ISO 42001 vs. ISO 27001: Warum KI-Governance auf Informationssicherheit aufbaut

Wer sich mit verantwortungsvoller KI beschäftigt, stößt schnell auf zwei Normen: ISO/IEC 27001 für Informationssicherheit und ISO/IEC 42001 für KI. Die Frage ist selten „entweder/oder“ – die beiden gehören zusammen.

Zwei Systeme, ein Fundament

ISO/IEC 27001 regelt, wie eine Organisation ihre Informationen schützt – Vertraulichkeit, Integrität, Verfügbarkeit. ISO/IEC 42001 regelt, wie sie KI verantwortungsvoll betreibt. Beide folgen derselben Grundstruktur (Harmonized Structure / Annex SL), weshalb sie sich in einem integrierten Managementsystem zusammenführen lassen, statt zwei Parallelwelten zu pflegen.

Wo sie sich überschneiden

• Daten: ISO 27001 schützt Daten (Vertraulichkeit, Integrität, Verfügbarkeit); ISO 42001 verlangt zusätzlich Datenqualität, -herkunft und Eignung für das KI-System. Hier greifen beide Welten ineinander.
• Zugriff und Rollen: Wer darf ein KI-System ändern, trainieren, abschalten? Das ist klassische Zugriffssteuerung.
• Risiko- und Lieferantenmanagement: Cloud- und KI-Anbieter müssen geprüft werden – ein Thema beider Welten.

Was nur ISO 42001 abdeckt

Über die Informationssicherheit hinaus adressiert ISO 42001 KI-spezifische Themen: Fairness und Bias, Transparenz und Erklärbarkeit, menschliche Aufsicht, die Folgen automatisierter Entscheidungen und die Steuerung über den KI-Lebenszyklus. Das sind Fragen, die ISO 27001 gar nicht stellt.

In welcher Reihenfolge?

Ein belastbares Informationssicherheits-Managementsystem ist ein hervorragendes Fundament für KI-Governance – aber kein zwingender Vorläufer. In der Praxis lohnt es sich, beide gemeinsam zu betrachten: Wer ohnehin ISO 27001 einführt, kann die KI-Themen direkt mitdenken und spart doppelte Arbeit. Wer mit ISO 42001 startet, stößt fast zwangsläufig auf die informationssicherheitlichen Grundlagen.

ISO 27001 sichert Ihre Informationen. ISO 42001 sorgt dafür, dass die KI, die diese Informationen nutzt, vertrauenswürdig bleibt.