Dedizierte KI-Governance vs. interne Lösungen

Jede Organisation, die KI einsetzt, steht irgendwann an derselben Weggabelung: Governance selbst entwickeln oder eine zweckgebaute Plattform kaufen. Als Team hinter VerifyWise, einer Governance-Plattform mit einsehbarem Quellcode, haben wir mit Organisationen zusammengesessen, die beides abgewogen haben, und gesehen, wo jeder Weg funktioniert und wo er auseinanderfällt. Selbst bauen wirkt zunächst reizvoll. Wer kennt Ihre Organisation schließlich besser als Sie?

Der Haken: KI-Governance ist kompliziert und ständig in Bewegung. Sie zieht regulatorische Rahmenwerke, etablierte Vorgehensweisen, das Risiko über ein ganzes Portfolio von Modellen hinweg und einen stetigen Strom von Regeländerungen mit sich, mit denen Sie Schritt halten müssen. Das ist ein anderes Kompetenzprofil, als eine gewöhnliche interne App auszuliefern.

Hier die Argumente, warum eine dedizierte Plattform den Eigenbau meist schlägt.

Die verborgene Komplexität des Eigenbaus

Wenn Teams über einen Eigenbau nachdenken, klingen die ersten Schätzungen oft vernünftig. Eine Datenbank, um KI-Modelle zu verfolgen, ein paar Formulare für Risikobewertungen, ein, zwei Dashboards. Ein paar Monate Entwicklungsarbeit, oder?

Genau hier wird der Umfang unterschätzt. KI-Governance ist weniger eine Anwendung als ein Geflecht aus verbundenen Prozessen, Compliance-Anforderungen und Menschen, die alle Unterschiedliches davon brauchen. Sie wollen Rahmen für die Risikobewertung, die zur EU-KI-Verordnung und zu ISO 42001 passen, Prüfprotokolle, die detailliert genug sind, um eine Aufsichtsbehörde zufriedenzustellen, und Arbeitsabläufe, die Rechts-, Technik- und Geschäftsteams zugleich erreichen.

Von da an summiert sich die Komplexität. Ein einfaches Tracking-System muss bald mit Ihrem MLOps-Stack, Ihren Data-Governance-Tools und dem Rest Ihrer Unternehmenssysteme sprechen. Dazu kommen Reporting für interne Teams, externe Prüfer und Aufsichtsbehörden, dazu rollenbasierte Zugriffe, automatische Benachrichtigungen, Compliance-Vorlagen, die aktuell bleiben, während sich die Regeln ändern, und genug Reserve, um mit Ihrem KI-Programm mitzuwachsen.

Dann ist da die Wissenslücke. Gute Governance-Werkzeuge brauchen tiefes Wissen über KI und regulatorische Compliance zugleich, und Menschen, die beides wirklich mitbringen, sind selten. Ihre Ingenieurinnen und Ingenieure mögen hervorragende Software bauen, aber kennen sie die Grenzfälle der Risikoeinstufung nach der EU-KI-Verordnung? Können sie die nächste regulatorische Änderung kommen sehen und Spielraum dafür einbauen, bevor sie eintrifft?

Die Last der Wartung

Eine erste Version erfolgreich zu bauen, ist erst der Anfang. Sie haben sich zu einer Wartung verpflichtet, die über Jahre Ressourcen verschlingt.

KI-Governance steht nicht still. Die EU-KI-Verordnung wird stufenweise eingeführt, neue Leitlinien kommen regelmäßig hinzu, die ISO ergänzt laufend Standards, immer mehr Länder verabschieden eigene KI-Gesetze, und die Vorgehensweisen, die alle für sinnvoll halten, verschieben sich, sobald Organisationen herausfinden, was tatsächlich funktioniert.

Jede dieser Änderungen landet bei Ihrem Team. Eine regulatorische Aktualisierung bedeutet, die neuen Anforderungen zu lesen, sie einzubauen und sicherzustellen, dass nichts anderes kaputtgegangen ist. Ein neuer KI-Anwendungsfall bringt vielleicht neue Funktionen mit sich, ein neues Anbietertool eine weitere zu pflegende Integration, und jede Sicherheitslücke eine neue Runde Patches.

Wer pflegt das alles? Ihr Entwicklungsteam hat vermutlich einen Rückstau geschäftskritischer Funktionen für umsatzbringende Produkte. Entwickler von dieser Arbeit abzuziehen, erzeugt ständige Spannung.

Ein häufiges Szenario: Die ursprünglichen Entwickler wechseln in andere Rollen oder Unternehmen. Neue Entwickler müssen sich in eine eigene Codebasis mit lückenhafter Dokumentation einarbeiten. Technische Schulden häufen sich an. Das System wird schwerer zu ändern. Irgendwann bauen Sie große Teile neu, nur um Funktionen zu ergänzen, die eine zweckgebaute Plattform vom ersten Tag an mitgebracht hätte.

Spezialisiertes Fachwissen lässt sich intern schwer aufbauen

Eine zweckgebaute Plattform bringt etwas mit, das sich intern wirklich schwer nachbilden lässt: Fachwissen, das über Hunderte oder Tausende von Implementierungen gewachsen ist. Die Teams hinter diesen Plattformen verstehen Software, verbringen ihre Tage aber auch mitten in der KI-Governance selbst.

Sie sitzen Aufsichtsbehörden gegenüber, arbeiten in Normungsgremien mit und erkennen Muster über Branchen hinweg, auf die kein einzelnes Unternehmen je stößt. Wenn die EU-KI-Verordnung also eine neue Anforderung an die technische Dokumentation einführt, war dieses Team oft bei der Diskussion mit im Raum und weiß bereits, wie sich das umsetzen lässt.

Dieses Fachwissen spüren Sie in kleinen, praktischen Dingen. Die Vorlagen für die Risikobewertung sind keine generischen Formulare, sondern Rahmen, die im echten Einsatz erprobt wurden. Die Compliance-Abläufe bilden ab, wie Organisationen Governance tatsächlich im Alltag handhaben. Und das Reporting liefert Prüfern und Aufsichtsbehörden genau das, wonach sie fragen, statt einer groben Annäherung.

Nehmen Sie die Risikoeinstufung nach der EU-KI-Verordnung. Ein Eigenbau deckt vielleicht die Grundkategorien ab: unannehmbar, hoch, begrenzt und minimal. Eine spezialisierte Plattform bewältigt die unübersichtlichere Realität darunter, die Grenzfälle und branchenspezifischen Eigenheiten, und weiß, wie sie jede Entscheidung so dokumentiert, dass sie einer regulatorischen Prüfung standhält. Sie kann außerdem Dinge wie die Erkennung von Schatten-KI leisten und unautorisierte KI-Tools im ganzen Unternehmen aufspüren, was ein internes Team von Grund auf entwickeln müsste.

Vom Pilotprojekt zum Unternehmenseinsatz skalieren

Die meisten Organisationen fangen klein an und verfolgen eine Handvoll Modelle oder Pilotprojekte. So bleibt KI-Einführung selten. Ein Aufbau, der für zehn Modelle taugt, beginnt bei ein paar Hundert zu ächzen, und etwas, das für eine Abteilung gebaut wurde, wird unhandlich, sobald es ein weltweites Unternehmen bedienen muss.

Eine zweckgebaute Plattform ist von Anfang an für dieses Wachstum ausgelegt, gebaut für die Datenmengen, Nutzerzahlen und die generelle Unübersichtlichkeit, die mit KI auf Unternehmensebene einhergehen. Die Probleme bei Leistung, Datenverwaltung und Nutzererfahrung, die bei Skalierung auftauchen, sind meist bereits gelöst.

Sie wächst auch in der Tiefe, nicht nur in der Größe. Während Ihr KI-Programm reift, brauchen Sie anspruchsvollere Risikomodellierung, Integrationen mit neueren MLOps-Tools und Unterstützung für Vorschriften, die es letztes Jahr noch nicht gab. Eine Plattform, die Tausende von Organisationen bedient, hat das meist schon gebaut, weil ein anderer Kunde den Bedarf zuerst hatte.

Intern wird jeder dieser Punkte zu seinem eigenen kleinen Projekt. Die Ausweitung auf Regionen mit anderen Regeln ist ein Projekt. Die Unterstützung eines neuen KI-Systemtyps ein weiteres. Ein neues Anbietertool anzubinden ein drittes. Keines davon ist für sich genommen riesig, aber sie hören nie wirklich auf.

Mit sich ändernden Regeln Schritt halten

Ein Szenario, das Governance-Verantwortliche nachts wachhält: Sie haben viel Zeit und Geld in ein internes System gesteckt. Sechs Monate später bringen neue Vorschriften Anforderungen, für die Ihr System nicht ausgelegt war. Nun steht ein dringender Umbau an, während die Compliance weiterlaufen muss.

Das passiert Organisationen, während sich die KI-Vorschriften weiterentwickeln. Die EU-KI-Verordnung hat mehrere Überarbeitungen durchlaufen, technische Standards werden noch erarbeitet. Andere Rechtsräume führen eigene Anforderungen ein. Internationale Standards entstehen.

Genau diese ständige Bewegung zu bewältigen, ist der ganze Sinn einer dedizierten Plattform. Wenn sich die Regeln ändern, aktualisiert der Anbieter das System für alle Kunden zugleich, sodass nicht Sie die neuen Anforderungen entschlüsseln und in aller Eile umsetzen müssen. Die Aktualisierungen tragen die juristische und technische Auslegung bereits in sich.

Es geht nicht nur um Regulierung. Auch die Praxis der KI-Governance bewegt sich rasch weiter, immer wieder tauchen neue Wege auf, Risiko zu bewerten, Verzerrungen zu erkennen und Modellentscheidungen zu erklären. Eine dedizierte Plattform nimmt diese auf, sobald sie ausgereift sind. Ein internes System braucht immer wieder neue Investitionen, nur um auf gleichem Stand zu bleiben.

Über Teams hinweg arbeiten

KI-Governance ist von Natur aus funktionsübergreifend. Die Rechtsabteilung prüft Compliance, die Technik setzt die Kontrollen um, die Geschäftsseite wägt das Risiko ab und entscheidet, die Führung will Überblick und Prüfer wollen Dokumentation. Jede dieser Gruppen geht es mit anderen Bedürfnissen und anderem Fachwissen an.

Eine zweckgebaute Plattform ist genau darum herum gestaltet, mit Oberflächen und Abläufen, die auf die jeweilige Rolle zugeschnitten sind. Eine Data Scientist dokumentiert das technische Detail in einer Sprache, die ihr vertraut ist. Eine Juristin prüft es durch die Compliance-Brille, ohne der Umsetzung folgen zu müssen. Eine Führungskraft sieht das Risiko auf Portfolioebene, ohne im darunterliegenden Detail unterzugehen.

Der Gewinn ist eine gemeinsame Sprache über Teams hinweg, die sonst meist nicht dieselbe sprechen. Die Plattform wird zur einen Aufzeichnung, auf die alle verweisen, statt verstreuter Tabellen und dem, was in den Köpfen der Leute steckt. Benachrichtigungen holen die richtigen Personen im richtigen Moment hinzu, und Freigabe-Abläufe halten den Prozess in Bewegung, ohne zum Engpass zu werden.

So etwas an rollenbasierter Zusammenarbeit intern aufzubauen, ist ein ernstes Unterfangen. An diesem Punkt bauen Sie im Grunde ein Werkzeug für unternehmensweite Zusammenarbeit, keinen Tracker.

Die tatsächlichen Gesamtkosten

Auf dem Papier wirkt der Eigenbau oft günstiger. Sie bezahlen Entwickler, die Sie ohnehin haben, sparen sich ein Abonnement und besitzen das Ergebnis vollständig. Das Problem: Diese Rechnung lässt die meisten echten Kosten weg.

Die Entwicklung ist nur der Anfang. Da sind die Opportunitätskosten dieser Entwickler, die Governance-Werkzeuge bauen statt der Produkte, die Umsatz bringen. Da ist die laufende Wartung, die meist weit mehr Zeit frisst als der ursprüngliche Bau. Und da ist das Fachwissen selbst, ob Sie es intern aufbauen oder Spezialisten einstellen, um es hereinzuholen.

Dann kommen die Kosten, die sich kaum beziffern lassen. Was kostet es Sie, eine Funktion zu verpassen, die einen Compliance-Verstoß abgefangen hätte? Einen KI-Start zu verschieben, weil die Governance-Seite nicht bereit war? Führungszeit damit zu verbringen, ein eigenes Softwareprojekt zu hüten?

Eine Plattform verwandelt diese variablen, unvorhersehbaren Kosten in ein planbares Abonnement. Sie zahlen zwar eine laufende Gebühr, bekommen dafür aber fortlaufende Aktualisierungen, echten Support, verlässliche Verfügbarkeit und Spielraum zum Skalieren, ohne für einen Neubau zu zahlen.

Über drei bis fünf Jahre wird das Bild meist klar. Die anfänglichen Einsparungen aus dem Eigenbau werden von Wartung, Aktualisierungen und dem gelegentlichen Neubau aufgezehrt, während die Plattformkosten stabil bleiben und der Nutzen weiter steigt, sobald neue Fähigkeiten dazukommen.

In Ihren bestehenden Stack einfügen

Kein Governance-System steht für sich allein. Es muss sich mit Ihren MLOps-Plattformen, Data-Governance-Tools, Unternehmenssystemen und der Sicherheitsinfrastruktur verbinden. Ob diese Verbindungen gut funktionieren, entscheidet oft darüber, ob das System echten Nutzen bringt oder nur ein weiterer Ort ist, an dem man Daten abtippt.

Eine zweckgebaute Plattform liefert Integrationen für die gängigen Unternehmenstools und dokumentierte APIs für den Rest, und die heiklen Teile (Authentifizierung, Datenzuordnung, das Synchronhalten) sind bereits gelöst. Standardprotokolle machen das Meiste unkompliziert.

Das selbst zu tun, ist ein echter Kraftakt. Jeder Verbindungspunkt muss entworfen, gebaut, getestet und anschließend gepflegt werden. Ändert sich ein externes System, muss sich Ihre Integration mit ihm ändern, und jedes neue Tool, das Sie einführen, ist eine weitere Integration, die geschrieben werden will. Sich selbst überlassen, kann diese Integrationsschicht so komplex werden wie die Anwendung, an die sie geschraubt ist.

Die Entscheidung treffen

Wann ergibt der Eigenbau also tatsächlich Sinn? Wenn Sie eine große Organisation mit wirklich ungewöhnlichen Anforderungen sind, die keine Plattform erfüllen kann, wenn Sie überschüssige Entwicklungskapazität haben und wenn Governance selbst ein Teil dessen ist, was Sie auszeichnet, dann kann der Eigenbau die richtige Wahl sein.

Für die meisten Organisationen gewinnt aber die Plattform. Die Arbeit ist schwieriger, als sie zu Beginn aussieht, die Wartung endet nie wirklich, das Feld bewegt sich ständig weiter, und über die Zeit spricht die Gesamtkostenrechnung meist fürs Kaufen. Entwicklungszeit ist fast immer besser in Ihr Kernprodukt investiert als in den Nachbau von etwas, das es bereits gibt.

Die Frage ist nicht, ob Sie eine KI-Governance-Lösung bauen könnten (natürlich könnten Sie, genug Zeit und Ressourcen vorausgesetzt). Die Frage ist, ob Sie es sollten, angesichts der Alternativen und Opportunitätskosten. Wenn KI-Governance eine Wettbewerbsnotwendigkeit und regulatorische Anforderung ist, zählen Umsetzungstempo und Compliance-Sicherheit oft mehr als theoretische Einsparungen.

Wie Sie entscheiden

Nutzen Sie diesen Entscheidungsrahmen, um den passenden Weg für Ihre Organisation zu bestimmen:

• Bauen Sie intern, wenn Sie ein eigenes Governance-Engineering-Team haben, Ihre regulatorischen Anforderungen eng und stabil sind und Sie bereit sind, das System langfristig zu pflegen, während sich die Vorschriften weiterentwickeln.
• Nutzen Sie eine dedizierte Plattform, wenn Sie mehrere Rahmenwerke abdecken müssen (EU-KI-Verordnung, ISO 42001, NIST AI RMF), Ihr KI-Portfolio wächst oder Sie keine Entwicklungsressourcen von Ihrem Kernprodukt abziehen wollen.
• Starten Sie mit einer Plattform und passen Sie sie dann an, wenn Sie bei der Compliance jetzt schnell sein müssen, aber damit rechnen, dass mit der Reife Ihres KI-Programms eigene Governance-Anforderungen entstehen.

Welchen Weg Sie auch wählen, der Aufwand für Governance-Prozesse, Schulung des Teams und Unternehmenskultur bleibt derselbe. Bei der Plattformentscheidung geht es darum, wofür Sie Entwicklungszeit aufwenden: für Governance-Infrastruktur oder für die KI-Systeme, die Ihr Geschäft antreiben.