Fuentis

ISO/IEC 42001 – Standards für KI-Managementsysteme

Approved
Last updated: Sep 07, 2025
fuentis Trust Platform, fuentis Suite 4

Künstliche Intelligenz (KI) durchdringt immer mehr Produkte und Dienstleistungen und erzeugt dabei neue ethische, sicherheitstechnische und regulatorische Herausforderungen. Um Organisationen einen strukturierten Rahmen zu geben, wurde Ende 2023 mit ISO/IEC 42001 der weltweit erste Standard für Artificial-Intelligence-Management-Systeme (AIMS) veröffentlicht.

Der Standard legt Anforderungen an den Aufbau, die Implementierung, die Aufrechterhaltung und die kontinuierliche Verbesserung eines Managementsystems fest, das die verantwortungsbewusste Entwicklung, Bereitstellung und Nutzung von KI-Systemen unterstützt. ISO/IEC 42001 richtet sich an Organisationen jeder Größe und Branche, die KI-Produkte oder -Services entwickeln, bereitstellen oder nutzen.

Praxis-Tipp: Ein AIMS nach ISO 42001 schafft Vertrauen in KI-Anwendungen, fördert Transparenz und Nachvollziehbarkeit und hilft Unternehmen, Risiken und Chancen systematisch zu managen.

Kernkonzepte und Anforderungen

Aufbau des Standards

ISO 42001 ist als Managementsystem-Standard aufgebaut und orientiert sich an der bewährten High-Level-Structure von ISO 27001 und ISO 9001. Die Hauptabschnitte (Clauses) bilden einen kontinuierlichen Verbesserungsprozess:

Clause 4 – Kontext der Organisation

- Analyse interner und externer Faktoren

- Festlegung des AIMS-Geltungsbereichs

- Verständnis der Stakeholder-Erwartungen

Clause 5 – Führung

- Verpflichtung des Top-Managements

- Festlegung einer KI-Policy

- Definition von Rollen und Verantwortlichkeiten

Clause 6 – Planung

- Ermittlung von Risiken und Chancen für KI

- Festlegung von Zielen und Planung von Änderungen

- Besonderheit: Kombination aus AI-Risk-Assessments und AI-System-Impact-Assessments

Clause 7 – Unterstützung

- Bereitstellung von Ressourcen und Kompetenzen

- Awareness und Kommunikation

- Dokumentierte Informationen

Clause 8 – Betrieb

- Operative Steuerung

- Regelmäßige Durchführung von Risiko- und Impact-Assessments

- Umsetzung der ausgewählten Kontrollen

Clause 9 – Leistungsbewertung

- Monitoring und Messung der AIMS-Performance

- Interne Audits und Management-Reviews

Clause 10 – Verbesserung

- Kontinuierliche Verbesserung des AIMS

- Umgang mit Nichtkonformitäten und Korrekturmaßnahmen

Annexes (Anhänge A–D)

Die Annexes bieten detaillierte Leitlinien und Kontrollen:

Annex A – Referenzkontrollziele und Kontrollen

- Liste von KI-spezifischen Kontrollzielen

- Bereiche: Policies, Governance, Datenmanagement, AI-Lebenszyklus, System-Impact-Kontrollen

- Organisationen wählen risikobasiert aus, welche Kontrollen sie implementieren

Annex B – Implementation Guidance

- Praktische Umsetzungshilfen für die Kontrollen

- Beispiele: KI-Policy schreiben, Verantwortlichkeiten festlegen, AI-Risk-Assessments durchführen

Annex C – AI-bezogene Organisationsziele und Risikofaktoren

- Beispiele für KI-spezifische Ziele und Risiken

- Verweis auf ISO/IEC 23894 für detailliertes KI-Risikomanagement

Annex D – Nutzung des AIMS in verschiedenen Sektoren

- Branchenspezifische Anwendungshinweise

- Förderung eines holistischen Ansatzes

Rollen im KI-Ökosystem

ISO 42001 unterscheidet zwischen verschiedenen Akteuren:

- AI Provider: Stellen KI-Systeme bereit

- AI Producer: Entwerfen, entwickeln und testen KI-Produkte

- AI User: Nutzen KI-Produkte oder -Services im eigenen Geschäftsprozess

Die Rollen bestimmen spezifische Pflichten und Kontrollen innerhalb des AIMS.

Risiko- und Impact-Assessments

Ein zentraler Unterschied zu anderen Managementsystem-Standards ist die Kombination aus zwei Bewertungstypen:

AI-Risk-Assessment:

- Analysiert technische Bedrohungen und Schwachstellen

- Bewertet Eintrittswahrscheinlichkeiten für das KI-System

- Fokus auf Systemsicherheit und -zuverlässigkeit

AI-System-Impact-Assessment:

- Bewertet potenzielle Auswirkungen auf Individuen, Gruppen oder die Gesellschaft

- Berücksichtigt ethische und soziale Faktoren

- Hilft bei der Integration von Fairness, Transparenz und Ethik

- Bewertet Diskriminierungsrisiken und potenzielle Schäden

Praxis-Tipp: Die Kombination beider Assessments ermöglicht eine ganzheitliche Betrachtung von KI-Risiken – sowohl technisch als auch gesellschaftlich.

Umsetzungshilfen und Best Practices

Management-Engagement und Scope

Ein erfolgreiches AIMS benötigt starke Führungsunterstützung:

- Top-Management-Commitment: Verabschiedung einer KI-Policy und Bereitstellung von Ressourcen

- Realistische Scope-Definition: Fokus auf relevante KI-Produkte, -Services oder Abteilungen

- Klare Governance-Struktur: Definition von Rollen und Verantwortlichkeiten

Risikobasierte Planung

Systematische Bewertung:

- Kombination aus technischen Risikobewertungen und gesellschaftlichen Impact-Analysen

- Identifikation von Bedrohungen (Datenlecks, Modellmanipulationen)

- Analyse ethischer Aspekte und Diskriminierungsrisiken

Kontrollauswahl:

- Risikobasierte Auswahl der Annex-A-Kontrollen

- Dokumentation im Statement of Applicability (SoA)

- Begründung für implementierte und ausgeschlossene Kontrollen

Implementierung wichtiger Kontrollen

Policies & Governance (A.2):

- Entwicklung einer übergeordneten KI-Policy

- Regelmäßige Überprüfung und Abstimmung mit bestehenden Richtlinien

- Integration in die Unternehmensstrategie

Rollen & Verantwortlichkeiten (A.3):

- Klare Verantwortlichkeiten für KI-Entwicklung, Betrieb und Überwachung

- Prozesse für das Melden von Bedenken und Vorfällen

- Cross-funktionale Teams und Eskalationswege

Information für interessierte Parteien (A.8):

- Transparente Kommunikation über KI-Fähigkeiten und -Einschränkungen

- Aufklärung über Risiken und Nutzungsbedingungen

- Einrichtung von Feedback-Kanälen für Nutzer

Drittparteien & Kunden (A.10):

- Festlegung von Verantwortlichkeiten bei Lieferanten und Kunden

- Faire Risikoallokation entlang der Wertschöpfungskette

- Vertragsgestaltung mit KI-spezifischen Klauseln

Dokumentation, Monitoring und Training

Umfassende Dokumentation:

- Policies, Prozesse und Risikobewertungen

- Impact-Analysen und Kontrollnachweise

- Versionierung und Änderungshistorie

Kontinuierliches Monitoring:

- Systematische Überwachung der KI-Performance

- Regelmäßige interne Audits und Management-Reviews

- Leistungskennzahlen und Trend-Analysen

Schulungen und Awareness:

- KI-spezifische Trainings für Entwickler und Anwender

- Sensibilisierung für ethische und rechtliche Aspekte

- Regelmäßige Updates zu neuen Entwicklungen

Verbindung zum EU AI Act

ISO 42001 unterstützt die Compliance mit kommenden Regulierungen:

- Proaktives Risikomanagement: Strukturierte Governance für KI-Risiken

- Transparenz und Dokumentation: Nachweisbare Compliance-Prozesse

- Wiederholbare Verfahren: Skalierbare Ansätze für verschiedene KI-Systeme

Praxis-Tipp: Unternehmen können mit ISO 42001 proaktiv Risiken managen und sind besser auf gesetzliche Anforderungen wie den EU AI Act vorbereitet.

Unterstützung durch die fuentis Suite

Die fuentis Suite kann bei der Umsetzung eines AIMS gezielt unterstützen:

Risikomanagement-Modul:

- Strukturierte Erfassung von KI-Risiken und Impact-Analysen

- Automatisches Risikoregister mit Verknüpfung zu Assets und Kontrollen

- Templates für AI-Risk-Assessments und AI-System-Impact-Assessments

- Integration verschiedener Bewertungsmethoden

Asset-Management:

- Verwaltung von Datenquellen, Modellen und KI-Systemen als Assets

- Zuordnung von Verantwortlichen und Klassifizierungen

- Lifecycle-Management für KI-Komponenten

- Nachverfolgung von Abhängigkeiten und Schnittstellen

Compliance-Management:

- Vorgefertigte Templates für ISO 42001-Kontrollen

- Automatisierte Erstellung des Statement of Applicability

- Gap-Analysen und Reifegradbewertungen

- Mapping zu anderen Standards (ISO 27001, EU AI Act)

Audit- und Review-Module:

- Planung und Durchführung von internen AIMS-Audits

- Nachverfolgung von Nichtkonformitäten und Korrekturmaßnahmen

- Automatisierte Reporting-Funktionen

- Management-Dashboard für KPIs

Dokumentenmanagement:

- Zentrale Ablage aller KI-Policies und Risikobewertungen

- Versionierung und Genehmigungsprozesse

- Impact-Analysen und Audit-Protokolle

- Integrierte Workflow-Unterstützung

Integration mit anderen Standards

ISO 42001 harmoniert mit bestehenden Compliance-Rahmen:

ISO 27001 / ISO 27701:

- Gemeinsame High-Level-Structure erleichtert Integration

- Fokus auf Risikomanagement als verbindendes Element

- Viele Kontrollen lassen sich kombinieren und aufeinander abstimmen

NIST AI Risk Management Framework (AI RMF):

- ISO 42001 kann als Komplement zum NIST-Framework genutzt werden

- Beide zielen auf verantwortungsbewusste KI-Entwicklung ab

- Synergien bei Risikobewertung und Governance

EU AI Act:

- ISO 42001 bietet eine solide Grundlage für regulatorische Compliance

- Wird voraussichtlich als Benchmark für KI-Managementsysteme dienen

- Unterstützt Nachweis der "angemessenen Sorgfalt"

Branchen- und Datenschutzstandards:

- Kombination mit DSGVO und ISO 27701 für Datenschutz

- Integration mit branchenspezifischen Anforderungen (Gesundheitswesen, Finanzsektor)

- Effiziente Audit-Strategien durch gemeinsame Kontrollen

Glossar

Artificial-Intelligence-Management-System (AIMS): Managementsystem bestehend aus miteinander verknüpften Elementen (Policies, Ziele, Prozesse) zur verantwortungsbewussten Entwicklung, Bereitstellung und Nutzung von KI-Systemen.

AI-Risk-Assessment: Systematische Identifikation und Bewertung von technischen Risiken (Bedrohungen, Schwachstellen, Eintrittswahrscheinlichkeiten) für KI-Systeme.

AI-System-Impact-Assessment: Bewertung der potenziellen Auswirkungen der Nutzung oder des Missbrauchs eines KI-Systems auf Individuen, Gruppen oder die Gesellschaft, einschließlich ethischer und sozialer Faktoren.

Statement of Applicability (SoA): Dokument, das beschreibt, welche Kontrollen aus Annex A implementiert oder ausgeschlossen werden und warum.

AI-Policy: Übergeordnete Richtlinie einer Organisation für die Entwicklung und Nutzung von KI-Systemen; definiert Prinzipien, Ziele und Verantwortlichkeiten.

Kontrollziel: Zweck einer Kontrolle (z.B. Sicherstellung von Transparenz oder Zuweisung von Verantwortlichkeiten).

Kernaussagen auf einen Blick

  1. Erster KI-Management-Standard: ISO/IEC 42001 ist der weltweit erste Standard für AIMS und bietet einen strukturierten Rahmen für die verantwortungsvolle Entwicklung und Nutzung von KI-Systemen.
  1. Ganzheitlicher Risikoansatz: Neben klassischen Risikobewertungen verlangt der Standard Impact-Assessments, um gesellschaftliche und ethische Auswirkungen von KI-Systemen systematisch zu berücksichtigen.
  1. Flexible Kontrollauswahl: Annex A listet KI-spezifische Kontrollen, die organisationsspezifisch ausgewählt und im Statement of Applicability begründet werden – maßgeschneiderte Umsetzung je nach Kontext.
  1. Synergie mit bestehenden Standards: ISO 42001 harmoniert mit ISO 27001, ISO 27701 und NIST AI RMF und bietet zugleich eine solide Grundlage für die Einhaltung des EU AI Acts.
  1. Tool-Unterstützung als Erfolgsfaktor: Moderne Plattformen wie die fuentis Suite unterstützen durch spezialisierte Module für Risikomanagement, Asset-Inventar, Compliance-Management und Audit-Funktionen den effizienten Aufbau eines AIMS.