Vertrauen aufbauen durch Handeln (Teil 1)

Das Kundenproblem, mit dem alles begann

Vor einem Jahr sah sich Mimecast mit einer Herausforderung konfrontiert, mit der viele Unternehmen konfrontiert sind, die sich mit der Einführung von KI auseinandersetzen: Unsere Kunden und Interessenten stellten gezielte Fragen, die wir nicht immer beantworten konnten. Sie wollten nicht nur verstehen, was unsere KI- und ML-Funktionen leisten können, sondern auch, wie wir ihre Privatsphäre schützen, die Einhaltung von Vorschriften gewährleisten und das Vertrauen, das sie uns mit ihren sensibelsten Daten entgegenbringen, aufrechterhalten: ihre E-Mail-Kommunikation.

Das waren keine theoretischen Bedenken. In Verkaufsgesprächen und Kundentreffen hörte ich CISOs und Sicherheitsverantwortliche fragen: "Wie geht Ihre KI mit unseren Daten um? Können wir uns abmelden? Welche Maßnahmen haben Sie ergriffen?" Wir hatten gute Antworten, die über verschiedene Teams verstreut waren, aber keinen unified Rahmen oder keine Governance-Struktur, auf die wir verweisen konnten. Für ein Unternehmen wie Mimecast, in dem Vertrauen unsere Währung ist, stellte diese Lücke sowohl ein Risiko als auch eine Chance dar.

Vom Problem zum Ziel: Die Gründung des Rates

Im Oktober 2024 gründete Mimecast den Responsible AI Council mit einer klaren Mission: Schaffung und Einhaltung von Standards für die sichere und ethische Entwicklung und den Einsatz von KI-Technologien in unseren Diensten. Aber bei der Charta ging es nicht nur darum, die Einhaltung von Vorschriften zu überprüfen. Es ging darum, KI-Governance in ein strategisches Unterscheidungsmerkmal zu verwandeln.

Der ursprüngliche Rat setzte sich aus Vertretern von AI Data Science, Engineering & Architecture, Product, Marketing, Legal, GCO, Security, GTM und Sales Enablement zusammen. Die funktionsübergreifende Zusammensetzung war beabsichtigt. KI-Governance ist weder ein technisches noch ein juristisches noch ein vertriebliches Problem. Es geht um alles gleichzeitig, und die Lösung erfordert Perspektiven aus allen Blickwinkeln.

Die Entwicklung: Vom Rat zum Ausschuss

Eine unserer wichtigsten Lektionen haben wir schon früh gelernt: Größer ist nicht immer besser. Der Rat wuchs zunächst organisch, als die Teams die Bedeutung von KI-Governance erkannten, aber wir hatten schnell zu viele Mitglieder und eine uneinheitliche Teilnahme bestimmter Gruppen. Dies führte zu einem Paradoxon. Je mehr Personen wir einbezogen, um einen umfassenden Beitrag zu gewährleisten, desto schwieriger wurde es, Entscheidungen zu treffen und Maßnahmen zu ergreifen.

Bis Oktober 2025 hatten wir die Struktur erheblich verfeinert. Aus dem Responsible AI Council wurde das AI Governance Committee mit einer gezielteren Mitgliedschaft und einer klareren Rechenschaftspflicht. Wir sind von monatlichen ELT-Aktualisierungen zu einer vierteljährlichen Kadenz übergegangen, was die Reife unserer Prozesse signalisiert. Am wichtigsten ist jedoch, dass wir unseren Anwendungsbereich über die KI in unseren Dienstleistungen hinaus auf die Nutzung von KI in der gesamten Organisation ausgeweitet haben. Wir erkannten, dass wir das, was wir predigten, auch praktizieren mussten.

Die Entwicklung der Charta erzählt die Geschichte: Wir haben uns von ", das verantwortungsvolle KI in den Services" fördert, zu "entwickelt, das die strategische Richtung vorgibt und als ultimative Genehmigungsinstanz für verantwortungsvolle KI bei Mimecast fungiert." Das war nicht nur semantisch. Sie spiegelt einen grundlegenden Wandel in unserem Denken über KI-Governance wider: von reaktiver Aufsicht zu proaktiver Führung.

Funktionsübergreifende Wirkung: Wo die Magie passiert

Der funktionsübergreifende Charakter des Ausschusses hat sich in einer Weise verändert, die ich ursprünglich nicht erwartet hatte. Einige Beispiele:

Der Vendor POC Prozess

Wenn Teams neue KI-Tools testen wollten, haben wir früher Ad-hoc-Evaluierungen durchgeführt, die sich über Monate hinziehen konnten. Jetzt haben wir einen zweiwöchigen SLA-Prozess, der Beschaffung, Recht, Sicherheit, IT und KI-Teams zusammenbringt. Wir haben mehrere KI-Codierassistenten, Dokumentations-Tools, Plattformen zur Vertriebsförderung und KI-Lösungen für Unternehmen anhand dieses Rahmens bewertet. Es ist schnell, gründlich und stellt sicher, dass wir Entscheidungen treffen, die sowohl mit den Innovationszielen als auch mit den Governance-Anforderungen übereinstimmen.

Praktizieren, was wir predigen: Mimecast Incydr für KI-Governance nutzen

Eine der wichtigsten Erkenntnisse aus unseren funktionsübergreifenden Diskussionen kam, als unser Sicherheitsteam vorschlug, unsere eigene Lösung für das Insider-Risikomanagement, Mimecast Incydr, einzusetzen, um die Nutzung von KI-Tools im gesamten Unternehmen zu überwachen und zu steuern. Es ging nicht nur darum, unser eigenes Produkt zu verhökern. Es ging darum, bei unserer internen KI-Governance die gleiche Strenge anzuwenden, die wir auch unseren Kunden empfehlen.

Mimecast Incydr verschaffte uns mit KI-Tools einen Einblick in die Interaktionen unserer Mitarbeiter, den wir vorher einfach nicht hatten. Wir haben es so konfiguriert, dass es erkennt, wenn Mitarbeiter sensible Daten, Code oder Kundeninformationen auf nicht zugelassene KI-Plattformen hochladen. Doch anstatt diese Aktivitäten einfach zu blockieren, wählten wir einen differenzierteren Ansatz, der unsere Kultur des Vertrauens und der Befähigung widerspiegelt.

Wir haben das implementiert, was wir "AI nudges" nennen. Dabei handelt es sich um Echtzeit-Interventionen, die Mitarbeiter über Risiken aufklären, ohne ihre Arbeit sofort zu blockieren. Wenn Incydr feststellt, dass jemand versucht, ein nicht zugelassenes KI-Tool zu verwenden oder sensible Daten in ein zugelassenes Tool hochzuladen, gibt es sofort eine Rückmeldung darüber, warum dies ein Risiko darstellt, und weist den Betreffenden auf zugelassene Alternativen hin. Die Ergebnisse übertrafen unsere Erwartungen: ein Rückgang von 31% unzulässigen KI-Nutzungsvorfällen in einem single Monat, von 117 auf 81 Vorfälle im Vergleich zum Vormonat.

Was diesen Ansatz so wirkungsvoll macht, ist, dass er nicht bestrafend ist. Wir schaffen keine Kultur der Überwachung. Wir schaffen eine Kultur der informierten Entscheidungsfindung. Die Mitarbeiter verstehen, warum bestimmte KI-Tools zugelassen sind und andere nicht. Sie sehen den Governance-Rahmen als Schutz für sie und unsere Kunden und nicht als Einschränkung ihrer Innovationsfähigkeit.

Wir implementieren jetzt "speedbumping", eine ausgefeiltere Ebene, auf der Incydr potenziell riskante Aktionen anhalten und eine explizite Bestätigung des Risikos verlangen kann, bevor es weitergeht. Auf diese Weise bleibt die Autonomie der Mitarbeiter gewahrt, während gleichzeitig sichergestellt wird, dass risikoreiche Handlungen im vollen Bewusstsein der Konsequenzen durchgeführt werden. Es ist das digitale Äquivalent zur Auszeit eines Chirurgen vor einem Eingriff: ein Moment, in dem sichergestellt wird, dass jeder verstanden hat, was passieren wird und warum.

Der Einsatz unserer eigenen Insider Risk Management-Technologie für KI-Governance hat sich in Kundengesprächen als überzeugender Beweis erwiesen. Wenn CISOs fragen, wie wir intern mit KI-Risiken umgehen, kann ich ihnen unsere genaue Implementierung erläutern: die Richtlinien, die wir in Incydr konfiguriert haben, die Balance, die wir zwischen Sicherheit und Produktivität gefunden haben, und die messbaren Ergebnisse, die wir erzielt haben. Dies ist keine theoretische Anleitung. Es ist ein funktionierendes Beispiel dafür, wie man KI in großem Maßstab steuern und gleichzeitig eine Innovationskultur aufrechterhalten kann.

Transparenz gegenüber dem Kunden

Die Kombination aus Rechts-, Produkt- und GTM-Perspektive führte dazu, dass wir interne FAQs für den Einsatz von KI in ausgewählten Diensten entwickelten und einen klaren Prozess für den Umgang mit Opt-out-Anfragen von Kunden schufen. Unser Marketing-Team hat mit der Rechtsabteilung zusammengearbeitet, um unser Trust Center mit detaillierten Informationen über unseren Einsatz von generativer KI in der Produktentwicklung zu aktualisieren. Diese waren nicht per Verordnung vorgeschrieben. Sie wurden von unserem kollektiven Verständnis dessen angetrieben, was Kunden brauchen, um das Vertrauen in unsere Lösungen zu erhalten.

Messen, worauf es ankommt: Unsere Siege

Im Februar 2025 haben wir eine Umfrage zu den Grundlagen der KI durchgeführt. Die Ergebnisse wurden zu unserem Nordstern, um den Fortschritt zu messen:

KI-Fähigkeit: Vom Bewusstsein zur Beherrschung

Wir haben herausgefunden, dass 88% der Mitarbeiter mit KI-Tools vertraut sind, aber die Akzeptanz ist uneinheitlich und die Kompetenzen sind sehr unterschiedlich. Wir haben ein umfassendes, mehrstufiges Schulungsprogramm mit klaren Zertifizierungspfaden eingeführt, die verschiedene Kompetenzstufen anerkennen. Die Ergebnisse sind bemerkenswert:

• 72% der Mimecast-Mitarbeiter sind jetzt in den GenAI-Grundlagen zertifiziert, wodurch die Grundkenntnisse im gesamten Unternehmen geschaffen wurden.
• 30% haben die Proficient-Zertifizierung erreicht und damit ihre fortgeschrittene Fähigkeit unter Beweis gestellt, KI für komplexe Arbeitsabläufe zu nutzen.
• 20% haben den Mastery-Level erreicht und sind in der Lage, anspruchsvolle KI-Workflows zu erstellen und andere zu betreuen.
• Mehr als 400 neue Mitarbeiter haben eine KI-Einführung als Teil des Onboardings absolviert, um sicherzustellen, dass sie vom ersten Tag an mit KI vertraut sind.

Was diese Zahlen besonders aussagekräftig macht, ist ihre Progression. Wir schulen die Leute nicht nur, um ein Kästchen anzukreuzen. Wir bauen eine Kompetenzleiter auf, die es den Mitarbeitern ermöglicht, ihre KI-Fähigkeiten im Laufe der Zeit zu erweitern. Die 20% auf Mastery-Level werden zu internen Champions, die Anwendungsfälle entwickeln, Kollegen beraten und die Grenzen dessen, was mit unseren genehmigten KI-Tools möglich ist, erweitern.

Universelle Einführung in allen Abteilungen

Unsere vielleicht wichtigste Errungenschaft ist, dass wir es geschafft haben, eine echte organisatorische Akzeptanz zu erreichen. Wir haben jetzt:

• 95% der Mitarbeiter, die aktiv GenAI-Tools nutzen, was eine nahezu universelle Akzeptanz bedeutet
• 92% aktive Nutzer auf der Basis der letzten drei Monate, was auf eine dauerhafte, gewohnheitsmäßige Nutzung hinweist und nicht nur auf ein anfängliches Experimentieren
• 100% Abteilungen beteiligen sich, wobei jede single Abteilung KI-Anwendungsfälle entwickelt und eingesetzt hat

Diese letzte Statistik ist besonders aufschlussreich. Die Einführung von KI konzentriert sich nicht auf die Bereiche Technik oder Produkte. Es ist wirklich unternehmensweit. Das Finanzwesen nutzt KI für Analysen und Finanzmodellierung. Die Personalabteilung nutzt es für das Screening von Bewerbern und die Mitarbeiterkommunikation. Der Vertrieb nutzt es für die Erstellung von Angeboten und für Wettbewerbsanalysen. Das Marketing wendet es auf die Erstellung von Inhalten und die Optimierung von Kampagnen an.

Diese allgemeine Annahme bestätigt unseren Governance-Ansatz. Durch die Bereitstellung klarer Leitplanken, bewährter Tools und umfassender Schulungen haben wir es für jede Abteilung sicher und einfach gemacht, mit KI zu innovieren. Der Governance-Rahmen hat die Einführung nicht verlangsamt. Sie hat es ermöglicht.

Produktivitätssteigerungen in großem Maßstab

Unsere 92% anhaltende aktive Nutzungsrate bedeutet eine Produktivitätssteigerung von drei bis 10 Stunden pro Woche und Benutzer. Wir gehen davon aus, dass wir bis zum Jahresende etwa 100.000 Stunden durch den Einsatz von GenAI einsparen werden. Dies sind nicht nur Effizienzkennzahlen. Sie stellen echte Kapazitäten dar, die für höherwertige Arbeit frei werden. Wenn Sie diese Stunden in einem Unternehmen mit 95% multiplizieren, ist der Gesamteffekt auf die Produktivität beträchtlich.

Das sanktionierte KI-Tool gewinnt

Unsere vielleicht greifbarste Errungenschaft war die Genehmigung für unternehmensweite GenAI-Tools mit angemessenen Governance-Rahmenbedingungen. Der messbare Anstieg bei der Nutzung von genehmigten Werkzeugen (95% aktive Nutzung) gepaart mit dem dramatischen Rückgang bei nicht genehmigten Werkzeugen (31% Rückgang der Vorfälle) zeigt, dass die Mitarbeiter verantwortungsbewusst innovieren wollen. Sie brauchen nur klare Wege, um dies zu tun.

Branchenanerkennung

Im Januar 2025 wurde Mimecast als erstes Cybersicherheitsunternehmen nach ISO 42001 für KI-Managementsysteme zertifiziert. Dies war nicht nur ein Abzeichen zum Vorzeigen. Sie hat unser Rahmenwerk validiert und unseren Vertriebsteams einen konkreten Beweis für unser Engagement für eine verantwortungsvolle KI-Governance geliefert. Wir unterziehen uns derzeit einem Audit und einer Rezertifizierung, was zeigt, dass es sich hierbei um eine fortlaufende Verpflichtung handelt und nicht um eine einmalige Leistung.

Der Rat als Vertrauensbildner

Neben den internen betrieblichen Verbesserungen ist eines der wichtigsten Ergebnisse die Auswirkung auf die Kundengespräche. Die bloße Existenz des Responsible AI Governance Committee und unsere Bereitschaft, seine Arbeit transparent zu diskutieren, hat sich zu einem schlagkräftigen Argument entwickelt, das dazu beiträgt, dass sich Kunden bei einer Partnerschaft mit Mimecast und der Übernahme unserer KI-gestützten Lösungen wohl fühlen.

In Kundengesprächen, wenn Interessenten Bedenken über die KI-Governance äußern, kann ich jetzt die Zusammensetzung, die Charta und den Entscheidungsprozess unseres Ausschusses beschreiben. Ich kann sie auf unserem Weg zur ISO 42001-Zertifizierung begleiten, ihnen erklären, wie wir unsere eigene Plattform für das Insider-Risikomanagement nutzen, um KI intern zu steuern, und ihnen Metriken mitteilen, die unser Engagement belegen: 72% Grundlagen-Zertifizierung, 20% auf Mastery-Level, 100% Abteilungsbeteiligung und 95% aktive Tool-Nutzung. Dies ist keine Marketingunterlage. Es ist ein echter operativer Rahmen, den Kunden bewerten und dem sie vertrauen können.

Die Transparenz selbst ist das Unterscheidungsmerkmal. Wenn unsere Kunden sehen, dass wir in eine funktionsübergreifende Governance investiert haben, dass wir bereit sind, sowohl unsere Erfolge als auch unsere Lektionen zu diskutieren und dass wir uns an die gleichen Standards halten, die wir auch für sie empfehlen, ändert sich das Gespräch grundlegend. Wir sind nicht nur Anbieter, die KI-gestützte Sicherheitslösungen verkaufen. Wir sind Partner, die die Herausforderungen der Unternehmensführung verstehen, weil wir sie selbst lösen.

Dieser vertrauensbildende Effekt ist besonders wertvoll für stark regulierte Branchen wie Finanzdienstleistungen und das Gesundheitswesen, wo KI-Governance nicht optional ist. Das ist eine Voraussetzung für die Adoption. Die Tatsache, dass wir auf unsere formale Governance-Struktur, unsere messbaren Ergebnisse und unsere branchenführende Zertifizierung verweisen können, gibt diesen risikobewussten Unternehmen das nötige Vertrauen, um mit unseren KI-gestützten Lösungen voranzukommen.

Bleiben Sie dran für Teil 2

In diesem ersten Teil habe ich Ihnen erklärt, warum wir die Einrichtung geschaffen haben, die schließlich als Mimecasts KI-Governance-Komitee bekannt wurde, welche Herausforderungen wir angegangen sind und welche herausragenden Ergebnisse wir erzielt haben. Im zweiten Teil beschäftigen wir uns mit den Fragen, die CISOs ihren KI-Sicherheitsanbietern stellen sollten, mit den Lektionen, die wir gelernt haben: Was ich anders machen würde, sowie den Blick nach vorn: Das nächste Kapitel.