Die Mehrheit gescheiterter KI-Projekte scheitert nicht an der Technologie. Die Modelle funktionieren, die Infrastruktur steht, die Daten sind vorhanden. Was fehlt, ist ein systematischer Rahmen für Vertrauen, Risikomanagement und Sicherheit – kurz: Governance. Gartners TRiSM-Framework (Trust, Risk and Security Management), das NIST AI Risk Management Framework und die ISO 42001 bieten erprobte Ansätze, doch ihre Umsetzung in der Praxis bleibt die Ausnahme.
Drei Frameworks, ein Ziel
TRiSM von Gartner betont die Notwendigkeit, Vertrauen, Risiko und Sicherheit als integralen Bestandteil jedes KI-Systems zu behandeln – nicht als nachträgliches Add-on. Das NIST AI RMF bietet einen prozessorientierten Ansatz mit vier Kernfunktionen: Govern, Map, Measure und Manage. Die ISO 42001 schließlich definiert Anforderungen an ein KI-Managementsystem, das sich in bestehende Organisationsstrukturen integrieren lässt. Gemeinsam bilden diese Frameworks ein umfassendes Instrumentarium – wenn man sie denn einsetzt.
Warum Governance scheitert
Das Hauptproblem ist organisatorischer Natur. KI-Governance erfordert eine übergreifende Zusammenarbeit zwischen IT, Rechtsabteilung, Fachbereichen und Führungsebene. In vielen Organisationen fehlt ein klares Mandat, fehlen die Rollen und fehlt das Budget für diese Querschnittsaufgabe. Stattdessen entstehen KI-Projekte in Silos, ohne einheitliche Risikobewertung und ohne definierte Eskalationswege. Die Folge sind Inkonsistenzen, Compliance-Lücken und im schlimmsten Fall ein Vertrauensverlust bei Nutzern und Regulierern.
Ein 90-Tage-Fahrplan
Organisationen, die ihre KI-Governance von Grund auf aufbauen wollen, sollten in drei Phasen vorgehen. In den ersten 30 Tagen gilt es, eine Bestandsaufnahme aller KI-Systeme durchzuführen und Verantwortlichkeiten zuzuordnen. In den nächsten 30 Tagen werden Risikobewertungen nach dem NIST-Framework durchgeführt und Mindeststandards definiert. In der dritten Phase erfolgt die Implementierung eines kontinuierlichen Monitoring-Prozesses. Dieser pragmatische Ansatz ist nicht perfekt, aber er schafft eine Grundlage, auf der sich systematisch aufbauen lässt.