SECURITYSQUAD
Zurück zum Blog

ISO/IEC 42001: Das Managementsystem für Künstliche Intelligenz

2026-07-16 · von SECURITYSQUAD

ISO/IEC 42001: Das Managementsystem für Künstliche Intelligenz

Künstliche Intelligenz zieht in immer mehr Geschäftsprozesse ein – und mit ihr die Frage, wie Unternehmen den verantwortungsvollen Umgang damit nachweisen. ISO/IEC 42001 ist die erste international zertifizierbare Norm, die genau darauf eine strukturierte Antwort gibt. Für Organisationen, die ohnehin ein ISMS betreiben, ist sie der logische nächste Schritt.

Was ISO/IEC 42001 ist

ISO/IEC 42001 wurde Ende 2023 veröffentlicht und beschreibt die Anforderungen an ein KI-Managementsystem (englisch: AI Management System, kurz AIMS). Sie zertifiziert bewusst nicht ein einzelnes KI-Modell oder Produkt, sondern das Managementsystem, mit dem eine Organisation KI-Systeme über ihren gesamten Lebenszyklus entwickelt, beschafft, betreibt und überwacht.

Der Kerngedanke: Wer KI einsetzt, muss die damit verbundenen Chancen und Risiken – von Verzerrungen in Trainingsdaten über mangelnde Nachvollziehbarkeit bis zu Auswirkungen auf betroffene Personen – systematisch steuern statt dem Zufall zu überlassen. Die Norm richtet sich an Anbieter wie an Anwender von KI, unabhängig von Branche und Größe.

Aufbau nach Annex SL – vertraut für ISMS-Verantwortliche

ISO 42001 folgt der Harmonisierten Struktur (früher als Annex SL bezeichnet), die allen modernen ISO-Managementsystemnormen zugrunde liegt. Wer ISO 27001 oder ISO 9001 kennt, findet sich sofort zurecht: Die Hauptkapitel sind identisch aufgebaut.

  • Kapitel 4 – Kontext der Organisation: Verstehen, in welchem Umfeld KI eingesetzt wird und welche interessierten Parteien betroffen sind.
  • Kapitel 5 – Führung: Verantwortung der Leitung, KI-Politik, Rollen und Zuständigkeiten.
  • Kapitel 6 – Planung: Umgang mit KI-Risiken und -Chancen, Ziele.
  • Kapitel 7 – Unterstützung: Ressourcen, Kompetenz, Dokumentation.
  • Kapitel 8 – Betrieb: Umsetzung der KI-Prozesse im Alltag.
  • Kapitel 9 – Bewertung der Leistung: Überwachung, internes Audit, Managementbewertung.
  • Kapitel 10 – Verbesserung: Korrekturmaßnahmen und kontinuierliche Weiterentwicklung.

Dahinter steht das aus ISO 27001 bekannte PDCA-Prinzip (Plan–Do–Check–Act): ein fortlaufender Kreislauf statt eines einmaligen Projekts. Ergänzt wird die Struktur durch Annex A mit 38 Controls in neun Themenfeldern sowie durch Annex B mit Umsetzungshinweisen. Weitere Anhänge nennen KI-spezifische Ziele und Risikoquellen.

Die Kernanforderungen

Über die generische Struktur hinaus prägen einige KI-spezifische Anforderungen die Norm:

  • KI-Governance: klare Verantwortlichkeiten, eine KI-Leitlinie und definierte Entscheidungswege für den Einsatz von KI.
  • KI-Risikobewertung: ein systematisches Verfahren, das die besonderen Risiken von KI erfasst – etwa Bias, Robustheit, Datenqualität und Sicherheit.
  • Impact Assessment (KI-Folgenabschätzung): eine strukturierte Bewertung der Auswirkungen von KI-Systemen auf Einzelpersonen, Gruppen und die Gesellschaft.
  • Transparenz und Nachvollziehbarkeit: dokumentierte Informationen darüber, wie KI-Systeme funktionieren, entscheiden und wo ihre Grenzen liegen.
  • Lebenszyklus-Management: definierte Prozesse von der Anforderung über Entwicklung, Test und Freigabe bis zu Betrieb, Überwachung und Außerbetriebnahme – inklusive der Steuerung von Lieferanten und vortrainierten Modellen.

Warum die Norm jetzt relevant wird

Der Zeitpunkt ist kein Zufall. Mit dem EU AI Act entsteht europaweit ein verbindlicher Rechtsrahmen, dessen Pflichten – etwa Transparenzanforderungen und die schrittweise greifenden Vorgaben für Hochrisiko-Systeme – über 2026 und 2027 gestaffelt in Kraft treten. Unternehmen suchen nach belastbaren Nachweisinstrumenten, und ISO 42001 bietet genau die Managementstrukturen, die der AI Act von Anbietern erwartet: Risikomanagement, Qualitätssicherung, technische Dokumentation und laufende Überwachung.

Wichtig ist die realistische Einordnung: ISO 42001 ist keine harmonisierte Norm unter dem AI Act. Ein Zertifikat begründet also keine gesetzliche Konformitätsvermutung und ersetzt die AI-Act-Pflichten nicht. Es ist jedoch ein starkes, international anerkanntes Nachweisinstrument, das einen großen Teil der geforderten Governance bereits abdeckt und die spätere Anpassung an harmonisierte Standards erheblich erleichtert.

Über die Regulierung hinaus zahlt sich die Norm auch geschäftlich aus. Kunden, Partner und Aufsichtsbehörden verlangen zunehmend belastbare Belege dafür, dass KI beherrscht eingesetzt wird. Ein zertifiziertes KI-Managementsystem schafft dieses Vertrauen nach außen und sorgt intern für klare Verantwortlichkeiten – gerade dann, wenn KI-Funktionen nicht mehr in isolierten Pilotprojekten, sondern quer durch die Wertschöpfung genutzt werden.

Verhältnis zu einem bestehenden ISO-27001-ISMS

Für Organisationen mit einem ISMS ist ISO 42001 kein Neuanfang, sondern eine Erweiterung. Weil beide Normen der gleichen Struktur folgen, lassen sich zahlreiche Elemente gemeinsam nutzen: Kontextanalyse, Führungsprozesse, Risikomethodik, Dokumentenlenkung, internes Audit und Managementbewertung existieren bereits. Ein bestehendes ISMS liefert außerdem das Fundament, das die Informationssicherheit von KI-Systemen absichert – von Zugriffsschutz bis Protokollierung.

In der Praxis bedeutet das: Wer ISO 27001 lebt, ergänzt vor allem die KI-spezifischen Bausteine – Governance, Impact Assessment, Transparenz und Lebenszyklus – und integriert sie in die vorhandenen Prozesse, statt ein zweites, paralleles System aufzubauen.

Ablauf einer Zertifizierung

Der Weg zur Zertifizierung ähnelt dem der ISO 27001 und lässt sich in vier Etappen fassen:

  1. Standortbestimmung: Eine Gap-Analyse zeigt, welche KI-Systeme im Einsatz sind und wo der Abstand zu den Normanforderungen liegt.
  2. Aufbau: Geltungsbereich festlegen, KI-Politik und Governance etablieren, Risiken und Auswirkungen bewerten, Controls und Dokumentation erstellen.
  3. Leben lassen: Das KI-Managementsystem muss im Alltag wirken – nur dann trägt die spätere Prüfung.
  4. Audit: Eine unabhängige, akkreditierte Zertifizierungsstelle prüft in zwei Stufen (Dokumentation und Umsetzung vor Ort); anschließend folgen jährliche Überwachungsaudits.

Wie SECURITYSQUAD unterstützt

Ein KI-Managementsystem steht und fällt mit einem tragfähigen Managementfundament – und genau dort liegt unsere Kernkompetenz. SECURITYSQUAD ist nach ISO 27001 auf Basis IT-Grundschutz (BSI) sowie nach ISO 9001 zertifiziert und begleitet Organisationen seit Gründung 2022 beim Aufbau wirksamer Managementsysteme.

Beim Aufbau eines AIMS bringen wir diese ISMS-Erfahrung ein: Wir führen die Gap-Analyse durch, entwickeln KI-Governance und Risikomethodik, integrieren die KI-spezifischen Controls in ein bestehendes ISMS und bereiten Sie strukturiert auf die Zertifizierung vor. So entsteht kein bürokratischer Überbau, sondern ein System, das im Betrieb funktioniert und zugleich als Nachweis gegenüber Kunden, Partnern und Aufsicht dient.

Weiterführend: EU AI Act: Was jetzt gilt · ISO 27001 auf Basis IT-Grundschutz · Unsere Zertifizierungen · Kompetenz & Services