Im Zeitalter der KI: Unternehmensführung bedeutet, Vertrauen zu schützen
– Die Governance von KI muss sich auf Ergebnisse wie Integrität, Verantwortlichkeit, Transparenz und Resilienz konzentrieren.
– Die Vorstände müssen die KI-Transformation und Cybersicherheit zusammenführen, um sicherzustellen, dass die Teams Systeme von Anfang an gemeinsam entwerfen, anstatt sie nachträglich zu validieren.
– Vertrauenswürdige Governance erfordert unabhängige Führung, genaue AI/IT-Inventare und genuine Literacy auf Vorstandsebene, um langfristigen Wert zu sichern.
Die Herausforderungen der Governance im Jahr 2025
Die KI transformiert Unternehmen, die Cyberrisiken steigen und das Vertrauen in Institutionen steht unter Druck. Vor diesem Hintergrund stellt sich die Frage: Was bedeutet gute Governance im Jahr 2025? Governance bezieht sich auf die Strukturen, Systeme und Praktiken einer Organisation, die Entscheidungsbefugnisse zuweisen, definieren, wie Entscheidungen getroffen werden, und vor allem Fortschritte in Richtung der strategischen Ausrichtung der Organisation ermöglichen.
Governance wird oft als Bürokratie dargestellt, die Innovation behindert. Die Lösung liegt jedoch nicht in weiteren Verfahren, sondern in einer Rückbesinnung auf die Grundprinzipien: Die Ergebnisse zu definieren, die die Governance schützen soll – Integrität, Verantwortlichkeit, Transparenz und Resilienz – und dann rückwärts zu den minimalen Mechanismen zu arbeiten, die erforderlich sind, um diese zu erreichen.
Die Imperative für den Vorstand
Diese Neuausrichtung der Governance steht in direktem Zusammenhang mit den Herausforderungen, vor denen die Vorstände heute stehen. Die Vorstände sind die Wächter der Langlebigkeit eines Unternehmens. In den letzten zwei Jahren haben zwei Themen ihre Agenda dominiert: die Transformation mit KI und die Abwehr von Cyberrisiken.
Ein häufiger Fehler besteht darin, diese beiden Themen als getrennt zu behandeln. Die ständige Entwicklung der Bedrohungslandschaft zeigt jedoch ihre Schnittstelle: KI wird verwendet, um Cyberangriffe zu verstärken, und Cyberangriffe zielen auf KI-Systeme ab. Daher hängen vertrauenswürdige KI-Systeme von vielen der gleichen Disziplinen ab, die die Cybersicherheit definiert hat: Politik, Risiko, Kontrollen, Tests und Red-Teaming. Die Zusammenführung dieser Disziplinen ist nicht optional.
„By Design“ funktioniert nur, wenn Teams gemeinsam gestalten
Der Wandel kann jedoch nicht stattfinden, wenn die Teams isoliert bleiben. Es ist selten, dass die Leiter der Cybersicherheit Seite an Seite mit der Transformationsagenda eines Unternehmens arbeiten. Stattdessen werden sie oft als Validierer der Ergebnisse gesehen, die erst im letzten Moment zur Überprüfung des Sicherheitsstatus herangezogen werden. Dieses „nachträgliche“ Modell ist kostspielig und verlangsamt die Innovation. Was wäre, wenn wahre Geschwindigkeit und Effektivität daraus resultieren würden, dass die Teams für Cybersicherheit und (KI-)Transformation von Anfang an gemeinsam gestalten?
Öffentlich vs. privat: Die Pflicht zur Resilienz
Im privaten Sektor können Verbraucher mit ihren Füßen (oder Geldbeuteln) abstimmen, wenn sie das Vertrauen in einen Anbieter nach einem Vorfall verlieren. Im öffentlichen Sektor haben die Bürger jedoch keine solche Wahl: Sie können nicht wechseln, wo sie Pässe, Gesundheitsversorgung oder essentielle Dienstleistungen erhalten. Das macht Beschaffungsstandards, Transparenz, Verantwortlichkeit und Resilienz noch wichtiger. Regierungen müssen zeigen, dass – selbst wenn Fehler auftreten – die Prozesse ethisch, transparent und resilient genug sind, um das Vertrauen der Bürger zu erhalten.
Die sich entwickelnde Rolle des CISO in der KI-Governance
Immer mehr Organisationen erkunden aktiv, wo die Governance von KI angesiedelt sein sollte. Einige haben bereits die Entscheidung getroffen, die Rolle des Chief Information Security Officer (CISO) zu erweitern, der ein gewisses Maß an Unabhängigkeit von den täglichen Abläufen mitbringt und bereits für mehrere Risiko- und Kontrolldisziplinen verantwortlich ist. Die organisatorische Struktur spielt jedoch eine Rolle; wo der CISO in der Hierarchie sitzt und an wen er berichtet, kann seine Fähigkeit, Einfluss zu nehmen und zu liefern, sowie seine wahrgenommene Unabhängigkeit beeinflussen.
Das Inventarproblem
Effektive Governance beginnt mit dem Wissen, was man regiert. Die Erstellung eines AI-Inventars stößt jedoch häufig auf die Realität, dass viele Organisationen über unvollständige oder von geringer Qualität behaftete IT-Asset-Inventare verfügen. Ein systemisches Denken kann helfen, indem es eine ganzheitliche Sichtweise darauf bietet, wie Menschen, Prozesse, Daten und Maschinen interagieren. Dieser Ansatz stellt auch sicher, dass es eine verantwortungsvolle Eigentümerschaft für die Pflege genauer Karten dieser Interaktionen gibt.
Literacy ist notwendig
Während die Literacy in Bezug auf KI und Cybersicherheit auf Vorstand- und Führungsebene zunimmt, blockiert Fachjargon weiterhin die Zusammenarbeit. Die Führungskräfte benötigen Klarheit, nicht Komplexität. Es ist unerlässlich, die Komplexität zu vereinfachen und über transformative Auswirkungen zu sprechen. Nur so können Governance-Entscheidungen sowohl informiert als auch resilient sein.
Fünf Chancen zur Verbesserung der Governance
– Unabhängige Zusammenführung mandatieren: Ein einzelner leitender Manager, der über KI, Sicherheit und Datenrisiken hinweg befugt ist, direkt an den Vorstand berichtet und unabhängig von Druck auf die Lieferung ist.
– Co-Creation institutionalizieren: Cross-funktionale Designüberprüfungen, die Cybersicherheitsexperten mit Produkt- und Daten- & KI-Teams zu Beginn von Projekten zusammenbringen.
– Transparenz operationalisieren: Entscheidungsprotokolle für hochriskante Systeme aufzeichnen, breit kommunizieren und rigoros die Kommunikation und Wiederherstellung nach Vorfällen üben.
– Das Inventar verbessern: Ein autoritatives AI/IT-Katalog mit klarer Eigentümerschaft und Qualitätszielen einrichten.
– „Echte“ Literacy fördern: Checkbox-Training durch Szenario-Workshops ersetzen, in denen Führungskräfte lernen, Entscheidungen unter unsicheren Bedingungen zu treffen und zu verteidigen.
Wenn Governance letztendlich bedeutet, Entscheidungsfindungen zu steuern, die den Wert über Zeit schützen, dann muss der Vorstand im Zeitalter der KI als Wächter des Vertrauens agieren. Das beginnt damit, die Wände zwischen der KI-Transformation und der Cybersicherheit abzubauen und Governance nicht an Verfahren, sondern an Ergebnissen zu messen.
