Warum „Guardrails“ allein noch kein System sind
„Wir haben Guardrails eingebaut“ ist inzwischen ein Standardsatz in fast jedem Gespräch über KI-Projekte – gemeint sind meist einzelne technische Kniffe: ein Prompt-Filter hier, eine Ausgabe-Prüfung dort. Das Problem ist nicht, dass diese Maßnahmen falsch wären. Das Problem ist, dass sie ohne eine übergeordnete Struktur schwer zu kommunizieren, zu prüfen und bei einem Kunden- oder Investoren-Gespräch nachzuweisen sind. Genau diese Lücke füllen zwei Frameworks, die 2023 fast zeitgleich erschienen sind: das NIST AI Risk Management Framework (USA, Behörde) und ISO/IEC 42001 (international, Zertifizierungsnorm). Beide werden meist als Vorstufe zur Pflicht durch den EU AI Act dargestellt. Wie die Recherche zeigt, ist das nur die halbe – und nicht die dringlichere – Wahrheit.
Die zwei Frameworks kurz und bündig
Das NIST AI RMF (Version 1.0, Januar 2023) ist eine kostenlose, freiwillige Anleitung der US-Standardbehörde NIST, aufgebaut auf vier Funktionen: Govern (Organisation, Zuständigkeiten, Freigabeprozesse), Map (Kontext und mögliche Schäden eines konkreten KI-Systems verstehen), Measure (Risiken mit Kennzahlen und Tests messbar machen) und Manage (Ressourcen priorisiert einsetzen, um gemessene Risiken zu behandeln). Es ist nicht zertifizierbar – man „besteht“ das NIST AI RMF nicht, man wendet es an. Im Juli 2024 kam mit NIST AI 600-1 ein eigenes Profil für generative KI dazu, das die vier Funktionen auf Themen wie Halluzinationen, Missbrauch und Trainingsdaten zuspitzt.
ISO/IEC 42001 (Dezember 2023) ist dagegen eine echte Zertifizierungsnorm – die erste internationale Norm für ein „AI Management System“ (AIMS). Sie folgt derselben „High-Level-Struktur“, die auch ISO 27001 (Informationssicherheit) und ISO 9001 (Qualitätsmanagement) zugrunde liegt. Das ist mehr als eine formale Fußnote: Es bedeutet, dass sich ein AIMS in ein bestehendes Managementsystem einklinken lässt, statt komplett neu aufgebaut werden zu müssen – dazu gleich mehr.
Der Mythos, der sich hartnäckig hält: ISO 42001 als Rechtsschutz
In vielen Beratungs-Texten klingt es so, als würde eine ISO-42001-Zertifizierung automatisch die Pflichten des EU AI Act erfüllen. Das ist – Stand heute – nicht korrekt. Der EU AI Act sieht in Artikel 40 eine „Konformitätsvermutung“ vor: Wer nach einem anerkannten Standard arbeitet, darf bestimmte Pflichten als erfüllt annehmen. Der entscheidende Haken steckt im Wort „anerkannt“: Rechtlich zählt dafür nur ein Standard, der den vollen europäischen Harmonisierungsprozess durchlaufen und es ins EU-Amtsblatt geschafft hat. Für KI-Standards ist das bislang bei keinem einzigen Rahmenwerk der Fall – auch ISO 42001 hat diesen Status noch nicht. Eine speziell dafür konzipierte Brücken-Norm (EN 18286) befindet sich noch im Entwurfsstadium.
Das bedeutet nicht, dass ISO 42001 nutzlos ist. Es bedeutet, dass der meistgenannte Grund, sich dafür zu entscheiden – „damit sind wir beim AI Act auf der sicheren Seite“ – aktuell schlicht nicht zutrifft. Der eigentliche Wert liegt woanders, wie der nächste Abschnitt zeigt.
Wer sich tatsächlich zertifizieren lässt – und was das verrät
Öffentlich nachvollziehbare Zahlen von Zertifizierungsstellen und Presseinformationen deuten darauf hin, dass bis April 2026 rund 350 Organisationen weltweit ein ISO-42001-Zertifikat halten – bei stark steigender Tendenz, aber von einer sehr kleinen Basis aus. Bemerkenswert ist weniger die Zahl selbst als das Muster dahinter: Zu den ersten Zertifizierten zählen fast ausschließlich Unternehmen, die KI-Produkte AN andere Unternehmen verkaufen – Automation Anywhere, Talkdesk, Miro, Perforce, KnowBe4, Microsoft. Es sind Anbieter, die ihren eigenen Kunden ein belastbares Vertrauenssignal geben müssen, nicht Mittelständler, die KI für interne Prozesse einsetzen.
Das ist eine wichtige Unterscheidung für die eigene Priorisierung: Ein volles Zertifikat lohnt sich zuerst für Unternehmen, deren Geschäftsmodell direkt davon abhängt, dass Kunden ihnen ein KI-System anvertrauen. Für die meisten anderen Unternehmen ist die Zertifizierung aktuell die falsche erste Investition – nicht, weil die zugrundeliegende Praxis unwichtig wäre, sondern weil das Zertifikat selbst (Audit, laufende Kosten, Aufrechterhaltung) im Vergleich zum Nutzen zu früh kommt.
Die eigentliche Erkenntnis: Der Torwächter ist der Einkauf, nicht der Gesetzgeber
Hier liegt der Befund, der in den meisten Artikeln zu diesem Thema fehlt, weil er zwei eigentlich getrennte Recherchestränge zusammenführt: Marktdaten zu KI-Einkauf und die Entwicklung von Lieferanten-Fragebögen. Laut dem Bericht „State of Generative AI in the Enterprise 2025“ von Menlo Ventures kauften Unternehmen 2025 bereits 76 Prozent ihrer KI-Anwendungsfälle fertig ein, statt sie selbst zu entwickeln – ein Sprung von 53 Prozent im Jahr davor. KI wird also zunehmend eingekauft, nicht gebaut.
Genau das verändert, wie Einkaufsabteilungen arbeiten. Regulierte Großunternehmen unterscheiden in ihren Lieferanten-Fragebögen inzwischen explizit zwischen zwei Antworten: „Wir haben eine KI-Richtlinie“ (schwach) und „Wir betreiben ein KI-Managementsystem“ (das, was NIST AI RMF und ISO 42001 formalisieren). Diese Unterscheidung ist kein Zufall – sie folgt inzwischen einem quasi-Marktstandard: der CSA AI Controls Matrix (AICM), veröffentlicht im Juli 2025 von der Cloud Security Alliance. Sie umfasst 243 Kontrollpunkte über 18 Domänen und ist explizit vorab mit ISO 42001, NIST AI 600-1 und dem deutschen BSI-AIC4-Katalog abgeglichen. Wer als KI-Anbieter oder als Unternehmen mit eigenen KI-Anwendungen in eine größere Ausschreibung will, bekommt diese Struktur zunehmend als Fragebogen vorgelegt – unabhängig davon, ob ein Gesetz das verlangt.
Die Konsequenz ist unbequem, aber klar: Die kommerzielle Anforderung kommt schneller als die rechtliche. Ein mittelständisches Unternehmen, das KI-gestützte Software für größere Kunden baut oder anbietet, wird eher von einem Einkaufs-Fragebogen zu dieser Struktur befragt als von einer Behörde geprüft. Wer wartet, bis der EU AI Act eine harmonisierte Norm anerkennt, könnte feststellen, dass der eigentliche Türsteher längst ein anderer war.
Die Lücke, die firmenintern niemand schließt
Ein zweiter, oft übersehener Befund aus der Procurement-Forschung passt genau hierzu: Laut einer 2026 veröffentlichten Procurement-Branchenstudie (ProcureAbility) arbeiten 96 Prozent der Einkaufs- und IT-Teams grundsätzlich zusammen – aber bei 54 Prozent findet diese Zusammenarbeit ausgerechnet bei KI-Governance nicht statt. Das ist kein Technologie-Problem, sondern ein Zuständigkeits-Problem: KI-Werkzeuge hängen an Dateninfrastruktur und Sicherheitsprotokollen, die die IT verantwortet, während der Einkauf die Lieferantenbeziehung führt – und ohne explizite Zuordnung fällt KI-Governance zwischen beide Stühle. Für ein Unternehmen, das selbst KI-Anwendungen an andere Firmen liefert, heißt das im Umkehrschluss: Wer intern früh klärt, wer diese Fragebögen beantwortet und wer die zugrundeliegende Praxis pflegt, hat gegenüber Wettbewerbern, bei denen diese Frage offen bleibt, einen echten Vorsprung im Vertriebsprozess.
Vom Framework zu echten Guardrails – eine eigene Übersetzungstabelle
Die vier NIST-Funktionen sind bewusst abstrakt gehalten, damit sie auf jede Art von KI-System passen. Das macht sie als Kommunikationsrahmen wertvoll, aber als Bauanleitung unbrauchbar. Für ein konkretes Projekt – etwa eine KI-gestützte individuelle Anwendung – lässt sich jede Funktion in eine Kategorie technischer und organisatorischer Guardrails übersetzen. Diese Zuordnung ist keine Zitat-Übernahme aus einer der beiden Normen, sondern unsere eigene, aus der praktischen Umsetzung abgeleitete Übersetzung:
- Govern → Organisatorische Guardrails: Wer darf ein neues KI-Feature oder einen Modellwechsel freigeben? Wer ist im Ernstfall verantwortlich, mit klarem Eskalationsweg? Welche Datenklassen dürfen ein KI-Modell überhaupt erreichen? Genau das ist die Ebene, die ein Einkaufs-Fragebogen zuerst abfragt.
- Map → Kontext-Guardrails: Für jedes einzelne KI-Feature einmal explizit festhalten, welche Nutzergruppe betroffen ist, welche Daten hinein- und herausfließen, welcher Schaden im schlimmsten Fall entstehen kann (Prompt-Injection, Falschauskunft, Datenabfluss) – und wo die Grenze zwischen automatisierter Aktion und menschlicher Prüfung verläuft.
- Measure → Technische Guardrails: konkrete, messbare Kontrollen – Schema-Prüfung jeder KI-Ausgabe vor Weiterverarbeitung, eine Test-Suite mit bekannten Angriffsmustern, lückenloses Protokollieren jeder Anfrage und Antwort zur Nachvollziehbarkeit, laufendes Monitoring von Fehlerquote und Drift über die Zeit.
- Manage → Reaktions-Guardrails: die Fähigkeit, ein früheres Verhalten schnell wiederherzustellen (Rollback), ein definierter Eskalationsweg bei entdecktem Fehlverhalten, eine feste Review-Kadenz statt einmaliger Einrichtung, und ein Kill-Switch für kritische automatisierte Abläufe.
Diese vier Zeilen ersetzen keine vollständige Governance-Dokumentation. Aber sie geben genau das, was in den meisten Kundengesprächen fehlt: eine gemeinsame, strukturierte Sprache, um über Guardrails zu reden – statt einer losen Liste einzelner technischer Maßnahmen ohne erkennbaren Zusammenhang.
Wenn ihr schon ISO 27001 habt, ist der Sprung kleiner als gedacht
Weil ISO 42001 dieselbe High-Level-Struktur nutzt wie ISO 27001 (Informationssicherheit) und ISO 9001 (Qualität), ist der Aufbau eines AI-Managementsystems für Unternehmen, die bereits eines dieser Systeme betreiben, deutlich kleiner als für ein Unternehmen, das bei null anfängt. Rollen, Dokumentationslogik, interne Audits, Management-Reviews – die Mechanik existiert bereits und muss nur um KI-spezifische Risiken erweitert werden, nicht komplett neu erfunden werden. Für Unternehmen mit sensiblen Kundendaten (etwa im Finanz- oder Gesundheitsbereich, wo ISO 27001 ohnehin verbreitet ist) ist das ein guter Grund, den vollen Sprung zur ISO-42001-Zertifizierung früher zu erwägen als für ein Unternehmen ganz ohne Managementsystem-Erfahrung.
Was das für dein Unternehmen bedeutet
Zusammengenommen ergibt sich eine klare Reihenfolge, die sich von der üblichen Empfehlung unterscheidet:
- Nicht zuerst zertifizieren: Mit rund 350 Zertifikaten weltweit, fast ausschließlich bei KI-Produktanbietern, ist ISO 42001 für die meisten Mittelständler aktuell die falsche erste Investition – und kein Rechtsschutz vor dem EU AI Act, solange keine harmonisierte Norm anerkannt ist.
- Zuerst die Praxis, nicht das Papier: Die Govern/Map/Measure/Manage-Struktur (und die daraus abgeleiteten Guardrail-Kategorien oben) lässt sich in einem laufenden Projekt umsetzen, ohne auf ein Audit zu warten – und ist genau das, was ein Einkaufs-Fragebogen sehen will.
- Klärt intern, wer zuständig ist, bevor der erste Fragebogen kommt: Angesichts der belegten Lücke zwischen Einkauf und IT bei KI-Governance ist eine frühe, klare Zuständigkeit ein eigenständiger Wettbewerbsvorteil im Vertrieb.
- Prüft ISO 27001 als Hebel: Wer bereits ein Informationssicherheits-Managementsystem betreibt, sollte die Zertifizierung nach ISO 42001 deutlich früher in Betracht ziehen als ein Unternehmen ohne diese Vorarbeit – der Grenzaufwand ist überschaubar.
Genau diese Guardrail-Struktur von Anfang an in eine individuelle Anwendung einzubauen – statt sie nachträglich draufzusetzen, wenn der erste Einkaufs-Fragebogen kommt – ist deutlich günstiger und ehrlicher gegenüber Kunden als ein nachträglich aufgesetztes Compliance-Dokument.