Rückblick: DNV-Forum 2025 – Künstliche Intelligenz und Informationssicherheit

Beim diesjährigen DNV-Forum drehte sich alles um die Themen Künstliche Intelligenz (KI) und Informationssicherheit und den damit verbundenen Chancen und Herausforderungen für Managementsystemen. Wir haben die wichtigsten Erkenntnisse für Sie zusammengefasst.

Aus der Perspektive eines Managementbeauftragten, der für die Einhaltung komplexer Normen und Standards verantwortlich ist, war die Veranstaltung eine eindringliche Bestandsaufnahme der neuen Realität: Die verantwortungsvolle und sichere Nutzung von KI ist nicht mehr nur eine technische Aufgabe, sondern eine existenzielle strategische Herausforderung. Diese wird durch eine Vielzahl neuer Gesetze vorangetrieben.

In den verschiedenen Vorträgen wurde intensiv auf unterschiedliche Regelwerke eingegangen. Am 12. Juli 2024 wurde der EU AI Act verabschiedet - das weltweit erste umfassende Gesetz für künstliche Intelligenz. Das Gesetz zielt darauf ab, vertrauenswürdige KI zu fördern und die Sicherheit sowie die Achtung der Grundrechte zu gewährleisten. Drei weitere europäische Regelwerke, die die Daten- und Cybersicherheit betreffen, sind die NIS2-Richtlinie (Network and Information Security), die CER-Richtlinie (Critical Entities Resilience, KRITIS) und der Cyber Resilience Act (CRA).  Die Datenschutz-Grundverordnung (DSGVO) vereinheitlicht den Schutz persönlicher Daten von Personen innerhalb der Europäischen Union. Sie gilt für Unternehmen, die Daten in der EU erheben oder an EU-Bürger gerichtete Waren und Dienstleistungen anbieten. Sie regelt die Verarbeitung personenbezogener Daten, beispielsweise das Erheben, Speichern und Löschen.

Die Antwort: strategische KI-Governance, Informationssicherheit und Cyber-Sicherheit.

Managementsystemstandards wie ISO/IEC 42001, ISO/IEC 27001 und die ISO/IEC 27701 sind hier von entscheidender Bedeutung. Die ISO/IEC 42001 ist der erste internationaler Standard für KI-Managementsysteme (KIMS). Die Referenten erläuterten, dass die Norm weit mehr ist als eine Compliance-Checkliste. Sie ist ein Rahmenwerk, um KI verantwortungsvoll, sicher und ethisch zu nutzen. Gleich mehrere Vorträge gingen auf die Ziele und Vorteile eines Managementsystems für KI nach ISO/IEC 42001 ein und auf die Vorteile einer Zertifizierung. Die ISO/IEC 42001 ergänzt dabei die bewährte ISO/IEC 27001: Während die ISO/IEC 27001 den Schutz von Informationen durch ein Informationssicherheits-Managementsystem (ISMS) sicherstellt, erweitert die ISO/IEC 42001 diesen Ansatz um kultur- und entscheidungsrelevante Dimensionen. Sie adressiert nicht nur technische Sicherheitsaspekte (z.B. Schutz von Trainingsdaten oder Modellen vor Manipulation), sondern auch die ethische Integrität, Fairness und menschliche Aufsicht über KI-Entscheidungen. Die kürzlich aktualisierte und nun eigenständige Norm ISO/IEC 27701 soll Datenschutz-Informationsmanagementsysteme für Organisationen weltweit weiter stärken. Der Standard kann unabhängig von der ISO/IEC 27001 als eigenständiger zertifizierbarer Managementsystemstandard mit besonderem Fokus auf Datenschutzrisiken und Steuerungsmaßnahmen implementiert werden.

Alle diese Standards folgen der harmonisierten  Struktur (HS), was eine nahtlose Integration in bestehende Managementsysteme ermöglicht. Unternehmen können so ein integriertes Governance-Modell aufbauen, das sowohl Sicherheit als auch ethische Verantwortung systematisch abbildet.

Dennoch sei es sehr wichtig festzuhalten, dass ein Zertifikat nach ISO/IEC 42001 nicht gleichbedeutend mit der Einhaltung des EU AI Act ist, so ein Referent. ISO/IEC 42001 bietet ein umfassendes Rahmenwerk, das es Organisationen ermöglicht, ein robustes Managementsystem zur Bewältigung globaler Compliance-Herausforderungen (einschließlich des EU AI Act) aufzubauen. Der EU AI Act hingegen ist eine verbindliche Rechtsverordnung mit Fokus auf Produkten und Technologien, die sich auf die Produktanforderungen in Bezug auf Sicherheit, Datenschutz und Ethik für KI-Systeme konzentriert.

Konkrete Handlungsempfehlungen für Cybersicherheit erhielten die Teilnehmer in einem anderen Vortrag. Unter anderem wurde auf die Gefahr von „Shadow AI“ hingewiesen: Mitarbeiter nutzen unbeaufsichtigt Tools wie ChatGPT oder Copilot. Das kann zu Datenlecks, Verstößen gegen den Datenschutz und dem Verlust geistigen Eigentums führen.

KI-Compliance ist eine der größten aktuellen Herausforderungen für Unternehmen

In einem weiteren Vortrag stellte ein Unternehmen seinen ganzheitlichen Ansatz zur Umsetzung der KI-Compliance vor, der über die reine IT-Sicherheit hinausgeht. Der Referent betonte, dass die Bewältigung der KI-Compliance eine der größten aktuellen Herausforderungen für Unternehmen darstellt. Seiner Ansicht nach erfordert KI-Compliance eine ganzheitliche, unternehmensweite Strategie. Dies bedeutet die Einrichtung interdisziplinärer Teams aus den Bereichen Compliance, Recht, IT und Sicherheit, ein kontinuierliches Monitoring der Gesetzeslage und eine umfassende Sensibilisierung der Mitarbeiter.

Der Vortrag „Chancen und Risiken von KI am Beispiel von Umweltmanagement (ISO 14001) und Sicherheit und Gesundheit bei der Arbeit (ISO 45001)“ zeigte, wie Organisationen die zunehmende Integration von KI verantwortungsvoll gestalten können, um sowohl ökologische als auch soziale Nachhaltigkeitsziele zu erreichen, ohne die Gesundheit der Beschäftigten oder die Umwelt zu gefährden. Soziale Chancen seien Bildung, Inklusion und neue Beschäftigungsmöglichkeiten wohingegen die Verschärfung von Ungleichheiten und Arbeitsplatzverluste durch Automatisierung ein soziales Risiko sei. Um die Risiken zu beherrschen und die Chancen zu nutzen müssten KI-Aspekte im Umwelt- (ISO 14001) & SGA-Management (ISO 45001) identifiziert, integriert und gesteuert werden. Als ein weiterer Schlüssel verantwortungsvollen KI-Nutzung wurde das Management der notwendigen KI-Kompetenz hervorgehoben. Dies sei keine IT-Aufgabe, sondern eine strategische Herausforderung, die alle Ebenen, von der Führung bis zur operativen Ebene betrifft.

Im Vortrag zu Informationssicherheit nach ISO/IEC 27001 und ISO/IEC 27701 erfuhren die Teilnehmer unter anderem, wie sie gut durch die Zertifizierung kommen. Der Referent räumte mit Mythen auf wie „Wir haben keine Zeit/Geld“, „Wir sind schon sicher oder zu klein, um Ziel von Cyberangriffen zu sein oder „Wir brauchen keine ISO, unsere Kunden fragen nicht danach“. Es wurde auf die Vorteile der ISO/IEC 27001 wie z.B. Vertrauensbooster, gesteigerte Effizienz durch optimierte Prozesse und eine Verbesserung des Risikomanagements eingegangen. Garantiert nicht mehr funktionieren würden 2025 nach Meinung des Referenten folgende Punkte:  Führungsetage nicht an Bord, digitale Steinzeit (Excel & Word), ISO/IEC 27001 als reines IT-Projekt.

KI-Implementierung bietet einen Wettbewerbsvorteil

Bei dem Vortrag „Von der Idee zur Integration – KI erfolgreich im Unternehmen implementieren“ wurde den Teilnehmern anhand eines realen Projektes demonstriert, wie KI systematisch von der Idee bis zur erfolgreichen Umsetzung eingeführt werden kann. Die Referenten plädierten für einen strategischen, ganzheitlichen und schrittweisen Ansatz zur KI-Implementierung. Der Fokus müsse von isolierten Technologie-Experimenten hin zu einer umfassenden Geschäftsmodell-Transformation verschoben werden. Unternehmen, die in die KI-Transformation investieren – sowohl finanziell als auch in Form von Weiterbildung –, überwinden zentrale Herausforderungen und verschaffen sich einen entscheidenden Wettbewerbsvorteil. Der Weg zum KI-Vorreiter sei kein Sprint, sondern eine kontinuierliche Reise, die durch eine klare Strategie, eine offene Kultur und eine solide Datenbasis erfolgreich gemeistert werden kann.

Für den Managementbeauftragten, der KI in seinem täglichen Arbeitsalltag nutzen möchte, bot ein Workshop konkrete und klare Handlungsanweisungen. Die zentrale Botschaft war: KI ist ein Werkzeug, kein Ersatz! Um einen verantwortungsvollen Umgang zu gewährleisten, formulierte der Referent zehn goldene Regeln, die sich zu fünf zentralen Prinzipien verdichten lassen. Danach waren die Teilnehmer selbst gefragt. In Kleingruppen definierten sie Ideen, wie sie selbst KI innerhalb der nächsten vier Wochen bei ihrer Arbeit nutzen wollen. Die Ergebnisse wurden im Anschluss mit allen Teilnehmern geteilt.

KI braucht Compliance und Vertrauen

Das DNV-Forum 2025 zeichnete ein klares Bild: Die verantwortungsvolle und sichere Anwendung von KI sowie die Erfüllung regulatorischer Anforderungen sind eine der aktuell größten Herausforderungen von Unternehmen. Die Zukunft gehört integrierten Managementsystemen, die technologische Innovation mit ethischer Verantwortung und regulatorischer Sicherheit verbinden. Eine Zertifizierung der Managementsysteme ist dabei ein starker Markenbotschafter für Vertrauenswürdigkeit.

KI-Governance, Informationssicherheit und Cyber-Security sind keine reinen IT-Themen, sondern strategische Unternehmensaufgaben, die von der Führungsebene getragen werden müssen. Ein Zitat eines Referenten aus Sun Tzus „Die Kunst des Krieges“ verdeutlicht: „Taktik ohne Strategie ist der Lärm vor der Niederlage.“ Ein isolierter KI-Pilot ist keine Strategie.

Zusammenfassend lässt sich sagen: Die Herausforderungen sind groß, aber die Chancen sind größer. Unternehmen, die heute in ein integriertes Governance-Modell investieren, welches die ISO/IEC 27001, die ISO/IEC 42001 sowie die Anforderungen des EU AI Act und Cyber-Security vereint, legen den Grundstein für sichere, transparente und zukunftsfähige Geschäftsprozesse. Sie schaffen damit nicht nur regulatorische Resilienz, sondern auch ein Umfeld, in dem menschliche Expertise und maschinelle Intelligenz sich gegenseitig verstärken – und damit den entscheidenden Wettbewerbsvorteil im digitalen Zeitalter.