„Just because we could, doesn’t mean we should.“ Dieser Satz beschreibt die aktuelle Lage in vielen Unternehmen treffend, denn, Generative AI ist überall. Pilotprojekte laufen, Tools werden ausgerollt, Erwartungen steigen. Doch parallel wächst eine Frage: Haben wir eigentlich noch die Kontrolle darüber, was wir tun? (vgl. Schneider et al., 2024)
Der IBM Cost of a Data Breach Report 2025 liefert dazu eine unbequeme Antwort. In vielen Organisationen überholt die Geschwindigkeit der AI-Adoption den Reifegrad der Sicherheits- und Governance-Strukturen deutlich. (vgl. Ponemon Institute & IBM Security, 2025) Und die Risiken reichen weit über Datenschutz und IT-Sicherheit hinaus. Der MIT AI Risk Navigator (AIRI) systematisiert sie entlang von sieben Domänen: Diskriminierung, Privacy & Security, Misinformation, Missbrauch, Mensch-Maschine-Interaktion, sozioökonomische Folgen sowie die Sicherheit der AI-Systeme selbst. (vgl. Michaels et al., 2026)
Diese Bandbreite zeigt, warum der Einsatz von AI über rein technische Aspekte hinausgeht und auf verschiedenen Managementebenen stattfindet. Dabei wirken auf Unternehmen Einflüsse aus zwei unterschiedlichen Richtungen ein
- Von außen wirken Markt und Regulierung: Kund:innen erwarten den sicheren Einsatz neuester Technologien, Wettbewerber:innen positionieren sich offensiv als „AI-first“, und der EU AI Act setzt seit 2025 einen verbindlichen Rahmen, dessen Verletzung empfindliche Strafen nach sich ziehen kann.
- Von innen wirken ebenso starke Kräfte: Mitarbeitende schwanken zwischen Innovationswillen und Sorge vor Jobverlust, AI-Tools werden zunehmend unkontrolliert genutzt, und Führungskräfte stehen unter Druck, eine tragfähige AI-Strategie vorzulegen. Hinzu kommen handfeste operative Risiken: Datenabflüsse, Fehlinformationen und ein überzogenes Vertrauen in Systeme, deren Funktionsweise kaum jemand vollständig durchdringt.
Damit stehen Organisationen vor einem Dilemma. Auf der einen Seite stehen die Risiken mit zunehmenden Handlungsdruck. Auf der anderen Seite ist Stillstand auf Grund der hohen Erwartungen an Effizienz-, Automatisierung- und neuen Wachstumspotenzialen trotzdem keine Option. Bleibt die entscheidende Frage: Wie werden wir all diesen Kräften gerecht, ohne die Kontrolle zu verlieren? (vgl. Schneider et al., 2024)
Genau hier setzt AI Governance (AIG) an. Nicht als Formalität, nicht als zusätzliche Bürokratieebene, sondern als praktische Antwort auf die Frage, wie wir gute Entscheidungen über den AI-Einsatz treffen, bevor dieser zum Risiko wird (vgl. Meimandi et al., 2025).
Warum AI Governance bei CubeServ im Kern ein Enablement-Thema ist
Wenn wir von AIG sprechen, meinen wir das Zusammenspiel aus internen Gegebenheiten und externen Anforderungen, eingebettet in eine klare ethische Ausrichtung. Dafür braucht es intern Klarheit, die im Alltag oft fehlt:
- Wer darf was entscheiden?
- Nach welchen Regeln und Prozessen handeln wir?
- Sind unsere Regeln noch angemessen, wenn sich Modelle, Risiken und Regulierung verändern?
- Wie stellen wir Zusammenarbeit, Kommunikation und Training rund um AI sicher?
Was jedoch viele beim Thema AIG missverstehen: Vernünftig eingesetzt bedeutet sie keine zusätzliche Bürokratie, sondern mehr Handlungssicherheit.
Mitarbeitende profitieren auf der einen Seite von Orientierung statt Unsicherheit, klare Spielregeln statt Grauzonen, Befähigung statt Verbot. Damit einher gehen weniger Angst, mehr Kompetenz und mehr Vertrauen im Umgang mit AI. Entscheider:innen erhalten Transparenz über mögliche Risiken, klare Verantwortlichkeiten, verlässliche Entscheidungsgrundlagen und die Sicherheit, dass AI nicht nur schnell, sondern auch sauber skaliert, rechtskonform und profitabel wird. So verstanden wird AIG zur Enabling-Struktur. (vgl. Meimandi et al., 2025)
Sie reduziert Reibungspunkte, verhindert die Wiederholung von Grundsatzdiskussionen und schafft Standards in der Zusammenarbeit. Zudem kann so der oft ungeregelten Einsatz von AI in verlässliche Bahnen gelenkt werden. Innovation wird dadurch nicht gebremst, sondern gefördert. Wer den regulatorischen Rahmen und die strategische Richtung kennt, kann schneller und sicherer handeln. Die organisatorische Grundlage für den dauerhaften verantwortbaren, skalierbaren und prüfbaren Einsatz von AI-Systemen ist kein Selbstzweck, sondern wird durch AIG geschaffen. (vgl. Cloud Security Alliance & Google Cloud, 2025)
Ein erster sinnvoller Schritt und wie wir Ihnen dabei helfen
Studien zeigen, dass Organisationen mit höherer AIG-Maturity (AIG-Reife) AI-Vorhaben schneller in den produktiven Betrieb überführen, mit geringeren Fehlerquoten und höherem Vertrauen auf Seiten der Stakeholder.
Bei AIG-Maturity beschreibt in erster Linie jedoch nicht, wie viele AI-Anwendungen bereits im Einsatz sind, sondern wie systematisch Rollen, Verantwortlichkeiten, Richtlinien, Kontrollmechanismen und Lernprozesse rund um den AI-Einsatz definiert, gelebt und überprüft werden. Der Reifegrad ist damit nicht als Zustand zu verstehen, sondern als iterativer Entwicklungspfad entlang klar definierter Stufen (vgl. Cloud Security Alliance & Google Cloud, 2025).
Die Frage die Sie sich daher stellen sollten ist: Wo stehen Sie heute und was ist Ihr nächster sinnvolle Schritt?
Für eine erste Einordnung der aktuellen AIG-Maturity empfehlen wir das Open-Source-Framework „OWASP AI Maturity Assessment (AIMA)“. Das Framework gliedert sich in drei Säulen (Responsible AI , Governance und Business Functions) durch die ein umfassendes Bild des aktuellen AIG-Maturity-Status eines Unternehmens im Hinblick auf den Einsatz von AI gezeichnet werden kann. Den genauen Aufbau veranschaulicht die untere Abbildung.
Weiterführende Informationen sind in der offiziellen Dokumentation des Frameworks unter folgendem Link verfügbar OWASP AI Maturity Assessment. Für die praktische Umsetzung stellt OWASP zudem eine Excel-Tabelle zur strukturierten Bewertung bereit.
So lässt sich in einem ersten Assessment sowohl der Status quo bestimmen als auch konkrete Handlungsfelder ableiten (vgl. OWASP Foundation, 2025).
Wenn Sie diesen Schritt strukturiert angehen möchten, begleiten wir Sie, vom ersten AIG-Assessment bis zum operativ wirksamen Rahmen für Ihre AI-Initiativen. Ziel ist eine AIG, die schlank, verständlich und nah an Ihrer Praxis ist, damit sie zum Enabler und nicht zu einer weiteren Hürde wird.
Autor Helene Dinse und Co-Autor Philipp Riedi
Mehr zum Thema AI Governance
Quellenverzeichnis
Cloud Security Alliance & Google Cloud. (2025, 18. Dezember). Governance maturity is strongest predictor of AI readiness and security [Pressemitteilung].
https://cloudsecurityalliance.org/press-releases/2025/12/18/csa-and-google-cloud-study-finds-governance-maturity-is-strongest-predictor-of-ai-readiness
Jafari Meimandi, K., Reuel, A., Aranguiz-Dias, G., Rahama, H., Ayadi, A.-E., Boullier, X., Verdo, J., Montanie, L., & Kochenderfer, M. (2025). An adaptive responsible AI governance framework for decentralized organizations (arXiv:2510.03368). arXiv.
https://doi.org/10.48550/arXiv.2510.03368
Michaels, S., Saeri, A. K., & Slattery, P. (2026). MIT AI Risk Navigator (Version 1.0.0) [Web tool]. MIT AI Risk Initiative.
https://www.airi-navigator.com/
OWASP Foundation. (2025). OWASP AI Maturity Assessment (AIMA), Version 1.0.
https://owasp.org/www-project-ai-maturity-assessment/
Ponemon Institute & IBM Security. (2025). Cost of a data breach report 2025. IBM.
https://www.ibm.com/reports/data-breach
Schneider, J., Kuss, P., Abraham, R., & Meske, C. (2024). Governance of generative artificial intelligence for companies (arXiv:2403.08802). arXiv.
https://doi.org/10.48550/arXiv.2403.08802
Dieser Beitrag bildet den Auftakt unserer AIG-Blogserie, in der wir das Thema AIG Schritt für Schritt praxisnah, verständlich und mit Blick auf die operativen Anforderungen von Unternehmen aufbereiten. In den nächsten Beiträgen tauchen wir tiefer in konkrete Governance-Strukturen, Rollen, den EU AI Act und vieles mehr ein.
Bleiben Sie dabei!
