KI im Unternehmen: Neue Risiken und Pflichten
Neue Gesetze und steigende Anforderungen an Unternehmen
Shadow AI und unkontrollierte KI-Nutzung
Künstliche Intelligenz erobert den Arbeitsalltag, oft ohne Sicherheitskonzept
KI im Unternehmen: Künstliche Intelligenz ist längst in deutschen Unternehmen angekommen. Tools wie ChatGPT, Microsoft Copilot oder andere KI-Dienste werden in vielen Abteilungen bereits produktiv eingesetzt. Häufig geschieht dies ohne klare Richtlinien, ohne Sicherheitsbewertung und ohne Einbindung der IT oder Informationssicherheit.
Was auf den ersten Blick wie ein Effizienzgewinn wirkt, kann für Unternehmen schnell zu einem ernsthaften Risiko werden. Denn viele Mitarbeitende geben oft unbewusst sensible Informationen in KI-Tools ein: Angebote, Verträge, Quellcode, Kundeninformationen, interne Strategien oder technische Dokumentationen. Diese Daten verlassen damit unter Umständen das Unternehmen und werden in externen Systemen verarbeitet.
Besonders kritisch ist, dass häufig kostenlose oder private Accounts genutzt werden, die nicht den Unternehmensrichtlinien oder Sicherheitsanforderungen entsprechen. In solchen Fällen werden Daten über Systeme verarbeitet, die außerhalb der kontrollierten Unternehmens-IT liegen und auf deren Verarbeitung, Speicherung und Weiterverwendung das Unternehmen keinen direkten Einfluss hat.
Unternehmen müssen dabei unterscheiden, welche KI-Dienste unter welchen Bedingungen genutzt werden. Bei kostenlosen Accounts können eingegebene Daten zum Training der Modelle verwendet werden, wobei bei kostenpflichtigen Business- oder Team-Accounts viele Hersteller vertragliche Regelungen anbieten, bei denen Unternehmensdaten nicht zum Training der Modelle verwendet werden und zusätzliche Sicherheits- und Compliance-Funktionen zur Verfügung stehen.
Für Unternehmen bedeutet das: Nicht die Nutzung von KI an sich ist das Problem, sondern die unkontrollierte Nutzung von KI-Diensten außerhalb der Unternehmensrichtlinien und ohne Bewertung der Datenschutz- und sicherheitsrelevanten Rahmenbedingungen.
Viele Unternehmen haben noch keine klaren Regeln für den Einsatz von KI
Die meisten Unternehmen haben aktuell noch keine klare Antwort auf folgende Fragen:
- Welche KI-Tools werden im Unternehmen genutzt?
- Welche Daten dürfen in KI-Systeme eingegeben werden, welche nicht?
- Wer ist für KI im Unternehmen verantwortlich?
- Welche gesetzlichen Vorgaben gelten für uns?
- Wie verhindern wir Datenabfluss über KI?
- Wie integrieren wir KI in unsere Informationssicherheit?
Shadow AI: Ein bekanntes Problem in neuer Form
Genau hier entsteht aktuell eines der größten neuen Risiken der Informationssicherheit: Shadow AI, also die unkontrollierte Nutzung von KI im Unternehmen.
Shadow AI ist keine völlig neue Entwicklung, sondern eine Weiterentwicklung eines bekannten Problems: Shadow IT. Schon seit vielen Jahren nutzen Mitarbeitende externe Tools, Cloud-Dienste oder Softwarelösungen, häufig, weil interne Tools zu umständlich sind, Funktionen gefehlt oder Prozesse zu lange gedauert haben.
Mit KI-Tools setzt sich diese Entwicklung fort. Mitarbeitende nutzen externe KI-Dienste, um schneller zu arbeiten, Texte, Auswertungen und Präsentationen zu erstellen oder Code zu schreiben. Teilweise werden dafür private Accounts oder selbst gebuchte Tools genutzt, die über Reisekosten oder private Abonnements abgerechnet werden.
Diese Tools liegen außerhalb der kontrollierten IT-Umgebung des Unternehmens. Es gibt keine Prüfung durch die IT oder Informationssicherheit, keine Risikobewertung, keine vertragliche Regelung zur Datenverarbeitung und oft auch keine Klarheit darüber, ob und wie eingegebene Daten durch den Anbieter weiterverarbeitet oder zum Training von KI-Modellen genutzt werden.
Shadow AI ist damit in vielen Unternehmen die direkte Folge von Shadow IT, nur mit deutlich größerem Risiko, weil Mitarbeitende aktiv Unternehmenswissen in externe Systeme eingeben.
Das eigentliche Problem: Unternehmen verlieren die Kontrolle über ihre Daten
Aus Gesprächen mit Unternehmen zeigt sich immer wieder das gleiche Bild: Die Geschäftsführung möchte KI nutzen, um effizienter zu werden. Mitarbeitende nutzen bereits KI-Tools, um schneller zu arbeiten. Aber es gibt keine Regeln, keine Prozesse und keine Sicherheitsmaßnahmen.
Das führt zu einer gefährlichen Situation:
KI wird genutzt, aber ohne Kontrolle, ohne Risikobewertung und ohne Sicherheitskonzept.
Unkontrollierte KI-Nutzung wird zum Risiko für Unternehmen
Die größten Risiken dabei sind:
- Abfluss von vertraulichen Unternehmensdaten
- Datenschutzverstöße (DSGVO)
- Compliance-Verstöße (z.B. EU AI Act, NIS2, ISO 27001)
- Verlust von geistigem Eigentum
- Falsche KI-Ergebnisse
- Fehlentscheidungen durch ungeprüfte KI-Ausgaben
- Neue Angriffsflächen für Cyberangriffe
Viele Unternehmen glauben, sie hätten das Thema im Griff, weil “nur ein bisschen ChatGPT genutzt wird”. In der Praxis stellt sich jedoch häufig heraus, dass bereits zahlreiche Tools im Einsatz sind, ohne Freigabe, ohne Prüfung und ohne Dokumentation.
Das Problem ist also nicht die KI selbst, sondern die unkontrollierte Nutzung.
Neue Gesetze erhöhen den Druck auf Unternehmen
Parallel zur technischen Entwicklung verschärft sich die regulatorische Lage. Mit dem EU AI Act führt die Europäische Union erstmals umfassende Regeln für den Einsatz von Künstlicher Intelligenz ein. Zusätzlich steigen die Anforderungen aus Datenschutz (DSGVO), Informationssicherheit (ISO27001/TISAX) und der NIS2-Richtlinie.
KI wird für Unternehmen zunehmend zum Compliance Thema
Für Unternehmen bedeutet das:
KI wird vom Innovationsthema zum Compliance Thema.
Unternehmen müssen künftig unter anderem:
- den Einsatz von KI dokumentieren,
- Risiken bewerten,
- Mitarbeitende schulen,
- klare Regeln für KI-Nutzung definieren,
- technische und organisatorische Maßnahmen umsetzen,
- KI in das Risikomanagement und die Informationssicherheit integrieren.
Geschäftsführungen und Verantwortliche stehen damit vor einer neuen Aufgabe:
Sie müssen Innovation ermöglichen, aber gleichzeitig Sicherheit, Datenschutz und Compliance gewährleisten.
Unternehmen, die hier nicht strukturiert vorgehen, riskieren nicht nur Cyberangriffe, sondern auch Bußgelder, Haftungsrisiken und Reputationsschäden.
Warum Informationssicherheit jetzt der entscheidende Erfolgsfaktor ist
Cyberangriffe und KI verändern die Bedrohungslage für Unternehmen
Viele Unternehmen sehen Informationssicherheit immer noch als reines IT-Thema. Doch die Realität hat sich verändert. Aktuelle Cyberangriffe zielen nicht mehr nur auf Server, sondern auf Menschen, Prozesse und Organisationen.
KI beschleunigt diese Entwicklung noch einmal deutlich:
- Phishing-Mails werden durch KI perfekter
- Social Engineering wird glaubwürdiger
- Schadcode kann durch KI schneller erstellt werden
Informationssicherheit ist heute mehr als nur IT-Sicherheit
Informationssicherheit bedeutet heute: Unternehmenssicherheit.
Es geht nicht mehr nur um Technik, sondern um:
- Prozesse
- Richtlinien
- Schulungen
- Risikomanagement
- Notfallmanagement
- Governance
- Compliance
Erst wenn organisatorische und technische Maßnahmen zusammenspielen, entsteht ein echtes Sicherheitsbewusstsein im Unternehmen und Informationssicherheit wird Teil der täglichen Arbeit.
Informationssicherheit schafft Sicherheit, Vertrauen und Wettbewerbsvorteile
Unternehmen, die Informationssicherheit strukturiert angehen, erreichen dabei nicht nur mehr Sicherheit, sondern auch klare Vorteile:
- Schutz vor Cyberangriffen
- Schutz von vertraulichen Unternehmensdaten
- Erfüllung gesetzlicher Anforderungen
- Wettbewerbsvorteile bei Kunden und Ausschreibungen
- Vertrauen bei Partnern und Kunden
- Strukturierte IT- und Unternehmensprozesse
- Bessere Entscheidungsgrundlagen für die Geschäftsführung
Unternehmen, die Informationssicherheit strukturiert angehen, investieren damit nicht nur in Sicherheit, sondern in die Handlungsfähigkeit, Stabilität und Zukunft ihres Unternehmens.
Wie Unternehmen sich konkret schützen können
Die gute Nachricht: Unternehmen müssen das Rad nicht neu erfinden. Es gibt etablierte Methoden und Standards, mit denen sich Informationssicherheit und auch KI-Risiken systematisch in den Griff bekommen lassen.
Wichtige Maßnahmen haben wir nachstehend für Sie zusammengestellt (nicht abschließend).
Organisatorische Maßnahmen schaffen klare Regeln und Verantwortlichkeiten
- Einführung eines Informationssicherheitsmanagementsystems (ISMS)
- Erstellung einer KI-Richtlinie im Unternehmen
- Regelung der Nutzung von ChatGPT, Copilot & Co.
- Schulung der Mitarbeitenden / Awareness & KI-Kompetenz
- Risikobewertungen für neue Technologien
- Notfallpläne bei Cyberangriffen
- Klare Verantwortlichkeiten
Technische Maßnahmen schützen Systeme, Daten und Zugriffe
- Multi-Faktor-Authentifizierung
- Conditional Access (Microsoft 365)
- Backup Strategie
- E-Mail-Security / Phishing-Schutz
- Endpoint Protection / Detection & Response
- Monitoring & Logging
- Rechte- und Rollenkonzepte
- Verschlüsselung/ Kryptographie
- Sichere Cloud-Konfiguration
- Data Loss Prevention (DLP)
Strategische Maßnahmen verankern Informationssicherheit im Unternehmen
- Verankerung von Informationssicherheit in der Geschäftsführung
- Integration in Unternehmensstrategie
- Regelmäßige Risikoanalysen
- Lieferantenmanagement
- Compliance Strategie
Wirkliche Informationssicherheit entsteht erst dann, wenn technische Maßnahmen, klare organisatorische Regelungen und geschulte Mitarbeitende zusammenwirken.
Fazit: Informationssicherheit wird zur unternehmerischen Pflicht
Viele Unternehmen beschäftigen sich erst mit dem Thema Informationssicherheit, wenn bereits ein Schaden entstanden ist (Cyberangriff, Datenverlust). Dann wird unter Zeitdruck reagiert, meist mit hohen Kosten und enorm großem Aufwand. In diesem Moment geht es nicht mehr um Prävention, sondern nur noch um Schadensbegrenzung.
Unternehmen, die Informationssicherheit, Cybersecurity und den Einsatz von KI frühzeitig strukturiert angehen, handeln nicht aus Angst vor Cyberangriffen, sondern aus unternehmerischer Verantwortung. Sie schaffen klare Regeln für den Einsatz neuer Technologien, sichern ihre IT-Systeme ab, bewerten Risiken und sensibilisieren ihre Mitarbeitenden. Damit reduzieren sie nicht nur ihr Risiko, sondern schaffen die Grundlage für stabile Prozesse, sichere Digitalisierung und den kontrollierten Einsatz neuer Technologien.
Die entscheidende Frage ist heute nicht mehr, ob Unternehmen KI einsetzen, sondern ob sie es sicher, kontrolliert und verantwortungsvoll tun.
Wie netunite Sie unterstützt
Viele Unternehmen stehen aktuell vor der Herausforderung, neue Technologien wie Cloud, Microsoft 365 und Künstliche Intelligenz zu nutzen und gleichzeitig steigende Anforderungen aus Informationssicherheit, Datenschutz und Compliance zu erfüllen. In der Praxis fehlen dafür häufig klare Strukturen, Verantwortlichkeiten und ein ganzheitliches Sicherheitskonzept.
Genau hier unterstützen wir, um Informationssicherheit strukturiert aufzubauen und im Unternehmen zu verankern.
Informationssicherheit und ISMS
Wir unterstützen Unternehmen beim Aufbau und der Weiterentwicklung eines Informationssicherheitsmanagementsystems (ISMS), bei Risikoanalysen sowie bei der Umsetzung von Anforderungen aus TISAX / ISO 27001, NIS2 und DSGVO. Ziel ist es, Informationssicherheit nicht als Einzelmaßnahme zu betrachten, sondern als strukturierten Bestandteil der Unternehmensorganisation.
Microsoft 365 und Cloud-Sicherheit
Viele Unternehmen arbeiten heute mit Microsoft 365, Cloud-Diensten und mobilen Arbeitsplätzen. Wir unterstützen Unternehmen dabei, ihre Cloud- und Microsoft 365 Umgebungen sicher zu konfigurieren, Zugriffe abzusichern, Sicherheitsfunktionen zu nutzen und technische Schutzmaßnahmen wie Multi-Faktor-Authentifizierung, Conditional Access oder Backup Strategien umzusetzen.
Strategie, Governance und Compliance
Informationssicherheit ist heute nicht nur ein IT-Thema, sondern Teil der Unternehmenssteuerung. Wir unterstützen Geschäftsführungen und IT-Verantwortliche dabei, Informationssicherheit, gesetzliche Anforderungen und neue Technologien wie KI in eine gemeinsame Strategie zu überführen, Richtlinien zu entwickeln und Sicherheitsmaßnahmen strukturiert umzusetzen.
Unser Ziel ist es, Informationssicherheit nicht als einmaliges Projekt zu sehen, sondern als strukturierten Bestandteil der Unternehmensorganisation.
Wie sicher ist Ihr Unternehmen beim Einsatz von KI?
Viele Unternehmen nutzen KI im Arbeitsalltag ohne klare Regeln und Sicherheitskonzept. Wir unterstützen Sie dabei, Informationssicherheit und den Einsatz von KI strukturiert und sicher in Ihrem Unternehmen umzusetzen.
Links & Ressourcen
Die regulatorischen und technischen Anforderungen rund um Künstliche Intelligenz und Informationssicherheit verändern sich derzeit stark. Unternehmen sollten sich daher frühzeitig mit den relevanten Gesetzen, Standards und Sicherheitsanforderungen auseinandersetzen. Die folgenden Quellen bieten einen guten Einstieg in die wichtigsten Themenbereiche.
netunite Linktipp:
Wichtige externe Links
- Bundesamt für Sicherheit in der Informationstechnik (BSI): https://www.bsi.bund.de
- Allianz für Cyber-Sicherheit: https://www.allianz-fuer-cybersicherheit.de
- EU AI Act Informationen der EU-Kommission: https://digital-strategy.ec.europa.eu/de/policies/european-approach-artificial-intelligence
- Informationen zur NIS2-Richtlinie beim BSI: https://www.bsi.bund.de/nis2
- DSGVO Grundlagen und Informationen: https://gdpr-info.eu/de
- ISO 27001 Informationen beim BSI: https://www.bsi.bund.de/iso27001
- VDA/ISA – TISAX: Home · ENX Portal
