Management

Informationssicherheit und KI: Warum ein integrierter Ansatz immer wichtiger wird

claudia.furger@sqs.ch

Veröffentlicht am: 13.04.2026

Lesedauer

ca. 4 Minuten

Informationssicherheit ist für viele Organisationen ein wichtiges Thema. Gleichzeitig hält künstliche Intelligenz Einzug in immer mehr Geschäftsprozesse und verändert Abläufe und Risikoprofile. SQS-Auditor Matthias Reetz erklärt im Interview, welche Herausforderungen er in der Praxis sieht und wie sich beide Themen strukturiert und pragmatisch angehen lassen.

Herr Reetz, Sie auditieren seit vielen Jahren Organisationen in unterschiedlichen Branchen. Wie hat sich die Risikolage in der Informationssicherheit entwickelt?  
Sie hat sich deutlich verschärft. Unternehmen sind heute stärker vernetzt, nutzen Cloud-Dienste und arbeiten enger mit externen Partnern zusammen. Dadurch hat sich auch das Bedrohungsspektrum erweitert. Gleichzeitig beobachten wir eine Professionalisierung der Angreifer. Sie gehen gezielter vor, sind gut organisiert und meist klar wirtschaftlich motiviert. Entsprechend hat sich Informationssicherheit von einem technischen Nischenthema zu einem zentralen Managementthema entwickelt. 

 

Welche Risiken bereiten Unternehmen dabei derzeit am meisten Sorgen? 
An erster Stelle stehen Betriebsunterbrüche durch Cyberangriffe, also die Frage, ob der Geschäftsbetrieb im Ernstfall aufrechterhalten werden kann. Ebenso relevant sind Datenabflüsse oder der Verlust vertraulicher Kunden- und Produktinformationen, die finanzielle Schäden verursachen und das Vertrauen von Kunden und Partnern beeinträchtigen können.

Matthias_Reetz_Web.jpg

Matthias Reetz ist SQS-Auditor und Produktverantwortlicher für die ISO/IEC 42001. 

Wird die Bedrohungslage Ihrer Erfahrung nach immer realistisch eingeschätzt? 
Nein, nicht immer. 

 

Inwiefern nicht?  
Gerade kleinere und mittlere Organisationen denken oft: Wir sind doch zu klein, um interessant zu sein. In der Realität unterscheiden automatisierte Angriffe aber nicht nach Unternehmensgrösse, und gerade kleinere Betriebe sind aufgrund knapper Ressourcen häufig verletzlicher.

 

Viele Organisationen reagieren auf diese verschärfte Risikolage mit einem Informationssicherheits-Managementsystem (ISMS) nach der ISO/IEC 27001. Welchen Nutzen bringt die Norm?  
Sie hilft Organisationen, Informationssicherheit systematisch zu steuern, statt nur punktuell auf Vorfälle zu reagieren. Organisationen setzen sich systematisch mit ihren werthaltigen Informationen, Risiken und Schutzbedarfen auseinander und leiten daraus passende technische und organisatorische Massnahmen ab.  

 

Wie wirkt sich das im Arbeitsalltag aus?  
Es entstehen klare Verantwortlichkeiten und nachvollziehbare Prozesse, und es gibt deutlich weniger Ad-hoc-Entscheidungen. Gleichzeitig verbessert sich die Fähigkeit, auf Sicherheitsvorfälle und neue Anforderungen von Kunden oder Behörden zu reagieren. Wenn die Zertifizierung zudem durch eine staatlich beaufsichtigte Zertifizierungsstelle erfolgt, hat das für viele Kunden und Partner eine wichtige Signalwirkung. Es zeigt, dass nicht nur die Organisation selbst definierte Standards einhält, sondern auch die prüfende Stelle einem klaren Qualitäts- und Aufsichtsrahmen unterliegt.   

 

Parallel dazu hält KI Einzug in Geschäftsprozesse. Entstehen auch dadurch neue Risiken?   
Auf jeden Fall, und zwar entlang des gesamten Daten- und Entscheidungszyklus. 

 

Können Sie das etwas konkretisieren?  
Risiken entstehen, wenn zum Beispiel sensible Daten in KI-Tools eingegeben werden oder Entscheidungen auf intransparenten Modellen basieren. Auch Abhängigkeiten von einzelnen Technologieanbietern können problematisch werden, etwa wenn zentrale Geschäftsprozesse auf deren Plattformen laufen. Und wenn Mitarbeitende KI-Tools eigenständig nutzen, besteht ausserdem die Gefahr, dass vertrauliche Informationen nach aussen gelangen oder Ergebnisse ungeprüft in Entscheidungen einfliessen.   

 

Neben diesen operativen Herausforderungen wächst auch der Druck von aussen. Welche Rolle spielen Regulierung und Kundenanforderungen?  
Eine zunehmend wichtige. Regulatorische Entwicklungen erhöhen den Druck, den Einsatz von KI strukturiert und nachvollziehbar zu steuern, etwa mit Blick auf den EU AI Act oder branchenspezifische Vorgaben. Gleichzeitig verlangen Kunden immer häufiger Transparenz und belastbare Nachweise darüber, wie Unternehmen mit Informationssicherheit, Datenschutz und KI-Risiken umgehen. Das kann in Form von Zertifikaten, Audits oder vertraglichen Zusicherungen geschehen. Wer hier frühzeitig klare Strukturen schafft, zum Beispiel mit der ISO/IEC 42001, vermeidet später hektische Nachbesserungen unter Zeitdruck. 

 

Zeitstrahl KI-Regulierung

 

Sie sprechen von der ISO/IEC 42001. Wird diese Norm für Unternehmen immer wichtiger?   
Ja, denn sie beschreibt, wie Organisationen den verantwortungsvollen Einsatz von KI planen, steuern und kontinuierlich verbessern können. Im Zentrum stehen Themen wie Governance, Risikobeurteilung, Transparenz, Nachvollziehbarkeit sowie der Umgang mit Datenschutz-, Sicherheits- und ethischen Fragestellungen.  

 

Auf den ersten Blick behandeln die ISO/IEC 27001 und die ISO/IEC 42001 zwei getrennte Themen. Sind sie in der Praxis verbunden? 
Ja, absolut. Die Normen greifen in der Praxis gut ineinander. Viele Elemente wie Risikomanagement, Schulungen oder interne Audits lassen sich sogar gemeinsam nutzen. So entsteht ein integrierter Ansatz, bei dem Informationssicherheit und KI-Governance nicht nebeneinander laufen, sondern aufeinander abgestimmt sind.   

 

Wo liegen aus Ihrer Erfahrung die grössten Herausforderungen bei diesem integrierten Vorgehen?  
Meist weniger in der Technik als in der Organisation.   

 

Was heisst das genau?   
Informationssicherheit und KI lassen sich nicht isoliert in der IT lösen, sondern müssen als Querschnittsthemen über Fachbereiche, Compliance, Datenschutz und Management hinweg verankert werden. Gleichzeitig verlaufen KI-Projekte oft sehr dynamisch, während Managementsysteme auf Stabilität und Nachvollziehbarkeit angelegt sind. Hier braucht es die richtige Balance zwischen Agilität und klarer Steuerung. 

 

Und welchen Nutzen haben Organisationen davon?   
Vor allem mehr Transparenz und bessere Steuerbarkeit. Unternehmen erhalten einen klareren Überblick darüber, welche Informationen und KI-Anwendungen wo eingesetzt werden, welche Risiken bestehen und wie diese adressiert werden. Gleichzeitig entsteht eine belastbare Grundlage für Nachweise gegenüber Kunden, Auftraggebern und Aufsichtsbehörden. 

 

Was bedeutet das für Organisationen mit oder ohne bestehendes ISMS und wie lässt sich ein integrierter Ansatz pragmatisch umsetzen?   
Unternehmen mit einem bestehenden ISMS nach ISO/IEC 27001 haben einen klaren Startvorteil, da zentrale Strukturen wie Risikomanagement, Rollenmodelle und Governance-Prozesse bereits etabliert sind. Für sie geht es vor allem darum, KI-spezifische Risiken, Verantwortlichkeiten und Anforderungen systematisch in das bestehende Managementsystem zu integrieren und gezielt um Aspekte der ISO/IEC 42001 zu ergänzen. 

 

Und Unternehmen ohne ISMS?  
Sie haben die Chance, Informationssicherheit und KI-Governance von Anfang an integriert aufzubauen, anstatt später zwei parallele Strukturen zusammenführen zu müssen. Aber unabhängig vom Ausgangspunkt denke ich, ist es wichtig, dass Umfang und Tiefe der Massnahmen dem jeweiligen Reifegrad der Organisation entsprechen und Weiterentwicklungen schrittweise sowie nachhaltig umgesetzt werden.  

 

Zum Abschluss: Welche ersten Schritte empfehlen Sie Unternehmen, die beide Themen systematisch angehen möchten?   
Am Anfang steht eine Bestandsaufnahme. Welche kritischen Informationen werden verarbeitet und wo kommt bereits KI zum Einsatz, bewusst oder vielleicht auch unbewusst? Auf dieser Basis lassen sich zentrale Risiken und Handlungsfelder priorisieren, zum Beispiel in einem Workshop mit den relevanten Stakeholdern. Danach können klare Leitlinien, Verantwortlichkeiten und einfache Prozesse definiert werden, bevor entschieden wird, in welchem Tempo der Weg zu einem Managementsystem nach ISO/IEC 27001 und ISO/IEC 42001 gegangen werden soll. 

Unser Newsletter bringt relevante und interessante Inhalte zu Ihnen

Möchten Sie informiert werden, wenn wir einen neuen Beitrag aufschalten? Dann abonnieren Sie unseren SQS-Blog-Newsletter. Sie können sich jederzeit wieder abmelden.