Keine Kür: Daten- und KI-Governance

Wenn aus der lästigen Pflicht eine strategische Notwendigkeit wird (inkl. Checkliste)

Image:

Bild: Getty Images / Credits: Saksit Sangtong

Die wachsende Bedeutung von Daten und künstlicher Intelligenz (KI) stellt Unternehmen vor neue Herausforderungen – und macht ein durchdachtes Governance-Konzept zur strategischen Notwendigkeit. Was früher als lästige Compliance-Aufgabe abgetan wurde, entwickelt sich heute zur strategischen Notwendigkeit. In diesem Beitrag erfahren Sie, wie Unternehmen den Spagat zwischen Innovation, Sicherheit und regulatorischen Anforderungen meistern können – und warum eine starke Daten- und KI-Governance mehr ist als bloße Pflichtübung.

Compliance im KI-Zeitalter

Laut der Cisco 2025 Data Privacy Benchmark Study glauben immer mehr Unternehmen, dass globale Anbieter Daten besser schützen können als lokale.

Dev Stahlkopf, Chief Legal Officer bei Cisco, sagt in einem Interview: “Unsere Studie zeigt jedoch eine interessante Dualität auf. Beachtliche 90 Prozent der Befragten sind der Meinung, dass Daten grundsätzlich sicherer sind, wenn sie lokal innerhalb der Landesgrenzen gespeichert werden. Gleichzeitig glauben 91 Prozent, dass globale Anbieter einen besseren Datenschutz bieten.”

Allerdings halten fast alle der Befragten (99 %) externe Datenschutzzertifizierungen bei der Auswahl eines Anbieters für wichtig.

86 % sind zudem der Ansicht, dass strenge Datenschutzgesetze positiv auf ihr Unternehmen ausgewirkt haben. Stahlkopf bestätigt: “Der Datenschutz spielt in dieser neuen Ära des Wandels eine entscheidende Rolle, insbesondere im Hinblick auf Vertrauen und Sicherheit. KI ist stark auf Daten angewiesen, und die Gewährleistung des Datenschutzes ist für die Aufrechterhaltung dieses Vertrauens von entscheidender Bedeutung.”

Harvey Jang, Vice President, Deputy General Counsel, and Chief Privacy Officer bei Cisco schreibt in einem Blogpost: “Datenschutzgesetze sind nach wie vor eine Säule des Vertrauens für Unternehmen und Kunden gleichermaßen. Seit der Einführung der Datenschutz-Grundverordnung (DSGVO) durch die Europäische Union haben mehr als 160 Länder die DSGVO als Vorlage für die Erstellung ihrer eigenen Datenschutzgesetze genutzt.”

Jang schreibt weiter: “Regulierung schafft Vertrauen, aber auch Komplexität. Ohne einheitliche Rechtsvorschriften in allen Ländern stellt das regulatorische Flickwerk eine Herausforderung für globale Unternehmen dar – oft behindert es einen effizienten Betrieb und erfordert maßgeschneiderte Compliance-Lösungen über Grenzen hinweg. Daher herrscht unter den Branchenführern ein erheblicher Konsens über den geschäftlichen Wert der Interoperabilität, wobei die Notwendigkeit einer optimierten Daten-Governance-Struktur betont wird.”

Künstliche Intelligenz bringt neue Risiken für den Datenschutz und die Sicherheit mit sich. Wird der Einsatz von KI nicht kontrolliert, besteht die Gefahr, dass sensible Informationen veröffentlicht oder missbraucht werden.

“Eine effektive KI-Governance ist ein kontinuierlicher Prozess, kein Ziel. … KI kann der Gesellschaft enorme Fortschritte in Wissenschaft, Medizin, Nachhaltigkeit und vielen anderen Bereichen bringen. Aber nur, wenn wir sicherstellen, dass sie so entwickelt und eingesetzt wird, dass Vertrauen und Integrität gewahrt bleiben”, ist sich Stahlkopf sicher.

“Vorausschauende Unternehmen verstehen, dass Datenschutz und KI-Governance sich ergänzen und voneinander abhängig sind”, schreibt auch Jang.

Image

Description

Harvey Jang ist Vice President, Deputy General Counsel und Chief Privacy Officer beu Cisco Legal (Quelle: Cisco)

Schlecht gepflegte Daten und der unkontrollierte Einsatz von KI-Werkzeugen kann zu Verzerrungen, schlechten Ergebnissen, Halluzination und Inkonsistenzen führen – was sich im schlimmsten Fall auf das Leben von Menschen auswirken könnte. Damit werden Compliance-Maßnahmen zur geschäftlichen Notwendigkeit und sind eine strategische Investition in die Sicherheit – und das Vertrauen der Kunden und Mitarbeitenden.

KI außer Kontrolle

Darren Guccione, CEO und Mitgründer von Keeper Security, sagt: “Da Unternehmen zunehmend künstliche Intelligenz (KI) und Automatisierung einsetzen, ist die Zahl der nicht-menschlichen Identitäten (NHIs) wie Bots, Dienstkonten und KI-Agenten weit über das Maß der menschlichen Belegschaft hinausgewachsen. Diese digitalen Entitäten interagieren nun mit sensiblen Systemen, treffen eigene autonome Entscheidungen und haben oft Zugriff auf kritische Daten. Das hat zur Folge, dass eine stark erweiterte und oft übersehene Angriffsfläche entsteht, auf deren Verteidigung nur wenige Unternehmen vorbereitet sind.”

Image

Description

Darren Guccione ist CEO und Co-Founder von Keeper Security. (Quelle: Keeper Security)

Dazu kommt ein weiteres, nicht zu unterschätzendes Risiko ist die sogenannte Schatten-KI – die nicht genehmigte und unkontrollierte Nutzung von KI in einem Unternehmen.

In einer Zeit, in der Effizienzgewinne durch generative KI zum persönlichen Wettbewerbsvorteil werden, greifen Mitarbeitende gern zur Selbsthilfe, wenn offizielle Lösungen fehlen oder effizient bzw. zu restriktiv sind: Öffentliche KI-Werkzeuge können frei verfügbar ohne größere Hürden genutzt werden.

Oft wissen die Sicherheitsverantwortlichen gar nicht, welche und wie viele KI-Tools oder -Funktionen von den Mitarbeitenden im Unternehmen genutzt werden. Damit steigt die Gefahr, dass sensible Daten wie personenbezogene Daten oder Geschäftsgeheimnisse ‘verraten’ werden. Erste Organisationen haben bereits reagiert und Tools wie ChatGPT intern verboten oder zumindest deren Nutzung eingeschränkt, nachdem vertrauliche Daten versehentlich weitergegeben wurden.

Der 2026 CISO AI Risk Report Germany von Sviynt belegt massive Governance-Lücken in deutschen Unternehmen:

93 Prozent der befragten IT- und Security-Entscheider (CISOs/CIOs) bestätigen, dass KI-Identitäten bereits heute Zugriff auf Kernsysteme wie SAP, Salesforce oder ServiceNow haben.
Nur ein Viertel steuert diese Zugriffe mit klaren Richtlinien.
Mehr als die Hälfte der Unternehmen hat keine vollständige Übersicht über KI-Identitäten.
76 Prozent der Befragten haben unsanktionierte KI-Tools entdeckt, oft mit eingebetteten Zugangsdaten und erhöhten Berechtigungen.

Dabei ist Schatten-KI nicht unbedingt ein Ausdruck von böswilliger Absicht. Die Verantwortlichen in einer Organisation sollten es eher als Indikator für unbefriedigte Nutzerbedürfnisse und ineffektive IT-Freigabeprozesse sehen. Unsere Best Practices setzen daher nicht auf bloße Verbote – was die Nutzung lediglich in den unsichtbaren Bereich verlagern würde – sondern auf kontrollierte Befähigung.

KI-Governance Best Practices

Mit der Bereitstellung DSGVO-konformer Enterprise-Alternativen, klaren Governance-Richtlinien (Leitplanken), lebendigen Rollen- und Berechtigungskonzepten, Echtzeitüberwachung und dynamischen Freigabeprozessen wird aus der riskanten KI eine strukturierte Innovationskraft.

Wir haben für Sie eine Checkliste zusammengestellt:

Inventarisieren Sie alle in Ihrer Organisation verwendeten Anwendungen, Dienste, Agenten, etc. Nutzen Sie automatisierte Scans und überwachen Sie den gesamten Netzwerkverkehr, Datenzugriffe und Nutzungsmuster mit Hilfe automatisierter Werkzeuge (XDR-Systeme). Das hilft Ihnen, zum Beispiel Schatten-KI zu identifizieren und Missbrauch frühzeitig zu erkennen.

“Kontinuierliche Audits und die Verhaltensüberwachung werden sich als Standardpraxis etablieren, um Missbrauch frühzeitig zu identifizieren, noch bevor es zu Kompromittierungen führt”, ist sich Guccione sicher.

Er sagt weiter: “Ohne einen zentralisierten Echtzeit-Überblick darüber, wer oder was Zugriff auf Systeme hat, kann man weder der Durchsetzung von Richtlinien noch der Automatisierung trauen.”

Etablieren Sie strenge Zugangs- und Zugriffskontrollen nach dem Least-Privilege-Concept (Zugriff mit geringsten Rechten). Überprüfen Sie die Berechtigungen regelmäßig. Automatisieren Sie den Umgang mit inaktiven Accounts, Diensten oder Agenten. Für NIHs müssen dieselben Rechte und Pflichten gelten wie für ihre menschlichen Kollegen.

“Cybersecurity-Verantwortliche, die nicht-menschliche Identitäten mit derselben Strenge verwalten wie Mitarbeiterkonten, werden die Fehler vermeiden, die in der Vergangenheit zu Verstößen in der Lieferkette und durch Insider geführt haben”, sagt auch der Keeper-CEO. “Unternehmen werden sich zunehmend auf eine Vereinheitlichung der Identitätskontrolle für Menschen und Maschinen konzentrieren … Zero-Trust- und moderne Lösungen für das Privileged Access Management mit leistungsfähigen Funktionen zur Geheimsnisverwaltung werden nicht mehr nur die Best-Practise-Vorgehensweise sein, sondern sich zu einer operativen Notwendigkeit entwickeln.”

Entwickeln und kommunizieren Sie klare Richtlinien für die KI-Nutzung inkl. Datenverarbeitung: Was ist erlaubt und was nicht?

Vereinfachen Sie den Genehmigungsprozess und kommunizieren Sie deutlich, warum ein KI-Tool ggf. nicht genehmigt wird. Stellen Sie Ihren Mitarbeitenden genehmigte und sichere Alternativen zur Verfügung.

Führen Sie regelmäßige Risikoprüfungen durch: Bewerten Sie bereits genehmigte und evaluieren Sie neu am Markt verfügbare Tools. Integrieren Sie KI-Anwendungen und -Agenten in Ihr Angriffsflächen- und Schwachstellenmanagement.

Bewerten Sie auch den Anbieter eines KI-Tools regelmäßig. Folgende Fragen helfen Ihnen dabei:

Ist der KI-Anbieter vertrauenswürdig?
Wo und wie werden die Daten verarbeitet?
Wie gelangen die Daten dorthin?

Schulen Sie Ihre Mitarbeitenden zur KI-Nutzung. Schaffen Sie einen geschützten Raum (Sandbox), in dem Mitarbeitende mit KI experimentieren dürfen. Etablieren Sie eine Fehlerkultur. Geben Sie den Mitarbeitenden ein einfaches Regelwerk an die Hand (z. B. eine Ampel für die Datennutzung: Grün für unkritische Informationen, Gelb für interne und Rot für sensible Daten).

„Die Frage ist nicht mehr, ob KI kommt, sondern wie wir sie sicher steuern“, mahnt Josef Nemecek, CTO DACH von Saviynt.