Cybersecurity-Risiken bei KI-Einsatz.
Wenn ein Unternehmen KI einführt, denkt es zunächst an Effizienz, an Automatisierung, an neue Anwendungsfälle. Das ist nachvollziehbar — aber unvollständig. Mit jedem zusätzlichen KI-Tool und jeder neuen KI-Schnittstelle wächst auch die Angriffsfläche des Unternehmens. Die KI selbst wird zum Ziel: Sie kann manipuliert werden, ihre Antworten lassen sich missbrauchen, ihre Datenanbindungen werden zum Hebel für Angriffe. Gleichzeitig nutzen Angreifer KI selbst — für glaubwürdigere Phishing-Mails, automatisierte Schwachstellenanalyse und Deepfake-basierte Social-Engineering-Attacken. Für deutsche Mittelständler entstehen daraus mehrere neue Risikoklassen, die in klassischen IT-Sicherheits-Konzepten nicht vorgesehen sind. Dieser Artikel sortiert die wichtigsten und beschreibt, wie sie sich mit überschaubaren Mitteln in den Griff bekommen lassen — ohne dass ein Mittelständler einen eigenen Security-Großapparat aufbauen müsste.
Die neue Angriffsfläche — was sich verändert.
Klassische IT-Sicherheit konzentriert sich auf Perimeter, Endpunkte und Anwendungen. Eine Firewall, ein Antivirus, ein gepatchtes Betriebssystem, ein Identitätsmanagement — das ist seit Jahrzehnten das Grundgerüst. KI bringt zusätzliche Angriffsflächen, die diese Architektur nicht abdeckt.
Erstens: Das Modell selbst. Wenn ein Mitarbeiter ChatGPT, Copilot oder einen internen Bot benutzt, fließt etwas in das Modell hinein und kommt etwas heraus. Beide Richtungen sind Angriffsvektoren. Schadhafter Input — etwa in einem hochgeladenen Dokument — kann das Modell zu Aktionen veranlassen, die nicht gewünscht sind. Das ist die Klasse der Prompt-Injection-Angriffe.
Zweitens: Die Datenanbindung. Moderne KI-Tools haben Zugang zu Mails, Kalendern, Dateien, Tickets, CRM-Daten. Wer den KI-Zugang kompromittiert, hat oft mehr Datenzugriff als bei klassischen Anwendungen — weil die KI im Auftrag des Mitarbeiters überall hineingreifen darf.
Drittens: Die Anwendungsketten. KI wird zunehmend mit Aktionsmöglichkeiten kombiniert — sie schreibt nicht nur Texte, sondern verschickt Mails, legt Termine an, löst Bestellungen aus. Ein kompromittierter Agent kann handeln, nicht nur ausplaudern. Diese Kombination — Datenzugang plus Handlungsfähigkeit — ist sicherheitsrelevant in einer neuen Klasse.
Sieben konkrete Risikoklassen — knapp eingeordnet.
Eine pragmatische Übersicht der Risikoklassen, die im Mittelstand 2026 wirklich auftauchen:
| Risikoklasse | Was passiert | Wer betroffen |
|---|---|---|
| Prompt Injection | KI wird durch geschickte Eingaben zu unerwünschten Aktionen gebracht. | Alle mit Chatbots, Dokumenten-KI, Agents |
| Data Leakage | Mitarbeitende geben sensible Daten in externe KI ein, die diese speichert. | Alle |
| Model Poisoning | Trainingsdaten oder Fine-Tuning-Daten werden manipuliert. | Unternehmen mit eigenem Modell-Training |
| KI-gestützte Phishing-Mails | Angreifer nutzen KI für glaubwürdige Mails. | Alle |
| Deepfake Social Engineering | Stimm- oder Video-Imitation von Geschäftsführung für Betrug. | Vor allem CFO-Bereiche, Buchhaltung |
| Agent-Hijacking | Ein KI-Agent mit Aktionsbefugnis wird kompromittiert. | Unternehmen mit automatisierten Workflows |
| Supply-Chain-Angriffe | Schwachstelle im KI-Anbieter oder einem Sub-Dienstleister. | Alle, mit Cloud-KI |
Nicht jede Klasse ist für jeden Mittelständler gleich relevant. Wer keine Agents einsetzt, hat kein Agent-Hijacking-Risiko. Wer kein eigenes Modell-Training macht, kein Model-Poisoning. Aber drei Klassen treffen praktisch jeden: Prompt Injection, Data Leakage und KI-gestützte Phishing-Mails. Das sind die Stellen, an denen heute angesetzt werden sollte.
KI-gestützte Phishing-Mails — schon Realität.
Phishing-Mails sind keine neue Bedrohung. Was sich seit 2024 spürbar verändert hat, ist ihre Qualität. KI-gestützte Mails sind grammatikalisch fehlerfrei, in der Tonalität an den Absender angepasst und oft auf Basis öffentlicher Informationen über den Adressaten personalisiert. Der klassische Hinweis „Achten Sie auf Rechtschreibfehler“ trägt nicht mehr.
In einem konkreten Fall aus 2025 erhielt der Buchhalter eines mittelständischen Maschinenbauers eine Mail von angeblich einem langjährigen Lieferanten — Sprachstil, Adressen und vorgangsbezogene Details stimmten. Die Mail enthielt eine geänderte Bankverbindung für eine ausstehende Rechnung. Erst eine telefonische Rückbestätigung (durch Zufall) verhinderte die Überweisung von rund 80.000 Euro.
Drei Maßnahmen helfen praktisch. Erstens: Verfahrenspflicht bei Bankdatenänderungen. Jede Änderung einer Bankverbindung muss per Rückruf an eine bekannte, im System hinterlegte Nummer bestätigt werden — nie über Nummern aus der Mail selbst. Zweitens: Spezifisches Awareness-Training mit KI-generierten Phishing-Beispielen, nicht mit den Klassikern von 2018. Drittens: Eine technische Markierung externer Mails. Wenn eine Mail von außen kommt, soll das im Postfach sichtbar sein.
Diese Maßnahmen sind nicht KI-spezifisch, aber sie wirken auch gegen die neuen Angriffe. Wer sie heute nicht hat, ist exponiert — die Angreifer arbeiten bereits mit den verbesserten Werkzeugen.
Deepfake Social Engineering — der CFO-Anruf.
Eine 2026 schon weiter verbreitete Bedrohung sind Deepfake-basierte Angriffe per Stimme oder Video. Mit etwa 30 Sekunden öffentlich verfügbarem Audiomaterial — Podcast-Auftritt, Webinar, Pressekonferenz — lässt sich eine glaubwürdige Stimm-Imitation generieren. Mit weiteren wenigen Minuten Material auch eine Video-Imitation.
Der Klassiker: Ein Anruf vom angeblichen CEO an die Buchhaltung mit der dringenden Anweisung, eine Überweisung in einer eilbedürftigen M&A-Sache zu autorisieren. Die Stimme klingt richtig, der Druck ist hoch, der Zeitrahmen knapp. Diese Masche hat 2025 bereits weltweit zu Schäden im dreistelligen Millionenbereich geführt — auch in deutschen Mittelständlern.
Die Verteidigung ist organisatorisch, nicht technisch. Drei Regeln helfen.
- Vier-Augen-Prinzip bei größeren Überweisungen. Ab einer Schwelle (z. B. 25.000 Euro) muss eine zweite Person freigeben, und diese Person muss aus einem anderen Kanal heraus prüfen können.
- Code-Wörter für eilige Anweisungen. Ein vorab vereinbartes Code-Wort, das die Geschäftsführung kennt und das in dringenden Fällen zu nennen ist. Die KI kennt es nicht.
- Rückruf an bekannte Nummer. Wer am Telefon eine Anweisung bekommt, ruft an einer bekannten internen Nummer zurück — nicht der Nummer, von der angerufen wurde.
Diese drei Maßnahmen sind banal, aber wirksam. Sie verlangen keine Technik, sondern eine kurze interne Vereinbarung und Disziplin.
Data Leakage — der unauffällige Klassiker.
Die häufigste Sicherheitsverletzung im KI-Kontext ist nicht spektakulär: Ein Mitarbeiter gibt eine vertrauliche Information in eine öffentliche KI ein. Eine Vertragsklausel, eine Personalakte, eine Kalkulation. Die KI speichert die Eingabe (je nach Vertrag), nutzt sie möglicherweise zum Training, und im schlimmsten Fall taucht sie indirekt in einer Antwort an einen anderen Nutzer auf.
Bekanntester Fall: Samsung, 2023. Ingenieure gaben Quellcode und interne Dokumente in ChatGPT ein, um Hilfe bei Fehlerbehebung zu bekommen. Das Unternehmen erließ ein temporäres Verbot der Tool-Nutzung — und führte später einen abgesicherten internen Zugang ein.
Die Verteidigung läuft auf drei Ebenen. Erstens: Klare interne Regeln, welche Daten nicht in öffentliche KI-Tools eingegeben werden dürfen. Diese Regeln müssen einfach und einprägsam sein — eine zwanzigseitige Richtlinie wird ignoriert. Zweitens: Bereitstellung einer sauberen Alternative. Wenn das Unternehmen einen vertraglich abgesicherten KI-Zugang anbietet (z. B. ChatGPT Enterprise mit ausgeschaltetem Training oder eine interne Lösung), nutzen Mitarbeitende diesen. Wenn nicht, nutzen sie die öffentliche Version. Drittens: Awareness und Beispiele. Ein einfaches Bewusstsein, was passieren kann, wirkt mehr als jede technische Maßnahme.
Die teuerste, aber unwirksamste Lösung ist das Verbot ohne Alternative. Es führt direkt in die Schatten-KI — Mitarbeitende nutzen ihre privaten Konten, der Datenfluss wird unkontrollierbar, die Risiken werden größer. Wer KI verbieten will, muss zumindest erklären, was stattdessen geht.
Supply-Chain-Risiko — was wenn der KI-Anbieter selbst kompromittiert wird.
Die meisten Mittelständler nutzen KI als Cloud-Service. Das ist praktisch und meist sicher, hat aber ein eigenes Risiko: Wenn der KI-Anbieter selbst kompromittiert wird oder einen Sicherheitsvorfall hat, ist das Unternehmen automatisch betroffen.
Konkrete Vorfälle gab es bereits. 2023 wurden bei einem Vorfall bei OpenAI ChatGPT-Nutzerdaten kurzzeitig sichtbar. 2024 gab es einen Vorfall bei einem prominenten KI-Coding-Assistenten, bei dem Quellcode-Schnipsel von Kunden in Antworten anderer Kunden auftauchten. Solche Vorfälle werden weiter passieren, auch bei Premium-Anbietern.
Das Risiko lässt sich nicht eliminieren, aber begrenzen. Drei Hebel haben sich bewährt. Erstens: Vertragliche Absicherung. Welche Informationspflichten hat der Anbieter im Fall eines Vorfalls? Welche Haftung übernimmt er? Standard-AGB reichen hier oft nicht — bei kritischen Anwendungen sollten Sonderkonditionen verhandelt werden. Zweitens: Sicherheitszertifizierungen prüfen. SOC 2 Typ II, ISO 27001, ggf. Branchen-Spezifika. Dritte Anbieter ohne solche Zertifizierungen sollten kritisch geprüft werden. Drittens: Plan B im Hinterkopf. Was tun, wenn der Anbieter ausfällt oder ein Datenleck meldet? Eine kurze Notfallprozedur — wer wird informiert, welche Tools werden temporär abgeschaltet, wer prüft den Vorfall — gehört in das interne Krisenhandbuch.
Grenzen — was diese Maßnahmen nicht leisten.
Drei Punkte verdienen ehrliche Anerkennung.
Erstens: KI-Sicherheit ist ein Wettrennen. Die Angreifer-Werkzeuge verbessern sich genauso schnell wie die Verteidigung. Was heute funktioniert, kann in zwölf Monaten umgangen sein. Eine einmalige Sicherheitsanalyse reicht nicht — es braucht eine laufende Überprüfung der eigenen Lage.
Zweitens: Vollständigen Schutz gibt es nicht. Wer in Sicherheit investiert, reduziert das Risiko, ohne es zu eliminieren. Die Erwartung „kein Vorfall mehr möglich“ führt in falsche Sicherheit. Wichtiger ist, dass im Vorfall die richtigen Reaktionen vorbereitet sind: Erkennung, Eindämmung, Wiederherstellung, Kommunikation.
Drittens: Cyberversicherung ist ein Hebel, aber kein Ersatz. Eine gute Cyber-Police deckt Schadensersatz, Wiederherstellungskosten und manche Folgeschäden ab. Was sie nicht abdeckt, ist der Reputationsschaden und der Vertrauensverlust bei Kunden und Mitarbeitenden. Diese Konsequenzen sind oft teurer als der unmittelbare Schaden — und sie lassen sich nicht versichern, nur durch Vorbereitung und transparente Kommunikation begrenzen.
Was Sie jetzt konkret tun sollten.
Drei Schritte führen aus einer reaktiven in eine aktive Sicherheitslage:
- KI-spezifische Sicherheitsbewertung. Welche KI-Tools sind im Einsatz, welche Datenanbindungen haben sie, welche Aktionsmöglichkeiten? Welche Risikoklassen aus der Übersicht oben treffen Ihr Unternehmen? Aufwand: ein bis zwei Wochen für eine erste Bestandsaufnahme.
- Quick Wins umsetzen. Verfahrenspflicht bei Bankdatenänderungen, Code-Wörter, Vier-Augen-Prinzip, externe Mail-Markierung, klare KI-Nutzungsregeln, sichere KI-Alternative. Diese Maßnahmen kosten wenig und wirken schnell.
- Langfristige Hebel angehen. Cyberversicherung mit KI-Modul, Sicherheitsprüfung der eingesetzten KI-Anbieter, Awareness-Training mit aktuellen Beispielen, Notfallplan für KI-Vorfälle. Das ist ein 12-Monats-Programm, kein Sprint.
Was Sie nicht tun sollten: KI-Sicherheit als Sonder-Problem betrachten, das die IT alleine lösen kann. Die wichtigsten Hebel sind organisatorisch — Prozesse, Regeln, Awareness. Diese Maßnahmen verlangen Führungsaufmerksamkeit, nicht primär Technik. Wer das delegiert und nicht selbst mit dem Thema umgeht, wird die nötige Disziplin im Unternehmen nicht etablieren — und damit das größte Risiko nicht adressieren.
Sie wollen die Cybersecurity-Risiken Ihrer KI-Anwendungen einmal strukturiert prüfen? Unverbindlich anfragen — wir schauen gemeinsam auf eingesetzte Tools, Angriffsflächen, Quick Wins und langfristige Hebel.