Cybervize – Cybersecurity Beratung
Alle Artikel

Governance als Bullshit-Filter: KI & Cyber-Entscheidungen

Alexander Busse·28. Januar 2026
Governance als Bullshit-Filter: KI & Cyber-Entscheidungen

Das Bullshit-Problem in KI und Cybersecurity

In der deutschen Mittelstandslandschaft beobachten wir ein wachsendes Phänomen: Das größte Risiko bei Entscheidungen zu KI und Cybersecurity ist nicht mangelndes Wissen, sondern die Flut an Halbwahrheiten, Vendor-Versprechen und unbelegten Best Practices.

Das Brandolini-Prinzip, auch als Bullshit-Asymmetrie-Prinzip bekannt, bringt es auf den Punkt: Es kostet ein Vielfaches an Energie, Unsinn zu widerlegen, als ihn zu produzieren. Während ein Anbieter in fünf Minuten behauptet, sein Tool würde "alle Sicherheitsprobleme lösen", brauchen Sie Stunden oder Tage, um diese Aussage zu überprüfen, zu hinterfragen und zu widerlegen.

Die tägliche Realität im Mittelstand

Entscheider im Mittelstand sehen sich täglich konfrontiert mit:

  • Vendor-Pitches mit vollmundigen Versprechen ohne Substanz
  • LinkedIn-Hypes um KI-Tools, die angeblich alles revolutionieren
  • Vermeintliche Compliance-Abkürzungen, die bei genauerer Prüfung nicht halten, was sie versprechen
  • Best Practices, die aus dem Kontext gerissen und ohne Anpassung übernommen werden sollen

Das Ergebnis: Stundenlange Diskussionen, die am Ende zu wackeligen Entscheidungen führen. Entscheidungen, die auf Sand gebaut sind und im Ernstfall nicht standhalten.

Governance als pragmatischer Bullshit-Filter

Governance ist kein bürokratisches Monster, sondern ein Filter für bessere Entscheidungshygiene. Richtig verstanden und implementiert, schützt Governance Sie nicht nur vor Compliance-Risiken, sondern vor allem vor schlechten, teuren und riskanten Entscheidungen.

Der Unterschied liegt im Ansatz: Governance nicht als Pflichtübung verstehen, sondern als systematischen Mechanismus, um Spreu von Weizen zu trennen. Es geht um Entscheidungs-Hygiene im Regelbetrieb.

Fünf pragmatische Bausteine für Ihren Governance-Filter

1. Claim to Evidence Pflicht: Behauptungen brauchen Belege

Jede substanzielle Aussage muss mit Belegen und offengelegten Annahmen untermauert werden. Konkret bedeutet das:

Beispiel KI-Tool: "Unser KI-Chatbot reduziert Support-Tickets um 40%"

Erforderliche Nachweise:

  • Aus welcher Studie oder welchem Pilotprojekt stammt die Zahl?
  • Welche Ticket-Arten wurden gemessen?
  • Welche Voraussetzungen (Datenbasis, Training, Integration) waren gegeben?
  • Welche vergleichbaren Unternehmen haben ähnliche Ergebnisse erzielt?

Beispiel Security-Tool: "Tool X macht Ihr Unternehmen sicher"

Kritische Fragen:

  • Gegen welche konkreten Bedrohungen schützt das Tool?
  • Welche Angriffsvektoren bleiben unabgedeckt?
  • Welche False-Positive-Rate ist zu erwarten?
  • Welche Ressourcen sind für Betrieb und Monitoring erforderlich?

Machen Sie es zur verbindlichen Regel: Ohne Evidence kein Budget, keine Freigabe, keine Entscheidung.

2. One-Pager-Entscheidungsmemo: Klarheit statt Folien-Schlacht

Ersetzen Sie 50-seitige PowerPoint-Präsentationen durch strukturierte Ein-Seiten-Memos mit folgenden Pflichtinhalten:

Struktur eines Entscheidungsmemos:

  • Problem: Was genau lösen wir? (2-3 Sätze)
  • Optionen: Welche Alternativen haben wir geprüft? (inkl. "Nichts tun")
  • Risiken: Was kann schiefgehen? Mit welcher Wahrscheinlichkeit?
  • Kosten: Total Cost of Ownership über 3 Jahre (nicht nur Lizenzkosten)
  • Messbare Wirkung: Welche KPIs verbessern sich wie stark?
  • Empfehlung: Klare Aussage mit Begründung

Der Zwang zur Kürze erzeugt Klarheit. Wenn Sie Ihr Anliegen nicht auf einer Seite darstellen können, haben Sie es selbst noch nicht durchdrungen.

3. Rollen klären: Owner und Challenger

Schaffen Sie klare Verantwortlichkeiten statt Komitee-Demokratie:

Der Owner:

  • Treibt die Entscheidung
  • Trägt die Verantwortung für das Ergebnis
  • Liefert das Entscheidungsmemo
  • Macht einen konkreten Vorschlag

Der Challenger:

  • Widerspricht strukturiert und konstruktiv
  • Hinterfragt Annahmen und Belege
  • Typischerweise aus Security, Legal, Datenschutz oder IT-Betrieb
  • Hat explizites Vetorecht bei Compliance-Verstößen

Wichtig: Nicht "alle dürfen mal mitreden", sondern definierte Rollen mit klaren Mandaten. Der Challenger ist kein Bremser, sondern der Qualitätssicherer Ihrer Entscheidung.

4. Definition of Done für KI und Security

Machen Sie messbar, wann eine Implementierung wirklich abgeschlossen ist. Papier-Konzepte reichen nicht.

Definition of Done für KI-Projekte:

  • Dokumentierte Entscheidungskriterien und Schwellenwerte
  • Durchgeführte Halluzinations-Checks mit definierten Testszenarien
  • Bias-Tests auf relevanten Dimensionen (Fairness, Diskriminierung)
  • Implementiertes Monitoring mit Alerts
  • Eskalationspfade für problematische Outputs
  • Dokumentierte Datenquellen und Trainingsgrundlagen

Definition of Done für Cybersecurity-Maßnahmen:

  • Kontrollnachweise durch unabhängige Tests (kein Vendor-Check)
  • Durchgeführte Incident-Response-Übungen mit Protokoll
  • Beweis über tatsächliche Patch-Management-Realität (nicht Policy)
  • Funktionierende und getestete Backup-Wiederherstellung
  • Monitoring-Dashboard mit definierten Schwellenwerten
  • Eskalations- und Verantwortungsmatrix

Erst wenn diese Kriterien erfüllt sind, gilt ein Projekt als abgeschlossen. Nicht wenn das Budget aufgebraucht ist.

5. Nachweisbarkeit als Standard: Decision Log und Risikoakzeptanz

Dokumentieren Sie Entscheidungen strukturiert. Das spart massive Zeit, wenn es ernst wird (Audit, Incident, Rechtsstreit).

Was gehört in den Decision Log:

  • Datum und beteiligte Personen
  • Entscheidungsgegenstand und Kontext
  • Geprüfte Optionen mit Bewertung
  • Gewählte Option mit Begründung
  • Explizite Risikoakzeptanz für identifizierte Restrisiken
  • Nächste Review-Termine

Besonders wichtig: Die schriftliche Risikoakzeptanz durch die verantwortliche Führungsebene. Wenn ein Restrisiko bewusst eingegangen wird (z.B. verzögertes Patching wegen Produktionszeiten), muss das dokumentiert und von der entsprechenden Ebene akzeptiert sein.

Der Business-Wert: Warum sich der Aufwand lohnt

Diese Governance-Mechanismen sind keine zusätzliche Bürokratie, sondern eine Investition in:

Schnellere Entscheidungen: Klare Kriterien reduzieren endlose Diskussionsschleifen

Bessere Entscheidungsqualität: Evidenzbasierte Entscheidungen führen zu messbaren Verbesserungen

Reduziertes Risiko: Dokumentierte Risikoakzeptanz schützt bei Audits und im Schadensfall

Weniger Fehlkäufe: Durchschauen Sie Vendor-Hype bevor Sie investieren

Rechtssicherheit: Bei DSGVO, NIS2, AI Act und anderen Regularien nachweisbar compliant

Erste Schritte: So implementieren Sie Ihren Bullshit-Filter

  1. Wählen Sie einen Pilotbereich: Starten Sie z.B. mit KI-Tool-Evaluationen oder Security-Investitionen
  2. Definieren Sie 2-3 Beweisregeln: Was muss bei Ihnen mindestens nachgewiesen werden?
  3. Etablieren Sie das One-Pager-Format: Führen Sie es für die nächsten drei Entscheidungen konsequent durch
  4. Benennen Sie Owner und Challenger: Machen Sie die Rollen explizit
  5. Starten Sie einen Decision Log: Ein einfaches strukturiertes Dokument reicht anfangs

Fazit: Governance als Wettbewerbsvorteil

In einer Welt voller KI-Hypes und Cyber-Bedrohungen ist strukturierte Entscheidungshygiene kein Luxus, sondern eine Notwendigkeit. Unternehmen, die heute pragmatische Governance-Mechanismen etablieren, treffen morgen bessere, schnellere und belastbarere Entscheidungen.

Der Mittelstand braucht keine komplexen Enterprise-Governance-Frameworks. Er braucht pragmatische Filter, die Bullshit von Substanz trennen. Die hier vorgestellten fünf Bausteine sind genau das: Wirksam, umsetzbar und sofort einsetzbar.

Die entscheidende Frage ist nicht ob, sondern wie schnell Sie diese Mechanismen etablieren. Denn jeden Tag ohne Filter kosten Sie unsinnige Diskussionen Zeit, Geld und Nerven.

Welche 2-3 Beweisregeln würden in Ihrem Unternehmen den größten Unterschied machen? Und was hindert Sie daran, sie ab morgen verbindlich zu machen?

Zurück zur Übersicht