Stellen Sie sich vor, wir würden für jede neue Fahrzeugtechnologie eine komplett neue Straßenverkehrsordnung einführen. Elektrofahrzeuge bekämen ihre eigene StVO, Hybridautos eine weitere, und für autonome Fahrzeuge müssten wir gleich ein ganz neues Verkehrsministerium gründen. Klingt absurd? Genau das passiert gerade in vielen Unternehmen mit der KI-Richtlinie, nach der der Ruf gerade ziemlich laut ist.
Während die Geschäftsführung noch überlegt, ob ChatGPT nun Fluch oder Segen ist, entstehen in den Fachabteilungen bereits die ersten „KI-Policies“ – meist parallel zu bestehenden IT-Sicherheitsrichtlinien, die eigentlich schon alles Wesentliche regeln. Das Ergebnis? Ein Regelwerk-Dschungel, in dem sich selbst erfahrene IT-Verantwortliche verirren.
Doch halt – bevor Sie jetzt denken, dass künstliche Intelligenz völlig unreguliert bleiben sollte: Darum geht es nicht. Es geht darum, dass eine gut durchdachte IT-Sicherheitsrichtlinie bereits die Grundlage für den sicheren Umgang mit KI-Technologien schafft. Spezifische Regelungen braucht es nur dort, wo es wirklich um anwendungsspezifische Besonderheiten geht – nicht für generische „KI-Verbote“ oder „ChatGPT-Nutzungsregeln“.
Inhaltsverzeichnis
Auf den Punkt gebracht: IT-Sicherheit statt KI-Regelungschaos
- Eine umfassende IT-Sicherheitsrichtlinie deckt bereits die wesentlichen Risiken von KI-Anwendungen ab
- Datenschutz und Informationssicherheit gelten unabhängig davon, ob eine Anwendung KI nutzt oder nicht
- Anwendungsspezifische KI-Richtlinien sind nur bei besonderen fachlichen Anforderungen notwendig
- Generische KI-Verbote führen zu Schatten-IT und umgehen die eigentlichen Sicherheitsmechanismen
Das Problem: Wenn IT-Sicherheit und KI-Regeln Parallelwelten schaffen
In deutschen Unternehmen entsteht gerade ein faszinierendes Phänomen: Während die Informationssicherheit seit Jahren akribisch IT-Sicherheitsrichtlinien pflegt, die Datenschutz, Zugriffskontrolle und Compliance regeln, entstehen in den Fachabteilungen plötzlich völlig neue Regelwerke für den Umgang mit künstlicher Intelligenz. Das ist etwa so, als würde man neben der bestehenden Hausordnung noch eine separate „Smartphone-Hausordnung“ einführen – obwohl die ursprünglichen Regeln längst alle relevanten Aspekte abdecken.
Diese Doppelstrukturen entstehen meist aus nachvollziehbaren Gründen. Der EU AI Act ist in aller Munde, ChatGPT macht Schlagzeilen, und plötzlich fühlt sich jeder Bereichsleiter verpflichtet, „etwas mit KI“ zu regeln. Das Ergebnis sind oft generische KI-Richtlinien, die im Wesentlichen das wiederholen, was eine gute IT-Sicherheitsrichtlinie bereits seit Jahren vorschreibt: keine sensiblen Daten in externe Systeme eingeben, Zugriffsrechte kontrollieren, Compliance-Anforderungen beachten.
Besonders problematisch wird es, wenn diese parallelen Regelwerke unterschiedliche oder sogar widersprüchliche Vorgaben enthalten. Während die IT-Sicherheitsrichtlinie beispielsweise ein differenziertes Datenklassifizierungssystem vorsieht, verbietet die KI-Richtlinie pauschal jede Nutzung von „Unternehmensdaten“ in KI-Tools. Das führt nicht nur zu Verwirrung bei den Mitarbeitern, sondern auch zu ineffizienten Prozessen und letztendlich zur Umgehung beider Regelwerke.
Ein weiteres Problem: Generische KI-Richtlinien werden oft von Personen erstellt, die zwar die fachlichen Anforderungen ihrer Abteilung kennen, aber nicht unbedingt die technischen Sicherheitsaspekte von IT-Systemen. Das führt zu Regelungen, die entweder zu restriktiv sind und Innovation blockieren, oder zu oberflächlich und damit wirkungslos. Eine gut etablierte IT-Sicherheitsrichtlinie hingegen basiert auf jahrelanger Erfahrung mit verschiedensten Technologien und Bedrohungsszenarien.
Die Lösung liegt nicht darin, KI-Technologien völlig unreguliert zu lassen. Vielmehr sollten Unternehmen prüfen, ob ihre bestehenden IT-Sicherheitsrichtlinien bereits die notwendigen Grundlagen schaffen und diese gegebenenfalls um spezifische, anwendungsbezogene Aspekte ergänzen. Denn eines ist klar: Datenschutz bleibt Datenschutz, Informationssicherheit bleibt Informationssicherheit – unabhängig davon, ob im Hintergrund ein neuronales Netz oder ein klassischer Algorithmus arbeitet.
Was eine gute IT-Sicherheitsrichtlinie bereits abdeckt
Eine durchdachte IT-Sicherheitsrichtlinie ist wie ein gut geschnittener Anzug: Sie passt sich verschiedenen Anlässen an, ohne dass man gleich eine komplett neue Garderobe braucht. Schauen wir uns genauer an, welche Bereiche eine moderne IT-Sicherheitsrichtlinie bereits abdeckt – und warum diese Regelungen auch für KI-Anwendungen gelten.
Datenschutz und Datenklassifizierung
Der wichtigste Punkt zuerst: Datenschutz funktioniert technologieunabhängig. Wenn Ihre IT-Sicherheitsrichtlinie vorschreibt, dass personenbezogene Daten nicht an externe Dienstleister übertragen werden dürfen, ohne entsprechende Auftragsverarbeitungsverträge abzuschließen, dann gilt das auch für KI-Tools wie ChatGPT oder Google Gemini. Es spielt keine Rolle, ob die Daten von einem menschlichen Sachbearbeiter oder einem Large Language Model verarbeitet werden – die DSGVO-Anforderungen bleiben dieselben.
Eine gute IT-Sicherheitsrichtlinie enthält bereits ein Datenklassifizierungssystem, das zum Beispiel zwischen öffentlichen, internen, vertraulichen und streng vertraulichen Informationen unterscheidet. Diese Klassifizierung lässt sich nahtlos auf KI-Anwendungen übertragen: Öffentliche Daten dürfen in externe KI-Tools eingegeben werden, vertrauliche Daten nur in interne oder speziell abgesicherte Systeme. Warum sollte man dafür eine separate „KI-Datenklassifizierung“ erfinden?
Zugriffskontrolle und Berechtigungsmanagement
Moderne IT-Sicherheitsrichtlinien regeln detailliert, wer auf welche Systeme und Daten zugreifen darf. Diese Zugriffskontrollmechanismen funktionieren auch bei KI-Anwendungen: Nicht jeder Mitarbeiter braucht Zugang zu allen verfügbaren KI-Tools, und nicht jedes KI-Tool sollte auf alle Unternehmensdaten zugreifen können.
Das Prinzip der minimalen Berechtigung (Principle of Least Privilege) gilt für KI-Systeme genauso wie für traditionelle Anwendungen. Wenn ein Mitarbeiter für seine Tätigkeit nur Zugang zu bestimmten Datenbeständen benötigt, sollte auch das von ihm genutzte KI-Tool nur auf diese Daten zugreifen können. Eine separate KI-Richtlinie würde hier nur unnötige Komplexität schaffen.
Incident Response und Sicherheitsvorfälle
Was passiert, wenn ein KI-System gehackt wird oder unerwartete Ergebnisse liefert? Eine etablierte IT-Sicherheitsrichtlinie enthält bereits Prozesse für den Umgang mit Sicherheitsvorfällen, die sich problemlos auf KI-bezogene Incidents übertragen lassen. Die Meldeketten, Eskalationsstufen und Kommunikationsprozesse bleiben dieselben – unabhängig davon, ob ein klassischer Server oder ein KI-System betroffen ist.
Besonders wichtig: Die meisten KI-spezifischen Sicherheitsprobleme sind eigentlich klassische IT-Sicherheitsprobleme in neuem Gewand. Prompt Injection ist im Grunde eine Variante von SQL Injection, Model Poisoning ähnelt der Manipulation von Trainingsdaten, und Data Leakage kennen wir aus vielen anderen Kontexten. Eine gute IT-Sicherheitsrichtlinie deckt die zugrundeliegenden Prinzipien bereits ab.
Compliance und regulatorische Anforderungen
Hier wird es besonders interessant: Viele Unternehmen erstellen KI-Richtlinien, um EU AI Act-Compliance zu gewährleisten. Dabei übersehen sie, dass die meisten Compliance-Anforderungen bereits in bestehenden IT-Sicherheitsrichtlinien verankert sind. Dokumentationspflichten, Risikoanalysen, regelmäßige Audits – all das sind etablierte Bestandteile moderner IT-Governance.
Der EU AI Act führt zwar neue, KI-spezifische Anforderungen ein, aber er ersetzt nicht die bestehenden Datenschutz- und IT-Sicherheitsvorschriften. Vielmehr ergänzt er diese um spezifische Aspekte wie Transparenz, menschliche Aufsicht und Robustheit von KI-Systemen. Diese Ergänzungen lassen sich in bestehende Compliance-Frameworks integrieren, ohne das gesamte Regelwerk neu zu erfinden.
Vendor Management und Drittanbieter-Risiken
Eine weitere Stärke etablierter IT-Sicherheitsrichtlinien liegt im Vendor Management. Sie regeln bereits, wie externe Dienstleister ausgewählt, bewertet und überwacht werden müssen. Diese Prozesse funktionieren auch für KI-Anbieter: Due Diligence, Vertragsgestaltung, regelmäßige Sicherheitsbewertungen – all das sind bewährte Praktiken, die sich nahtlos auf KI-Services übertragen lassen.
Warum sollte man für OpenAI, Google oder Microsoft andere Bewertungskriterien anlegen als für andere Cloud-Anbieter? Die Fragen bleiben dieselben: Wo werden die Daten verarbeitet? Welche Sicherheitsmaßnahmen sind implementiert? Wie wird die Verfügbarkeit gewährleistet? Eine separate „KI-Vendor-Bewertung“ würde nur zu inkonsistenten Standards führen.
Der Elektrofahrzeug-Vergleich: Warum wir keine KI-Straßenverkehrsordnung brauchen
Um das Verhältnis zwischen IT-Sicherheitsrichtlinien und KI-Richtlinien zu verstehen, hilft ein Blick auf die Automobilbranche. Stellen Sie sich vor, Deutschland würde für jede neue Fahrzeugtechnologie eine separate Straßenverkehrsordnung einführen.
Die Straßenverkehrsordnung als IT-Sicherheitsrichtlinie
Die Straßenverkehrsordnung funktioniert technologieunabhängig. Egal ob Sie einen Benziner, Diesel, Hybrid oder Elektrofahrzeug fahren – die Grundregeln bleiben dieselben: Rechts vor links, Tempolimits beachten, nicht unter Alkoholeinfluss fahren. Diese Regeln wurden so formuliert, dass sie für alle Fahrzeugtypen gelten, ohne jedes Mal neu erfunden werden zu müssen.
Genauso verhält es sich mit einer guten IT-Sicherheitsrichtlinie: Sie definiert technologieunabhängige Grundprinzipien. „Keine sensiblen Daten an ungeprüfte externe Dienstleister“ gilt für Cloud-Services genauso wie für KI-Tools. „Zugriff nur nach dem Need-to-know-Prinzip“ funktioniert bei Datenbanken wie bei Machine Learning Modellen. „Regelmäßige Sicherheitsupdates“ sind bei ERP-Systemen genauso wichtig wie bei KI-Anwendungen.
Spezielle Wartungsvorschriften als anwendungsspezifische KI-Regeln
Natürlich gibt es Unterschiede zwischen Elektro- und Verbrennungsfahrzeugen. Ein Elektroauto braucht andere Wartungsintervalle, spezielle Ladestationen und geschultes Personal für Hochvolt-Arbeiten. Aber deshalb erfindet niemand eine neue Straßenverkehrsordnung – stattdessen gibt es spezifische Wartungsvorschriften und Sicherheitsstandards für Elektrofahrzeuge.
Übertragen auf die IT bedeutet das: Wenn Sie eine KI-Anwendung für die Personalauswahl einsetzen, brauchen Sie spezifische Regeln für Bias-Vermeidung, Transparenz und Nachvollziehbarkeit der Entscheidungen. Wenn Sie KI in der Medizintechnik verwenden, sind besondere Anforderungen an Zuverlässigkeit und Dokumentation notwendig. Aber diese anwendungsspezifischen Regeln ersetzen nicht die grundlegenden IT-Sicherheitsprinzipien – sie ergänzen sie.
Was passiert bei separaten „KI-Straßenverkehrsordnungen“?
Stellen Sie sich vor, Deutschland würde tatsächlich separate Verkehrsregeln für verschiedene Fahrzeugtypen einführen. Elektrofahrzeuge dürften nur 30 km/h fahren (aus Vorsicht), Hybridfahrzeuge müssten an jeder Kreuzung hupen (zur Warnung), und für autonome Fahrzeuge gälte Linksverkehr (weil das innovativer ist). Das Chaos wäre perfekt.
Genau das passiert in Unternehmen mit generischen KI-Richtlinien: Sie schaffen Parallelstrukturen, die oft widersprüchlich oder übermäßig restriktiv sind. Während die IT-Sicherheitsrichtlinie differenzierte Datenklassifizierungen vorsieht, verbietet die KI-Richtlinie pauschal jede Nutzung von „Firmendaten“ in KI-Tools. Das Ergebnis: Mitarbeiter umgehen beide Regelwerke und nutzen KI-Tools heimlich – ohne jede Kontrolle.
Die Lösung: Evolutionäre Anpassung statt Revolution
Erfolgreiche Länder haben ihre Verkehrsregeln evolutionär an neue Technologien angepasst. Für Elektrofahrzeuge wurden spezielle Parkplätze und Ladezonen eingeführt, für autonome Fahrzeuge Testgebiete definiert. Aber die Grundprinzipien der Straßenverkehrsordnung blieben bestehen.
Genauso sollten Unternehmen ihre IT-Sicherheitsrichtlinien evolutionär weiterentwickeln. Statt eine separate KI-Richtlinie zu erstellen, sollten sie prüfen:
- Welche bestehenden Regeln gelten bereits für KI-Anwendungen?
- Wo sind spezifische Ergänzungen notwendig?
- Wie können neue Anforderungen in bestehende Prozesse integriert werden?
Ein praktisches Beispiel: Statt zu schreiben „KI-Tools dürfen nicht für Personaldaten verwendet werden“, könnte die IT-Sicherheitsrichtlinie ergänzt werden um „Externe Datenverarbeitungsdienste (einschließlich KI-Services) dürfen nur nach Abschluss entsprechender Auftragsverarbeitungsverträge und technischer Sicherheitsbewertungen für personenbezogene Daten genutzt werden.“
Warum der Vergleich so treffend ist
Der Elektrofahrzeug-Vergleich funktioniert so gut, weil beide Situationen ähnliche Herausforderungen aufweisen:
- Neue Technologie: Sowohl Elektrofahrzeuge als auch KI sind relativ neue Technologien, die etablierte Prozesse herausfordern.
- Übertragbare Grundprinzipien: Die meisten bestehenden Regeln (Verkehrssicherheit bzw. IT-Sicherheit) gelten technologieunabhängig.
- Spezifische Ergänzungen nötig: Beide Technologien erfordern spezielle Zusatzregeln, aber keine komplette Neuregelung.
- Risiko der Überregulierung: Zu restriktive Sonderregeln können Innovation behindern und zu Umgehungsverhalten führen.
- Bewährte Governance-Strukturen: Bestehende Aufsichts- und Durchsetzungsmechanismen funktionieren auch für neue Technologien.
Die Botschaft ist klar: Wir brauchen keine „KI-Straßenverkehrsordnung“, sondern intelligente Ergänzungen der bestehenden Regeln. Eine gute IT-Sicherheitsrichtlinie ist wie eine gute Straßenverkehrsordnung: zukunftsfähig, technologieunabhängig und anpassungsfähig.
Wann braucht es eine spezifische KI-Richtlinie im Unternehmen?
Genau dann, wenn wir ins Detail gehen. Wenn wir zum Beispiel Künstliche Intelligenz im Personalwesen einsetzen möchten, muss klar sein, wo die Grenze ist. Wann besteht die Gefahr, dadurch Personen zu bevor- oder benachteiligen. Also, wenn wir ein Risiko in der Nutzung sehen. Unsere treuen Leser wissen es: Risikomanagement ist eins meiner Lieblingsthemen. Damit lässt sich so viel „erschlagen“. Auch oder ganz besonders in Sachen KI-Nutzung. Damit Sie wissen, ob Ihre KI-Lösung nach der KI Verordnung ein Risiko darstellt, müssen Sie das System klassifizieren. Wir unterstützen Sie dabei!
Kleiner Werbeblock am Rande: Mehr zum Thema sinnvoller KI-Einsatz im Unternehmen bieten wir übrigens mit unserer Schwester der Weitblick GmbH.
Ein Appell an die IT-Community
Als IT-Professionals haben wir die Verantwortung, unsere Unternehmen vor dem Regelungschaos zu bewahren, das gerade in vielen Organisationen entsteht. Statt jeder neuen Technologie mit neuen Richtlinien zu begegnen, sollten wir auf bewährte Prinzipien setzen und diese intelligent weiterentwickeln.
KI ist nicht das Ende der IT-Sicherheit, wie wir sie kennen – es ist ihre Evolution. Nutzen wir diese Chance, um unsere Governance-Strukturen zu stärken, statt sie zu fragmentieren.
Die Zukunft gehört nicht den Unternehmen mit den meisten Richtlinien, sondern denen mit den smartesten. Und smart bedeutet: Eine solide IT-Sicherheitsrichtlinie, die alle Technologien abdeckt – von der Mainframe-Anwendung bis zum neuesten KI-Tool.
Haben Sie Fragen zur KI-Integration in Ihre IT-Sicherheitsrichtlinie oder möchten Sie Ihre Erfahrungen teilen? Ich freue mich auf den Austausch in den Kommentaren oder über eine direkte Nachricht.
