KI braucht kein Governance-Framework. KI braucht ITIL 5.

Wer KI-Governance als neues Silo aufbaut, hat das Problem nicht verstanden.

Seit Monaten beobachte ich, wie Unternehmen auf die Anforderungen des EU AI Act reagieren: mit Projektgruppen, Beraterverträgen, neuen Stellenbeschreibungen und Dokumenten, die niemand liest. Das Muster ist vertraut. Es ist exakt dasselbe Muster, das ich vor zwanzig Jahren bei ITSM-Einführungen gesehen habe — und das dort genauso oft gescheitert ist.

Kurzer Einschub für alle, die ITIL nicht täglich auf dem Schreibtisch haben: ITIL — ursprünglich Information Technology Infrastructure Library — ist das weltweit verbreitetste Framework für IT-Service-Management. Es definiert, wie IT-Dienste strukturiert, gesteuert und kontinuierlich verbessert werden: von der Störungsbearbeitung über das Change-Management bis zur Servicestrategie. Entstanden in den 1980er-Jahren als britisches Regierungsprojekt, hat sich ITIL längst vom Handbuch zur Denkschule entwickelt.

Wer es einmal verinnerlicht hat, sieht Services — und ihre Schwachstellen — mit anderen Augen.

Die gute Nachricht: ITIL 5 ist da. Und wer es richtig liest, erkennt darin nicht nur ein aktualisiertes Service-Management-Framework, sondern den bislang überzeugendsten strukturellen Rahmen für das, was wir KI-Governance nennen.

ITIL war nie nur für die IT

Ich habe 2010 begonnen, ITIL-Prinzipien konsequent auf das Facility Management anzuwenden. Nicht weil es einen Standard dafür gab — den gab es nicht — sondern weil die Logik überzeugte: Dienste definieren, Verantwortlichkeiten klären, Incidents von Changes trennen, Verbesserung als Dauerzustand begreifen.

Es funktioniert überall dort, wo Services erbracht werden — unabhängig davon, ob der Service aus Bits oder Beton besteht.

ITIL 4 hat diesen Gedanken weitergeführt, wenn auch zögerlich. Das Service Value System war ein richtiger Schritt, aber die Praxis hinkte hinterher: Viele Organisationen haben ITIL 4 wieder in die IT-Abteilung zurückgezogen, sobald der Workshop vorbei war.

ITIL 5 macht damit Schluss — zumindest auf dem Papier. Der Anspruch ist explizit: ein Framework, das die gesamte Organisation adressiert, von der Strategie bis zur Operation, und das KI nicht als Sonderfall behandelt, sondern als integralen Bestandteil moderner Service-Erbringung.

Das KI-Governance-Problem ist ein Service-Management-Problem

Wer heute KI-Governance betreibt, kämpft mit denselben Fragen, die Service Manager seit Jahrzehnten kennen: Wer ist verantwortlich, wenn etwas schiefläuft? Wie wird eine Änderung am Modell kontrolliert eingeführt? Was gilt als Incident, was als bekanntes Problem? Wie messe ich, ob der KI-Service das liefert, was er soll?

Die meisten Unternehmen beantworten diese Fragen heute ad hoc — mit Excel-Listen, Wiki-Seiten und dem guten Willen einzelner Personen. Das ist keine Governance. Das ist Dokumentation als Alibi.

ITIL 5 bietet stattdessen eine Struktur, die diese Fragen systematisch adressiert. Change Enablement für Modell-Updates. Incident Management für unerwartetes Systemverhalten. Service Level Management für KI-gestützte Prozesse. Configuration Management für Modellversionen, Trainingsdaten und Deployment-Umgebungen. Das ist kein Zufall — das ist ein Framework, das auf genau diese Herausforderungen zugeschnitten wurde, auch wenn es das nicht immer so explizit ausspricht.

Was ITIL 5 neu einbringt — und was das bedeutet

Der entscheidende Fortschritt in ITIL 5 liegt nicht in neuen Zertifizierungspfaden oder umbenannten Modulen. Er liegt in der explizit AI-nativen Haltung des Frameworks. KI wird nicht als Werkzeug behandelt, das irgendwo in den Prozess eingebaut wird. Sie wird als Bestandteil der Service-Architektur gedacht — mit eigenen Governance-Anforderungen, eigenen Risikoprofilen und eigenen Verantwortlichkeiten.

Das klingt selbstverständlich. Ist es nicht. Die meisten Organisationen behandeln ihre KI-Systeme heute wie externe Softwareprodukte: einmal eingeführt, dann laufend betrieben, bis etwas brennt.

ITIL 5 fordert das Gegenteil: kontinuierliche Steuerung, klare Ownership, messbare Outcomes.

Dazu kommt die stärkere Integration von Produktdenken. ITIL 5 unterscheidet konsequenter zwischen Services und digitalen Produkten — eine Unterscheidung, die für KI-Systeme hochrelevant ist. Ein Large Language Model, das in einen Kundenservice-Prozess eingebettet ist, ist kein Projekt. Es ist ein Produkt — mit einem Lifecycle, mit Nutzern, mit Anforderungen, die sich verändern, und mit Risiken, die sich verändern.

Der EU AI Act braucht genau das

Was der EU AI Act von Unternehmen verlangt, lässt sich in drei Kernbereiche zusammenfassen:

• Risikobewertung,
• Dokumentation und
• laufendes Monitoring.

Wer ITIL 5 konsequent anwendet, hat für alle drei Bereiche bereits eine Infrastruktur.

Das KI-Register, das der AI Act implizit fordert, ist nichts anderes als ein CMDB-Eintrag mit erweiterten Attributen. Das Risk Assessment ist ein strukturiertes Problem Management mit KI-spezifischen Kategorien. Das Monitoring entspricht dem Service Level Management — mit angepassten KPIs.

Unternehmen, die ITIL 5 ernst nehmen, haben beim AI Act eine Ausgangslage, die andere erst mühsam aufbauen müssen.

Ich sage nicht, dass ITIL 5 den EU AI Act vollständig abdeckt. Das wäre zu einfach. Aber die Strukturarbeit ist getan — man muss sie nur nutzen.

Das Schweigen der KI-Governance-Industrie

Was mich irritiert: Die KI-Governance-Beratungsbranche ignoriert ITIL 5 weitgehend. Man erfindet lieber neue Frameworks, neue Zertifizierungen, neue Beratungsprodukte. Das hat einen nachvollziehbaren wirtschaftlichen Grund — und einen fatalen fachlichen Fehler.

Wer einem Unternehmen heute rät, KI-Governance von null aufzubauen, ohne auf vorhandene ITSM-Strukturen zu bauen, verschwendet Ressourcen und schafft neue Silos. Die IT-Abteilung hat ITIL. Der KI-Beauftragte hat sein eigenes Framework. Das Datenschutzteam hat wieder eines.

Und am Ende weiß niemand, wer zuständig ist, wenn das Modell einen Fehler macht, der den Kunden kostet.

ITIL 5 bietet die Brücke. Man muss sie nur gehen wollen.

Was ich daraus ziehe

Ich verfolge ITIL seit über fünfzehn Jahren — nicht als Zertifizierungsprogramm, sondern als Denkschule. Die Kernidee war immer dieselbe:

Services brauchen Struktur, Verantwortung und kontinuierliche Verbesserung.

Das gilt für den Helpdesk. Das gilt für den Gebäudebetrieb. Und es gilt für jedes KI-System, das produktiv im Einsatz ist.

ITIL 5 ist der bislang konsequenteste Schritt in diese Richtung. Wer jetzt noch glaubt, KI-Governance sei ein separates Thema, das nichts mit Service Management zu tun hat, wird in drei Jahren erklären müssen, warum er zwei parallele Governance-Strukturen betreibt, die sich gegenseitig im Weg stehen.

Das Rahmenwerk ist da. Die Frage ist, wer es nutzt.

Gerd Kopp ist unabhängiger Berater für IT-Governance, ISMS und KI-Governance. Er begleitet Mittelstandsunternehmen bei der Einführung strukturierter Steuerungsmodelle — von ISO 27001 bis EU AI Act. Mehr unter gerds-it.de.

#ITIL #ITIL5 #ITServiceManagement #ITSM #KIGovernance #AIGovernance #EUAIAct