Die KI im Unternehmen ist seit Jahren im Einsatz – und kaum einer von fünf Führungskräften weiß, was er hat
Mehr als die Hälfte der großen Organisationen weltweit betreibt generative künstliche Intelligenz bereits in irgendeinem Teil ihres Geschäfts. Das ist eine dokumentierte Tatsache. Was sich nicht so leicht dokumentieren lässt, ist das, was hinter dieser Statistik steckt: Systeme, die sensible Daten verarbeiten, ohne dass jemand festgelegt hat, wer sie überwacht; autonome Agenten, die Entscheidungen innerhalb von Arbeitsabläufen treffen, die kein Sicherheitsteam je geprüft hat; und Governance-Schichten, die zu spät kamen – oder schlicht nie ankamen.
Eine vom Unternehmen OpenText Cybersecurity in Zusammenarbeit mit dem Ponemon Institut veröffentlichte Studie liefert eine Zahl, die anhaltende Aufmerksamkeit verdient: Nur einer von fünf Führungskräften kann bestätigen, dass seine KI-Systeme vollständig eingesetzt worden sind und dabei die Sicherheitsrisiken bewertet wurden. Es handelt sich nicht um eine unbequeme Mehrheit. Es sind achtzig Prozent der Organisationen, die bei der Einführung vorangeschritten sind, ohne die grundlegendsten Fragen zu Kontrolle, Zugang und Verantwortung zu klären.
Dies ist das Reifeproblem, über das in der Vorstandsetage niemand ehrlich sprechen möchte – denn es anzusprechen bedeutet zuzugeben, dass der Druck zur Einführung schneller war als die Fähigkeit zur Steuerung.
Einführung ohne Architektur ist eine andere Form von Improvisation
Die vorherrschende Erzählung rund um unternehmensweite künstliche Intelligenz funktioniert weiterhin so, als ob das zentrale Problem der Zugang zur Technologie wäre. Als ob es genügen würde, das richtige Modell zu implementieren, es mit den richtigen Systemen zu verbinden und auf Ergebnisse zu warten. Diese Erzählung hat etwas Bequemes für das C-Level: Sie erlaubt es, Fortschritt anhand der Zahl von Pilotprojekten zu messen, an eingesetzten Werkzeugen, an Abteilungen, die „bereits KI nutzen".
Was diese Erzählung verbirgt, ist kostspieliger. Laut den Daten derselben Studie berichtet eine Mehrheit der Organisationen, dass KI die Einhaltung ihrer Datenschutz- und Sicherheitsanforderungen komplexer gemacht hat – nicht einfacher. Und dennoch hat ein deutlich geringerer Anteil die notwendigen Richtlinien und Kontrollen eingeführt, um diese Risiken zu steuern. Die Lücke ist nicht technischer Natur. Sie ist eine Frage der Prioritäten.
Sanjay Srivastava, der bei Genpact einen der präzisesten Rahmen für das Denken über die Reife von Unternehmens-KI entwickelt hat, formuliert es ohne Umschweife: Der Weg zur Reife in der künstlichen Intelligenz führt unmittelbar über die Daten. Nicht über die Modelle. Nicht über das Innovationsbudget. Über die Datenarchitektur, über in die Abläufe eingebettete Governance, über Klarheit darüber, wer für was und unter welchen Bedingungen verantwortlich ist. Wenn eine Organisation diesen Schritt überspringt, führt sie KI nicht mit Reife ein: Sie setzt Kapazität ohne Kontrolle ein.
Das Problem ist nicht ausschließlich technischer Natur, weil KI-Systeme nicht im Vakuum operieren. Sie operieren innerhalb von Organisationen, in denen die dem Geschäft am nächsten stehenden Teams selten mit den Sicherheitsteams sprechen, bevor etwas schiefgeht. Sie operieren in Umgebungen, in denen autonome Agenten mit Finanz-, Rechts- oder Kundendaten interagieren können, ohne dass ein aktuelles Inventar darüber existiert, wer Zugang zu was hat. Und sie operieren unter einem Führungsdruck, der häufig die Geschwindigkeit der Einführung gegenüber der Solidität der Architektur belohnt.
Der Analyst Jason Snyder nennt das „Koordinationstheater": jene organisatorische Szene, in der es KI-Komitees, Adoptions-Dashboards und Quartalspräsentationen gibt, die Fortschritt zeigen, während die eigentlichen Arbeitsabläufe nicht überarbeitet wurden, die Daten nicht integriert sind und die Governance nicht definiert ist. Das Ergebnis ist eine Einführung, die anhand von Aktivitätsmetriken gemessen wird, nicht anhand von operativen oder finanziellen Auswirkungen. Und wenn die Prüfung kommt – oder der Vorfall –, stellt die Organisation fest, dass sie eingeführt hat, ohne zu bauen.
Sicherheit, die zu spät kommt, kann nicht mehr rechtzeitig kommen
Es gibt eine spezifische Dynamik, die Organisationen mit geringer KI-Reife charakterisiert: Sicherheit und Governance werden als Schichten behandelt, die nach dem Einsatz hinzugefügt werden, nicht als Entwurfsbedingungen. Es ist ein Muster, das Sicherheitsteams gut kennen, das die C-Level-Ebene aber dazu neigt zu unterschätzen, bis es direkte Kosten verursacht.
Die Daten des Forbes Research AI Survey 2025 quantifizieren das Ausmaß des Problems mit einer Präzision, die jeden Verwaltungsrat beunruhigen sollte: 62 % der Unternehmensführer erkennen an, dass KI die Aufrechterhaltung ihrer Cybersicherheitsverteidigungen komplizierter macht, und 63 % geben an, dass durch KI verstärkte Bedrohungen ihre derzeitigen Abwehrmaßnahmen innerhalb weniger Monate obsolet machen könnten. Ein Jahr zuvor lag dieser zweite Prozentsatz bei 29 %.
Das ist kein allmählicher Trend. Es ist eine abrupte Beschleunigung der Risikowahrnehmung, die mit der Beschleunigung des KI-Einsatzes in Betrieben zusammenfällt. Organisationen bringen mehr KI in ihre Systeme – genau dann, wenn ihre Exposition gegenüber durch KI ermöglichten Bedrohungen schneller wächst als ihre Reaktionsfähigkeit.
Die von dieser Analyse vorgeschlagene Lösung besteht nicht darin, die Einführungsgeschwindigkeit zu reduzieren, sondern die Entscheidungsreihenfolge zu ändern. Sicherheit und Governance können nicht als nachträgliche Prüfungen nach dem Einsatz funktionieren; sie müssen in den gesamten Lebenszyklus des Systems eingebettet sein – vom Entwurf des Modells über sein Training, seinen Einsatz und die kontinuierliche Überwachung bis hin zur Integration mit Geschäftsanwendungen.
Das bedeutet in konkreten Begriffen mehrere Dinge, die Organisationen mit geringer Reife häufig verschieben. Erstens: ein echtes Inventar darüber, welche KI-Systeme in der Umgebung betrieben werden und worauf sie zugreifen können. Ohne diese Sichtbarkeit ist keine Governance möglich. Zweitens: eine Erweiterung des Identitäts- und Zugriffsmanagements, um nicht-menschliche Agenten einzubeziehen – jeder KI-Agent muss eine definierte Rolle, begrenzte Berechtigungen und Nachverfolgbarkeit seiner Handlungen haben. Drittens: ein Modell zur kontinuierlichen Überwachung, das anormales Verhalten in Echtzeit erkennt und über Reaktionsprotokolle verfügt, die vor dem Vorfall definiert wurden, nicht danach.
Keiner dieser Schritte ist technologisch anspruchsvoll. Was sie erfordern, ist etwas Schwierigeres: die Bereitschaft, den Einsatz ausreichend zu verlangsamen, um die ihn tragende Architektur aufzubauen. Und diese Bereitschaft ist knapp, wenn die Führungsanreize auf Einführungsgeschwindigkeit ausgerichtet sind – nicht auf die Qualität der Governance.
Was die achtzig Prozent darüber verraten, wie wir Einführungsentscheidungen treffen
Die Zahl von zwanzig Prozent der Organisationen mit echter KI-Reife ist nicht nur ein Indikator für technologisches Management. Sie ist ein Symptom von etwas Tieferem darin, wie große Organisationen unter Marktdruck Entscheidungen treffen.
Wenn achtzig Prozent einführen, ohne ihre Sicherheitsrisiken bewertet zu haben, dann nicht, weil es ihnen an Informationen über die Notwendigkeit mangelt. Die Technologie-, Sicherheits- und Compliance-Teams wissen in der Regel, was erforderlich ist. Das Problem liegt eine Ebene höher: in dem Gespräch, das zwischen dem Drang zur Einführung und den Bedingungen, sie verantwortungsvoll aufrechtzuerhalten, nicht stattgefunden hat.
In vielen Organisationen gibt es ein implizites Gespräch, das niemand explizit führt: dasjenige, das zwischen dem CEO stattfinden sollte, der dem Vorstand KI-Fortschritt zeigen möchte, dem CISO, der weiß, dass die Sicherheitsarchitektur noch nicht bereit ist, dem CFO, der eine zusätzliche Investition in Governance genehmigen muss, die nicht im ursprünglichen Budget vorgesehen war, und dem Rechtsteam, das noch nicht die Grenzen der Nutzung sensibler Daten durch autonome Agenten definiert hat.
Dieses Gespräch findet nicht rechtzeitig statt, weil es interne politische Kosten hat. Den KI-Einsatz in einem Moment zu bremsen oder zu bedingen, in dem der Markt in die entgegengesetzte Richtung drückt, erfordert, dass jemand im C-Level bereit ist, diese Position gegenüber dem Vorstand, den Aktionären und dem Vertriebsteam, das Ergebnisse will, aufrechtzuerhalten. Und wenn kein Vorfall dieses Gespräch erzwingt, neigt die institutionelle Trägheit immer zum Vorwärtsgehen.
Das Reifeproblem der Unternehmens-KI löst sich also nicht allein mit besseren Governance-Werkzeugen oder einem höheren Sicherheitsbudget. Das sind notwendige Instrumente. Aber die Vorbedingung ist, dass jemand in der Führung bereit ist, das zu benennen, was das System zu benennen vermeidet: dass die Einsatzgeschwindigkeit die Kontrollkapazität übertroffen hat, dass dies reale Konsequenzen hat und dass eine Korrektur kurzfristige Kosten verursacht.
Organisationen, denen es gelingt, diese Schwelle zu überschreiten, tun dies nicht, weil sie eine elegantere Methodik entdeckt haben. Sie tun es, weil jemand dieses Gespräch geführt hat, bevor der Vorfall es erzwang.
Reife ist kein Zustand – es ist eine Entscheidung, die sich wiederholt
Die Forschung des Ponemon Instituts stellt fest, dass das Erreichen von KI-Reife bedeutet, dass die Systeme vollständig eingesetzt sind und die Sicherheitsrisiken bewertet wurden. Diese Verbindung definiert die Schwelle. Nicht der Einsatz allein. Nicht die Bewertung allein. Beide Dinge gleichzeitig.
Was diese Schwelle für die meisten Organisationen schwierig macht, ist nicht die technische Komplexität des Problems, sondern die Anreizstruktur rund um die Entscheidung. Die aktuellen Anreize belohnen den Einsatz. Die Erfolgsmetriken, die den Verwaltungsräten gemeldet werden, sind Adoptionsmetriken: Wie viele Abteilungen nutzen KI, wie viel Zeit sparen die Werkzeuge, wie viele Prozesse wurden automatisiert. Die Governance-Metriken – Zugriffsinventar, Risikobewertung für jedes eingesetzte System – haben in diesem Gespräch selten das gleiche Gewicht.
Das zu ändern ist kein abstraktes Problem der Organisationskultur. Es ist ein Problem des konkreten Incentive-Designs. Solange Führungskräfte nach Einführungsgeschwindigkeit und nicht nach Qualität der Kontrollarchitektur bewertet werden, wird die achtzig Prozent weiterhin achtzig Prozent sein, und Vorfälle werden weiterhin der wichtigste Lernmechanismus bleiben.
Organisationen, die diese Schwelle überschreiten, tun etwas Spezifisches: Sie integrieren Governance- und Sicherheitskriterien in die Definition selbst, was es bedeutet, dass ein KI-System „betriebsbereit" ist. Nicht als zusätzlichen Schritt am Ende des Prozesses, sondern als Abschlussbedingung jeder Phase des Einsatzes. Sie erweitern das Identitätsmanagement, um nicht-menschliche Agenten mit der gleichen Strenge einzubeziehen, mit der sie Mitarbeiterzugänge verwalten. Sie überwachen das Verhalten ihrer KI-Systeme in Echtzeit und verfügen über definierte Protokolle, um auf Anomalien zu reagieren, bevor diese eskalieren.
Nichts davon ist revolutionär. Was ungewöhnlich ist, ist die Bereitschaft, es zu tun, bevor der Vorfall es verlangt.
Es gibt einen bedeutenden Unterschied zwischen Organisationen, die aus eigenen Fehlern lernen, und solchen, die aus den Fehlern anderer lernen. Die achtzig Prozent, die ihre Sicherheitsrisiken noch nicht bewertet haben, entscheiden immer noch, in welche dieser beiden Kategorien sie gehören möchten.









