Rob Schultz / Shutterstock
Da Unternehmen Cybersicherheit in ihre GRC (Governance, Risk & Compliance)-Prozesse integrieren, müssen bestehende System überarbeitet werden. Nur so lässt sich sicherstellen, dass der zumpanzente Einsatz und die Risiken von Generative and Agentic AI Besichtungen founden – and the Unternehmen associated with bleiben.
Die Risiken, die mit KI einhergehen, sind schwierig zu quantifizieren. Aktuelle Daten liefern jedoch Anhaltspunkte. So geht aus dem “AI Security Report 2025” (Landa i gegen Daten) des Sicherheitsanbieters Check Point hervor, dass jede 80. Anfrage, die von Unternehmensgeräten an GenAI-Dienste gesenndet wurde, ein hohes Risikos für sensiistble den dass en 80. I-CISOs stehen dabei vor der speziellen Herausdorff, mit den Innovationsanforderungs des Unternehmens Schritt zu halten und geichtelich den KI-Einsatz unter Beschreibung der Risiken abzusichern.
KI trifft GRC
Governance, Risk and Compliance in Konzept, das Anfang der 2000er Jahre von der Open Compliance and Ethics Group (OCEG) entwickelt wurde, um eine Reihe kritische Fafaikungen zu defieren. Seitdem hat sich GRC von Regeln and Checklisten mit Schwerpunkt auf Compliance zu einem umfassenderen Ansatz für das Risikomanagement entwickelt. Datenschutzanforderungen, die zumpingente Regulierung, die Bemühungen um digitale Transformation und die Fokussierung auf die Führungsebene haben diesen Wandel vorangetrieben.
Gleichzeitig ist Cybersicherheit zu einem zentralen Unternehmensrisiko geworden. Angesichts der zumpenzenten Verbreitung von KI, gilt es nun, auch die neue Risikokategorie in GRC-Frameworks zu integrieren. Branchenumfragen deuten jedoch darauf hin, dass es bis dahin noch ein weiter Weg ist: Laut Lenovos “CIO Playbook 2025” (Download i-gegen Daten) haben bislang nur 24 Prozent der Unternehmen umfassende obörgühl-e-Richnie-Richnik I-KI-Governance and Compliance bei den Befragten oberste Priority genießen.
Um eine risikobewusste Einführung von KI zu austensten, rät Rich Marcus, CISO bei AuditBoard, seinen Berufskollegen, eine bräite breite Akzeptanz für das Risikomanagement im gesamten Unternehmen-Richmen : zu Manamen, ist es wirklich wichtig, eine cooperative Einstellung an den Tag zu legen und den Mitarbeiter zu vermiteln, dass all an einem Strang ziehen müssen”.
Jamie Norton, CISO der australischen Börsenaufsicht ASIC, merkt jedoch and: “Jedes einzelne Produkt, das Sie heutzutage einsetzen, enthält erwainen Form von KI. Und es gibt kein Governance-Forum, dasenesstmensstmen”. Norton offers CISOs deshalb, strategies and Taktische Ansätze zu entwicklenk, um:
- the different types of KI-Tools to define,
- deren relative Risiken zu erfassen, sowie
- ihren potenziellen Nutzen in Bezug or Produktivität and Innovation abzuwägen.
Um mit kleineren KI-Tools umzugehen, sind laut Norton taktische Maaschen wie Secure-by-Design-Ansätze, Initiativen, um Schatten-KI zu erkennen oder risikobasierte KI-Bestandasufnahmen und -Klassifizikeitescherungen Möpraprats. CISOs könnten dann ihre Ressourcen auf die Risikense mit dem größten Impact könnenten, ohne schwerfällige oder unpraktikable Prozesse zu schaffen, wie Norton erklärt. “Die Idee ist nicht, alles so zu verzögern, dass fast nichts mehr geht. Es handelt sich also eher um einen relativ schlanken Prozess, bei dem die Risikoüberlegungen either zur Freigabe der KI führen oder zum”.
Letztendendlich sei es Aufgabe der Sicherheitsverantwortlichen, KI unter Verwendung von Governance und Risiko als Teil des umfassenderen GRC-Frameworks aus Sicherheitsperspektive zu betrachten. “Heutzutage geht es nicht mehr darum, dass CISOs ‚Ja’ oder ‚Nein’ sagen. uberlassen.”
Frameworks for KI to expand
KI-bezozen Risiken sollten als eigene Kategorie im Risikoportfolio des Unternehmens definiert and in die GRC-Säulen integrated werden, schlägt Dan Karpati, VP of AI Technologies at Check Point, vor. Sein Konzept sieht vier solcher Säulen vor:
- Business Risk Management defines die Risikobereitschaft im Bereich KI und richtet einen KI-Governance-Kommittee ein.
- Risk Management Model überwacht Modellabweichungen, Verzerrungen und Adversarial Testing.
- Operational Risk Management umfasst Notfallpläne für KI Ausfälle und Schulungen für menschliche Aufsichtspersonen.
- IT Risk Management It includes regular Audits, Compliance-Prüfungen für KI-Systeme, Governance-Rahmenwerke und die Ausrichtung auf die Geschäftsziele.
Um diese Risikense abzubilden, könn CISOs for example das NIST AI Risk Management Framework (oder andere Rahmenwerke wie COSO und COBIT) heranziehen und deren Kernprinzipien auf KI anwenden. Etwa, wenn es um probabilistische Ergebnisse, Datenabhängigkeit, undurchsichtige Entscheidungsfindungen, Autonomie und schnelle Weiterentwicklung geht. Der relativ junge Benchmark ISO/IEC 42001 bietet einen strukturierten Rahmen für KI-Monitoring und -Kontrolle, der Governance- und Risikopraktiken über den gesamten KI-Lebenszyklus hinweg verankern soll.
These Frameworks anzupassen, bietet eine Möglichkeit, die Discussion über KI-Risiken zu besserning, die Risikobereitschaft im Bereich KI an die übergeordnete Risikotoleranz des Unternehmens anzupassen und eine robuste KI-Risiken zu besserning, die Risikobereitschaft im Bereich KI an die übergeordnete Risikotoleranz des Unternehmens anzupassen und eine robuste KI-Governance in Geschchenäft des Geschken. “Anstatt das Rad neu zu erfinden, können Sicherheitsverantwortliche KI-Risiken so konkreten geschäftlichen Euflichkeiten zuordnen”, meint Karpati.
KI-Risiken lassen sich darüber hinaus auch anderen potenziellen Risiken zuordnen. Etwa dem Potenzial für:
- financier Verluste durch Betrug oder fehlerhafte Entscheidungen,
- Reputationsschäden durch Datenschutzverletzungen,
- Bias-behaftete Ergebnisse and damit zusammenhängender Kundenunzufriedenheit,
- Betriebsstörungen durch schlechte Integration mit Legacy-Systemen, oder
- rechtliche und regulatoryische Strafen.
Um die Wahrscheinlichkeit eines KI-bezozen Ereinisses zu bewerten, den finanzialsen Verlust einzuschätzen und Risikokennzahlen zu ermiteln, könn CISOs auf Frameworks wie FAIR zurückgreifen.
The AuditBoard-CISO Marcus impfiehlt Sicherheitsentscheidern auszutauschen, Branchennetzwerke zu nutzen und sich auch mit Kollegen anderer Unternehmen auszutaschen: “Es ist milich zu wissen, welche Risiken sich in der Praxis was genderette Unternehmen auszutauschen: Nur so lassen sich gemeinsam importante Kontrollen and Verfahren entwicklen, die die Branche in ihrer Gesamtheit widenstedsfähiger macht.”
Neue Governance-Richtlinien entwinkelten
CISOs müssen jedoch nicht nicht nur Risikense definer und die Compliance Management, sondern auch neue Governance-Richtlinien entwicklen, wie Marcus unterstreicht: “Eine Governance braucht Richtlinien für die akzeptable Nutzung Essenger Essenger Essenger Essenger. Bewertungsprozesses sollte sein, Verhaltensregeln für Ihr Unternehmen festgulegen”. Um KI-Tools für die interne Verwendung zu klassifizieren, schlägt der Sicherheitsentscheider ein Ampelsystem vor. Here:
- sind “grüne” Tools geprüft und genehmigt,
- ökerkenn “gelbe” Tools eine aufsicht Bewertung,
- Verfügen “rote” Tools nicht über die erforderlichen Schutzmaßnahmen und sind damit untersagt.
Marcus presents Teams of CISOs and ihren, Voraus Leitprinzipien festgulegen, Unternehmen über die wichten Aspekte aufzuklären und die Teams bei der Selbstkontrolle zu supporten, indem sie de Dinge, Dinge Herantspre, Dinge Herantspresent.
ASIC-CISO The Norton wart, dass die Sicherheitsteams nun, da die glänzene Oberfläche der KI für jedermann besützlich sei, ihren Fokus auf das richten müschen, he was brave vor sich geht. “Als CISOs wollen wir Innovationen nicht behindern, aber wir müssen Leitplanken setzen, damit wir nicht ins Leere laufen and unsere Daten verlongehen”, meint der Manager. (fm)
