Bildquelle: Bildquelle: Pexels / Foto-ID 3861969 / Person mit Code-Projektion als Motiv für KI-Prüfung, digitale Entscheidung und sichtbare Nachvollziehbarkeit / https://www.pexels.com/photo/3861969/
Eine KI-Funktion ist im IT-Betrieb nicht deshalb kontrolliert, weil sie einmal genehmigt wurde. Nach dem Go-live beginnt der schwierigere Teil: Der Betrieb muss sehen, wann ein Vorschlag entsteht, wer ihn nutzt, wo die Grenze liegt und wie eine falsche Antwort korrigiert wird.
KI im IT-Betrieb meint hier nicht nur große Automatisierungsprojekte. Es geht auch um Assistenzfunktionen im Service Desk, Zusammenfassungen von Tickets, Vorschläge für Wissensartikel, Priorisierung von Meldungen oder automatische Hinweise in Monitoring- und Workflow-Tools. Für ITSM-Generalisten ist die Kernfrage einfach: Hilft die KI bei einer Entscheidung, oder verschiebt sie Verantwortung in eine schwer prüfbare Blackbox?
Regelwerke wie das NIST AI Risk Management Framework, die Norm ISO/IEC 42001 und der europäische AI Act versuchen, genau diese Lücke zu schließen. Sie behandeln KI nicht als einmaliges Technikthema, sondern als Management-, Risiko- und Kontrollaufgabe. Für den Alltag heißt das: Eine Freigabe muss später noch zeigen können, welche Nutzung erlaubt war, welche Risiken bekannt waren und welche Aufsicht vorgesehen ist.
Der Go-live beantwortet nur die erste Frage
Vor der Einführung einer KI-Funktion wird meistens gefragt, ob das Tool grundsätzlich eingesetzt werden darf. Das ist notwendig, aber zu wenig. Im Betrieb verändert sich der Kontext. Neue Ticketarten tauchen auf, Wissensartikel altern, Zuständigkeiten wechseln, Modelle werden aktualisiert und Nutzer lernen, dem System zu viel oder zu wenig zu vertrauen.
Deshalb braucht eine KI-Freigabe einen lebenden Prüfpfad. Er muss nicht schwerfällig sein. Er muss aber dokumentieren, welche Aufgabe die KI übernimmt, welche Entscheidung beim Menschen bleibt, welche Daten genutzt werden dürfen und wann ein Ergebnis nicht direkt verwendet werden darf. Ohne diese Spur wird die spätere Fehlersuche schwierig. War die Antwort falsch, die Datengrundlage veraltet, die Freigabe zu breit oder die Nutzung außerhalb des gedachten Falls?
Prüfspur heißt nicht Misstrauen gegen jede Automatisierung
Eine sichtbare Prüfspur soll KI nicht ausbremsen. Sie schützt den Nutzen. Wenn Service-Desk-Mitarbeiter erkennen, warum ein Vorschlag angezeigt wurde und welche Quelle dahintersteht, können sie schneller entscheiden. Wenn Teamleiter sehen, welche Antworten häufig korrigiert werden, lässt sich die Wissensbasis verbessern. Wenn der Betrieb erkennt, bei welchen Fällen die KI unsicher wird, kann er klare Grenzen setzen.
Das NIST AI RMF betont Risiken wie Validität, Zuverlässigkeit, Sicherheit, Transparenz und Verantwortlichkeit. Diese Begriffe klingen groß, werden im ITSM-Alltag aber sehr konkret. Ein KI-Vorschlag für eine Passwortsperre braucht andere Kontrolle als eine Zusammenfassung eines langen Tickets. Eine automatische Priorität für eine Störung hat andere Folgen als ein Formulierungsvorschlag für eine interne Notiz. Die Prüfspur muss zu dieser Wirkung passen.
Die Verantwortung bleibt beim Prozess
Ein häufiger Fehler ist die Suche nach einem einzelnen KI-Besitzer. Natürlich braucht das Tool technische und fachliche Owner. Im Betrieb reicht das aber nicht. Jede KI-Funktion berührt einen Prozess: Incident Management, Request Fulfilment, Knowledge Management, Change Enablement oder Monitoring. Dort muss erkennbar sein, wo die KI im Ablauf sitzt und welche Rolle die letzte Entscheidung trägt.
Praktisch hilft eine einfache Matrix. Welche Aufgabe unterstützt die KI? Welche Daten darf sie sehen? Wer prüft das Ergebnis? Wann muss ein Mensch ausdrücklich zustimmen? Welche Fälle sind ausgeschlossen? Wo landen Korrekturen? Wie oft wird die Qualität kontrolliert? Diese Fragen sind leichter zu beantworten als eine abstrakte Grundsatzdebatte über künstliche Intelligenz. Sie machen aus einer Freigabe eine Betriebsregel.
Falsche Sicherheit entsteht durch stille Nutzung
Besonders riskant wird KI, wenn sie informell in bestehende Abläufe hineinrutscht. Ein Mitarbeiter kopiert Ticketinhalte in ein externes Tool. Ein Team nutzt eine Browsererweiterung für Antwortvorschläge. Ein Hersteller aktiviert eine Assistenzfunktion nach einem Update. Auf dem Papier wurde vielleicht keine große Automatisierung eingeführt. Im Alltag beeinflusst KI trotzdem Entscheidungen, Formulierungen oder Prioritäten.
Für ITSM-Verantwortliche ist deshalb nicht nur die zentrale Plattform relevant. Sie brauchen auch Sicht auf stille Nutzung und Anbieterfunktionen. Der AI Act beschreibt risikobasierte Pflichten für bestimmte KI-Systeme. ISO/IEC 42001 beschreibt ein Managementsystem für KI. Beides ersetzt keine operative Inventur. Im Betrieb muss klar sein, welche KI-Funktionen tatsächlich genutzt werden und welche Entscheidung sie berühren.
Ein schlanker Kontrollpunkt reicht oft für den Anfang
Der erste Schritt kann klein sein. Jede neue KI-Funktion bekommt einen Eintrag im Service- oder Toolinventar. Dort stehen Zweck, betroffener Prozess, Datentypen, Verantwortliche, menschliche Prüfung, bekannte Grenzen und Review-Termin. Zusätzlich braucht der Service Desk einen einfachen Weg, problematische Vorschläge zu markieren. Damit wird KI nicht nur eingeführt, sondern lernfähig betrieben.
Wichtig ist der Review nach echten Fällen. Welche Vorschläge wurden übernommen? Wo musste korrigiert werden? Welche Wissensartikel waren die Grundlage? Haben Nutzer die KI als Empfehlung verstanden oder als Entscheidung? Erst diese Rückkopplung zeigt, ob die Freigabe im Alltag trägt. Ohne sie bleibt der Go-live ein Verwaltungsakt.
KI-Betrieb ist Vertrauensarbeit mit Belegen
KI kann den IT-Betrieb schneller machen. Sie kann Tickets zusammenfassen, Routinen erleichtern und Wissen besser auffindbar machen. Vertrauen entsteht aber nicht durch die Behauptung, dass ein System freigegeben wurde. Vertrauen entsteht durch sichtbare Grenzen, nachvollziehbare Entscheidungen und korrigierbare Fehler.
Für ITSM-Generalisten liegt der praktische Kern darin, KI-Freigaben als Beginn eines Kontrollkreislaufs zu behandeln. Zweck klären, Daten begrenzen, menschliche Entscheidung festhalten, Korrekturweg schaffen, Nutzung regelmäßig prüfen. Dann bleibt KI im Betrieb ein Werkzeug mit Verantwortung und wird nicht zur unsichtbaren Autorität hinter Ticket, Antwort oder Priorität.
Quellen und Einordnung: NIST zum AI Risk Management Framework, ISO zu ISO/IEC 42001 als Managementsystem für KI, Europäische Kommission zum AI Act, OECD AI Principles, AXELOS zu ITIL 4 und KI. Stand der Quellenprüfung: 18.07.2026. Bildquelle: Pexels, Foto-ID 3861969.
