Die meiste KI-Governance ist Theater (und was wirklich funktioniert)
Mario Beck

Die meiste KI-Governance ist Theater (und was wirklich funktioniert)

Mario Beck

2026-06-09


Ich sage den unbequemen Teil laut. Die meisten KI-Richtlinien, die ich sehe, sind keine Governance. Sie sind Theater.

Sie werden geschrieben, um compliant auszusehen, nicht um wirklich etwas zu kontrollieren. Sie beruhigen einen Auditor, ein Board und vinken ein Häkchen ab. Unterdessen arbeiten die Menschen, die die echte Arbeit machen, jeden Tag daran vorbei. Das Dokument liegt in einem Shared Drive. Das Verhalten, das es formen sollte, ändert sich nie.

Das ist kein People-Problem. Euer Team ist nicht rücksichtslos. Ihr versucht, eure Jobs mit den besten verfügbaren Tools zu erledigen, und gerade sind die besten Tools einen KI-Prompt entfernt. Die Lücke zwischen dem, was eure Richtlinie sagt, und dem, was eure Leute wirklich tun, ist euer echtes Risiko. Und für die meisten Unternehmen ist diese Lücke riesig.

Die Richtlinie, die niemand liest

Fangt mit den Zahlen an, denn sie sind schlimmer, als die meisten Führungskräfte denken.

In ISACAs AI Pulse Poll 2026 mit mehr als 3.400 Digital-Trust-Professionals glauben 90%, dass Mitarbeitende in ihrer Organisation bereits KI nutzen. Nur 38% sagen, ihr Unternehmen habe eine formale, umfassende KI-Richtlinie. Ein Viertel hat überhaupt keine aktive Richtlinie.

Lest das noch einmal. Nutzung ist bereits die Norm. Eine echte Richtlinie ist noch die Ausnahme.

Es ist auch nicht nur ein Problem auf dem Papier. Im Microsoft Work Trend Index 2026, einer Umfrage unter 20.000 Wissensarbeitern in 10 Ländern, sagt nur einer von vier befragten KI-Nutzern (26%), dass ihre Führung in Bezug auf KI klar und konsistent ausgerichtet ist. Wenn die Regeln von oben vage sind, füllen die Leute die Lücke mit dem Tool, das am schnellsten geht.

Und die Daten bewegen sich bereits. Im Cyberhaven AI Adoption and Risk Report 2026, basierend auf Telemetrie aus 222 Unternehmen und rund zwei Millionen Wissensarbeitern, betreffen 39,7% aller Mitarbeiter-Interaktionen mit KI-Tools sensible Daten. Im Durchschnitt sind das einmal alle drei Tage pro Mitarbeitendem.

Das typische Bild 2026 sieht so aus: KI ist in der täglichen Arbeit verankert, formale Richtlinien fehlen an den meisten Orten noch oder sind unvollständig, die Führungsausrichtung ist dünn, und sensible Daten fließen bereits in Tools, die ihr vielleicht nie genehmigt habt. Ein PDF in einem Shared Drive ist keine Governance. Es ist ein Dokument, das ein Board beruhigt, während das echte Verhalten ungesteuert läuft.

Warum Verbote alles schlimmer machen

Der Instinkt, sobald eine Führungskraft das sieht, ist zu verschärfen. Die Tools an der Firewall blockieren. Die strenge E-Mail schicken. Ein Beispiel statuieren.

Ich verstehe den Instinkt. Er ist auch der schnellste Weg, die Sichtbarkeit zu verlieren, die ihr gerade gewonnen habt.

Wenn ihr ein öffentliches Tool verbietet, gehen die Leute nicht zurück zur langsamen Arbeitsweise. Sie nutzen ihr Handy. Ein privates Laptop. Ein schnelles Einfügen zu Hause. Die Nutzung verschwindet nicht. Eure Fähigkeit, sie zu sehen, schon. Der Cyberhaven-Report 2026 fand, dass etwa ein Drittel der Mitarbeitenden KI-Tools über persönliche Konten nutzt und damit SSO, Logging und Retention umgeht, von denen ihr dachtet, sie seien aktiv.

Das ist die Falle bei Shadow AI. Ein Verbot fühlt sich nach Kontrolle an. In der Praxis verwandelt es ein sichtbares, steuerbares Verhalten in ein unsichtbares, nicht steuerbares. Ihr tauscht ein Problem, das ihr managen könnt, gegen eines, das ihr nicht einmal sehen könnt.

Das Ziel war nie null KI. Es ist null blinde Flecken. Und zu null blinden Flecken kommt ihr nicht, indem ihr Ehrlichkeit gefährlich macht.

Was wirklich funktioniert: erst entdecken, dann steuern

Hier ist der Reframe, den ich mit jedem Security Lead teile. Ihr könnt nicht steuern, was ihr nicht seht, und ihr werdet nichts sehen, wenn die Leute denken, die Wahrheit zu sagen bringt sie in Schwierigkeiten. Also dreht die übliche Reihenfolge um. Discovery zuerst, Policy zuletzt.

Echte Governance folgt einem einfachen Bogen.

Schritt 1 - Entdecken. Bevor ihr eine einzige Regel schreibt, kartiert, wie KI wirklich genutzt wird. Keine Namen, keine Strafe, nur ein klares Bild. Für welche Aufgaben nutzen die Leute KI? Welche Daten werden eingefügt? Welche davon sind sensibel, proprietär oder reguliert? Wohin gehen sie, und wer kann sie dort sehen? Ihr jagt niemanden, dem ihr die Schuld gebt. Ihr sucht die zwei oder drei Workflows, in denen sensible Daten leise aus der Tür gehen.

Schritt 2 - Absichern. Jetzt könnt ihr auf Realität statt auf Vermutungen handeln. Setzt klare Datengrenzen mit einer einfachen Rot/Gelb/Grün-Liste, die ein vielbeschäftigter Mensch sich wirklich merken kann. Grün ist frei nutzbar. Gelb braucht Vorsicht. Rot geht nie in ein externes Tool. Dann stellt ein genehmigtes Tool bereit, das wirklich gut ist, damit die Leute den Workaround nicht brauchen. Eine kurze, klare Liste schlägt eine 40-seitige Richtlinie, die niemand öffnet.

Schritt 3 - Steuern. Erst jetzt schreibt ihr die leichten Regeln. Benennt einen Owner, damit es jemandes Job ist und nicht niemandes. Setzt ergebnisbasierte Regeln ("keine Kundendaten in externen Tools") statt brüchiger Tool-Verbote, die am Tag der Veröffentlichung veraltet sind. Prüft monatlich, denn die Tools ändern sich monatlich.

Beachtet die Reihenfolge. Die meisten gescheiterten Programme starten bei Schritt 3, mit einem Dokument. Die, die Risiko wirklich senken, starten bei Schritt 1, mit einer Karte.

Führt eine Amnestie durch, keinen Crackdown

Der schwierigste Teil der Discovery ist menschlich, nicht technisch. Die Leute sagen euch nicht, wie sie wirklich arbeiten, wenn sie denken, dass sie dafür diszipliniert werden.

Macht also einen Deal mit ihnen. Sagt eurem Team klar: "Wir wissen, dass hier KI genutzt wird. Wir sind nicht hier, um jemanden zu bestrafen. Wir wollen verstehen wie, damit wir euch etwas Sicheres und wirklich Gutes geben können." Und meint es ernst.

Wenn ihr es als Amnestie führt, passieren drei Dinge. Die Leute sagen euch die Wahrheit darüber, wie sie wirklich arbeiten. Ihr findet die echten Risiken statt der eingebildeten. Und ihr baut das Vertrauen auf, das ihr später braucht, wenn ihr Guardrails ausrollt. Angst treibt Verhalten unter die Erde. Amnestie bringt es ans Licht, wo ihr es endlich steuern könnt.

Ihr könnt nicht reparieren, was die Leute nicht zugeben wollen.

Was es kostet, es falsch zu machen

Wenn das immer noch wie eine weiche, nice-to-have-Übung klingt, schaut euch an, was die unsichtbare Version kostet.

Die Cyberhaven-Telemetrie 2026 fand, dass 82% der 100 am häufigsten genutzten GenAI-Apps am Arbeitsplatz als mittleres bis kritisches Risiko eingestuft sind. Das ist kein theoretisches Risikoregister. Es ist, was eure Leute wirklich nutzen, während ihr noch über den Richtlinientext debattiert.

ISACAs Umfrage 2026 ergänzt eine weitere operative Lücke: 56% der Digital-Trust-Professionals wissen nicht, wie lange es dauern würde, ein KI-System nach einem Sicherheitsvorfall zu stoppen. Wenn ihr es nicht schnell abschalten könnt, könnt ihr nicht eindämmen, was durchgelaufen ist.

Der Grund, warum das so hart trifft, ist derselbe, warum Verbote scheitern. Wenn Daten durch ein Tool laufen, das niemand kartiert hat, wisst ihr nicht, was rausging, wohin es ging oder wer es sehen kann. Ihr könnt nicht eindämmen, was ihr nie kartiert habt. Die günstigste Kontrolle hier ist auch die langweiligste: Sichtbarkeit. Findet die Nutzung, kartiert die Daten, gebt den Leuten einen sicheren Weg. Das kostet weit weniger als die Nachbereitung.

Die ehrliche Version von KI-Governance

Hört auf, Dokumente zu schreiben, die niemand liest. Fangt an zu kartieren, wie die Arbeit wirklich erledigt wird, und baut Guardrails um das echte Verhalten statt um das Verhalten, das ihr gerne hättet.

Das ist der ganze Shift. Governance-Theater schützt die Gefühle des Boards. Echte Governance schützt das Business. Eines ist ein PDF. Das andere ist eine Gewohnheit: entdecken, absichern, steuern, und wiederholen, wenn sich die Tools ändern.

Wenn ihr einen Laufstart wollt, habe ich die no-blame Discovery, die wir nutzen, inklusive der sieben Fragen und der Rot/Gelb/Grün-Datenliste als kostenloses Worksheet aufgeschrieben. Ihr könnt es über unseren Newsletter hier holen.

Und wenn ihr es lieber durchsprechen wollt, meine DMs sind offen.

Bleibe auf dem Laufenden

Abonniert unseren Newsletter und erhaltet umsetzbare Einblicke in die Bereitstellung souveräner KI-Assistenten, die Sicherung von Unternehmensdaten, die vollständige Kontrolle über eure KI-Infrastruktur und andere aufkommende Tech-Trends. Kein Schnickschnack, nur praktische Strategien für zukunftsorientierte Organisationen.

Auf unserer Newsletter-Seite anmelden