top of page

Fake Compliance?

  • 1 day ago
  • 3 min read

Updated: 10 hours ago

Compliance soll einfacher werden! Vielfach hören wir derzeit diesen Wunsch nach Geschwindigkeit und Kostensenkung, ein ISMS muss binnen Wochen implementiert werden, die NIS2 soll am besten morgen inkl. Nachweisen umgesetzt sein. Und es soll am besten wenig kosten und wenig internen oder externen Aufwand verursachen. Soweit der Wunsch.


Der Ruf nach kostensenkender KI und einem ISMS "auf Knopfdruck" ist verständlich, stehen viele Organisationen doch unter Kostendruck und Zeitmangel.


Aber Fakt ist: Auf dem Papier ist vieles möglich! Aber ist dies dann real implementiert oder nicht nur eine eine Checkbox, die befüllt wurde? Und wo kann KI noch mehr helfen?


Vorwürfe


Ideen für die Nutzung von KI in der Compliance gibt es bei vielen Anbietern, einer davon ist "Delve", der sich gerade mit Vorwürfen konfrontiert sieht. Das US-KI-Compliance-Startup hat das Ziel, Compliance mit KI schneller und einfacher herbeizuführen. In der Finanzierungsrunde der Serie A wurde es mit 300 Millionen US-Dollar bewertet. Es geht also um eine Menge Geld.


Nun wird geprüft, ob mit Hilfe der KI die Compliance-Daten für seine Kunden gefälscht wurden.


Delve bietet derzeit keine Demos an und Finanzzusagen sind (Gerüchten zufolge) aufgrund von Vorwürfen wegen „falscher Compliance“ zurückgezogen.


Wenn die Vorwürfe auch nur teilweise stimmen, die gegen das Unternehmen und deren Netzwerk von Prüfern erhoben werden, ist das ein starkes Stück und wird vermutlich im Desaster enden.


Konkret wirft eine Gruppe ehemaliger Kunden der Firma vor, dass die KI‑gestützte Compliance‑Automatisierung genutzt wurde, um „scheinbare“ Konformität zu erzeugen – bis hin zu vorgefertigten Auditberichten und Nachweisen für Prüfungen, die real nie erbracht wurden.


Dies könnte für Risiken bei den Anwendern führen, die somit nicht mehr compliant sind, was in der Kette zu Risiken bei Kunden, Lieferanten und Behörden führen kann oder bei Schäden ggf. mit Versicherungen zu Konflikten führen würde.


Da die Vorwürfe für "Delve" derzeit nicht abschließend geklärt sind, gilt die Unschuldsvermutung, daher muss man vorsichtig sein.


Das alles ist ein gutes Lehrbeispiel dafür, wie KI Compliance massiv unterstützen – oder massiv untergraben – kann. Der Fall zeigt eindrücklich, wie nah Nutzen und Risiko bei KI-gestützter Compliance beieinanderliegen.


Aber sind wir realistisch:

  • Die KI kann nicht für Fehler (Verständnis der Notwendigkeiten fehlt) oder Absicht (Zeit, Kosten) der Anwender oder Berater oder Prüfer haftbar gemacht werden, wenn die KI diverse Dokumente oder Nachweise generiert und die o.g. Personenkreise die vorgeschlagenen Reports ohne Kontrollen übernehmen

  • Betrug oder "Kreativität" bei Audits ist nichts Neues

  • Das Generieren falscher Dokumente für Compliance-Prüfungen ist immer möglich, aber ist heute dank KI so schnell und einfach wie nie zuvor und vermeintlich glaubwürdig (zumindest bis zur Prüfung).

  • Die KI gibt keine deterministischen Ergebnisse, sondern die Ausgaben basieren auf intelligenter Nutzung von Lerninhalten und Wahrscheinlichkeiten. Die KI kann auch einem BIAS unterliegen oder schlicht Falschaussagen treffen. Eine manuelle Prüfung der Ergebnisse (Stichproben oder vollinhaltlich) ist daher immer erforderlich! Sie zeigt keine realen Fakten, sondern die "wahrscheinlichsten" Fakten.


Aber es ist klar: Compliance kann simuliert werden – Sicherheit nicht.


Das vermeintlich schnell und einfach erstellte Dokumentenset, Nachweise sowie Daten müssen der Wahrheit entsprechen und dürfen kein Märchen erzählen.


Vor- und Nachteile


Die zwei Seiten von KI in der Compliance sind offensichtlich, denn richtig eingesetzt, verbessert KI die Compliance-Arbeit erheblich durch schnelle Sammlung und Aufbereitung von Dokumenten sowie durch Entlastung von manuellen, repetitiven Aufgaben


Der Fall zeigt auch die Schattenseite:

  • vorgefertigte „Beweise“ statt realer Umsetzung sind schnell und einfach erstellt

  • scheinbar vollständige Kontrollsysteme sind auf Knopfdruck erstellbar, sehen gut aus, sind aber ohne Substanz

  • automatisierte Auditberichte liegen vor, aber es gibt keine echte Prüfung

  • es wird eine trügerische Sicherheit für Unternehmen und Kunden erzeugt


Im Ergebnis führt das zu einem Compliance-Theater statt zu echter Sicherheit. Die zentrale - und nicht neue - Erkenntnis ist, daß Compliance kein Dokument ist, sie muss gelebt werden in der Praxis. Ein ISMS, ein Audit oder ein Zertifikat haben nur dann Wert, wenn:


  • Maßnahmen tatsächlich umgesetzt sind

  • Kontrollen real funktionieren

  • Nachweise auf echten Aktivitäten basieren

  • Sicherheit real verbessert wird

  • Menschliche Kontrolle stattfindet


Das Ziel der Compliance ist nicht, eine Checkbox zu erfüllen – sondern Risiken wirksam zu steuern.


Die Auditoren, das Management und die Fachbereiche bleiben in der Pflicht. Die mit der KI schneller und einfacher umsetzbare Automatisierung kann helfen, aber kann die Umsetzung nicht ersetzen. Kontrollen sind somit wichtiger als je zuvor!


So entsteht aus Compliance echte Informationssicherheit und Vertrauen!


Wir bieten mit www.enterpriseos.de ein ISMS für die effiziente Umsetzung: Mit Automatisierungen, aber ohne Fake-Dokumente!


So entsteht aus Compliance echte Informationssicherheit und Vertrauen!


REAL COMPLIANCE WITH REAL PEOPLE


 
 
bottom of page