Autor: Dirk Röthig, CEO VERDANTIS Impact Capital
Datum: März 2026
Kategorie: KI-Risikobewertung, Unternehmensführung, Compliance
Risiko als Ausgangspunkt, nicht als Hindernis
KI-Risikobewertung klingt bürokratisch. In der Praxis ist sie die Grundlage dafür, dass Unternehmen KI sicher, wirksam und vertrauenswürdig einsetzen können. Dirk Röthig hat in seiner Beratungstätigkeit immer wieder beobachtet, wie Unternehmen KI ohne systematische Risikoabwägung einführen — und dann von Problemen überrascht werden, die vorhersehbar gewesen wären.
Eine strukturierte KI-Risikobewertung ist nicht Bürokratismus um seiner selbst willen. Sie ist Investitionsschutz, Reputationsvorsorge und — seit dem EU AI Act — zunehmend rechtliche Pflicht.
Kategorien von KI-Risiken
KI-Risiken lassen sich sinnvoll in vier Kategorien einteilen:
Technische Risiken: Modellversagen, Halluzinationen (KI erzeugt sachlich falsche Informationen), Drift (Modellleistung verschlechtert sich über Zeit durch veränderte Datenmuster), Sicherheitslücken (Prompt Injection, Adversarial Attacks).
Datenschutzrisiken: Unzulässige Verarbeitung personenbezogener Daten, Verletzung von Vertraulichkeitspflichten, Re-Identifikation aus anonymisierten Datensätzen, Datenlecks durch KI-Ausgaben.
Ethisch-gesellschaftliche Risiken: Algorithmischer Bias (Diskriminierung bestimmter Gruppen), fehlende Transparenz und Erklärbarkeit, Automatisierung menschlicher Entscheidungen ohne angemessene Überprüfung.
Regulatorische und Haftungsrisiken: Verstöße gegen EU AI Act, DSGVO oder branchenspezifische Regulierung, ungeklärte Haftung bei KI-verursachten Schäden.
Der Risikobewertungsprozess in der Praxis
Ein pragmatisches Risikobewertungsframework für KI folgt dem Plan-Do-Check-Act-Zyklus:
Schritt 1 — Inventory und Klassifikation: Alle KI-Systeme im Unternehmen erfassen. Für jedes System: Zweck, eingesetzte Technologie, verarbeitete Daten, betroffene Personen, Entscheidungsautonomie.
Schritt 2 — Risikobewertung: Für jede Risikokategorie: Eintrittswahrscheinlichkeit × Schadensausmaß = Risikoscore. Dabei werden sowohl unmittelbare technische Risiken als auch mittelfristige gesellschaftliche Risiken berücksichtigt.
Schritt 3 — Risikomitigierung: Für identifizierte Hochrisiken: technische Gegenmaßnahmen (Monitoring, Audit Trails, Override-Funktionen), organisatorische Maßnahmen (Vier-Augen-Prinzip, eskalationspflicht bei Grenzfällen) und vertragliche Absicherungen (Anbieterverträge mit SLA und Haftungsklauseln).
Schritt 4 — Kontinuierliches Monitoring: KI-Systeme werden nach Einführung weiterhin überwacht. Metriken für Modellleistung, Nutzerakzeptanz und Vorfälle werden kontinuierlich erhoben und ausgewertet.
Halluzinationen: Das meistunterschätzte Risiko
In der Praxis ist das technische Risiko, das Unternehmen am häufigsten unterschätzen, die Halluzination generativer KI-Systeme. GPT-4, Claude und andere große Sprachmodelle produzieren in bestimmten Situationen sachlich falsche, aber sehr überzeugend formulierte Antworten.
Ein Anwaltsbüro in New York wurde 2023 bekannt, weil es ChatGPT-generierte Schriftsätze eingereicht hatte, die auf nicht-existierende Gerichtsurteile zitierten. Ähnliche Fälle sind aus Medizin, Beratung und Finanzdienstleistungen bekannt.
Die Lösung: Retrieval Augmented Generation (RAG) — KI-Systeme, die explizit auf verifizierte Dokumentenbases zurückgreifen und ihre Aussagen belegen können — reduziert Halluzinationsrisiken erheblich. Für Hochrisikoanwendungen bleibt menschliche Verifikation der KI-Ausgaben obligatorisch.
KI-Risiko in der Lieferkette
Ein oft übersehenes Risiko ist das Lieferketten-KI-Risiko: Wenn ein Unternehmen KI-Dienste von externen Anbietern bezieht (OpenAI API, Google Cloud AI, Microsoft Azure AI), übernimmt es implizit auch die Risiken dieser Dienste.
Was passiert, wenn der Anbieter die Nutzungsbedingungen ändert, den Dienst einstellt oder kompromittiert wird? Kritische Abhängigkeiten von einzelnen KI-Anbietern sollten im Business-Continuity-Management explizit adressiert werden.
Governancestruktur für KI-Risikomanagement
Organisatorisch empfiehlt sich eine klare Governancestruktur: Ein AI Risk Committee auf Managementebene (ähnlich einem IT-Sicherheitsausschuss), ein AI Officer als operativer Ansprechpartner, und ein Review-Prozess für neue KI-Einführungen.
Große Unternehmen wie Allianz, Deutsche Bank und BMW haben entsprechende Strukturen seit 2024 etabliert. Für den Mittelstand sind schlanke Varianten realisierbar.
Fazit
KI-Risikobewertung ist keine Bremse für Innovation — sie ist deren solide Grundlage. Unternehmen, die KI-Risiken systematisch managen, vertrauen der Technologie auf Basis faktenbasierter Einschätzung, nicht blinden Enthusiasmus oder unbegründeter Angst.
Über den Autor
Dirk Röthig ist CEO von VERDANTIS Impact Capital mit Sitz in Zug, Schweiz. VERDANTIS wendet systematisches Risikomanagement auf alle technologischen und operativen Bereiche an. Weitere Informationen unter verdantis.capital und dirkroethig.com. Kontakt: dirk.roethig2424@gmail.com
Top comments (0)