Generative KI entfaltet Wirkung – und verlangt belastbare Governance. Der neue Kriterienkatalog des BSI zeigt das Was. Mit der Plattform-Lösung ADOGRC und dem Geschäftsprozessmanagementsystem ADONIS liefert die WAITS Software und Prozessberatungsgesellschaft mbH aus Köln das Wie.
Seit Juni 2025 liegt mit dem „Kriterienkatalog des BSI zur Integration von extern bereitgestellten generativen KI Modellen in eigene Anwendungen“ eine konkrete, lebenszyklusfokussierte Orientierung vor: von Governance über Planung, Beschaffung, Anpassung, Integration, Einsatz bis zur Beendigung. Formuliert mit Modalverben („muss/sollte/kann“) ist der Katalog aktuell unverbindlich, soll aber in einen Mindeststandard münden – das BSI lädt explizit zur Praxis Rückmeldung ein. Für Unternehmen bedeutet das: Wer jetzt umsetzt, ist früh auditfähig und reduziert Implementierungsrisiken in der Breite.
Besonders hilfreich: Der Katalog schließt KI spezifische Lücken klassischer Standards, bleibt aber anschlussfähig an bestehende BSI Leitplanken wie den Mindeststandard zur Nutzung externer Cloud Dienste (C5 Bezug) und den AI Cloud Service Compliance Criteria Catalogue (AIC4) – wichtig für Anbieter Nachweise, Attestierungen und jährliche Prüfzyklen.
Vom Papier zur Praxis: ADOGRC und ADONIS
Die häufige Excel Lösung scheitert an Versionierung, Prüfbarkeit und Nachweisen. Der Ansatz von WAITS kombiniert ADOGRC (Vorgaben /Bewertungs /Kontroll Repository, Evidenzen, Workflows) mit ADONIS (BPM der BOC Group) als prozessuale Verankerung. Ergebnis sind revisionssichere Artefakte:
- Vorgaben bilden BSI Anforderungen ab,
- Vorgabenbewertungen zeigen den Umsetzungsgrad,
- Kontrollen sichern Wirksamkeit (Frequenz, Verantwortliche, Nachweis),
- Risiken verknüpfen KI Spezifika mit Maßnahmen,
- Evidenzen (Model Cards, Testate, Logs) sind zentral wiederverwendbar. So entsteht eine „Single Source of Truth“ statt verteilter Tabellen.
Sieben Phasen, klare Rollen – so operationalisieren Unternehmen den Katalog
Der BSI Katalog verteilt 71 Anforderungen auf sieben Phasen und definiert Rollen inklusive KI Zuständige/-r, Betreiber, Anbieter und Endnutzende. In ADOGRC und ADONIS wird dies wie folgt umgesetzt:
- Globale KI Governance: Anlegen der Rolle „KI Zuständige/-r“, Aufbau eines KI Anwendungsregisters (verwendete Modelle, erlaubte Anwendungsfälle, Verantwortliche, interne Anpassungen, Datenzugriffe), Nutzungsbedingungen und Schwachstellenmanagement als Prozesse/Workflows
- Planung und Beschaffung: Risiken identifizieren, Auswahlkriterien festlegen, AIC4/C5 Nachweise des Anbieters verknüpfen; Entscheidungen, Grenzwerte und Zulässigkeiten transparent dokumentieren
- Anpassung und Integration: System Prompt Governance, Test /Abnahmepfade, Freigaben; technische/organisatorische Kontrollen als wiederverwendbare Bausteine; Incident und Change Prozesse in ADONIS
- Einsatz und Beendigung: Monitoring Kontrollen (z. B. Prompt Review, Datenabfluss Checks), Offboarding SOPs (Exit Strategie, Löschung, Vertragsbeendigung), Reporting für ISMS/DSB/Revision
Ein Hinweis für die Praxis: Die IT Grundschutz Welt (100 Bausteine, 3.836 Anforderungen, Stand 2023) bleibt der generische Rahmen – ohne KI Baustein. Der KI Kriterienkatalog ergänzt zielgenau, ohne das ISMS neu aufzusetzen; Nachweise lassen sich in beiden Welten nutzen.
Anschluss an Cloud Compliance und Audits (C5/AIC4)
Wer KI als Cloud Dienst nutzt, muss Cloud Hausaufgaben machen: Strategie, Sicherheitsrichtlinie, Risikoanalyse, Sicherheitskonzept – und die Datenkategorien/Schutzbedarfe sauber herleiten. ADOGRC hält die Dokumente, Zuordnungen und Entscheidungen prüfbar zusammen und verlinkt sie mit den KI Vorgaben.
AIC4 liefert KI spezifische Prüffelder (z. B. Security und Robustness, Explainability, Bias) und unterscheidet Type 1/Type 2 Berichte (Design vs. Wirksamkeit über den Zeitraum), basierend u. a. auf ISAE3000/3402. Für Unternehmen heißt das: Provider Berichte einmal einsammeln, in ADOGRC verknüpfen – und mehrfach für Risiko und Audit Zwecke verwenden.
Im ADOGRC Excellence Circle der BOC Group am 24.09.2025 in Frankfurt führte WAITS die Lösung live vor: Mapping des BSI Katalogs auf ADOGRC Objekte, Prozess Verankerung in ADONIS (Prompt Change, Incident Handling, Offboarding), „Excel vs. ADOGRC“ im Nachweiswesen – samt Rollenbildern (KI Zuständige/-r, ISB/DSB) und MUSS/SOLLTE/KANN Logik. Das Echo: schnellere Audit Readiness, klare Verantwortlichkeiten, konsistente Evidenzen.
Der betriebswirtschaftliche Mehrwert – konkret
Audit Ready in Wochen statt Quartalen
Freigabe und Review Workflows, Statusmetriken und Export Reports reduzieren Schleifen mit ISMS/DSB/Revision deutlich. Verantwortung, Fristen, Nachweise sind eindeutig – ad hoc reportfähig.
Prozessintegration statt Papier
ADONIS liefert Prozesslandkarten, BPMN, SOP Verknüpfungen, Rollen /Rechte – Governance wird zum gelebten Ablauf (Training, Onboarding, KVP). Das überträgt sich auf Skalierung und Change Tempo.
Einmal erheben, mehrfach nutzen
Nachweise aus AIC4/C5 und BSI KI Katalog werden in ADOGRC zentrisch verwaltet und mehrfach eingesetzt (Einkauf, Datenschutz, ISMS, Lieferantenmanagement). Das senkt Prüfkosten und beugt Widersprüchen vor.
Transparenz über das KI Portfolio
Ein KI Anwendungsregister zeigt betroffene Prozesse, Modelle, Datenquellen und Ansprechpartner auf einen Blick – inklusive Betroffenheitsanalyse bei Schwachstellenmeldungen.
CoE Betrieb und Mandantenfähigkeit
WAITS betreibt auf Wunsch ein Center of Excellence (BPM und KI): mandantenfähiges ADONIS BPM als managed Service („myATHENA“, www.my-athena.eu), Methodik, Trainings und Support – ideal für Gruppen/Regionen und mehrstufige Rollouts.
In fünf Schritten zur belastbaren KI Governance
Mit diesen fünf Schritten kommen Unternehmen leicht zum Ziel.
- Assessment und Scoping – Gap Analyse gegen BSI Katalog, Aufbau des KI Anwendungsregisters, Definition des Geltungsbereichs.
- Prozessdesign in ADONIS – Zielprozesse modellieren (Prompt Change, Incident /Problem /Vulnerability Management, Offboarding), Rollen und SOPs definieren.
- GRC Set-up in ADOGRC – Katalog als Vorgaben modellieren, Bewertungen/Kontrollen parametrisieren, Evidenzen verlinken; Berichte und Dashboards konfigurieren.
- Cloud Compliance andocken – C5/Mindeststandard Artefakte und AIC4 Berichte binden; Risiken und Entscheidungen nachvollziehbar machen.
- Enablement und KVP – Trainings, Change Management, KPI Monitoring (z. B. Freigabequote, Nachweis Quote, Mean Time to Approve), kontinuierliche Verbesserung.
Referenzen und Umsetzungskraft
Das Kölner Unternehmen verbindet BPM Fundament und GRC Exzellenz. In Konzernen der DACH Region – etwa in komplexen Multi Länder Set-ups – wurden bereits BPMN Dokumentation, SOP Verknüpfung und Reporting unter engem Zeitdruck aufgebaut und standardisiert. Das Ergebnis: mehr Transparenz, schnellere Abstimmungen, belastbare Prozesse – Erfahrungen, die unmittelbar in KI Governance Programme einfließen.
Das Fazit
Der BSI Kriterienkatalog setzt die Leitplanken, ADOGRC und ADONIS schaffen belastbare Umsetzung: prüfbar, wiederverwendbar, skalierbar. Wer generative KI in seine Kerngeschäftsprozesse integriert, sollte die 71 Anforderungen konsequent in ADOGRC modellieren, prozessual in ADONIS verankern und die Anschlussfähigkeit an C5/AIC4 nutzen. So wird Governance zum Wettbewerbsvorteil – sie beschleunigt Innovation, statt sie auszubremsen.
Über WAITS
WAITS mit Gründer und Geschäftsführer Christian M. Mzyk steht für digitale Transformation durch Prozesse und Software – mit Strategieberatung, operativem GPM, individueller Softwareentwicklung und ADONIS Beratung. Ergänzend bietet das Unternehmen BPM as a Service (BPMaaS) und ein Center of Excellence für BPM & KI.
info@waits-gmbh.de, www.waits-gmbh.de
(Eugen Weis)
Bildquellen
- AI: Foto von Igor Omilaev auf Unsplash