Wissen
Klartext zu Audit, KI-Governance & Compliance
Wie ein Audit funktioniert, was ISO 42001 und 27001 verlangen und welche EU-AI-Act-Fristen kommen, ohne Fachchinesisch, mit Blick auf das, was im Mittelstand wirklich zählt. Selected articles in English.
ISO 42001 & KI-Governance
Was die KI-Norm verlangt und wie ein KI-Managementsystem im Mittelstand entsteht.
Welche Dokumente braucht ISO 42001? Die rund 20 Dokumente im Überblick
ISO/IEC 42001 verlangt keinen Papierberg, sondern rund 20 echte Dokumente, gegliedert in Richtlinien, Verfahren und Nachweise und der jeweiligen Norm-Klausel zugeordnet. Der komplette, prüffähige Überblick.
WeiterlesenISO 42001: kein Papierkrieg, wenn Sie Verantwortung verstehen
ISO 42001 klingt nach Aktenordner. Ist sie aber nicht, wenn Sie die Norm als gelebte Verantwortung begreifen statt als Papier. Aus der Auditor-Praxis.
WeiterlesenDer KI-Beauftragte: Braucht Ihr Unternehmen eine eigene Rolle für KI-Governance?
Anders als beim Datenschutzbeauftragten schreibt kein Gesetz einen „KI-Beauftragten“ vor. Warum die Rolle trotzdem fast immer sinnvoll ist und was EU AI Act und ISO 42001 zu Verantwortlichkeiten wirklich verlangen.
WeiterlesenDie ISO-42001-Familie im Überblick: Welche Normen zusammengehören
ISO 42001 steht nicht allein. Wie 42005, 42006, 23894, 22989 und 38507 zusammenspielen und welche Norm welche Frage beantwortet. Orientierung im KI-Normen-Dschungel.
WeiterlesenKI-Risikomanagement, Impact Assessment und DPIA, wie KI-Folgen bewertet werden
Wie man KI-Risiken systematisch bewertet (ISO 23894), worin sich ein AI Impact Assessment vom klassischen Risikomanagement unterscheidet und wann es mit der DSGVO-DPIA zusammenfällt.
WeiterlesenAnnex A & Statement of Applicability: Welche Kontrollen Sie brauchen
Was der Kontroll-Anhang (Annex A) der ISO 42001 leistet, was ein Statement of Applicability ist und warum dieses Dokument zum wichtigsten Wegweiser im Audit wird.
WeiterlesenISO 42001 vs. ISO 27001: Warum KI-Governance auf Informationssicherheit aufbaut
ISO 42001 und ISO 27001 ergänzen sich. Wie sich KI-Managementsystem und Informationssicherheits-Managementsystem unterscheiden, überlappen und sinnvoll kombinieren lassen.
WeiterlesenISO/IEC 42001 erklärt: Was der KI-Standard für den Mittelstand bedeutet
ISO/IEC 42001 ist die erste internationale Norm für KI-Managementsysteme. Was dahintersteckt, wer sie braucht und wie der Einstieg gelingt, praxisnah erklärt.
WeiterlesenEU AI Act & Recht
Pflichten, Fristen und Risikoklassen des EU AI Act, eingeordnet für den Betrieb.
Diktiersoftware und DSGVO: worauf es wirklich ankommt
Cloud-Diktat schickt vertrauliche Aufnahmen auf fremde Server. Was das für Kanzleien und Praxen bedeutet, was § 203 StGB verlangt und wann lokal besser ist.
WeiterlesenDer USB-Stick an der Pforte: Security-Awareness im Mittelstand
Social Engineering kostet fast nichts und richtet Millionenschäden an. Warum Security-Awareness der günstigste Schutzwall ist, und was ISO 27001 fordert.
WeiterlesenVendor Lock-in: Wenn Sie nicht Herr Ihrer Daten sind
Fremde Update-Zyklen, Sperrfristen, Ausstiegskosten: Vendor Lock-in macht Mittelständler abhängig. Wie Sie Herr Ihrer Daten und Ihrer Resilienz bleiben.
WeiterlesenSeriöse KI-Berater erkennen: erst das Impressum prüfen
Gerade nennt sich halbe Welt KI-Berater. Der ehrlichste Test kostet zwei Minuten: Steht im Impressum noch das alte TMG statt dem DDG, hat jemand seinen eigenen KI-Output nicht geprüft.
WeiterlesenCyber Resilience Act: Was Geräte- und Maschinenhersteller jetzt wissen müssen
Der Cyber Resilience Act verpflichtet Hersteller von Produkten mit digitalen Elementen EU-weit zu Cybersicherheit über den Lebenszyklus. Wen er betrifft, welche Fristen gelten und warum ISO 27001 die naheliegende Grundlage ist.
WeiterlesenPrompt Injection lässt sich nicht wegpatchen, nur eingrenzen
Prompt Injection ist kein Bug, sondern ein architektonischer Schwachpunkt von Sprachmodellen. Was das für KI-Agenten und die KI-Lieferkette heißt und wie Sie das Risiko mit ISO 27001, ISO 42001 und dem EU AI Act eingrenzen.
WeiterlesenAI Act verschoben: Was der Digital Omnibus auf 2027 wirklich bedeutet
Die EU streckt den AI Act über den Digital Omnibus: Hochrisiko-Pflichten verschieben sich auf Dezember 2027, KI in Produkten auf August 2028. Was bleibt, was nur gestreckt wird und warum „verschoben" nicht „erledigt" heißt.
WeiterlesenMacht ISO 42001 mich AI-Act-konform? Harmonisierte Normen erklärt
ISO/IEC 42001:2023 ist die beste Vorbereitung auf den EU AI Act, aber kein Rechts-Freibrief. Warum die Vermutungswirkung nur über harmonisierte EN-Normen (EN 18286) entsteht und was das praktisch bedeutet.
WeiterlesenEU AI Act und ISO 42001: das Mapping der Pflichten
Welche Pflicht des EU AI Act welche ISO/IEC-42001-Anforderung erfüllt, die Crosswalk-Tabelle, die zeigt, wie ein KI-Managementsystem den AI Act nachweisbar bedient.
WeiterlesenKI-Agenten absichern: Agentic AI nach ISO 42001, ISO 27001 und EU AI Act
Agentic AI, KI-Agenten, die selbst planen und handeln, braucht eigene Sicherheits- und Governance-Leitplanken. Wie Sie Identität, Eingaben, Aktionen und Aufsicht von KI-Agenten absichern und sauber auf ISO/IEC 42001, ISO/IEC 27001 und den EU AI Act mappen.
WeiterlesenKI-Inhalte kennzeichnen: Was der neue EU-Code-of-Practice für den Mittelstand bedeutet
Die EU-Kommission hat den Code of Practice zur Kennzeichnung KI-generierter Inhalte veröffentlicht. Was ab dem 2. August 2026 gilt und was Betreiber jetzt tun sollten.
WeiterlesenAI-Act-Hochrisiko-Selbstcheck: Ist meine KI wirklich hochriskant?
Hochrisiko-KI ist die Ausnahme, nicht die Regel. Mit diesem Selbstcheck ordnen Sie Ihre KI nach EU AI Act korrekt in die richtige Risikoklasse ein.
WeiterlesenNIS2 und ISO 27001: Wie der Mittelstand die Pflicht beherrschbar macht
NIS2 trifft viele Mittelständler und Zulieferer. Warum ein ISMS nach ISO 27001 das stärkste Fundament ist und aus der Pflicht einen Vorteil macht.
WeiterlesenAI Literacy: Die KI-Kompetenz-Pflicht nach Art. 4 EU AI Act
Seit 2. Februar 2025 müssen Unternehmen für ausreichende KI-Kompetenz ihrer Mitarbeitenden sorgen (Art. 4 EU AI Act). Was das konkret heißt, wen es betrifft und wie Sie die Pflicht pragmatisch erfüllen.
WeiterlesenEU AI Act: Diese Fristen kommen auf Ihr Unternehmen zu
Der EU AI Act gilt gestaffelt und der Digital Omnibus (7. Mai 2026) verschiebt die Hochrisiko-Fristen. Welche Pflichten ab wann greifen, welche Risikoklassen es gibt und warum AI-Literacy schon heute gilt.
WeiterlesenAudit-Praxis
Wie Audits wirklich ablaufen, von Findings bis Zertifizierungsaudit, aus erster Hand.
Warum Kunden bald ISO 42001 von KI-Lieferanten verlangen
ISO/IEC 42001 wird zum Auswahlkriterium für KI-Anbieter. Was das für Ihre Beschaffung und Lieferkette heißt und wie Sie KI-Lieferanten gegen die Norm prüfen, bevor Ihre Kunden den Nachweis von Ihnen verlangen.
WeiterlesenISO 42001 Gap-Analyse: Ablauf, Dauer und Ergebnis
Was eine ISO-42001-Gap-Analyse ist, wie sie abläuft, wie lange sie dauert und was am Ende herauskommt, der erste, risikoärmste Schritt zur Zertifizierungsreife.
WeiterlesenWie lange dauert die ISO-42001-Einführung? Ein realistischer Zeitplan
Von der Gap-Analyse bis zur Zertifizierungsreife: ein realistischer Wochen-Zeitplan für die ISO-42001-Einführung im Mittelstand, mit den Faktoren, die wirklich über die Dauer entscheiden.
WeiterlesenSecond-Party-Audit: Wie Sie Lieferanten und Dienstleister selbst prüfen
Second-Party-Audit erklärt: Wann Sie Lieferanten und Auftragsverarbeiter selbst prüfen sollten, wie es abläuft und warum das Ihre Lieferkette absichert.
WeiterlesenWenn ein Update Ihre Rechnungen ändert: ein GoBD-Risiko
Ein Software-Update verschickt vier finale Rechnungen neu, inhaltlich verändert. Warum das die GoBD-Unveränderbarkeit gefährdet und wer dafür geradesteht.
WeiterlesenBeratung, internes Audit, Third-Party-Audit: Wer prüft was?
Drei Audit-Rollen, drei verschiedene Aufträge. Wann braucht der Mittelstand Beratung, internes Audit oder Third-Party-Audit und warum die Vermischung gefährlich ist.
WeiterlesenWas ein ISO-42001-Audit wirklich prüft (und was nicht)
Ein ISO-42001-Audit prüft nicht Ihre Technik. Es prüft, ob jemand Verantwortung trägt, Risiken kennt und Nachweise hat. Was ein Auditor wirklich sehen will, aus der Praxis eines Senior Lead Auditors.
WeiterlesenWie funktioniert ein Audit? Die 7 Prinzipien und der Audit-Lebenszyklus
Was ein Audit wirklich ist, welche sieben Prinzipien jeden Auditor leiten (ISO 19011) und wie ein Audit Schritt für Schritt abläuft, von der Planung bis zum Follow-up.
WeiterlesenWie läuft ein externes Zertifizierungsaudit ab? Stage 1 und Stage 2
Vom Vertrag mit der Zertifizierungsstelle bis zum Zertifikat: Wie das zweistufige Zertifizierungsaudit (Stage 1 und Stage 2) abläuft, was geprüft wird und wer am Ende entscheidet.
WeiterlesenFindings verstehen: Hauptabweichung, Nebenabweichung, Beobachtung
Was Auditfeststellungen bedeuten, von der Hauptabweichung bis zum Verbesserungspotenzial und wie Sie mit Korrektur, Ursachenanalyse und Wirksamkeitskontrolle richtig darauf reagieren.
WeiterlesenNach dem Zertifikat: Überwachungs- und Re-Zertifizierungsaudit
Ein ISO-Zertifikat ist kein Einmal-Ereignis, sondern ein Drei-Jahres-Zyklus. Wie Überwachungsaudits und die Re-Zertifizierung funktionieren und wann ein Zertifikat ausgesetzt werden kann.
WeiterlesenInternes Audit & Managementbewertung, die unterschätzte Pflicht
Jedes Managementsystem verlangt internes Audit und Managementbewertung. Was beide leisten, warum die Zertifizierungsstelle sie zuerst prüft und wie sie zum Motor der Verbesserung werden.
WeiterlesenGrundlagen & Einstieg
Die Begriffe hinter Normen, Managementsystemen und KI-Audits, verständlich erklärt.
Whisper lokal nutzen: Spracherkennung ohne die Cloud
Spracherkennung, die den Rechner nie verlässt: Was das Open-Source-Modell Whisper lokal wirklich leistet, welche Hardware es braucht und wo die Grenzen liegen.
WeiterlesenAutomatisieren statt neu bauen: ein Rechnungslauf als Praxisfall
Zwei Personentage pro Monat für die Rechnungsstellung, und der Reflex sagt: neues System kaufen. Ein Praxisfall zeigt den günstigeren Weg: vorhandene Werkzeuge verbinden, Kontrolle einbauen.
WeiterlesenWas ist ein KI-Auditor? Definition, Aufgaben, Abgrenzung
Was ein KI-Auditor als Dienstleistung wirklich tut: Definition der Rolle, Aufgaben, die drei häufigsten Audit-Arten und die saubere Abgrenzung zu Zertifizierungsstelle und KI-Berater.
WeiterlesenSichtbarkeit ist Vertrieb: SEO und GEO für den Mittelstand
Die beste Kompetenz nützt nichts, wenn niemand Sie findet. Wie SEO und GEO den Mittelstand sichtbar machen, ohne Tricks, mit echter Substanz.
WeiterlesenEigenes KI-Tool bauen statt kaufen: Chancen und Grenzen
KI-gestützte Entwicklung macht eigene Tools erschwinglich. Aber ohne Sicherheit, Tests und Datenarchitektur baut man sich ein Risiko. Ein Auditor ordnet ein.
WeiterlesenKI-Hype erkennen: Substanz von Show unterscheiden
LinkedIn ist voll von KI-Experten mit präzisen Zahlen und fertigen Tools. Wie Sie in zwei Minuten erkennen, ob hinter dem Auftritt Substanz steckt oder nur gut verpackte Luft.
WeiterlesenTheoretisch ja, praktisch nein: der häufigste KI-Einwand
Theoretisch ja, praktisch nein, bei uns ist jeder Auftrag anders. Warum dieser Einwand gegen Automatisierung fast nie an der Technik liegt und wie die Reihenfolge aussieht: erst Prozess, dann Tool, dann KI.
WeiterlesenPECB, TÜV oder IRCA: Welches Auditor-Zertifikat ist international anerkannt?
PECB, TÜV und IRCA im Vergleich: Was eine akkreditierte Personenzertifizierung nach ISO/IEC 17024 von einem reinen Teilnahme- oder Hauszertifikat unterscheidet und worauf es für die internationale Anerkennung ankommt.
WeiterlesenLead Implementer oder Lead Auditor? Welcher ISO-Weg zu dir passt
Lead Implementer baut das Managementsystem auf, Lead Auditor prüft es. Welcher PECB-Weg (ISO 42001 / 27001) zu dir passt und warum beides zusammen am stärksten ist.
WeiterlesenWie werde ich KI-Auditor? Der realistische Weg 2026
Ein Zertifikat allein macht keinen KI-Auditor. Was du wirklich brauchst, Schulung, Stunden, Stallgeruch. Aus der Praxis eines Senior Lead Auditors.
WeiterlesenWas ist eine ISO-Norm und was ein Managementsystem?
ISO-Norm, Managementsystem, Annex SL, PDCA, verständlich erklärt. Was hinter Begriffen wie „DIN EN ISO“ steckt und warum sich Normen wie 9001, 27001 und 42001 so ähneln.
WeiterlesenAkkreditierung, Zertifizierung, Audit, wer darf eigentlich was?
DAkkS, Zertifizierungsstelle, Lead Auditor, interner Auditor, Berater: Wer welche Rolle im Zertifizierungssystem spielt und warum Beratung und Zertifizierung getrennt sein müssen.
WeiterlesenBranche & Kosten
Was Audits und Managementsysteme im produzierenden Mittelstand kosten und bringen.
Was darf KI-Beratung kosten? Make-or-Buy ehrlich gerechnet
Mehrere zehntausend Euro für einen einzigen automatisierten Prozess, oder selbst bauen? Wie Sie die Make-or-Buy-Frage bei KI ehrlich rechnen, statt für die Lernkurve eines Beraters zu zahlen.
WeiterlesenWas kostet ein Lieferantenaudit? Tagessätze, Aufwand, Praxis
Was ein Second-Party-/Lieferantenaudit wirklich kostet: realistische Tagessätze, wie viele Audittage Sie brauchen, Reisekosten und wann sich ein externer Auditor gegenüber dem eigenen Team rechnet.
WeiterlesenKeine Angst vor KI: Prozesse statt Köpfe im Mittelstand
KI baut im Mittelstand keine Stellen ab, sondern räumt Routine weg. Warum Angst der falsche Reflex ist, wo KI entlastet und wer die Verantwortung trägt.
WeiterlesenWas kostet ISO 42001? Ehrliche Zahlen und Förderwege 2026
Beratung, Audit, Zertifikat: Was eine ISO-42001-Einführung im Mittelstand wirklich kostet, mit realistischen Spannen, dem größten versteckten Kostenfaktor und welche Förderung 2026 hilft.
WeiterlesenISO 42001 in der Zerspanung & im Metallbau: KI in der Fertigung im Griff
Wo KI in Zerspanung und Metallbau wirklich steckt, von der Kalkulation bis zur Vision-Qualitätsprüfung und wie ISO/IEC 42001 sie beherrschbar und nachweisbar macht.
WeiterlesenKI in der CNC-Fertigung EU-AI-Act-konform einsetzen
Welche Fertigungs-KI ist Hochrisiko und welche nicht? Eine ehrliche Risikoeinordnung für Zerspanung und Metallbau, mit den entscheidenden Ausnahmen.
Weiterlesen