Digitale Sicherheit ist kein IT-Thema. Sie ist eine unternehmerische Verantwortung.

Beim KCDM-Event »Urheberrechte und digitale Sicherheit im Zeitalter der KI«, das im MAO Ljubljana stattfand, haben wir zwei Themen aufgegriffen, die Unternehmen noch immer zu häufig getrennt behandeln – den Einsatz von Künstlicher Intelligenz und die digitale Sicherheit – und vor allem darüber gesprochen, wie KI bereits heute Geschäftsprozesse, Rechtsfragen und das Sicherheitsrisiko von Unternehmen beeinflusst.

Themen dieses Beitrags

Rechtliche und organisatorische Fragen des Einsatzes generativer Künstlicher Intelligenz

Im ersten Teil der Veranstaltung stellten Eva Gostisa und Nejc Setnikar von der Anwaltskanzlei Jadek & Pensa den rechtlichen Rahmen des AI Act, der Urheberrechte und des Schutzes personenbezogener Daten vor und betonten, dass der AI Act die bestehende Gesetzgebung nicht ersetzt, sondern sie ergänzt.

Die Nutzung eines AI-Tools bedeutet daher noch nicht, dass Daten auch konform verwendet werden. Unternehmen wissen häufig nicht genau, welche Daten in die Modelle eingespeist werden, wo sie gespeichert werden, wer dafür verantwortlich ist und ob sie später als Teil generierter Inhalte wieder auftauchen können.

Bei generativer Künstlicher Intelligenz stellen sich schnell Fragen der Haftung, der Eigentumsrechte an Inhalten und der Möglichkeit, Daten oder urheberrechtlich geschützte Werke zu reproduzieren. Genannt wurde der Fall GEMA gegen OpenAI in Deutschland, in dem es um die Nutzung urheberrechtlich geschützter Texte für das Training von Modellen geht.

Und genau hier zeigt sich die größte Kluft zwischen den Erwartungen der Unternehmen und der Realität der Technologie. Unternehmen wünschen sich klare Antworten zu Datennutzung, Haftung und Eigentum an Inhalten, KI antwortet jedoch häufig nur: »es kommt darauf an«.

Die Diskussion über Künstliche Intelligenz verlagert sich deshalb sehr schnell vom Bereich der Regulierung zu einer viel praktischeren Frage: Wie viel Kontrolle haben Unternehmen überhaupt über ihre digitale Umgebung und ob sie grundlegende Prozesse, Zugriffe und Sicherheitspraktiken geregelt haben.

Das größte Risiko ist nicht KI, sondern eine intransparente digitale Umgebung

Im zweiten Teil der Veranstaltung sprach ich vor allem darüber, was Künstliche Intelligenz bereits heute für die digitale und informationelle Sicherheit von Unternehmen bedeutet.

Dabei zeigt sich schnell ein interessantes Paradoxon. Unternehmen beschäftigen sich mit KI-Strategien, Richtlinien und Produktivität, viele haben jedoch noch immer nicht einmal die grundlegenden Sicherheitsprozesse geregelt.

Die meisten Probleme verursachen nach wie vor nicht fortgeschrittene technische Angriffe, sondern schlechte Praktiken, Improvisation und mangelnde Übersicht über die eigene digitale Umgebung.

In der Praxis bedeutet das unübersichtliche Zugriffe, das Teilen von Passwörtern unter Mitarbeitenden, eine nach dem Prinzip »Hauptsache, es läuft« gewachsene Infrastruktur sowie unzureichende Kontrolle über Domains, Server und Schlüsselsysteme. Eine solche Umgebung ist nicht nur aus Sicht der Sicherheit problematisch, sondern auch aus Sicht der unternehmerischen Verantwortung. Wenn ein Unternehmen den Überblick über Zugriffe, Daten und Verantwortlichkeiten verliert, verliert es in der Regel auch die Möglichkeit, bei einem Vorfall wirksam zu reagieren.

KI ermöglicht Angreifern schnellere und gezieltere Angriffe

Künstliche Intelligenz schafft meist keine neuen Angriffsarten, sondern verbilligt, automatisiert und beschleunigt bestehende Angriffe. Phishing-Nachrichten sind nicht mehr voller Grammatikfehler und schlechter Übersetzungen. Generative Modelle ermöglichen sehr überzeugende Kommunikation in korrektem Slowenisch, oft auch im Ton eines konkreten Unternehmens oder einer Kollegin bzw. eines Kollegen.

Ähnliches gilt für das Sammeln von Informationen über Unternehmen. Aus Unternehmenswebsites, LinkedIn, Stellenanzeigen, öffentlich zugänglichen Beiträgen und Medienmeldungen lassen sich heute sehr schnell Profile von Mitarbeitenden, Organisationsstrukturen, Lieferanten sowie die vom Unternehmen eingesetzten Technologien erstellen. Was früher mehrere Tage Recherche erforderte, erledigt KI heute in wenigen Minuten.

Dabei ist es wichtig, auch den breiteren Kontext der digitalen Sicherheit zu verstehen:

der mit Abstand größte Teil der Angriffe beginnt weiterhin mit E-Mail,
kleine und mittlere Unternehmen sind deutlich häufiger Ziel von Angriffen,
die durchschnittliche Zeit bis zur Entdeckung eines Einbruchs überschreitet häufig mehrere Monate.

(Quelle: Verizon Data Breach Investigations Report 2025 und IBM Cost of a Data Breach Report 2024.)

Daher ist die Frage nicht mehr, ob Unternehmen KI nutzen. Die meisten tun das bereits. Entscheidend ist vielmehr, ob Unternehmen ihre Prozesse so ausreichend geregelt haben, dass sie den Einsatz überhaupt sicher steuern können.

Digitale Sicherheit scheitert am häufigsten an den Grundlagen

Wenn wir über digitale Sicherheit sprechen, stellen sich viele immer noch vor allem technisch anspruchsvolle Angriffe und komplexe Hackerintrusionen vor. In der Praxis entstehen jedoch die meisten Incidents weiterhin durch grundlegende Sicherheitslücken und schlechte organisatorische Praktiken.

Ein großer Teil der Angriffe beginnt nach wie vor mit E-Mail. Nicht wegen fortgeschrittener Technologie, sondern wegen eines falschen Klicks, eines ungeprüften Anhangs oder einer überzeugenden Nachricht, die legitim wirkt. Genau deshalb werden E-Mail-Schutz, Mehrfaktor-Authentifizierung und ein grundlegendes Sicherheitsbewusstsein der Mitarbeitenden zum Mindeststandard.

Ein wichtiges Problem bleiben auch Zugriffe. Unternehmen wissen oft gut, wie man jemandem Zugriff auf ein System gewährt, denken jedoch deutlich weniger darüber nach, wie und wann der Zugriff korrekt zu entziehen ist. Beim Wechsel von Mitarbeitenden, Agenturen oder externen Dienstleistern bleiben so in den Systemen häufig aktive Konten bestehen, von denen niemand mehr weiß, dass es sie gibt.

Ähnliches gilt für die Verwaltung von Domains, Servern und der Infrastruktur. Viele Unternehmen haben noch immer keinen klaren Überblick darüber, wer:

der Registrant der Domain ist,
wer die DNS-Einträge verwaltet und
wer Administratorrechte über die Kernsysteme hat.

Solange alles funktioniert, ist das in der Regel kein Problem. Schwierigkeiten entstehen erst bei einem Vorfall, beim Wechsel des Dienstleisters oder beim Verlust des Zugriffs.

Sicherheit scheitert daher meist nicht an der Technologie, sondern an der Organisation.

Sicherheit ist keine technische Funktion, sondern organisatorische Kultur

Einer der größten Irrtümer über digitale Sicherheit ist, dass es sich vor allem um ein technisches Thema handelt, mit dem sich die IT-Abteilung beschäftigt. In der Praxis zeigen sich die größten Unterschiede zwischen Unternehmen jedoch vor allem bei Organisation, Prozessen und einer Kultur der Verantwortung.

Technologie gewährleistet für sich genommen noch keine Sicherheit. Auch die besten Systeme helfen wenig, wenn das Unternehmen keinen Überblick über Zugriffe hat, wenn Mitarbeitende dieselben Passwörter für mehrere verschiedene Dienste verwenden oder wenn Schlüsselprozesse ohne klare Regeln und Verantwortlichkeiten ausgeführt werden.

Ähnlich wie bei der Sicherheit in den Bergen reicht auch in der digitalen Sicherheit gute Ausrüstung allein nicht aus. Entscheidend ist vor allem, wie das Unternehmen denkt, Entscheidungen trifft und wie gut es auf unvorhersehbare Situationen vorbereitet ist.

Ein großes Problem bleiben auch Backups. Viele Unternehmen glauben zwar, ihr Backup sei eingerichtet, deutlich weniger prüfen jedoch tatsächlich, ob sich die Daten auch erfolgreich wiederherstellen lassen. Ein Backup, das das Unternehmen nie überprüft oder testweise zurückgespielt hat, fällt häufig genau dann aus, wenn es am dringendsten benötigt wird.

Ähnliches gilt für Updates und das Vulnerability Management. Angreifer suchen heute häufig nicht nach neuen Lücken in Systemen, sondern nutzen alte und längst bekannte Schwachstellen, die Unternehmen nicht rechtzeitig behoben haben. Das regelmäßige Aktualisieren von Systemen ist daher keine technische Nebensächlichkeit mehr, sondern grundlegende digitale Hygiene.

Am Ende zeigt sich fast immer dasselbe Muster. Die meisten Probleme entstehen nicht durch fehlende Technologie, sondern durch fehlende Transparenz, Verantwortlichkeiten und klar definierte Prozesse.

Und genau deshalb ist digitale Sicherheit heute nicht mehr nur ein IT-Thema. Sie wird zur Frage der unternehmerischen Verantwortung der gesamten Organisation.

Fazit

KI ist heute nicht mehr nur ein Thema der Innovation, Produktivität oder der Entwicklung neuer Services. Zunehmend wird sie zu einem Thema der Verantwortung.

Rechtliche. Organisatorische. Sicherheitsbezogene.

Die meisten Unternehmen nutzen Künstliche Intelligenz bereits – oft deutlich stärker, als sie selbst vermuten. Es ist daher keine Zukunftsfrage mehr, sondern eine Frage der verantwortungsvollen Steuerung von Daten, Zugriffsrechten und Geschäftsprozessen.

Das größte Risiko besteht heute nicht darin, dass Unternehmen KI nicht nutzen werden. Das größte Risiko ist, dass sie sie schneller einsetzen, als sie sie verstehen, während Angreifer ihre Möglichkeiten sehr gut auszuschöpfen wissen.

Die Technologie wird sich dabei nicht verlangsamen. Unternehmen werden jedoch deutlich schneller klare Regeln, Verantwortlichkeiten und grundlegende digitale Hygiene etablieren müssen, wenn sie Künstliche Intelligenz sicher, verantwortungsvoll und langfristig tragfähig einsetzen wollen.

Und genau deshalb ist digitale Sicherheit heute nicht mehr nur ein IT-Thema. Sie wird Teil der Unternehmensführung, der Organisationskultur und der Verantwortung der gesamten Organisation.