{"id":7248,"date":"2026-02-25T04:00:00","date_gmt":"2026-02-25T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=7248"},"modified":"2026-02-25T04:00:00","modified_gmt":"2026-02-25T04:00:00","slug":"so-verandert-ki-ihre-grc-strategie","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=7248","title":{"rendered":"So ver\u00e4ndert KI Ihre GRC-Strategie"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

Rob Schultz \/ Shutterstock<\/p>\n<\/div>\n

Da Unternehmen Cybersicherheit in ihre GRC (Governance, Risk & Compliance<\/a>)-Prozesse integrieren, m\u00fcssen bestehende Programme \u00fcberarbeitet werden. Nur so l\u00e4sst sich sicherstellen, dass der zunehmende Einsatz und die Risiken von Generative und Agentic AI Ber\u00fccksichtigung finden \u2013 und Unternehmen compliant bleiben<\/a>.<\/p>\n

Die Risiken, die mit KI einhergehen, sind schwierig zu quantifizieren. Aktuelle Daten liefern jedoch Anhaltspunkte. So geht aus dem \u201cAI Security Report 2025<\/a>\u201d (Download gegen Daten) des Sicherheitsanbieters Check Point hervor, dass jede 80. Anfrage, die von Unternehmensger\u00e4ten an GenAI-Dienste gesendet wurde, ein hohes Risiko f\u00fcr den Verlust sensibler Daten aufweist. CISOs stehen dabei vor der speziellen Herausforderung, mit den Innovationsanforderungen des Unternehmens Schritt zu halten und gleichzeitig den KI-Einsatz unter Ber\u00fccksichtigung der Risiken<\/a> abzusichern.<\/p>\n

KI trifft GRC<\/h2>\n

Governance, Risk & Compliance ist ein Konzept, das Anfang der 2000er Jahre von der Open Compliance and Ethics Group (OCEG)<\/a> entwickelt wurde, um eine Reihe kritischer F\u00e4higkeiten zu definieren. Seitdem hat sich GRC von Regeln und Checklisten mit Schwerpunkt auf Compliance zu einem umfassenderen Ansatz f\u00fcr das Risikomanagement entwickelt. Datenschutzanforderungen, die zunehmende Regulierung, die Bem\u00fchungen um digitale Transformation und die Fokussierung auf die F\u00fchrungsebene haben diesen Wandel vorangetrieben.<\/p>\n

Gleichzeitig ist Cybersicherheit zu einem zentralen Unternehmensrisiko geworden. Angesichts der zunehmenden Verbreitung von KI, gilt es nun, auch diese neue Risikokategorie in GRC-Frameworks zu integrieren. Branchenumfragen deuten jedoch darauf hin, dass es bis dahin noch ein weiter Weg ist: Laut Lenovos \u201cCIO Playbook 2025<\/a>\u201d (Download gegen Daten) haben bislang nur 24 Prozent der Unternehmen umfassende Richtlinien f\u00fcr KI-GRC eingef\u00fchrt \u2013 obwohl KI-Governance und Compliance bei den Befragten oberste Priorit\u00e4t genie\u00dfen.<\/p>\n

Um eine risikobewusste Einf\u00fchrung von KI zu unterst\u00fctzen, r\u00e4t Rich Marcus, CISO bei AuditBoard, seinen Berufskollegen, eine m\u00f6glichst breite Akzeptanz f\u00fcr das Risikomanagement im gesamten Unternehmen zu f\u00f6rdern: \u201cUm KI-Risiken erfolgreich zu managen, ist es wirklich wichtig, eine kooperative Einstellung an den Tag zu legen und den Mitarbeitern zu vermitteln, dass alle an einem Strang ziehen m\u00fcssen\u201d. Dieser Ansatz k\u00f6nne dazu beitragen, Transparenz dar\u00fcber zu schaffen, wie und wo KI im Unternehmen eingesetzt wird.<\/p>\n

Jamie Norton, CISO der australischen B\u00f6rsenaufsicht ASIC, merkt jedoch an: \u201cJedes einzelne Produkt, das Sie heutzutage einsetzen, enth\u00e4lt irgendeine Form von KI. Und es gibt kein Governance-Forum, das alle verschiedenen Formen erfasst\u201d. Norton empfiehlt CISOs deshalb, strategische und taktische Ans\u00e4tze zu entwickeln, um:<\/p>\n

die verschiedenen Arten von KI-Tools zu definieren,<\/p>\n

deren relative Risiken zu erfassen, sowie<\/p>\n

ihren potenziellen Nutzen in Bezug auf Produktivit\u00e4t und Innovation abzuw\u00e4gen.<\/p>\n

Um mit kleineren KI-Tools umzugehen, sind laut Norton taktische Ma\u00dfnahmen wie Secure-by-Design<\/a>-Ans\u00e4tze, Initiativen, um Schatten-KI<\/a> zu erkennen oder risikobasierte KI-Bestandsaufnahmen und -Klassifizierungen praktische M\u00f6glichkeiten. CISOs k\u00f6nnten dann ihre Ressourcen auf die Risiken mit dem gr\u00f6\u00dften Impact konzentrieren, ohne schwerf\u00e4llige oder unpraktikable Prozesse zu schaffen, wie Norton erkl\u00e4rt. \u201cDie Idee ist nicht, alles so zu verz\u00f6gern, dass fast nichts mehr geht. Es handelt sich also eher um einen relativ schlanken Prozess, bei dem die Risiko\u00fcberlegungen entweder zur Freigabe der KI f\u00fchren oder zum Gegenteil\u201d.<\/p>\n

Letztendlich sei es Aufgabe der Sicherheitsverantwortlichen, KI unter Verwendung von Governance und Risiko als Teil des umfassenderen GRC-Frameworks<\/a> aus Sicherheitsperspektive zu betrachten. \u201cHeutzutage geht es nicht mehr darum, dass CISOs \u201aJa\u2018 oder \u201aNein\u2018 sagen. Es geht vielmehr darum, die Risiken bestimmter Ma\u00dfnahmen transparent zu machen und dann dem Unternehmen und der Gesch\u00e4ftsleitung die Entscheidung \u00fcber diese Risiken zu \u00fcberlassen.\u201d<\/p>\n

Frameworks f\u00fcr KI erweitern<\/h2>\n

KI-bezogene Risiken sollten als eigene Kategorie im Risikoportfolio des Unternehmens definiert und in die GRC-S\u00e4ulen integriert werden, schl\u00e4gt Dan Karpati, VP of AI Technologies bei Check Point, vor. Sein Konzept sieht vier solcher S\u00e4ulen vor:<\/p>\n

Enterprise Risk Management<\/strong> definiert die Risikobereitschaft im Bereich KI und richtet einen KI-Governance-Kommittee ein.<\/p>\n

Model Risk Management<\/strong> \u00fcberwacht Modellabweichungen, Verzerrungen und Adversarial Testing.<\/p>\n

Operational Risk Management<\/strong> umfasst Notfallpl\u00e4ne f\u00fcr KI-Ausf\u00e4lle und Schulungen f\u00fcr menschliche Aufsichtspersonen.<\/p>\n

IT Risk Management<\/strong> umfasst regelm\u00e4\u00dfige Audits, Compliance-Pr\u00fcfungen f\u00fcr KI-Systeme, Governance-Rahmenwerke und die Ausrichtung auf die Gesch\u00e4ftsziele.<\/p>\n

Um diese Risiken abzubilden, k\u00f6nnen CISOs beispielsweise das NIST AI Risk Management Framework<\/a> (oder andere Rahmenwerke wie COSO<\/a> und COBIT<\/a>) heranziehen und deren Kernprinzipien auf KI anwenden. Etwa, wenn es um probabilistische Ergebnisse, Datenabh\u00e4ngigkeit, undurchsichtige Entscheidungsfindungen, Autonomie und schnelle Weiterentwicklung geht. Der relativ junge Benchmark ISO\/IEC 42001<\/a> bietet zudem einen strukturierten Rahmen f\u00fcr KI-Monitoring und -Kontrolle, der Governance- und Risikopraktiken \u00fcber den gesamten KI-Lebenszyklus hinweg verankern soll.<\/p>\n

Diese Frameworks anzupassen, bietet eine M\u00f6glichkeit, die Diskussion \u00fcber KI-Risiken zu verbessern, die Risikobereitschaft im Bereich KI an die \u00fcbergeordnete Risikotoleranz des Unternehmens anzupassen und eine robuste KI-Governance in allen Gesch\u00e4ftsbereichen zu verankern. \u201cAnstatt das Rad neu zu erfinden, k\u00f6nnen Sicherheitsverantwortliche KI-Risiken so konkreten gesch\u00e4ftlichen Auswirkungen zuordnen\u201d, meint Karpati.<\/p>\n

KI-Risiken lassen sich dar\u00fcber hinaus auch anderen potenziellen Risiken zuordnen. Etwa dem Potenzial f\u00fcr:\u00a0<\/p>\n

finanzielle Verluste durch Betrug oder fehlerhafte Entscheidungen,<\/p>\n

Reputationssch\u00e4den durch Datenschutzverletzungen,<\/p>\n

Bias-behaftete Ergebnisse und damit zusammenh\u00e4ngender Kundenunzufriedenheit,<\/p>\n

Betriebsst\u00f6rungen durch schlechte Integration mit Legacy-Systemen, oder<\/p>\n

rechtliche und regulatorische Strafen.<\/p>\n

Um die Wahrscheinlichkeit eines KI-bezogenen Ereignisses zu bewerten, den finanziellen Verlust einzusch\u00e4tzen und Risikokennzahlen zu ermitteln, k\u00f6nnen CISOs auf Frameworks wie FAIR<\/a> zur\u00fcckgreifen.<\/p>\n

AuditBoard-CISO Marcus empfiehlt Sicherheitsentscheidern zudem, Branchennetzwerke zu nutzen und sich auch mit Kollegen anderer Unternehmen auszutauschen: \u201cEs ist hilfreich zu wissen, welche Risiken sich in der Praxis zeigen und was andere Unternehmen gesch\u00fctzt h\u00e4tte. Nur so lassen sich gemeinsam wichtige Kontrollen und Verfahren entwickeln, die die Branche in ihrer Gesamtheit widerstandsf\u00e4higer macht.\u201d<\/p>\n

Neue Governance-Richtlinien entwickeln<\/h2>\n

CISOs m\u00fcssen jedoch nicht nur Risiken definieren und die Compliance managen<\/a>, sondern auch neue Governance-Richtlinien entwickeln, wie Marcus unterstreicht: \u201cEine effektive Governance braucht Richtlinien f\u00fcr die akzeptable Nutzung von KI. Eines der ersten Ergebnisse eines Bewertungsprozesses sollte sein, Verhaltensregeln f\u00fcr Ihr Unternehmen festzulegen\u201d. Um KI-Tools f\u00fcr die interne Verwendung zu klassifizieren, schl\u00e4gt der Sicherheitsentscheider ein Ampelsystem vor. Dabei:<\/p>\n

sind \u201cgr\u00fcne\u201d Tools gepr\u00fcft und genehmigt,<\/p>\n

erfordern \u201cgelbe\u201d Tools eine zus\u00e4tzliche Bewertung,<\/p>\n

verf\u00fcgen \u201crote\u201d Tools nicht \u00fcber die erforderlichen Schutzma\u00dfnahmen und sind damit untersagt.<\/p>\n

Marcus empfiehlt CISOs und ihren Teams zudem, im Voraus Leitprinzipien festzulegen, das Unternehmen \u00fcber die wichtigen Aspekte aufzukl\u00e4ren und die Teams bei der Selbstkontrolle zu unterst\u00fctzen, indem sie Dinge herausfiltern, die nicht dem Standard entsprechen.<\/p>\n

ASIC-CISO Norton warnt, dass die Sicherheitsteams nun, da die gl\u00e4nzende Oberfl\u00e4che der KI f\u00fcr jedermann zug\u00e4nglich sei, ihren Fokus auf das richten m\u00fcssten, was darunter vor sich geht. \u201cAls CISOs wollen wir Innovationen nicht behindern, aber wir m\u00fcssen Leitplanken setzen, damit wir nicht ins Leere laufen und unsere Daten verlorengehen\u201d, meint der Manager. (fm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Rob Schultz \/ Shutterstock Da Unternehmen Cybersicherheit in ihre GRC (Governance, Risk & Compliance)-Prozesse integrieren, m\u00fcssen bestehende Programme \u00fcberarbeitet werden. Nur so l\u00e4sst sich sicherstellen, dass der zunehmende Einsatz und die Risiken von Generative und Agentic AI Ber\u00fccksichtigung finden \u2013 und Unternehmen compliant bleiben. Die Risiken, die mit KI einhergehen, sind schwierig zu quantifizieren. Aktuelle […]<\/p>\n","protected":false},"author":0,"featured_media":5843,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-7248","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/7248"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=7248"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/7248\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/5843"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=7248"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=7248"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=7248"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}