Bildquelle: extern
ISO/IEC 42001 für interne KI-Systeme: Wann sich eine Zertifizierung für IT- und Service-Organisationen wirklich lohnt
Viele IT- und Service-Organisationen experimentieren längst nicht mehr nur mit KI. Sie setzen interne Chatbots im Service Desk ein, lassen Störungen vorsortieren, generieren Wissensentwürfe, bewerten Changes mit Hilfe von Modellen oder nutzen Assistenten für Suche, Dokumentation und Analyse. Genau an diesem Punkt taucht eine neue Frage auf: Reicht eine lose Sammlung aus Richtlinien, oder braucht die Organisation einen formaleren Governance-Rahmen, der sich auch nachweisen lässt?
Hier kommt ISO/IEC 42001 ins Spiel. Die Norm beschreibt Anforderungen für ein Artificial Intelligence Management System, also ein Managementsystem für den verantwortlichen Einsatz von KI. Für viele Häuser klingt das zunächst nach großem Auditprogramm. In der Praxis ist die wichtigere Frage aber eine andere: Für welche Organisationen schafft der Zertifizierungsweg tatsächlich Mehrwert, und wo wäre er nur ein teures Symbol?
Gerade für ITSM-nahe Teams ist das relevant. Denn KI wirkt nicht isoliert in einem Innovationslabor, sondern in Incident, Change, Knowledge Management, Supplier Management und Betrieb. Wer an dieser Stelle sauber entscheidet, spart später viel Reibung zwischen Fachbereich, Compliance, Einkauf und Delivery.
Erstens: Vor jeder Budgetdiskussion muss klar sein, was überhaupt zertifiziert werden soll
Ein häufiger Denkfehler ist die Vermischung von Personen- und Organisationszertifizierung. ISO beschreibt mit ISO/IEC 42001 einen Managementsystemstandard. Zertifiziert wird also nicht der Copilot selbst und auch nicht ein einzelner Mitarbeitender, sondern der organisatorische Rahmen für Entwicklung, Beschaffung, Einführung, Betrieb und Verbesserung von KI-Systemen. Parallel dazu existieren personengebundene Trainings- und Zertifizierungsangebote, etwa Foundation-, Implementer- oder Auditor-Pfade von Schulungsanbietern.
Für IT-Leitungen ist diese Trennung wichtig. Wenn ein Team sagt, es wolle „42001 machen“, kann damit entweder ein paar Schlüsselrollen mit Schulungen gemeint sein oder ein echter organisatorischer Zertifizierungspfad mit Governance, Evidenzen, internen Audits und externer Prüfung. Beides kann sinnvoll sein, aber es sind unterschiedliche Investitionen mit unterschiedlichen Ergebnissen.
Die ISO-Beschreibung der Norm ist an dieser Stelle eindeutig: Es geht um ein System zum Etablieren, Implementieren, Aufrechterhalten und fortlaufenden Verbessern eines AI-Managementsystems. Wer nur drei Mitarbeitende trainiert, hat noch kein belastbares Steuerungsmodell geschaffen.
Zweitens: Der Zertifizierungsweg lohnt sich vor allem dann, wenn KI schon mehrere Services oder Lieferanten berührt
Für einen isolierten Pilot in einer Sandbox ist eine formale Zertifizierung meist zu früh. Anders sieht es aus, wenn KI bereits über mehrere Prozesse oder Werkzeuge verteilt eingesetzt wird. Typische Signale sind ein Service-Desk-Chatbot mit produktiver Nutzerinteraktion, automatische Ticketklassifikation, Assistenzfunktionen in Wissensdatenbanken, KI-gestützte Auswertung von Betriebsdaten oder Fachanwendungen mit integrierten Modellen von Drittanbietern.
Sobald mehrere Use Cases, mehrere Datenquellen und mehrere Verantwortlichkeiten zusammenkommen, steigt der Abstimmungsbedarf stark. Dann wird aus einer Tool-Frage schnell eine Betriebsfrage: Wer genehmigt neue KI-Einsätze, welche Risiken werden bewertet, wie werden Modelländerungen dokumentiert, wie funktioniert menschliche Aufsicht, welche Fallbacks gelten bei Fehlverhalten, und welche Lieferantenpflichten werden vertraglich abgesichert?
Genau hier entfaltet ein Managementsystem Nutzen. Es zwingt die Organisation dazu, Verantwortlichkeiten, Nachweise und Kontrollpunkte nicht je Projekt neu zu erfinden. Für große oder regulierte Umgebungen, für Shared-Service-Organisationen und für IT-Abteilungen mit hohem Lieferantenanteil kann das deutlich wertvoller sein als noch ein isoliertes KI-Policy-Dokument.
Drittens: Ohne belastbare Betriebsartefakte wird jede Zertifizierung unnötig schmerzhaft
Die Norm allein löst keine Umsetzungsprobleme. Wenn IT- und Service-Organisationen über eine Zertifizierung nachdenken, sollten sie deshalb zuerst ihre Betriebsartefakte prüfen. Aus Sicht des Alltags sind mindestens sechs Dinge entscheidend.
Erstens braucht es ein vollständiges KI-Inventar. Niemand kann sinnvolle Governance betreiben, wenn unklar ist, welche Assistenten, Modelle, APIs, Plugins oder eingebetteten KI-Funktionen überhaupt produktiv genutzt werden. Zweitens müssen Rollen sauber definiert sein: Wer ist Service Owner, wer verantwortet das Risiko, wer genehmigt Beschaffung und Änderungen, wer prüft Datenschutz, Security und Fachwirkung?
Drittens braucht es nachvollziehbare Risiko- und Impact-Bewertungen. Der NIST AI RMF strukturiert genau dafür mit Govern, Map, Measure und Manage einen praktikablen Rahmen. Viertens müssen Protokollierung, Nachvollziehbarkeit und Dokumentation stimmen. Das ist nicht nur für Audits relevant, sondern auch für Incident- und Problem-Analysen. Fünftens muss menschliche Aufsicht operativ beschrieben sein, also nicht nur als Satz in einer Richtlinie, sondern mit echten Eskalations- und Abschaltwegen. Sechstens gehören KI-Änderungen in den regulären Change- und Release-Prozess, inklusive Testtiefe, Freigabe und Rückfalloption.
Wenn diese Artefakte fehlen, wird die Zertifizierungsdiskussion schnell zur Fassade. Wenn sie vorhanden sind, wird die Zertifizierung deutlich einfacher und vor allem nützlicher.
Viertens: Der AI Act erhöht den Druck auf nachweisbare Steuerung, ersetzt aber keine gute Service-Governance
Die europäische KI-Regulierung macht das Thema zusätzlich konkret. Die EU-Kommission beschreibt den AI Act ausdrücklich risikobasiert. Verbotene Praktiken gelten bereits seit Februar 2025. Für Hochrisiko- und Transparenzpflichten kommen weitere wirksame Anforderungen ab August 2026 beziehungsweise August 2027 hinzu. Nicht jedes interne KI-Werkzeug fällt automatisch in diese strengsten Kategorien. Trotzdem verändert der AI Act schon jetzt die Erwartungshaltung von Einkauf, Revision, Datenschutz und Management.
In der Praxis heißt das: Auch dort, wo keine formale Hochrisiko-Einstufung vorliegt, wächst der Bedarf an nachvollziehbaren Entscheidungen, Dokumentation, Aufsicht und Traceability. Eine ISO/IEC-42001-Zertifizierung ist kein Ersatz für juristische Einordnung, aber sie kann helfen, genau diese Steuerungsfähigkeit systematisch aufzubauen und nach außen glaubwürdig zu belegen.
Für Service-Organisationen ist dabei wichtig, den Rechtsblick nicht vom Betrieb zu trennen. Ein sauberer KI-Rahmen muss in Servicekatalog, Supplier Management, Incident Handling, Knowledge Management und Continual Improvement hineinwirken. Sonst bleibt Governance auf Papier und scheitert im Tagesgeschäft.
Fünftens: Der sinnvollste Einstieg ist selten das Sofort-Audit, sondern ein gestufter Pfad
Wer heute ernsthaft prüft, ob sich ISO/IEC 42001 lohnt, sollte nicht mit der Zertifizierungsstelle anfangen, sondern mit einem internen Baseline-Programm. Bewährt hat sich ein gestufter Weg über etwa drei Phasen.
Phase eins ist Transparenz: KI-Inventar erstellen, bestehende Use Cases priorisieren, Lieferantenlage aufnehmen und erste Governance-Lücken markieren. Phase zwei ist Betriebsfähigkeit: Rollenmodell, Risiko-Workflow, Freigaben, Logging, Incident- und Change-Anbindung, Trainingsbedarf und Dokumentationspflichten festziehen. Phase drei ist Nachweisfähigkeit: interne Audits, Managementbewertung, Korrekturmaßnahmen und erst dann die Entscheidung über eine externe Zertifizierung.
Personenzertifizierungen können diesen Weg sinnvoll unterstützen, aber gezielt. Meist braucht nicht das ganze Haus ein Zertifikat, sondern ein kleines Kernteam aus Governance-, Security-, Risk-, Service- und Audit-Rollen, das die Sprache der Norm sicher beherrscht. Für den Rest zählt weniger das Abzeichen als die Fähigkeit, die vereinbarten Kontrollen im Alltag tatsächlich zu leben.
Fazit
ISO/IEC 42001 ist für IT- und Service-Organisationen dann besonders wertvoll, wenn KI nicht mehr nur experimentell genutzt wird, sondern produktive Services, mehrere Lieferanten, sensible Daten oder auditrelevante Entscheidungen berührt. In solchen Umgebungen schafft der Zertifizierungsweg keinen Selbstzweck, sondern Ordnung: klare Rollen, nachvollziehbare Risiken, verbindliche Freigaben und belastbare Nachweise.
Wo KI dagegen noch in wenigen, klar begrenzten Piloten steckt, ist eine sofortige Zertifizierung oft zu früh. Dort ist der bessere erste Schritt ein sauberer Governance-Baseline-Aufbau. Die entscheidende Frage lautet also nicht, ob ISO/IEC 42001 modern klingt. Sie lautet, ob die eigene Organisation bereits genug KI im Betrieb hat, dass informelle Steuerung erkennbar zu schwach geworden ist. Wenn die Antwort darauf ja ist, wird aus Zertifizierung schnell ein handfester Betriebshebel.
