KI von Drittanbietern: Der blinde Fleck in der Governance

Ein branchenübergreifender Blick darauf, wie Unternehmen KI-Governance und das Risikomanagement durch Dritte anpassen, um den zunehmenden Risiken, Erwartungen und regulatorischen Anforderungen gerecht zu werden.

Henry Umney
Henry Umney Dezember 4, 2025 7 min gelesen Hören Sie sich die AI-Übersicht an
Einblicke aus dem TPRM-KI-Regierungsbericht

Fragen Sie einen beliebigen Vorstand, ob KI auf der Tagesordnung steht, und die Antwort lautet „Ja“. Fragen Sie, wie zuversichtlich sie hinsichtlich der Nutzung von KI durch ihre Lieferanten sind, und die Antwort ist weniger eindeutig.

Diese Lücke zieht sich durch die von Mitratech gesponserte globale Studie von HTF Research zu KI-Governance und Risikomanagement durch Dritte. Im Rahmen der Studie wurden 46 Führungskräfte aus Institutionen aus den Bereichen Bankwesen, Vermögensverwaltung, Versicherungen, Energie, Unternehmen und Brokerage befragt. KI verbreitet sich in Unternehmen. Das Risiko durch KI von Dritten jedoch nicht.

Für GRC-Führungskräfte ist dies sowohl eine Warnung als auch eine Chance. Die Unternehmen, die KI von Drittanbietern von einem unsichtbaren Risiko in einen kontrollierten Vermögenswert verwandeln können, werden das Tempo in ihrer Branche vorgeben.

Entdecken Sie den Stand der KI-Governance und des Risikomanagements durch Dritte

Branchenkenntnisse von HTF Research und Mitratech

Den vollständigen Bericht herunterladen

KI wächst rasant, aber die Reife der Governance variiert stark

Zwar haben viele Unternehmen bereits eine Form von KI-Governance-Rahmenwerk eingeführt, doch gibt es je nach Branche, Region und Umsatzgröße erhebliche Unterschiede im Reifegrad. Stark regulierte Umgebungen – wie beispielsweise der Finanzsektor – sind in der Regel führend, während andere noch dabei sind, die Grundlagen für Richtlinien zu schaffen.

Einige wichtige Trends stechen besonders hervor:

  • Die meisten großen Unternehmen (> 1 Mrd. USD) berichten von starken Fortschritten im Bereich Governance, während kleinere Unternehmen unter 500 Mio. USD hinterherhinken.
  • Unternehmen, Maklerfirmen und Energieorganisationen weisen größere Unstimmigkeiten auf und verfügen über weniger etablierte Governance-Rahmenwerke.
  • In allen Branchen entwickeln sich Rahmenwerke wie das EU-KI-Gesetz, NIST AI RMF und ISO 42001 zu gemeinsamen Anknüpfungspunkten.

Auch die Eigentumsverhältnisse variieren:

  • Unternehmen übertragen die Verantwortung überwiegend an die IT- oder IT-Sicherheitsabteilung.
  • Andere Branchen verteilen die Verantwortung auf die Bereiche Risiko, Compliance und IT, was die zunehmende funktionsübergreifende Rechenschaftspflicht widerspiegelt.

Die Schlussfolgerung? Die KI-Governance reift, jedoch ungleichmäßig.

Der blinde Fleck: Eingeschränkte Sichtbarkeit bei KI von Drittanbietern

Die meisten Unternehmen führen ein Verzeichnis ihrer internen KI-Anwendungsfälle. Auf die Frage, ob diese Verzeichnisse auch KI-Lösungen von Drittanbietern enthalten, fielen die Antworten jedoch sehr unterschiedlich aus.

Insbesondere:

  • Viele Unternehmen – insbesondere in Großbritannien – nehmen keine KI-Anbieter in ihr Portfolio auf.
  • Bankwesen, Vermögensverwaltung und Versicherungen weisen eine stärkere Performance auf, aber selbst dort ist die Abdeckung unvollständig.
  • Schnelle Software-Release-Zyklen (z. B. „AI-Funktionen werden alle zwei Wochen veröffentlicht“) erschweren die Bestandsverwaltung.

Für Risiko- und Compliance-Experten hat dies erhebliche Auswirkungen. Anbieter nutzen KI möglicherweise auf eine Weise, die Sie nicht sehen, nicht überprüfen und nicht überwachen können, doch letztendlich geht das Risiko auf Sie zurück. Diese Lücke in der Transparenz entwickelt sich schnell zu einer der drängendsten Herausforderungen im Bereich Governance.

KI-Governance und TPRM: Parallele Funktionen, noch nicht integriert

Die meisten Unternehmen verwalten bereits ein breites Spektrum an Risiken durch Dritte – von Cybersicherheit über operative Risiken bis hin zu ESG-Risiken. Wenn es jedoch darum geht, KI-spezifische Überwachungsmaßnahmen in diese Arbeitsabläufe zu integrieren, ist die Integration nach wie vor begrenzt.

Die Studie kommt zu folgenden Ergebnissen:

  • Einige Branchen (z. B. Bankwesen/Vermögensverwaltung) berichten von teilweise oder vollständig integrierten Governance- und TPRM-Praktiken.
  • Andere bleiben isoliert, wobei KI-Risiken getrennt von Überprüfungen durch Dritte behandelt werden.
  • Nur wenige Unternehmen haben jemals einen Lieferanten aufgrund von Bedenken im Zusammenhang mit KI gekündigt.

Da KI zunehmend in Tools und Funktionen von Anbietern integriert wird, wird die Trennung zwischen Governance und TPRM immer unhaltbarer.

Das Vertrauen in das Risikomanagement von KI-Drittanbietern ist besorgniserregend gering

Auf die Frage, wie sie ihr Vertrauen in das Management von KI-bezogenen Risiken durch Dritte bewerten würden, gaben die meisten Unternehmen sich selbst eine Note von 2 oder 3 von 5 Punkten.

Weitere Lücken sind:

  • Die meisten Unternehmen bewerten weniger als 100 Anbieter hinsichtlich KI-Risiken.
  • Viele verlangen von Anbietern nicht, dass sie ihre Richtlinien zur KI-Governance offenlegen.
  • Banken und Vermögensverwalter sind führend bei der Forderung nach Offenlegung, aber selbst dort setzt die Mehrheit keine vollständige Angleichung durch.

Für Risiko- und Compliance-Beauftragte ist dies ein Warnsignal: Unternehmen sind sich der Risiken bewusst, verfügen jedoch nicht über die erforderlichen Nachweise und Kontrollmechanismen, um diese zu mindern.

Die Vorstände sind aufmerksam geworden und erhöhen ihre Investitionen entsprechend.

Über Regionen und Branchen hinweg gibt die Mehrheit der Befragten an, dass ihre Vorstände oder Führungskräfte im vergangenen Jahr Informationen zu KI-Risiken und Praktiken von Drittanbietern angefordert haben.
Die Investitionstrends spiegeln diesen Druck wider:

  • Die meisten Unternehmen planen, ihre Ausgaben für KI-Governance in den nächsten 12 bis 18 Monaten zu erhöhen.
  • Die geplanten Investitionen in TPRM sind vielfältiger, aber das Interesse steigt in vielen Branchen.
  • Führungskräfte wünschen sich eine transparentere Berichterstattung, eine verbesserte Modelltransparenz und einen besseren Einblick in die KI der Anbieter.

Dieser Wandel markiert einen Wendepunkt in der Unternehmensführung: Die Überwachung der KI entwickelt sich von einer operativen Funktion zu einer Priorität auf Vorstandsebene. Die Führungskräfte wollen Antworten, aber viele Teams verfügen nicht über die Strukturen oder Daten, um diese zu liefern. Hier müssen Governance, TPRM und Berichterstattung aufeinander abgestimmt werden.

Regulatorische Bereitschaft: Ein wachsendes Anliegen

Keines der befragten Unternehmen hält sich für „sehr gut vorbereitet“ auf die bevorstehenden KI-Vorschriften. Die meisten geben an, zu 2–3/5 bereit zu sein, obwohl mehrere wichtige Regulierungssysteme rasch auf ihre Umsetzung zusteuern.

Noch aussagekräftiger: Abgesehen vom Bankwesen verlangen die meisten Unternehmen von ihren Lieferanten nicht, dass sie dieselben KI-Governance-Standards einhalten, die sie intern anwenden. Da sich die globalen regulatorischen Anforderungen angleichen, wird diese Lücke immer kostspieliger werden.

Praktische Auswirkung: Die Compliance-Welle kommt schneller als die Bereitschaft dazu. Und wenn Sie nicht erwarten, dass Ihre Lieferanten dieselben Standards erfüllen, ist Ihre tatsächliche Compliance-Position nur so stark wie Ihr schwächster Lieferant.

Der Aufstieg einheitlicher KI-Governance- und TPRM-Lösungen

Nordamerika und der asiatisch-pazifische Raum zeigen großes Interesse an einheitlichen Plattformen, die KI-Governance und Risiken durch Dritte an einem Ort verwalten. Solche Plattformen könnten Unternehmen dabei helfen, Bestände zu zentralisieren, die Überwachung zu automatisieren, die Beweissammlung zu optimieren und Bewertungskriterien zu standardisieren.

Heute fehlt es jedoch den meisten Unternehmen an einer automatisierten Überwachung von KI-Modellen – eine wichtige Fähigkeit, die angesichts der zunehmenden Größe und Komplexität von KI-Systemen fehlt.

Das Muster ist klar: Viele Menschen überprüfen die KI. Es gibt nicht viele Systeme, die in Echtzeit Abweichungen, Verzerrungen oder Kontrollfehler erkennen können. Diese Lücke wird mit zunehmender Nutzung der KI immer wichtiger werden.

Ausblick: Was Risikomanagement- und Compliance-Verantwortliche jetzt priorisieren sollten

Um mit der Technologie Schritt zu halten, müssen sich Unternehmen auf vier strategische Prioritäten konzentrieren.

1. Steigern Sie die Transparenz in Ihrem gesamten Ökosystem.

Stellen Sie sicher, dass jede Nutzung von KI – intern oder durch Dritte – inventarisiert, dokumentiert und überwacht wird.

2. KI-Governance in TPRM-Workflows integrieren.

Verwenden Sie gemeinsame Kontrollen, abgestimmte Rahmenwerke und standardisierte Nachweisanforderungen.

3. Schaffen Sie eine wiederholbare, kontinuierliche Überwachung.

Wechseln Sie von punktuellen Überprüfungen zu kontinuierlichen Tests, Überwachungen und der Verfolgung der Modellleistung.

4. Bereiten Sie sich auf die globale Angleichung der Vorschriften vor.

Verankern Sie Rahmenwerke im EU-KI-Gesetz und ordnen Sie Kontrollen aus anderen Regulierungssystemen zu, um „einmal zu konformieren, viele zu befriedigen“.

KI-Risiken sind heute gleichzeitig ein Geschäftsrisiko, ein Compliance-Risiko und ein Risiko durch Dritte. Wenn Ihre Governance an Ihrer Firewall endet, sehen Sie nur die Hälfte des Problems. Im nächsten Jahr sollte es darum gehen, KI in das zentrale Risikobetriebsmodell zu integrieren – und nicht darum, ein weiteres Nebenprogramm hinzuzufügen.

Eine konvergierende Zukunft für KI-Governance und Risiken durch Dritte

Die Untersuchung zeichnet ein klares Bild: Während Unternehmen aller Branchen KI in großem Umfang einsetzen, entwickeln sich die Governance-Praktiken – insbesondere im Hinblick auf Risiken durch Dritte – uneinheitlich. Aber die Dynamik nimmt zu. Die Vorstände engagieren sich, die Investitionen steigen und die Risikofunktionen erweitern ihren Zuständigkeitsbereich um intelligente Systeme.

Die Organisationen, die jetzt handeln – indem sie Governance integrieren, die Transparenz verbessern und die Aufsicht standardisieren –, werden am besten positioniert sein, um die nächste Welle der KI-getriebenen Transformation zu bewältigen.

Wie Mitratech hilft

Unabhängig davon, wo Sie sich auf Ihrem Weg zur KI-Governance befinden, kann Mitratech Ihnen dabei helfen, echte Koordination und Transparenz in Ihr Programm zu bringen. Unsere einheitliche Plattform verbindet unterschiedliche Teams, sorgt dafür, dass alle wichtigen Stakeholder aufeinander abgestimmt bleiben, und beschleunigt Ihre Amortisationszeit mit anpassbaren Vorlagen und vorkonfigurierten Frameworks wie dem EU-KI-Gesetz und dem NIST AI RMF. Während sich Ihr Programm weiterentwickelt, hält unsere flexible Architektur Schritt und sorgt für langfristige Effizienz und niedrige Gesamtbetriebskosten.

Sind Sie bereit, mit einer vertrauenswürdigen KI-Governance voranzukommen? Kontaktieren Sie Mitratech, um mehr zu erfahren.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.