Zum Inhalt springen
Gesellschaft, Ethik, Recht

KI-Sicherheit im Unternehmen: Was jetzt zu tun ist

Prompt Injection, Data Poisoning und autonome Agenten schaffen Angriffsflächen, die klassische IT-Security nicht abdeckt. Ein nüchterner Blick auf Risiken und wirksame Maßnahmen.

Lukas GörögLukas Görög5 Min. Lesezeit
KI-Sicherheit im Unternehmen: Was jetzt zu tun ist
KI-Sicherheit im Unternehmen: Was jetzt zu tun ist

KI-Sicherheit im Unternehmen verlangt 2026 mehr als eine Erweiterung der bestehenden IT-Security. Die drängendsten Risiken heißen Prompt Injection, Data und Model Poisoning sowie KI-generierter Schadcode, und sie greifen an Stellen an, die klassische Firewalls und Virenscanner nicht sehen. Wer KI produktiv einsetzt, sollte diese Systeme als eigene Angriffsfläche behandeln und sie mit spezifischen Kontrollen absichern.

Das ist keine Panikmache. Es ist der Stand, den mehrere unabhängige Quellen zu Jahresbeginn 2026 gemeinsam zeichnen. Und er hat sich schneller verschoben, als es die meisten Sicherheitskonzepte nachvollzogen haben.

Wie ernst ist die KI-Sicherheitslage in Unternehmen wirklich?

Ernst genug, dass KI im aktuellen Allianz Commercial Risikobarometer 2026 auf Platz 2 der größten Geschäftsrisiken weltweit gestiegen ist, von zuvor Platz 10. Der Report beruht auf über 3.300 befragten Experten aus 97 Ländern, von denen 32 Prozent KI als Unternehmensrisiko nennen.

Diese Einordnung deckt sich mit dem, was Sicherheitsbehörden sagen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in einer Cybersicherheitsanalyse, dass KI-Systeme inzwischen leistungsfähig genug sind, um Software-Schwachstellen "innerhalb kurzer Zeit" umfassend und teilweise autonom zu erkennen, zu analysieren und in verwertbare Angriffspfade zu überführen. Die Folge, so das BSI, könnte eine "erheblich steigende Zahl neu entdeckter Schwachstellen, Exploits, Patches und Folgevorfällen" sein.

US-Behörde CISA und das britische NCSC haben laut einem Bericht von Anfang 2026 gemeinsam vor einer neuen Bedrohungslage durch KI gewarnt und einen Wandel weg von reiner Compliance hin zu kontinuierlicher Sicherheit gefordert. Der von Yoshua Bengio geleitete International AI Safety Report 2026 stellt zudem fest, dass KI-Agenten autonomer werden und die Autonomie von Menschen einschränken können.

Was sind Prompt Injection und Data Poisoning konkret?

Es sind Angriffe, die das Verhalten eines KI-Modells verändern, ohne dass der Angreifer in die klassische Infrastruktur eindringen muss. Bei Prompt Injection werden dem Modell manipulierte Anweisungen untergeschoben, bei Data Poisoning werden Trainings- oder Wissensquellen vergiftet. Beides umgeht Firewalls, weil der Angriff über den ganz normalen Eingabekanal läuft.

Das BSI beschreibt große Sprachmodelle als neue Angriffsfläche und führt Prompt Injections und indirekte Prompt Injections als eigene Schwachstellenklassen. Ein Fachbeitrag zu KI-Sicherheitstrends 2026 bei IT-Daily nennt drei Muster, die man kennen sollte:

  • Indirekte Prompt Injection: Schadanweisungen stecken in einer Webseite oder einem Dokument, das die KI verarbeitet, nicht im direkten Nutzereingang.
  • Retrieval Poisoning: Die angebundenen Wissensquellen einer KI werden gezielt vergiftet, sodass das Modell falsche oder manipulierte Antworten liefert.
  • Adversarial Content: Speziell gestaltete Inhalte, die das Modellverhalten verändern.

Trend Micro warnt für 2026 zusätzlich vor Model Backdoors und Schwachstellen in Inferenzservern und KI-Frameworks. KI-basierte Angriffe bezeichnen die Forscher als "Hauptangriffsvektor" moderner Cyberbedrohungen. Besonders hohe Risiken sehen sie bei Software-Lieferketten und KI-Infrastrukturen.

Warum reicht klassische IT-Security nicht mehr aus?

Weil die Angriffe an einer Stelle ansetzen, für die es bisher keinen Wächter gab: der Sprache und den Daten, mit denen ein Modell arbeitet. Ein Perimeter-Schutz sichert Netzgrenzen, aber ein Modell, das eine präparierte E-Mail zusammenfasst, führt die versteckte Anweisung darin einfach aus. Der Schaden entsteht innerhalb der erlaubten Nutzung.

Dazu kommt der Entwicklungsbereich selbst. Mehrere Quellen betonen, dass vergiftete Daten in Trainings- und Build-Pipelines sowie fehlerhafter KI-generierter Code neue kritische Angriffsflächen schaffen. Ein Kommentar bei ComputerWeekly fordert deshalb, Entwicklungsumgebungen als kritische Infrastruktur zu behandeln, mit geprüften Software-Pipelines und Schutz der Modell-Governance. Wie tief KI-Agenten heute in Softwareprojekte eingreifen, zeigt unser Beitrag dazu, wie Entwickler ihre Apps mit KI-Agenten umbauen.

Aus meiner Beratungspraxis sehe ich hier die größte Lücke: Unternehmen führen einen Chatbot oder einen Agenten ein, aber niemand hat definiert, worauf dieses System zugreifen darf und wer haftet, wenn es etwas Falsches tut. Genau an diesem Punkt beginnt KI-Sicherheit im Unternehmen, und sie beginnt organisatorisch, nicht technisch.

Wer die Verantwortlichen für diese Fragen erst aufbauen muss, sollte die Grundlagen strukturiert legen. Eine eintägige Schulung zur KI-Kompetenz nach EU AI Act vermittelt Management, Compliance und IT das gemeinsame Vokabular, um Risiken wie Prompt Injection überhaupt zu bewerten. Das ersetzt keine technische Absicherung, schafft aber die Entscheidungsgrundlage. Für rein technische Teams ist das Format weniger gedacht, dort geht es zu breit an.

Welche Schutzmaßnahmen empfehlen Behörden und Fachquellen jetzt?

CISA und NCSC nennen zwei Grundprinzipien: das Prinzip der geringsten Privilegien konsequent umsetzen und bei risikoreichen Aufgaben einen Menschen in der Entscheidungskette behalten. Darüber hinaus zeichnen die aktuellen Analysen ein konsistentes Bild an Maßnahmen, die über klassische Sicherheit hinausgehen.

  1. Klare KI-Policies: Zugriffsregeln, erlaubte Einsatzszenarien und Grenzen für autonome Entscheidungen schriftlich festlegen.
  2. Identitäten für KI-Agenten: Agenten mit Aktionsberechtigung brauchen eindeutige Identitäten und eine kontext- und risikobasierte Autorisierung. Es müssen Mechanismen verhindern, dass ein Modell eigene Berechtigungen eskaliert.
  3. Monitoring und Audit: KI-Interaktionen und autonome Entscheidungen kontinuierlich überwachen, KI-generierten Code prüfen, Verantwortlichkeiten für Modell-Updates klar zuweisen.
  4. Red-Teaming gegen Prompt Injection: Der Security-Ausblick 2026 bei Security-Insider beschreibt gezieltes Red-Teaming und spezifische Schutzmechanismen gegen Prompt Injection als Pflichtmaßnahmen.
  5. Daten an der Quelle klassifizieren: Sensible Daten kennzeichnen, riskantes Surfen isolieren, Build-Umgebungen abschotten und den Umgang mit Secrets absichern.

Der BSI ergänzt eine Perspektive, die oft untergeht: KI lässt sich auch zur Verteidigung nutzen. Die Behörde empfiehlt, KI für die Vorprüfung und Priorisierung gemeldeter Schwachstellen einzusetzen, IT-Produkte und Patches vor Veröffentlichung durch KI zu testen und bei Zero-Day-Angriffen mit KI-basierten Detektionsregeln die Zeit bis zum Sicherheitsupdate zu überbrücken.

IT-Daily prognostiziert, dass Unternehmen über einfache LLM-Gateways hinaus ein umfassendes KI-Sicherheitsmanagement etablieren müssen, oft als AI-SPM (AI Security Posture Management) bezeichnet. Es steuert Modelle, schützt Daten, verwaltet Identitäten und überwacht das Netzwerkverhalten.

Wie passt das zu EU AI Act und ISO 42001?

Regulatorik und Sicherheit sind hier zwei Seiten derselben Medaille. Der EU AI Act ordnet KI-Anwendungen nach Risiko und verlangt für höhere Kategorien Dokumentation, Transparenz und menschliche Aufsicht. Genau diese Aufsicht ist auch die technische Antwort auf Prompt Injection. Wer Compliance sauber aufsetzt, hat viele Sicherheitsfragen bereits mitbeantwortet.

Wie unterschiedlich Regulierung ausfallen kann, zeigt unser Vergleich von EU AI Act und US-Regulierung. Für Unternehmen, die ein Managementsystem strukturiert aufbauen wollen, existiert mit ISO 42001 ein Rahmen dafür. Die dazu passende Ausbildung zum zertifizierten Manager für KI-Managementsysteme nach ISO 42001 richtet sich an Führungskräfte, die Governance, Risikomanagement und Sicherheit dauerhaft verankern sollen. Für ein einzelnes Pilotprojekt ist das drei Tage lange Format überdimensioniert, für den unternehmensweiten Rollout dagegen der richtige Zuschnitt.

Was bedeutet das konkret für Ihr Unternehmen?

Der pragmatische Einstieg ist eine Bestandsaufnahme, keine große Sicherheitsarchitektur. Klären Sie zuerst, wo KI bereits im Einsatz ist, oft mehr als gedacht, und auf welche Daten und Systeme diese Anwendungen zugreifen.

  • Listen Sie alle produktiven und experimentellen KI-Anwendungen auf, inklusive der von Fachabteilungen eingeführten Tools.
  • Prüfen Sie für jede, welche Rechte sie hat und ob das Prinzip der geringsten Privilegien greift.
  • Definieren Sie für risikoreiche Prozesse eine menschliche Freigabe, bevor eine KI-Aktion Wirkung entfaltet.
  • Testen Sie eine zentrale Anwendung gezielt gegen Prompt Injection, bevor Sie sie breit ausrollen.

Zurück zur Ausgangsfrage, was jetzt zu tun ist: Der Unterschied zu 2024 liegt nicht darin, dass die Bedrohungen völlig neu wären, sondern darin, dass Behörden wie BSI, CISA und NCSC sie 2026 übereinstimmend als eigenständige Risikoklasse einordnen und konkrete Kontrollen einfordern. KI-Sicherheit im Unternehmen ist damit vom Sonderthema zur Führungsaufgabe geworden. Wer seine KI-Systeme wie eine Angriffsfläche behandelt, sie überwacht und ihnen nur so viel Autonomie gibt, wie er kontrollieren kann, ist auf die Lage vorbereitet. Der nächste Schritt ist nicht das nächste Tool, sondern die ehrliche Frage, welche Ihrer KI-Anwendungen heute mehr darf, als sie sollte.

0 Kommentare
Teilen

Diskussion

Kommentare werden vor der Veröffentlichung moderiert.

Noch keine Kommentare. Schreiben Sie den ersten.