KI-Risikomanagement aufbauen
Baue ein KI-Risikomanagement auf: Risiken identifizieren, bewerten, steuern und ueberwachen — nach EU AI Act und ISO-Standards.
Premium-Kursinhalt
Diese Lektion gehört zu einem Premium-Kurs. Upgrade auf Pro, um alle Premium-Kurse und Inhalte freizuschalten.
- Zugang zu allen Premium-Kursen
- 1000+ KI-Skill-Vorlagen inklusive
- Jede Woche neue Inhalte
🔄 Kurzer Rueckblick: In der letzten Lektion hast du die Governance-Struktur aufgebaut — Rollen, Gremium, KI-Policy. Jetzt bauen wir das Risikomanagement auf, das diese Strukturen mit Leben fuellt.
Risikomanagement klingt abstrakt. Ist es aber nicht. Es beantwortet drei Fragen: Was kann schiefgehen? Wie schlimm waere es? Was tun wir dagegen?
Der Risikomanagement-Zyklus
Vier Schritte, die sich wiederholen:
- Identifizieren — Welche KI-Risiken gibt es?
- Bewerten — Wie wahrscheinlich und wie schwerwiegend?
- Steuern — Welche Massnahmen ergreifen wir?
- Ueberwachen — Funktionieren die Massnahmen?
Schritt 1: Risiken identifizieren
Fuenf Risikodimensionen fuer jedes KI-System:
| Dimension | Risiken | Beispiel |
|---|---|---|
| Regulatorisch | EU AI Act Risikoklasse, DSGVO-Verstoss | Hochrisiko-System ohne Konformitaet |
| Datenschutz | PD in Prompts, Drittlandtransfer, fehlende Rechtsgrundlage | Mitarbeiter gibt Kundendaten in ChatGPT Free ein |
| Geschaeftsgeheimnisse | IP-Verlust, vertrauliche Informationen | Quellcode oder Strategiepapiere in KI-Tools |
| Operationell | Abhaengigkeit, Ausfall, fehlerhafte Outputs | KI-System faellt aus, kein Fallback |
| Reputation | Falsche KI-Outputs, Bias, Diskriminierung | KI-generierter Newsletter mit falschen Fakten |
Methoden zur Identifikation:
- KI-Inventar als Ausgangspunkt
- Workshops mit Fachabteilungen
- Analyse der Schatten-KI-Nutzung
- Checklisten (NIST AI RMF, ISO 42001, DSK Orientierungshilfe)
✅ Quick Check: Hast du alle fuenf Risikodimensionen fuer deine KI-Systeme geprueft — oder nur die offensichtlichste (Datenschutz)?
Schritt 2: Risiken bewerten
Fuer jedes identifizierte Risiko: Eintrittswahrscheinlichkeit × Schadenshoehe.
| Bewertung | Eintritt | Schaden | Risikostufe |
|---|---|---|---|
| Kritisch | Hoch | Hoch | Sofort handeln |
| Hoch | Hoch/Mittel | Mittel/Hoch | Kurzfristig handeln |
| Mittel | Mittel | Mittel | Planen und umsetzen |
| Niedrig | Niedrig | Niedrig | Akzeptieren oder beobachten |
Praxis-Beispiel:
| KI-System | Risiko | Eintritt | Schaden | Stufe |
|---|---|---|---|---|
| ChatGPT Free (Schatten-KI) | PD in Prompts | Hoch | Hoch | Kritisch |
| Recruiting-KI | Diskriminierung | Mittel | Hoch | Hoch |
| Copilot M365 | Fehlzusammenfassung | Mittel | Niedrig | Niedrig |
Schritt 3: Risiken steuern
Vier Strategien:
| Strategie | Wann | Beispiel |
|---|---|---|
| Vermeiden | Risiko zu hoch, kein Nutzen | Schatten-KI-Tool komplett sperren |
| Reduzieren | Risiko beherrschbar mit Massnahmen | Enterprise-Version nutzen, Schulung, Policy |
| Uebertragen | Restrisiko versichern oder vertraglich regeln | Cyberversicherung, AVV mit Provider |
| Akzeptieren | Risiko niedrig, Massnahmen unverhältnismäßig | Minimales Risiko dokumentieren und beobachten |
Massnahmen-Typen:
| Typ | Beispiele |
|---|---|
| Technisch | Enterprise-Versionen, DLP-Regeln, API-Zugangskontrollen |
| Organisatorisch | KI-Policy, Genehmigungsprozess, Vier-Augen-Prinzip |
| Personell | Schulungen, Awareness, rollenbasierte Zugriffsrechte |
| Vertragliche | AVV, Haftungsklauseln, SLA mit KI-Anbietern |
Schritt 4: Ueberwachen und verbessern
Risikomanagement ist kein Einmal-Projekt. Du brauchst:
- KPIs definieren: Anzahl Compliance-Verstoesse, Schulungsquote, Audit-Ergebnisse
- Review-Zyklus: Mindestens halbjaehrlich, plus bei neuen KI-Tools oder Rechtsaenderungen
- Eskalationswege: Wer wird informiert, wenn ein Risiko eintritt?
- Lessons Learned: Nach jedem Vorfall: Was ist passiert? Was aendern wir?
Standards und Frameworks
| Standard | Fokus | Fuer wen |
|---|---|---|
| ISO 42001 | KI-Managementsystem | Unternehmen, die ein zertifizierbares System wollen |
| NIST AI RMF | KI-Risikomanagement | Internationaler Referenzrahmen |
| ISO 31000 | Allgemeines Risikomanagement | Basis, auf der KI-RM aufbaut |
| DSK Orientierungshilfe | DSGVO-konforme KI-Nutzung | Datenschutz-spezifischer Fokus |
Key Takeaways
- Fuenf Risikodimensionen: Regulatorisch, Datenschutz, Geschaeftsgeheimnisse, Operationell, Reputation
- Die EU-AI-Act-Risikoklasse ist nur eine Dimension — DSGVO-, IP- und Reputationsrisiken kommen dazu
- Vier Steuerungsstrategien: Vermeiden, Reduzieren, Uebertragen, Akzeptieren
- Risikomanagement ist ein Zyklus: Identifizieren → Bewerten → Steuern → Ueberwachen → wiederholen
- ISO 42001 ist freiwillig, aber strategisch wertvoll — besonders im B2B-Kontext
Up Next
In der naechsten Lektion geht es um Dokumentation: Was musst du festhalten, in welchem Format, und wie haeltst du alles aktuell? Du bekommst Vorlagen und Checklisten fuer KI-Inventar, DSFA und Compliance-Nachweise.
Wissenscheck
Erst das Quiz oben abschließen
Lektion abgeschlossen!