AIMS-Maturity: ISO 42001 × CMMI v3 in der Praxis

Wer den EU AI Act ernst nimmt, kommt um die Frage nach dem eigenen Reifegrad nicht herum. Das gilt insbesondere für Organisationen, die Hochrisiko-KI betreiben oder in Lieferketten als Deployer auftreten. Die zentrale Norm dafür ist ISO/IEC 42001:2023 — der erste internationale Standard für ein AI Management System (AIMS). Doch ein Managementsystem ist nicht gleich ein Reifegrad. Erst die Kombination aus ISO 42001 als Normrahmen und CMMI v3 als Reife-Skala erlaubt eine belastbare Aussage darüber, wie gut eine Organisation ihre KI-Governance wirklich betreibt — und wo sie steht, wenn der Auditor fragt.

Warum ISO 42001 allein nicht reicht

ISO 42001 beschreibt, was ein AI Management System enthalten muss: Risk Assessment, AI System Impact Assessment, Lifecycle-Kontrollen, Lieferantenmanagement, Incident Response. Die Norm ist prinzipienbasiert. Sie definiert Anforderungen, aber sie misst nicht die Tiefe ihrer Umsetzung. Eine Organisation kann ein AIMS gemäß ISO 42001 dokumentieren und zertifizieren lassen — und dennoch im operativen Alltag weit von einer reifen Praxis entfernt sein. Audits stoßen genau hier an die Grenze: Ein bestandenes Zertifikat sagt, dass die Anforderungen erfüllt sind. Es sagt nicht, wie konsistent, wie automatisiert, wie wiederholbar.

Genau diese Lücke füllt CMMI. Die Capability Maturity Model Integration in der aktuellen Version v3 ist seit über zwei Jahrzehnten der etablierte Maßstab für die Bewertung organisatorischer Prozessreife. CMMI v3 unterscheidet fünf Reifegrade: Initial (1), Managed (2), Defined (3), Quantitatively Managed (4) und Optimizing (5). Auf KI-Governance angewandt heißt das: Eine Organisation kann ein ISO-42001-konformes AIMS auf Reifegrad 2 betreiben — alle Kontrollen sind dokumentiert, aber projektabhängig umgesetzt. Oder sie betreibt es auf Reifegrad 4 — mit quantitativen Metriken, die statistisch ausgewertet und kontinuierlich verbessert werden. Der Unterschied ist im Audit, in der Versicherung und im Marktauftritt erheblich.

ISO 42001 × CMMI v3: die Matrix

Die praktische Verbindung beider Modelle ergibt eine Matrix. Auf der einen Achse stehen die ISO-42001-Kontrollbereiche: KI-Politik, Rollen und Verantwortlichkeiten, Risikomanagement, Datenqualität, Lifecycle-Management, Lieferantenkontrolle, Incident- und Vorfallmanagement, Performance-Evaluation. Auf der anderen Achse die fünf CMMI-Reifestufen. Jede Zelle der Matrix beschreibt, wie der jeweilige Kontrollbereich auf der jeweiligen Stufe konkret aussieht.

Beispiel Datenqualität: Auf Reifegrad 2 existieren Datenanforderungen für KI-Trainingsdatensätze, sie werden aber projektspezifisch interpretiert. Auf Reifegrad 3 sind unternehmensweite Datenqualitäts-Standards definiert und für alle KI-Systeme verbindlich. Auf Reifegrad 4 werden Datenqualitäts-Metriken (Vollständigkeit, Aktualität, Repräsentativität) kontinuierlich gemessen und gegen Schwellwerte überwacht. Auf Reifegrad 5 wird das Datenqualitäts-Regime systematisch verbessert, auf Basis statistischer Auswertung von Modelldrift und Bias-Ereignissen.

Diese Granularität ist nicht akademisch. Sie ist die Voraussetzung dafür, dass eine Organisation einem Auditor, einem Versicherer oder einem Großkunden konkret zeigen kann, wo sie steht — und wohin sie sich bewegt.

Evidenz statt Selbstauskunft

Der entscheidende Schritt von einem dokumentierten AIMS zu einem reifen AIMS ist die Evidenz. Eine Selbstauskunft ("wir halten uns an ISO 42001") trägt nicht. Was trägt, sind nachvollziehbare Artefakte: Risk-Register mit Zeitstempel und Verantwortlichen, Impact Assessments mit Versionierung, Model Cards mit Trainingsdaten-Provenance, Incident-Logs mit Reaktionszeiten, Lieferanten-Audits mit Prüftiefe. Diese Artefakte müssen unverändert nachweisbar sein — idealerweise mit kryptografisch gesicherter Audit-Spur.

Hier zeigt sich der Unterschied zwischen einer auf Compliance reduzierten Sichtweise und einem Trust-Infrastructure-Ansatz. Compliance ist die Folge, nicht das Ziel. Wer ein AIMS auf CMMI-Reifegrad 3 oder höher betreibt, erfüllt nicht nur ISO 42001 und die einschlägigen Anforderungen des EU AI Act — er kann das auch belegen, kontinuierlich, ohne ad-hoc-Aufwand vor jedem Audit. Genau das ist die Definition von audit-ready.

Bezug zum EU AI Act

Der EU AI Act verlangt von Anbietern und Betreibern von Hochrisiko-KI ein Qualitätsmanagementsystem, dessen Anforderungen substanzielle Überlappung mit ISO 42001 zeigen. Artikel 17 der Verordnung benennt unter anderem ein Risikomanagementsystem, Datengovernance, technische Dokumentation, Aufzeichnungen, Transparenz und menschliche Aufsicht. Die Verordnung legt fest, dass harmonisierte Normen eine Konformitätsvermutung begründen können — ISO 42001 ist hier der zentrale Kandidat (vgl. Verordnung (EU) 2024/1689, insbesondere Art. 17 und Erwägungsgrund 121). Wer den Forcing Event am 02.12.2027 nicht als reaktiven Stichtag, sondern als Reifegrad-Ziel begreift, hat einen klaren Vorteil: Bis dahin muss die Reife nicht aus dem Stand entstehen, sondern dokumentiert und über Zeit nachweisbar sein.

Die Rechtsräume DE, EU27-Rest, UK und CH unterscheiden sich in der Detailauslegung, nicht im Grundprinzip. Auch UK-FCA und CH-EDÖB orientieren sich faktisch an ISO 42001 als Referenzrahmen, ohne den EU AI Act formal zu übernehmen. Eine an ISO 42001 × CMMI v3 ausgerichtete AIMS-Reife ist damit über alle vier Rechtsräume hinweg tragfähig.

Was Organisationen jetzt tun sollten

Wer heute beginnt, hat 18 Monate bis zum 02.12.2027. Das reicht, um von Reifegrad 1 (Initial — alles ad hoc) auf Reifegrad 3 (Defined — unternehmensweite Standards, dokumentierte Prozesse) zu kommen. Reifegrad 4 ist in dieser Zeit nur erreichbar, wenn die Datenlage und das Tooling es zulassen.

Der erste Schritt ist eine ehrliche Reife-Bestandsaufnahme entlang der ISO-42001-Kontrollbereiche. Die zweite Stufe ist das Schließen der größten Lücken durch Standardisierung — KI-Politik, Rollenmodell, Risk-Register, Incident-Prozess. Die dritte Stufe ist die Verankerung als Evidenz-System: Jeder Kontrollbereich erzeugt im Normalbetrieb auditfähige Artefakte. Das ist nicht trivial, aber es ist machbar — und es trennt die Organisationen, die im Audit bestehen, von denen, die improvisieren.

Reife ist kein Marketing-Begriff. Sie ist ein Zustand, der gemessen, dokumentiert und über Zeit nachgewiesen wird. ISO 42001 liefert den Normrahmen. CMMI v3 liefert die Skala. Die Kombination liefert das, was Auditoren, Vorstände und Kunden 2027 sehen wollen: Evidenz.

Mehr zur Trust-Infrastructure-Sicht auf KI-Governance: aegira.ai