Vier brandenburgische Kommunen – Hoppegarten, Hohen Neuendorf, Lübben und das Amt Falkenberg-Höhe – sind aktuell von Cyberangriffen betroffen. Verwaltungsvorgänge stocken, Kommunikation fällt aus, Notbetrieb wird zur Realität. Am Flughafen Berlin Brandenburg (BER) kam es im September 2025 zu spürbaren Störungen bei Check-in, Boarding sowie Gepäckabfertigung, weil ein externer IT-/Systemanbieter nach einem Ransomware-Angriff beeinträchtigt war. Passagierdaten mussten teils manuell verarbeitet werden, Wartezeiten und Verspätungen waren die Folge. Genau hier setzt ein aktueller Beitrag von Scherer/Pothorn an: IT- und KI-Governance ist kein Technikthema "für die IT", sondern eine Führungs- und Compliance-Aufgabe – integriert, überprüfbar und wirksam im Betrieb.
Standards sind hilfreich – aber nicht der Maßstab der Haftung
Ein zentraler Punkt des Textes: Es gibt keine generelle Pflicht, IT-Governance strikt "nach ISO" zu betreiben. Gleichzeitig kann es zur Pflichtverletzung werden, Risiko-, Compliance- und Kontrollsysteme nicht angemessen einzurichten – weil Gerichte und Gesetzgebung eine wirksame Organisation erwarten. Umgekehrt können implementierte Compliance- bzw. interne Kontrollsysteme in der Rechtsprechung enthaftend wirken. Die Kernaussage dahinter ist unbequem, aber praktisch: Ob etwas "richtig" war, entscheidet am Ende nicht das Zertifikat, sondern die "letzte Instanz" – die Judikative.
Der Druck steigt: NIS2, DORA, KI-Verordnung – und "Stand der Technik"
Der Beitrag verortet IT-/KI-Governance klar im Spannungsfeld aus Cyberbedrohungslage und Regulierungsdichte. Besonders betont wird: Pflichten ergeben sich nicht nur aus Gesetzen, sondern auch aus "anerkannten Regeln der Technik" und dem "Stand der Technik". Für regulierte Organisationen (z. B. Kritische Infrastrukturen oder NIS2-/DORA-relevante Unternehmen) wird Governance praktisch zur Betriebserlaubnis: Risiken für Netz- und Informationssysteme müssen beherrscht, Maßnahmen verhältnismäßig ausgestaltet und ausdrücklich am Stand der Technik ausgerichtet werden.
Inseln verbinden: Warum "integriert" mehr ist als ein Organigramm
Scherer/Pothorn argumentieren gegen die verbreitete Praxis, getrennte "Insel-Systeme" zu betreiben: ISMS hier, BCM dort, KI-Projekt irgendwo im Fachbereich. Stattdessen schlagen sie eine integrierte Klammer vor – mit Governance als Dach und Compliance als Fundament. Praktisch bedeutet das: ISO 37000 (Governance), ISO/IEC 38500 (IT-Governance), ISO/IEC 42001 (KI-Management), ISO 27001 (ISMS), ISO 22301 (BCMS) und ISO 37301 (CMS) werden nicht als Konkurrenz gelesen, sondern als Bausteine eines Gesamtmodells.
Rechtskataster: Compliance, die nicht nur "gesammelt", sondern betrieben wird
Ein besonders operativer Vorschlag ist das prozessbezogene, risikobewertete Rechtskataster: Anforderungen sollen identifiziert, übersetzt, in Prozesse eingebaut und aktuell gehalten werden – idealerweise toolgestützt und revisionssicher. Wichtig ist dabei der Realismus des Beitrags: IT- und KI-Compliance ist mehr als NIS2 und KI-Verordnung. Konflikte zwischen Datenschutz, Urheberrecht, gewerblichem Rechtsschutz, Product-Compliance und KI-Anforderungen können den rechtssicheren KI-Einsatz aushebeln – selbst wenn "Security" sauber aussieht.
Three Lines of Defense – und der blinde Fleck "IT"
Der Text betont, dass Lines-of-Defense-Strukturen (IKS, Risiko- und Compliance-Management, Revision/Prüfung) die IT- und KI-Governance umfassen müssen, unabhängig davon, ob ein Standard das explizit nennt. Das ist mehr als Theorie: Outsourcing, Cloud, Lieferketten und Dienstleister verschieben Risiken nach außen – Verantwortlichkeit aber bleibt innen. Entsprechend fordert der Beitrag klare Delegation, Überwachung, Dokumentation und Kontrollmechanismen, auch bei ausgelagerten Leistungen.
"Tone from the Top": Governance ist Kultur
Die Autoren legen ungewöhnlich viel Gewicht auf Führung: Ohne Vorbildfunktion von Geschäftsleitung, Aufsicht und Führungskräften bleibt jedes System ein Papiertiger. "Gelebtwerden" ist die harte Währung, gerade bei IT- und KI-Regeln, die im Alltag schnell "zu langsam" wirken. Dazu passt der zweite Führungsaspekt: Die Organisation braucht eine bewusst gesetzte "Strategie" (z. B. "Stand der Technik", "best in class", risikoavers/risikoaffin), damit Beschäftigte Orientierung haben – und Entscheidungen nicht nur situativ, sondern nachvollziehbar fallen.
Fazit: Der nächste Vorfall kommt – die Frage ist, ob er "nur" ein Incident bleibt
Der Text plädiert nicht für noch mehr Dokumente, sondern für ein integriertes System, das Pflichten, Standards, Prozesse, Rollen und Kontrollen zusammenführt – inklusive Rechtskataster, Auditfragen und operativer Verankerung. Und er trifft einen Nerv: Wenn Kommunen oder Unternehmen nach einem Angriff Wochen brauchen, um wieder arbeitsfähig zu werden, ist das selten ein reines Technikproblem. Meist ist es ein Governance-Problem – eines, das lange vor dem Vorfall entschieden wurde.
