Neue ISACA-Studie enthüllt Blinden Fleck: Unternehmensrisiko unkontrollierter KI-Einsatz

Die meisten Unternehmen vermögen nicht zu sagen, wie schnell sie ein KI-System in einer Krise stoppen könnten – und viele würden zudem danach nicht erklären können, was schiefgelaufen ist

[datensicherheit.de, 27.03.2026] Auf Künstlicher Intelligenz (KI) beruhende Technologie wird nach aktuellen ISACA-Erkenntnissen in europäischen Unternehmen in rasantem Tempo eingeführt – aber viele hätten sie ohne die passende „Governance“- und Sicherheitsinfrastruktur implementiert. Dies geht demnach aus einer neuen ISACA-Studie hervor: Die Ergebnisse basierten auf einer Vorabveröffentlichung der „ISACA AI Pulse Poll 2026“, wofür Fachleute für digitales Vertrauen in Europa befragt worden seien. Diese verdeutlichten eine signifikante und wachsende Kluft zwischen der schnellen KI-Einführung und der organisatorischen Bereitschaft, die damit verbundenen Risiken zu managen.

Foto: ISACA

Chris Dimitriadis: Die Kluft zwischen Implementierung und „Governance“ schließt sich nicht, sie wird größer. Unternehmen müssen schnell handeln!

Kontrollproblem: Bei der Mehrheit der Unternehmen könnte ein kompromittiertes bzw. fehlerhaftes KI-System länger als eine halbe Stunde unkontrolliert weiterarbeiten

Auf die Frage, wie schnell ihr Unternehmen ein KI-System im Falle eines Sicherheitsvorfalls stoppen könnte, hätten fast drei Fünftel (59%) der Befragten angegeben, dies nicht zu wissen. Nur ein Fünftel (21%) habe gesagt, sie könnten dies innerhalb einer halben Stunde tun.

• Dies deute darauf hin, dass bei der Mehrheit der Unternehmen ein kompromittiertes oder fehlerhaftes KI-System länger als eine halbe Stunde unkontrolliert weiterarbeiten könnte.

Angesichts der zunehmenden Integration von KI-Systemen in zentrale Geschäftsprozesse stellten diese Ergebnisse die operative Vorbereitung infrage. Das Fehlen klarer Reaktionsverfahren habe direkte Auswirkungen auf das regulatorische Risiko, den Ruf des Unternehmens und die Kontinuität der Prozesse sowie jene diese Systeme unterstützenden Dienstleistungen.

Verständnisproblem: Unternehmen oft nicht in der Lage zu verstehen und zu erklären, was vorgefallen ist

Die Studie decke noch eine weitere Lücke auf: „Unternehmen können nicht nur ein KI-System im Notfall kaum stoppen, sie sind oft auch nicht in der Lage, danach zu verstehen und zu erklären, was vorgefallen ist.“ Weniger als die Hälfte (42%) der Befragten äußerten Vertrauen in die Fähigkeit ihres Unternehmens, einen schwerwiegenden KI-Vorfall zu untersuchen und der Führungsebene oder den Aufsichtsbehörden zu erklären, und nur elf Prozent seien vollkommen zuversichtlich.

• Dies sei besonders bedeutsam, da die Regulierung nun in Kraft trete: Das sich nun in der Durchsetzungsphase befindliche EU-KI-Gesetz stell explizite Anforderungen an Erklärbarkeit und Rechenschaftspflicht.

Diese Verpflichtungen erforderten nicht nur technische Kontrollen, sondern auch „Governance“-Strukturen, Audit-Pfade und – was am wichtigsten ist – Fachleute mit den Fähigkeiten, das Verhalten von KI-Systemen zu interpretieren und zu kommunizieren. „Die ISACA-Befragung legt nahe, dass diese Fähigkeiten noch nicht in großem Umfang vorhanden sind.“

KI-„Governance“ muss stets Schritt mit der Entwicklung der -Anwendung halten

Die vorliegenden Ergebnisse deuteten auf ein tieferliegendes strukturelles Problem hin. In einem Drittel der Unternehmen (33%) müssten Mitarbeiter nicht offenlegen, wann sie KI für ihre Arbeit nutzen. Dies führe zu erheblichen Transparenzlücken, da unklar bleibe, wo und wie KI tatsächlich eingesetzt wird.

• Weitere 20 Prozent der Befragten wüssten nicht, wer zur Rechenschaft gezogen würde, wenn ein KI-System Schaden verursacht. Nur 38 Prozent identifizierten dafür den Vorstand oder eine Führungskraft. Diese Erkenntnis stehe im Widerspruch zur Ausrichtung der Regulierung, die weitgehend darauf abziele, die Rechenschaftspflicht bei der obersten Führungsebene anzusiedeln.

Auf den ersten Blick scheine die Lage bei der Aufsicht durchaus beruhigend. 40 Prozent der Befragten gäben an, dass die meisten KI-generierten Aktionen vor der Ausführung durch Menschen genehmigt würden. Weitere 26 Prozent überprüften Entscheidungen im Nachhinein. Ohne die unterstützende breitere „Governance“-Infrastruktur könnte die menschliche Aufsicht allein jedoch nicht ausreichen, um Probleme zu erkennen oder zu beheben, bevor sie eskalieren.

Werkzeuge zur verantwortungsvollen KI-Steuerung existieren bereits

Die Daten deuteten jedoch darauf hin, dass viele Unternehmen das KI-Risiko weiterhin als ein technologisches Problem und eben nicht als eine unternehmensweite „Governance“-Herausforderung betrachteten. Dies sei nicht nachhaltig – insbesondere in einer Zeit, in der KI zunehmend Entscheidungen, Ergebnisse und Kundeninteraktionen in allen Unternehmensbereichen präge.

• Chris Dimitriadis, „Chief Global Strategy Officer“ bei ISACA, kommentiert: „Die Studie spiegelt wider, dass unser Innovationsdrang nicht von unserem Willen begleitet wird, den Wandel zu steuern. Das setzt uns kritischen Risiken aus. Die Werkzeuge zur verantwortungsvollen Steuerung von KI existieren bereits. Risikomanagement, präventive Kontrollen, Erkennungsmechanismen, Reaktion auf Vorfälle und Wiederherstellungsstrategien sind die Grundlagen guter Cybersicherheitspraktiken.“

Diese Werkzeuge müssten indes mit der gleichen Strenge und Dringlichkeit auf KI angewendet werden. „Die Kluft zwischen Implementierung und ,Governance’ schließt sich nicht, sie wird größer. Unternehmen müssen schnell handeln!“

Es gilt, eine Kultur der sinnvollen Aufsicht zu fördern

Dimitriadis führt hierzu aus: „Das beginnt damit, festzulegen, wer rechenschaftspflichtig ist, die Fähigkeit zur Reaktion auf Vorfälle aufzubauen und durch Audits die nötige Transparenz über die KI-Nutzung zu schaffen, um eine Kultur der sinnvollen Aufsicht zu fördern.“

• Aber die Lücke wirklich zu schließen, könne nicht allein durch Prozessänderungen erreicht werden. „Vielmehr erfordert es Fachleute, die das Fachwissen haben, KI-Risiken rigoros zu bewerten, die Aufsicht über den gesamten Lebenszyklus zu verankern und dies in Entscheidungen umzusetzen, die vor dem Vorstand und den Aufsichtsbehörden bestehen.“

Abschließend legt Dimitriadis nahe: „Die Unternehmen, die dies richtig machen, sind diejenigen, die sich auf das Vertrauen der Kundinnen, Kunden und aller Stakeholder konzentrieren und die durch nachhaltige Innovationen führen werden.“

Weitere Informationen zum Thema:

ISACA
The principles behind our purpose / Our mission and vision reflect the core values that drive everything we do

ISACA
Meet ISACA’s Leadership Team / Chris Dimitriadis – Chief Global Strategy Officer

datensicherheit.de, 08.11.2025
Einsatz von KI-Agenten: Lückenlose Governance für Unternehmen mittlerweile unerlässlich / Unternehmen vertrauen KI-Agenten immer mehr sensible Aufgaben an – von Genehmigungen für Investitionen bis zum Managen von Sicherheitsrisiken

datensicherheit.de, 19.08.2025
KI-Agenten breiten sich aus – aber Governance-Lücken gefährden Vertrauen der Verbraucher / Laut Genesys-Studie wünschen sich vier von fünf Verbrauchern eine klare „Governance“ für KI-Interaktionen – indes verfügt weniger als ein Drittel der Unternehmen über umfassende Richtlinien

datensicherheit.de, 04.07.2025
Intensive KI-Nutzung in Unternehmen – Entwicklung von Richtlinien und Governance fällt zurück / Nicht einmal ein Drittel der Unternehmen verfügt über eine formelle, umfassende KI-Richtlinie

datensicherheit.de, 24.02.2025
Responsible AI: Vertrauen, Security und Governance sind Voraussetzungen / Immer mehr Unternehmen setzen auf die Implementierung von KI als Kernbestandteil ihrer Geschäftsstrategie