Müssen wir die KI-Lieferkette im AIMS berücksichtigen?

„Warum sollen wir den KI-Anbieter im AIMS berücksichtigen?“ – Ein Satz, den ich aktuell ständig höre

„Warum sollen wir den Anbieter betrachten? Das ist doch deren KI, nicht unsere.“

Diesen Satz höre ich aktuell in Workshops und Gap-Assessments rund um AI Governance und AIMS immer häufiger. Meist sitzt dann ein kleines oder mittelständisches Unternehmen vor mir, das bereits erste KI-Tools wie ChatGPT, Copilot oder spezialisierte Analyseplattformen nutzt – oft pragmatisch, teilweise sogar sehr sinnvoll.
Und ehrlich gesagt: Die Frage ist absolut nachvollziehbar.

Viele Verantwortliche verbinden Verantwortung vor allem mit Dingen, die sie selbst betreiben oder entwickelt haben. Wenn ein KI-System aber „nur“ als Cloud- oder SaaS-Dienst eingekauft wird, entsteht schnell das Gefühl:
„Dann liegt das Risiko doch beim Anbieter.“

Genau hier beginnt aber oft das Missverständnis.

Denn auch wenn die KI technisch extern betrieben wird, bleibt die Nutzung Teil der eigenen Organisation. Mitarbeitende geben Daten ein, Entscheidungen werden vorbereitet, Prozesse verändert und Informationen verarbeitet.

Was ich dabei oft beobachte: Sobald Unternehmen merken, dass plötzlich auch externe KI-Anbieter organisatorisch relevant werden, entsteht schnell Überforderung. Vor allem in KMU, in denen Informationssicherheit oder KI-Governance meist neben dem Tagesgeschäft mitlaufen. Genau deshalb lohnt sich ein pragmatischer Blick auf das Thema.

Warum externe KI-Anbieter trotzdem Teil Deines AIMS sind

Das eigentliche Missverständnis entsteht oft dadurch, dass viele Unternehmen ein AI-Managementsystem ausschließlich mit selbst entwickelter KI verbinden. Also mit eigenen Modellen, eigener Software oder komplexen Data-Science-Projekten. In der Praxis sieht die Realität in KMU aber meistens anders aus: KI wird eingekauft, abonniert oder direkt als Cloud-Service genutzt.

Genau deshalb betrifft das Thema externe Anbieter trotzdem das eigene AIMS.
Denn ein AI Management System betrachtet nicht nur die technische Entwicklung von KI-Systemen. Es geht auch um deren Nutzung, Steuerung, Risiken und organisatorische Einbettung im Unternehmen.

Das ist übrigens nichts völlig Neues. Im ISMS ist die Denkweise seit Jahren ähnlich. Microsoft betreibt zwar Microsoft 365 – trotzdem bleibt ein Unternehmen selbst verantwortlich für Dinge wie:

Berechtigungen
Datenklassifizierung
Freigaben
Governance
organisatorische Sicherheitsmaßnahmen

Niemand würde ernsthaft sagen:
„Microsoft kümmert sich schon darum, also brauchen wir keine Regeln mehr.“
Bei KI-Systemen ist es im Kern ähnlich.

Wenn Mitarbeitende externe KI-Tools nutzen, Inhalte generieren, Entscheidungen vorbereiten oder personenbezogene Daten eingeben, entstehen automatisch organisatorische Risiken. Nicht unbedingt, weil der Anbieter „unsicher“ ist – sondern weil die Nutzung Auswirkungen auf das eigene Unternehmen hat.

Eine Analogie hilft hier oft ganz gut:
Ein gemietetes Auto bleibt trotzdem Teil Deiner Verantwortung im Straßenverkehr.
Du musst den Motor nicht selbst gebaut haben, damit Regeln, Risiken und Verantwortung relevant werden.

Und genau an diesem Punkt setzt AIMS an. Nicht bei der Frage:
Haben wir eigene KI entwickelt?“
Sondern bei der Frage:
„Wie nutzen wir KI organisatorisch verantwortungsvoll?“

KI-Governance in der Praxis: Wo externe KI-Anbieter plötzlich zum Thema werden

Was ich aktuell in Projekten immer häufiger sehe: KI wird in Unternehmen deutlich schneller eingeführt als organisatorisch eingeordnet.

Das passiert selten böse gemeint oder fahrlässig. Im Gegenteil. Oft testen Fachbereiche neue Tools einfach pragmatisch, weil sie produktiver arbeiten wollen. Marketing nutzt Text-KI, HR experimentiert mit Zusammenfassungen, Vertrieb erstellt Präsentationen und irgendwo wird bereits ein KI-Analyse-Tool getestet.

Das Problem: Häufig existiert dabei keine zentrale Steuerung.
Und plötzlich weiß niemand mehr so genau:

welche KI-Anbieter überhaupt genutzt werden,
welche Daten dort landen,
wo die Systeme betrieben werden,
ob Inhalte zum Training verwendet werden,
wer Zugriff hat,
oder wer neue Tools eigentlich freigeben darf.

Interessanterweise ist dabei die KI selbst oft gar nicht das eigentliche Problem.
Was meistens fehlt, ist Governance.

Ich sehe regelmäßig Situationen wie:

vertrauliche Informationen landen in öffentlichen KI-Systemen,
Mitarbeitende nutzen Tools ohne Freigabe,
Verantwortlichkeiten sind unklar,
es existieren keine Nutzungsrichtlinien,
kritische Anbieter wurden nie organisatorisch bewertet.

Und genau an dieser Stelle reagieren viele KMU erstmal mit Überforderung. Vor allem dann, wenn Begriffe wie „KI-Lieferkette“, „Lieferantenmanagement“ oder „Third-Party-Risk“ auftauchen. Sofort entsteht das Bild von riesigen Excel-Listen, komplexen Audits und 120-Fragen-Katalogen für jeden einzelnen Anbieter.
Aber genau darum geht es am Anfang meistens gar nicht.

Der wichtigste Perspektivwechsel ist aus meiner Sicht:
KI-Governance startet nicht mit Bürokratie. Sondern mit Transparenz.

Unternehmen müssen zunächst verstehen:

Welche KI-Systeme werden genutzt?
Welche davon sind kritisch?
Wo werden sensible Daten verarbeitet?
Welche Nutzung ist gewollt – und welche nicht?

In der Praxis funktionieren dabei oft erstaunlich einfache Ansätze gut.
Zum Beispiel eine erste Kategorisierung:

kritisch / unkritisch,
personenbezogene Daten ja/nein,
interne Freigabe erforderlich ja/nein.

Mehr braucht es zu Beginn häufig gar nicht.

Gerade KMU profitieren davon, wenn sie KI-Governance nicht als komplett neues Paralleluniversum betrachten. Viele Unternehmen besitzen bereits Prozesse aus dem ISMS oder dem klassischen Lieferantenmanagement. Genau dort lässt sich oft sinnvoll anknüpfen, statt alles neu aufzubauen.

Und noch etwas ist wichtig:
Unternehmen müssen nicht „die KI kontrollieren“.
Sie müssen kontrollieren:

wie KI genutzt wird,
wer sie nutzt,
wofür sie genutzt wird,
und welche Risiken daraus entstehen.

Das klingt zunächst kleiner als viele erwarten. In der Praxis ist genau das aber oft der entscheidende Unterschied zwischen unkontrollierter Tool-Nutzung und einer funktionierenden AI Governance.

Zum Mitnehmen & Weiterdenken: Was externe KI-Anbieter im AIMS wirklich bedeuten

Wenn Unternehmen beginnen, sich mit AI Governance oder einem AIMS zu beschäftigen, entsteht schnell der Eindruck, dass plötzlich unzählige neue Anforderungen auf sie zukommen. Meine Erfahrung ist aber: Der entscheidende Schritt ist oft nicht Perfektion, sondern ein realistischer Überblick.

Die wichtigsten Punkte aus der Praxis:

Externe KI-Anbieter entbinden Unternehmen nicht von organisatorischer Verantwortung.
AIMS bedeutet nicht nur Technik, sondern vor allem Steuerung, Transparenz und klare Regeln.
Nicht jeder KI-Anbieter ist automatisch hochkritisch oder auditpflichtig.
Gerade KMU profitieren von pragmatischen und risikobasierten Ansätzen.
Bestehende ISMS-, Datenschutz- oder Lieferantenprozesse lassen sich häufig sinnvoll erweitern, statt komplett neue Strukturen aufzubauen.

Mindestens genauso wichtig sind aber die Fragen, die daraus entstehen:

Wisst Ihr aktuell überhaupt, welche KI-Tools im Unternehmen genutzt werden?
Gibt es klare Regeln dafür, welche Daten in KI-Systeme eingegeben werden dürfen?
Wer entscheidet heute eigentlich über die Einführung neuer KI-Anwendungen?
Und wäre diese Entscheidung aktuell eher ein geregelter Prozess – oder Zufall?

Genau an diesen Fragen beginnt in vielen Unternehmen echte AI Governance.

Was Du jetzt tun kannst: Externe KI-Anbieter im AIMS pragmatisch angehen

Quick-Check

Gibt es bei Euch bereits eine Übersicht über genutzte KI-Tools und KI-Anbieter?
Sind kritische Anwendungen oder sensible Datenflüsse identifiziert?
Existieren Regeln dafür, welche Daten in externe KI-Systeme eingegeben werden dürfen?
Ist klar definiert, wer neue KI-Tools fachlich oder organisatorisch freigibt?

Mini-CTA

Wenn Ihr beim Thema KI gerade erst startet, versucht nicht sofort ein vollständiges Lieferantenbewertungssystem aufzubauen. In den meisten KMU ist der sinnvollere erste Schritt deutlich einfacher:

Verschafft Euch zunächst einen Überblick darüber, welche KI-Systeme überhaupt genutzt werden – und wo dabei potenziell sensible Informationen verarbeitet werden.
Oft entsteht genau daraus bereits die Grundlage für funktionierende AI Governance.

Müssen wir auch die KI-Lieferkette im AI-Managementsystem berücksichtigen?

„Warum sollen wir den KI-Anbieter im AIMS berücksichtigen?“ – Ein Satz, den ich aktuell ständig höre

Warum externe KI-Anbieter trotzdem Teil Deines AIMS sind

KI-Governance in der Praxis: Wo externe KI-Anbieter plötzlich zum Thema werden

Zum Mitnehmen & Weiterdenken: Was externe KI-Anbieter im AIMS wirklich bedeuten

Was Du jetzt tun kannst: Externe KI-Anbieter im AIMS pragmatisch angehen

Quick-Check

Mini-CTA

Die wichtigsten Dokumente in einem AIMS

Typische Stolperfallen beim AIMS-Aufbau

Wie erkenne ich, ob ein KI-Tool hochrisikorelevant ist?

Was ist BCM und warum ist es so wichtig?

Wie detailliert muss die KI-Risikobewertung sein – reicht eine kurze Liste?

Was ist ein ISMS? Einstieg für Entscheider

„Warum sollen wir den KI-Anbieter im AIMS berücksichtigen?“ – Ein Satz, den ich aktuell ständig höre

Warum externe KI-Anbieter trotzdem Teil Deines AIMS sind

KI-Governance in der Praxis: Wo externe KI-Anbieter plötzlich zum Thema werden

Zum Mitnehmen & Weiterdenken: Was externe KI-Anbieter im AIMS wirklich bedeuten

Was Du jetzt tun kannst: Externe KI-Anbieter im AIMS pragmatisch angehen

Quick-Check

Mini-CTA

Ähnliche Beiträge