Hand berührt ein leuchtendes, digitales Interface mit futuristischen Datenanzeigen.

Warum integrierte KI-Governance die Informationssicherheit verbessert

Porträtfoto von Marc Ragg
Marc Ragg

Director Cybersecurity, EY Consulting GmbH | Deutschland

5 Minuten Lesezeit 07 Mai 2026

Wie Unternehmen Informationssicherheit und KI Governance smart verzahnen – statt doppelt zu steuern

Überblick:
  • Unternehmen nutzen zunehmend KI und stehen vor neuen Anforderungen durch Regulierung, Risiken und Governance. Ein strukturierter Umgang wird entscheidend.
  • Das EY-Whitepaper zeigt, wie sich Informationssicherheit nach ISO 27001 effizient mit einem KI-Managementsystem nach ISO 42001 verbinden lässt.
  • Eine gemeinsame Governance reduziert Doppelarbeit, verbessert die Risikosteuerung und erleichtert Audits und regulatorische Nachweise. Insbesondere das integrierte Risikomanagement erweist sich dabei als entscheidender Hebel für die Praxis.

Vom Chatbot bis zur Kreditvergabe: KI steckt längst in Produkten, Prozessen und Entscheidungen. Sie automatisiert Abläufe, unterstützt Analysen und ermöglicht neue Geschäftsmodelle. Gleichzeitig entstehen neue Risiken wie etwa Fehlentscheidungen durch Algorithmen, mangelnde Transparenz, Datenschutzprobleme oder Sicherheitslücken.

Damit geht es nicht mehr darum, ob Unternehmen KI nutzen, sondern wie sie Risiken, Verantwortung und Nachweise im Griff behalten. Gleichzeitig wächst der regulatorische Druck durch unterschiedliche Verordnungen und gesetzliche Regelungen, die darauf abzielen, dass KI sicher, nachvollziehbar und verantwortungsvoll betrieben werden soll.

Die meisten Unternehmen haben bereits ein Informationssicherheitsmanagementsystem (ISMS) gemäß ISO/IEC 27001 implementiert, was bei der Einführung eines KI-Managementsystems (AIMS) gemäß ISO/IEC 42001 die Herausforderung mit sich bringt, beide Systeme sinnvoll miteinander zu verbinden und dabei unnötige Doppelstrukturen zu vermeiden. EY zeigt im Whitepaper „Integrierte Governance für Informationssicherheit und KI“ praktikable Lösungen dafür auf.

Integrierte Governance für Informationssicherheit und KI

Das Whitepaper richtet sich an CISOs, CDOs, Compliance-Verantwortliche, IT-Leitungen, Geschäftsführungen und Vorstände, die KI-Governance nicht als zusätzliche Bürokratie verstehen, sondern als strategischen Hebel für sichere digitale Innovation.

Jetzt herunterladen!

ISMS und AIMS: getrennte Inhalte, gemeinsame Steuerung

ISMS und AIMS setzen unterschiedliche Schwerpunkte: Das ISMS schützt vor allem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, das AIMS hat KI-spezifische Themen wie Daten- und Modellrisiken, Auswirkungen auf Betroffene, Fairness, Transparenz und menschliche Aufsicht im Blick.

Die gute Nachricht: Beide Managementsysteme folgen der gleichen Grundlogik (High Level Structure) für Managementsysteme und dem Plan-Do-Check-Act-Zyklus (PDCA). Dadurch lassen sich zentrale Governance-Mechanismen gemeinsam steuern, etwa Rollenmodelle, Risiko- und Change-Prozesse, Audits, Managementreviews oder Dokumentation.

Warum eine integrierte Governance nötig ist

Wenn Informationssicherheit und KI-Governance getrennt organisiert werden, entstehen schnell typische Probleme: unklare Verantwortlichkeiten, doppelte Prozesse, widersprüchliche Entscheidungen und Lücken an der Grenze zwischen Security und KI-Governance. KI-spezifische Risiken wie Data Poisoning, Prompt Injection oder Model Theft lassen sich nicht sauber nur der „Security-Ecke“ oder nur der „KI-Ecke“ zuordnen – sie betreffen beide.

Regulatorisch kommen zusätzliche Governance-Pflichten hinzu, die sich stark überschneiden: risikobasierte Steuerung, klare Zuständigkeiten, Lieferkettenkontrolle, Monitoring, strukturierter Umgang mit Sicherheits- und KI-Incidents. Wer ISMS und AIMS getrennt aufsetzt, baut diese Grundfunktionen im Zweifel doppelt. Der Integrationsansatz setzt daher auf vier Leitprinzipien: einheitliche Governance-Struktur, gemeinsamer PDCA-Zyklus, abgestimmte Rollen und integrierte Prozesse statt Silos.

Wenn Informationssicherheit und KI-Governance getrennt organisiert werden, entstehen schnell typische Probleme wie unklare Verantwortlichkeiten, doppelte Prozesse oder widersprüchliche Entscheidungen.

Umsetzung in der Praxis: vom Register bis zum Incident

In der Plan-Phase definieren Organisationen den Kontext ihrer KI-Nutzung:

  • Welche Systeme werden eingesetzt?
  • Welche Risiken entstehen?
  • Welche regulatorischen Anforderungen gelten?

Kontext, Scopes und Rollen werden gemeinsam gedacht. Das bestehende ISMS wird um einen klaren KI-Scope ergänzt, der über ein KI-Systemregister operationalisiert wird. Dieses Register beschreibt KI-Systeme mit Zweck, Rolle der Organisation, Datenbasis, Einsatzkontext und Abhängigkeiten.

Wie die Integration konkret umgesetzt werden kann, zeigt sich entlang des PDCA-Zyklus. Risikobewertung und Maßnahmenplanung laufen zweigleisig: Informationssicherheitsrisiken werden im ISMS bewertet, KI-spezifische Impacts im AIMS. Zusammengeführt wird beides in gemeinsamen Entscheidungsunterlagen für Freigaben und Risikoakzeptanz. In der Do-Phase werden Ressourcen, Kompetenzen, Awareness, Change- und Incident-Prozesse integriert gesteuert – KI-Artefakte werden explizit als schutzbedürftige Assets und Governance-Objekte behandelt.

In der Check-Phase der Überwachung und Bewertung der Systeme nutzt die Organisation ein abgestimmtes Set aus Kennzahlen (KPIs) und Reviews – von klassischen Security- über Drift- und Fehlverhaltensindikatoren bis zu Oversight-Metriken für KI-Systeme.

In der Act-Phase laufen Korrekturmaßnahmen und kontinuierliche Verbesserung in einem gemeinsamen Verbesserungsprozess zusammen, der beide Welten berücksichtigt. Erkenntnisse aus Audits, Vorfällen oder neuen regulatorischen Anforderungen fließen direkt in die Weiterentwicklung von Prozessen und Richtlinien ein. So entsteht ein lernendes System, das sich an neue Technologien und regulatorische Entwicklungen anpassen kann.

So unterstützen wir Sie

  • Cybersecurity

    Cybersecurity ist ein immer komplexer werdendes Feld. Unternehmen müssen sich gut vorbereiten. Lesen Sie hier, wie EY Sie dabei unterstützt.

    Mehr erfahren

Mehrwert für Unternehmen: weniger Aufwand, mehr Vertrauen, bessere Nachweise


Der integrierte Ansatz zielt nicht nur auf Compliance, sondern auf konkreten Mehrwert. Gemeinsame Prozesse und Nachweise reduzieren den Audit- und Dokumentationsaufwand, vermeiden Doppelarbeit und beschleunigen Entscheidungen. Gleichzeitig entsteht ein integriertes Risikobild für Informationssicherheit und KI. Das erleichtert Managemententscheidungen und stärkt die Steuerungsfähigkeit der Organisation.
 

Zugleich bildet sich eine konsistente Evidenzkette – von Anforderungen über Risiken und Maßnahmen bis hin zu Audits und Verbesserungen. Dadurch lassen sich externe Prüfungen effizienter durchführen, kombinierte Zertifizierungen nach ISO 27001 und ISO 42001 unterstützen und das Vertrauen von Kunden, Partnern und Aufsichtsbehörden in den KI-Einsatz stärken.
 

Ein besonders wirkungsvoller Integrationspunkt ist das Risikomanagement. Informationssicherheitsrisiken und KI-Risiken unterscheiden sich in ihrer Natur und Bewertungslogik grundlegend. Während klassische IT-Risiken einer bedrohungsbasierten Logik folgen, umfassen KI-Risiken zusätzliche Dimensionen wie algorithmische Verzerrungen, mangelnde Erklärbarkeit oder KI-spezifische Angriffsvektoren. Werden beide Risikoperspektiven in getrennten Silos gesteuert, drohen widersprüchliche Freigabeentscheidungen und lückenhafte Nachweisketten. Ein integriertes Risikomanagement, bestehend aus einem gemeinsamen Risikoregister, einer abgestimmten Taxonomie und einem konsolidierten Behandlungsprozess, liefert dem Management dagegen ein vollständiges Lagebild als Grundlage für fundierte Steuerungsentscheidungen.

So unterstützen wir Sie

  • AI Insights

    Entdecken Sie unsere globalen Erkenntnisse, die zeigen, wie Sie Vertrauen in KI aufbauen, einen exponentiellen Mehrwert in Ihrem gesamten Unternehmen schaffen und positive Auswirkungen auf die Menschen haben können. Erfahren Sie mehr.

    Mehr erfahren

Integrierte Governance als Grundlage für verantwortungsvolle KI


Der Einsatz von KI wird für Unternehmen immer wichtiger – und zugleich regulatorisch anspruchsvoller. Eine integrierte Governance basierend auf ISO/IEC 27001 und ISO/IEC 42001 bietet einen pragmatischen Weg, bestehende Sicherheitsstrukturen zu nutzen und gezielt um KI-spezifische Anforderungen zu erweitern. Unternehmen schaffen damit nicht nur die Grundlage für Compliance, sondern auch für einen langfristig sicheren, transparenten und vertrauenswürdigen Einsatz von KI.
 

Gleichzeitig wird der Integrationsbedarf weiter zunehmen: Der EU AI Act wird in den kommenden Jahren durch weitere Regelungen ergänzt und konkretisiert und die Zertifizierung gemäß ISO/IEC 42001 gewinnt an Bedeutung. Auf technologischer Seite erhöhen agentische KI-Systeme und autonome Entscheidungsketten die Anforderungen an Governance und Nachvollziehbarkeit. Organisationen, die heute die Grundlagen für ein integriertes ISMS/AIMS legen, verschaffen sich damit einen strukturellen Vorsprung.
 

EY begleitet Organisationen auf diesem Weg, sowohl mit methodischer Tiefe und regulatorischem Know-how als auch mit der Umsetzungserfahrung aus einer Vielzahl von Integrationsprojekten. Unsere Teams bündeln Cybersecurity-, KI-Governance- und Compliance-Expertise und unterstützen Sie vom Readiness-Check über die Governance-Harmonisierung bis zur Zertifizierungsvorbereitung. Das im EY Responsible AI Framework verankerte Vorgehen stellt sicher, dass KI-Governance nicht als Parallelstruktur entsteht, sondern in bestehende Managementprozesse eingebettet wird.

Fazit – KI-Wachstum erfordert integrierte Governance

Der Einsatz von KI nimmt zu – ebenso wie die Anforderungen an Governance, Sicherheit und Nachweisbarkeit. Unternehmen müssen neue regulatorische Vorgaben erfüllen und gleichzeitig Risiken aus Daten, Modellen und Anwendungen steuern. Das EY-Whitepaper „Integrierte Governance für Informationssicherheit und KI“ zeigt, wie sich bestehende Informationssicherheitsstrukturen nach ISO 27001 mit einem KI-Managementsystem nach ISO 42001 verbinden lassen. Eine integrierte Governance reduziert Doppelarbeit, schafft klare Verantwortlichkeiten und ermöglicht ein konsistentes Risiko- und Compliance-Management für KI. EY begleitet Unternehmen bei der Umsetzung – von der Reifegradanalyse über das integrierte Risikomanagement bis zur Zertifizierungsvorbereitung.

Mehr zum Thema

Der stille Verlust – wenn personenbezogene Daten unbemerkt abfließen

Stille Datenverluste bedrohen das Vertrauen der Kunden und Partner. Erfahren Sie, wie Unternehmen mit KI-Governance und NIS2-Richtlinie reagieren sollten.

Marco Beck

Wie Cybersecurity zu Wertschöpfung und Wachstum beiträgt

Entdecken Sie in der Global Cybersecurity Leadership Insights Study 2025, wie CISOs von Risikomanagern zu Wachstumstreibern und Wertschöpfenden werden!

Dr. Srdan Dzombeta, LL.M. + 1

    Ihre individuelle Cybersecurity-Strategie

    |

    Jetzt unverbindliche Anfrage stellen und ein maßgeschneidertes Sicherheitskonzept erhalten.

    Angebot anfordern

    Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.