Wenn die KI-Blase platzt

Keine Sorge, wir wollen uns heute nicht als Anlageberater versuchen, sondern mit Blick auf die wirtschaftliche Situation das Risiko einer platzenden KI-Blase aus unserer üblichen Informationssicherheitsperspektive betrachten. Denn gehen wir hier vom Worst Case aus: Genau der KI-Dienst, den Sie integriert haben, ist für Sie nicht mehr nutzbar. Sei es nun durch das plötzliche Platzen der KI-Blase und einer schlagartigen Insolvenz oder aus anderen Gründen, die sich etwas schleichender ankündigen. Denkbar wäre, dass der Dienst von einem fragwürdigen Investor aufgekauft wird und die Verarbeitung von Unternehmensdaten dadurch problematisch erscheint, oder dass sich das Angebot in einem solchen Maße ändert, dass es für Sie unattraktiv wird. Was passiert dann?

Es sind verschiedene Auswirkungen möglich, z.B.:

1. Der KI-Dienst war essenziell für die Erfüllung eines Prozesses notwendig. Ohne ihn kommt dieser Prozess zum Erliegen, und unter Umständen gibt es Auswirkungen auf weitere Prozesse.
2. Der KI-Anbieter strukturiert sich um, und beim KI-Dienst kommt es zu einer signifikant anderen, schlechteren Funktionsweise.
3. Der KI-Dienst wurde als Wissensdatenbank genutzt, diese wurde nach der Migration der Unternehmensdaten zu einem gewissen Zeitpunkt nur noch im KI-Dienst selbst weiter gepflegt. Ein lokales Backup gibt es vielleicht nicht.
4. Der KI-Dienst ist in Ihre lokale Infrastruktur integriert und benötigt für die Ausführung keine Cloud-Anbindung. Mit Beendigung des KI-Dienstes werden weder funktionale noch Sicherheitsupdates bereitgestellt, auch ein Support kann nicht mehr in Anspruch genommen werden.

In dem Moment, in dem Fall eins oder drei eintreffen, gibt es leider nicht mehr viel Handlungsspielraum, außer man ist durch Präventivmaßnahmen darauf vorbereitet. Und die meisten kennen wir innerhalb eines Informationssicherheitsmanagements bereits aus dem Umgang mit externen Diensten, u.a. Cloud-Diensten. Man spricht allgemein von einer Exit-Strategie, die einen normalen Wechsel zu einem anderen Anbieter genauso betrachtet und absichert, wie einen plötzlichen Ausstieg. Die Mehrheit der eingesetzten KI-Dienste sind gleichzeitig externe Cloud-Dienste, da die benötigte Rechenleistung, insbesondere bei mehreren eingesetzten Diensten, in den meisten Unternehmen nicht On-Premises realisiert werden kann.

Allem voran steht eine Risikoanalyse für den konkreten Dienst und den Einsatzzweck im eigenen Unternehmen. Wie sensibel und vertraulich sind die Daten, die darin genutzt und verarbeitet werden? Wie werden diese durch den KI-Anbieter geschützt? Nach welchen Sicherheitsrichtlinien arbeitet dieser? Werden Daten an Subunternehmer weitergegeben? Welche Prozesse nutzen den KI-Dienst? Wie wichtig sind diese Prozesse in der Wertschöpfungskette und wie hoch ist der Schaden, wenn sie ausfallen? An dieser Stelle ist nicht nur die Verfügbarkeit, sondern vor allem die Integrität der Daten in Bezug auf KI-Dienste wichtig. Dies sind nur einige Beispielfragen, die bei einer Risikobetrachtung gestellt werden sollten. Von besonderer Bedeutung ist dabei, dass die Risikoanalyse den jeweiligen Dienst und dessen Integration in die IT mit einer guten Kenntnis der Funktion und Rolle dieser KI betrachtet. Der Standard ISO 23894 [1] liefert ein Framework für Risikomanagement basierend auf der bekannten ISO 31000 [2], jedoch mit besonderem Blick auf Künstliche Intelligenz.

An dieser Stelle ist der zweite denkbare Fall zu betrachten, nämlich dass sich die Funktion eines KI-Dienstes plötzlich nicht mehr auf dem erwarteten Qualitätsniveau befindet. Ende letzten Jahres ist so ein Fall bei ChatGPT eingetreten: Das damals neue Modell GPT-5 war aus Benutzersicht unfreundlicher und weniger gründlich in seiner Beantwortung von Anfragen. Hier hat der Anbieter OpenAI schnell reagiert, zunächst zurückgerollt und zwischenzeitlich das neue Release angepasst. [3] In unserem Szenario wäre mit dieser Reaktion nicht zu rechnen, wenn sich das Unternehmen ggf. aus wirtschaftlichem Druck dermaßen umstrukturiert hat, dass eine Rückkehr zur vorherigen Leistung nicht mehr möglich ist. Zudem sind nicht alle in eine Unternehmensstruktur eingebundenen KI-Dienste LLMs, bei denen häufig eine direkte Mensch-KI-Kommunikation besteht und das Arbeitsergebnis dadurch kontrolliert wird. Gerade bei andern KI-Diensten ist eine Schlechtleistung ohne vorher festgelegte Kontrollmaßnahmen nicht sofort offensichtlich.

Aus der Risikoanalyse ergibt sich der konkrete Handlungsbedarf. Dieser muss schon vor Vertragsabschluss angegangen werden, um im Ernstfall vorbereitet zu sein. Dazu gehören in jedem Fall ein Backup-Konzept sowie die Klärung der entsprechenden Verantwortlichkeiten. Wo und in welcher Regelmäßigkeit werden Backups erstellt? Gibt es die Möglichkeit, eigene lokale Backups anzulegen? Darüber hinaus muss geklärt werden, wie die Daten später weitergenutzt werden können. Ist das Dateiformat durch andere Dienste nutzbar? Wie aufwändig ist eine Migration? Denn selbst das beste Backup nutzt nichts, wenn Dateien und Informationen, die als vertraulich und notwendigerweise verfügbar eingeschätzt wurden, anschließend nicht mehr nutzbar sind. Gerade hierbei sind KI-Aspekte zu berücksichtigen, denn ein vergleichsweise spätes Einspielen eines Backups kann aufgrund veralteter Strukturen die Funktion einer KI einschränken oder sie sogar untauglich machen.  Wurden beispielsweise zwischenzeitlich die Gewichte der KI verändert, kann dies Auswirkungen auf die Ergebnisse haben, die die KI auf Basis des wiederhergestellten Backups erzeugt. Zudem sollte vertraglich festgehalten werden, dass im Falle eines Wechsels der Funktionalität oder eines sinkenden Sicherheitsniveaus eine außerordentliche Kündigung möglich ist. Auch an dieser Stelle werden sich mehr Maßnahmen und Anforderungen ergeben, wenn der konkrete Dienst und der Einsatzweck betrachtet werden.

Gehen wir noch auf den vierten genannten Fall ein, der auch durch die getroffenen Präventivmaßnahmen behandelt werden sollte. Hier besteht allerdings der Vorteil, dass die Daten weiterhin in der eigenen Hoheit liegen. Eine Migration zu einem neuen Dienst kann in einer Übergangsphase geschehen, in der das Risiko fehlender Sicherheitsupdates akzeptiert wird.

Fazit

All diese Maßnahmen, sowohl präventiv als auch reaktiv, können zusammengefasst werden bzw. sollten in einem KI-Management(-system) erfasst werden. Denn ja, theoretisch können z. B. die Bereiche Risikomanagement, Informationssicherheit oder Business Continuity Management bzw. Notfallmanagement diese Betrachtung, Maßnahmenfindung und Überprüfung übernehmen. Unsere Kollegen Dr. Kathrin Stollenwerk und Dr. Simon Hoff haben bereits in einem früheren Artikel erläutert, weshalb ein eigenes KI-Management bei der Vielzahl komplexer Prozesse rund um KI dennoch sinnvoll ist. [4]

Wir haben hier die Schnittpunkte zwischen einem Notfall- und Business Continuity Management zu Beschaffungsprozessen und einem Informationssicherheitsrisikomanagement beschrieben, die in einem ISMS an vielen Stellen bestehen, nicht nur bei der Einführung von KI-Diensten.

Verweise

[1] ISO/IEC 23894, “Information technology — Artificial intelligence — Guidance on risk management”, erstmals publiziert 2023.

[2] ISO 31000, „Risk management – Principles and guidelines”, derzeit aktuell in der zweiten Edition von 2018.

[3] „GPT-5 zu unfreundlich: OpenAI holt 4o zurück“, verfügbar unter https://www.heise.de/news/GPT-5-zu-unfreundlich-OpenAI-setzt-wieder-auf-4o-als-Standardmodell-10521904.html, sowie „GPT-5: Blindtest zeigt das eigentliche Problem hinter dem neuen Spitzenmodell“, verfügbar unter https://www.heise.de/news/GPT-5-Blindtest-zeigt-das-eigentliche-Problem-hinter-dem-neuen-Spitzenmodell-10621946.html, (Stand 08.05.2026)

[4] Dr. Simon Hoff, Maren Poppe, Dr. Kathrin Stollenwerk: „KI-Management in der IT“, 04.06.2025 (verfügbar unter https://www.comconsult.com/ki-management-in-der-it/).