” (Download gegen Daten) des Sicherheitsanbieters Check Point hervor, dass jede 80. Anfrage, die von Unternehmensgeräten an GenAI-Dienste gesendet wurde, ein hohes Risiko für den Verlust sensibler Daten aufweist.

CISOs stehen dabei vor der speziellen Herausforderung, mit den Innovationsanforderungen des Unternehmens Schritt zu halten und gleichzeitig den KI-Einsatz unter Berücksichtigung der Risiken abzusichern.

KI trifft GRC

Governance, Risk & Compliance ist ein Konzept, das Anfang der 2000er Jahre von der Open Compliance and Ethics Group (OCEG) entwickelt wurde, um eine Reihe kritischer Fähigkeiten zu definieren. Seitdem hat sich GRC von Regeln und Checklisten mit Schwerpunkt auf Compliance zu einem umfassenderen Ansatz für das Risikomanagement entwickelt. Datenschutzanforderungen, die zunehmende Regulierung, die Bemühungen um digitale Transformation und die Fokussierung auf die Führungsebene haben diesen Wandel vorangetrieben.

Gleichzeitig ist Cybersicherheit zu einem zentralen Unternehmensrisiko geworden. Angesichts der zunehmenden Verbreitung von KI, gilt es nun, auch diese neue Risikokategorie in GRC-Frameworks zu integrieren. Branchenumfragen deuten jedoch darauf hin, dass es bis dahin noch ein weiter Weg ist: Laut Lenovos “CIO Playbook 2025” (Download gegen Daten) haben bislang nur 24 Prozent der Unternehmen umfassende Richtlinien für KI-GRC eingeführt – obwohl KI-Governance und Compliance bei den Befragten oberste Priorität genießen.

Um eine risikobewusste Einführung von KI zu unterstützen, rät Rich Marcus, CISO bei AuditBoard, seinen Berufskollegen, eine möglichst breite Akzeptanz für das Risikomanagement im gesamten Unternehmen zu fördern: “Um KI-Risiken erfolgreich zu managen, ist es wirklich wichtig, eine kooperative Einstellung an den Tag zu legen und den Mitarbeitern zu vermitteln, dass alle gemeinsam an einem Strang ziehen müssen”. Dieser Ansatz könne dazu beitragen, Transparenz darüber zu schaffen, wie und wo KI im Unternehmen eingesetzt wird.

Jamie Norton, CISO der australischen Börsenaufsicht ASIC, merkt jedoch an: “Jedes einzelne Produkt, das Sie heutzutage einsetzen, enthält irgendeine Form von KI. Und es gibt kein Governance-Forum, das alle verschiedenen Formen erfasst”. Norton empfiehlt CISOs deshalb, strategische und taktische Ansätze zu entwickeln, um:

• die verschiedenen Arten von KI-Tools zu definieren,
• die relativen Risiken zu erfassen, sowie
• den potenziellen Nutzen in Bezug auf Produktivität und Innovation abzuwägen.

Um mit kleineren KI-Tools umzugehen, sind laut Norton taktische Maßnahmen wie Secure-by-Design-Ansätze, Initiativen, um Schatten-KI zu erkennen oder risikobasierte KI-Bestandsaufnahmen und -Klassifizierungen praktische Möglichkeiten. CISOs können dann ihre Ressourcen auf die Risiken mit dem größten Impact konzentrieren, ohne schwerfällige oder unpraktikable Prozesse zu schaffen, wie Norton erklärt. “Die Idee ist nicht, alles so zu verzögern, dass fast nichts mehr geht. Es handelt sich also eher um einen relativ schlanken Prozess, bei dem die Risikoüberlegungen entweder zur Freigabe der KI führen oder zum Gegenteil”.

Letztendlich sei es Aufgabe der Sicherheitsverantwortlichen, KI unter Verwendung von Governance und Risiko als Teil des umfassenderen GRC-Frameworks aus Sicherheitsperspektive zu betrachten. “Heutzutage geht es nicht mehr darum, dass CISOs ‚Ja‘ oder ‚Nein‘ sagen. Es geht vielmehr darum, die Risiken bestimmter Maßnahmen transparent zu machen und dann dem Unternehmen und der Geschäftsleitung die Entscheidung über diese Risiken zu überlassen.”

Frameworks für KI erweitern

KI-bezogene Risiken sollten als eigene Kategorie im Risikoportfolio des Unternehmens definiert und in die GRC-Säulen integriert werden, schlägt Dan Karpati, VP of AI Technologies bei Check Point, vor. Sein Konzept sieht vier solcher Säulen vor:

• Enterprise Risk Management definiert die Risikobereitschaft im Bereich KI und richtet einen KI-Governance-Kommittee ein.
• Model Risk Management überwacht Modellabweichungen, Verzerrungen und Adversarial Testing.
• Operational Risk Management umfasst Notfallpläne für KI-Ausfälle und Schulungen für menschliche Aufsichtspersonen.
• IT Risk Management umfasst regelmäßige Audits, Compliance-Prüfungen für KI-Systeme, Governance-Rahmenwerke und die Ausrichtung auf die Geschäftsziele.

Um diese Risiken abzubilden, können CISOs beispielsweise das NIST AI Risk Management Framework (oder andere Rahmenwerke wie COSO und COBIT) heranziehen und deren Kernprinzipien auf KI anwenden. Etwa, wenn es um probabilistische Ergebnisse, Datenabhängigkeit, undurchsichtige Entscheidungsfindungen, Autonomie und schnelle Weiterentwicklung geht. Der relativ junge Benchmark ISO/IEC 42001 bietet zudem einen strukturierten Rahmen für KI-Monitoring und -Kontrolle, der Governance- und Risikopraktiken über den gesamten KI-Lebenszyklus hinweg verankern soll.

Diese Frameworks anzupassen, bietet eine Möglichkeit, die Diskussion über KI-Risiken zu verbessern, die Risikobereitschaft im Bereich KI an die übergeordnete Risikotoleranz des Unternehmens anzupassen und eine robuste KI-Governance in allen Geschäftsbereichen zu verankern. “Anstatt das Rad neu zu erfinden, können Sicherheitsverantwortliche KI-Risiken so konkreten geschäftlichen Auswirkungen zuordnen”, meint Karpati.

KI-Risiken lassen sich darüber hinaus auch anderen potenziellen Risiken zuordnen. Etwa dem Potenzial für: 

• finanzielle Verluste durch Betrug oder fehlerhafte Entscheidungen,
• Reputationsschäden durch Datenschutzverletzungen,
• Bias-behaftete Ergebnisse und damit zusammenhängender Kundenunzufriedenheit,
• Betriebsstörungen durch schlechte Integration mit Legacy-Systemen, oder
• rechtliche und regulatorische Strafen.

Um die Wahrscheinlichkeit eines KI-bezogenen Ereignisses zu bewerten, den finanziellen Verlust einzuschätzen und Risikokennzahlen zu ermitteln, können CISOs auf Frameworks wie FAIR zurückgreifen.

AuditBoard-CISO Marcus empfiehlt Sicherheitsentscheidern zudem, Branchennetzwerke zu nutzen und sich auch mit Kollegen anderer Unternehmen auszutauschen: “Es ist hilfreich zu wissen, welche Risiken sich in der Praxis zeigen und was andere Unternehmen geschützt hätte. Nur so lassen sich gemeinsam wichtige Kontrollen und Verfahren entwickeln, die die Branche in ihrer Gesamtheit widerstandsfähiger macht.”

Neue Governance-Richtlinien entwickeln

CISOs müssen jedoch nicht nur Risiken definieren und die Compliance managen, sondern auch neue Governance-Richtlinien entwickeln, wie Marcus unterstreicht: “Eine effektive Governance braucht Richtlinien für die akzeptable Nutzung von KI. Eines der ersten Ergebnisse eines Bewertungsprozesses sollte sein, Verhaltensregeln für Ihr Unternehmen festzulegen”. Um KI-Tools für die interne Verwendung zu klassifizieren, schlägt der Sicherheitsentscheider ein Ampelsystem vor. Dabei:

• sind „grüne“ Tools geprüft und genehmigt,
• erfordern „gelbe“ Tools eine zusätzliche Bewertung,
• verfügen „rote“ Tools nicht über die erforderlichen Schutzmaßnahmen und sind damit untersagt.

Marcus empfiehlt CISOs und ihren Teams zudem, im Voraus Leitprinzipien festzulegen, das Unternehmen über die wichtigen Aspekte aufzuklären und die Teams bei der Selbstkontrolle zu unterstützen, indem sie Dinge herausfiltern, die nicht dem Standard entsprechen.

ASIC-CISO Norton warnt, dass die Sicherheitsteams nun, da die glänzende Oberfläche der KI für jedermann zugänglich sei, ihren Fokus auf das richten müssten, was darunter vor sich geht. “Als CISOs wollen wir Innovationen nicht behindern, aber wir müssen Leitplanken setzen, damit wir nicht ins Leere laufen und unsere Daten verloren gehen”, meint der Manager. (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.