Viele Firmen unterschätzen Geräte, die harmlos wirken, wie etwa Drucker. Solche Geräte sind oft mit dem Netzwerk verbunden und speichern Zugangsdaten oder Dokumente. Das macht sie zu einer Tür, durch die sich Angreifer bewegen können, ohne sofort bemerkt zu werden. Für Geschäftsführer, die künstliche Intelligenz einführen wollen, ist das ein wichtiges Beispiel: Die gleichen Fehler, die bei Druckern gemacht werden, passieren leicht auch bei KI-Systemen und allen anderen vernetzten Geräten.
Zuerst ein Bild, das man sich merken sollte: In vielen Unternehmen machen vernetzte Geräte einen großen Teil aller angeschlossenen Geräte aus. Viele von ihnen laufen lange, ohne dass jemand jeden Tag nachschaut. Sie haben oft Konten mit hohen Rechten, zum Beispiel Zugänge, die so viel dürfen wie ein Administrator. Wenn diese Zugänge nicht richtig geschützt sind, können Angreifer sich von diesem Gerät aus quer durch das Netz bewegen. Das passiert nicht nur technisch, sondern weil Organisationen oft nicht klar regeln, wer verantwortlich ist, kein Budget bereitstellen oder Sicherheitsregeln nicht durchsetzen. Das ist kein reines Technikproblem, sondern ein Führungsproblem.
Was bedeutet das konkret für den Einsatz von KI? Erstens muss man davon ausgehen, dass jede neue Technologie zusätzliche Angriffsflächen bringt. Wenn eine KI etwa Dokumente verarbeitet, Kundendaten auswertet oder Entscheidungen vorschlägt, dann liegen dort sensible Informationen. Werden die Systeme mit zu vielen Rechten betrieben, mit einfachen oder alten Kennwörtern, oder werden sie nie aktualisiert, dann entsteht ein großes Risiko. Ebenso gefährlich ist das Denken „einmal einrichten und dann vergessen“. Systeme brauchen Pflege, Kontrolle und klare Verantwortliche.
Ein weiterer wichtiger Punkt ist, dass viele Geräte und Dienste heute nicht nur eine Aufgabe erfüllen. Sie laufen als vollständige Dienste im Netz: sie versenden Mails, speichern Dateien, stellen Webseiten bereit oder übertragen Daten. Deshalb darf man sie nicht wie einfache Peripherie behandeln. Für KI bedeutet das: Ein System, das Texte generiert oder Daten analysiert, kann mehrere Funktionen haben und muss deshalb von Anfang an sicher gebaut werden. Das heißt auch, dass Identitäten, Zertifikate und Zugänge zentral verwaltet werden müssen. Solche Dinge verursachen Kosten und Arbeit, die viele Führungskräfte unterschätzen. Ohne eine zuverlässige Verwaltung von Identitäten entstehen Lücken, die später teuer werden.
Was sollten Geschäftsführer konkret ändern? Zuerst einmal müssen sie Verantwortlichkeiten schaffen: Es braucht eine klare Stelle oder Person, die das Inventar aller vernetzten Geräte und KI-Anwendungen kennt und für deren Sicherheit sorgt. Dazu gehört ein regelmäßiges Nachsehen, ob Geräte noch gebraucht werden, ob sie aktuelle Sicherheitsstände haben und ob die Zugangsdaten sicher sind. Budget muss dafür freigegeben werden. Sicherheitsmaßnahmen lassen sich nicht zum Nulltarif nachrüsten, und ohne Geld wird nur Stückwerk entstehen.
Organisatorisch sollten Regeln verbindlich werden. Neue Geräte oder KI-Anwendungen dürfen erst in Betrieb gehen, wenn sie einem Prüfprozess unterzogen wurden. Dieser Prozess umfasst einfache Dinge wie das Entfernen von Werkseinstellungen, das Festlegen starker Kennwörter, das Beschränken von Rechten und das Verschlüsseln sensibler Daten. Außerdem brauchen die Systeme Übersicht: Wer greift wann auf welche Daten zu? Welche Protokolle werden genutzt? Diese Fragen müssen beantwortet und protokolliert werden, damit im Ernstfall ein schneller Überblick entsteht.
Es ist wichtig, die IT-Umgebung zu segmentieren. Nicht alle Geräte oder KI-Dienste sollten im gleichen Netzteil sein. Wer das macht, begrenzt die Bewegungsfreiheit eines Angreifers. Ebenso wichtig ist das permanente Monitoring: Es muss erkennbar sein, wenn ein Gerät sich ungewöhnlich verhält oder wenn Daten an Orte geschickt werden, die nicht vorgesehen sind. Dazu gehört auch, dass Vorfälle geübt werden. Ein Notfallplan und regelmäßige Übungen helfen, im Fall der Fälle schnell zu reagieren.
Bei der Beschaffung von KI-Lösungen sollten Geschäftsführer auf sichere Lieferketten achten. Man muss mit den Anbietern klare Vereinbarungen treffen: Wer übernimmt die Sicherheit, wer sorgt für Updates, wie wird mit Daten umgegangen? Verträge sollten Verantwortlichkeiten, Prüfrechte und Reaktionszeiten im Falle eines Sicherheitsvorfalls regeln. Externe Rechenzentren oder Dienste müssen genauso geprüft werden wie eigene Geräte.
Ein weiterer praktischer Aspekt ist die Ausbildung der Mitarbeitenden. Führungskräfte müssen die Risiken verstehen und sicherstellen, dass die Mitarbeiter einfache Sicherheitsregeln befolgen. Dazu zählt das sichere Anlegen und Verwahren von Zugangsdaten, das Melden ungewöhnlicher Ereignisse und der verantwortungsvolle Umgang mit sensiblen Informationen. Technische Maßnahmen helfen nur, wenn Menschen mitmachen.
Nun zu konkreten Anwendungsfällen, bei denen diese Maßnahmen besonders wichtig sind. Wenn KI im Kundenservice eingesetzt wird, um Anfragen zu bearbeiten, dann müssen die Daten der Kunden geschützt werden. Das System darf nicht ungeprüft auf alle Kundendaten zugreifen, und es muss protokolliert sein, wer welche Informationen sehen kann. Bei der automatischen Verarbeitung von Verträgen oder Rechnungen muss darauf geachtet werden, dass vertrauliche Zahlen und Klauseln nicht offen im System liegen oder an ungesicherte Orte geschickt werden. Bei der vorausschauenden Wartung von Maschinen, wo Sensoren Daten an KI senden, müssen die Verbindungen abgesichert sein, damit niemand Daten manipuliert und so Fehlentscheidungen provoziert. Auch bei der Auswahl von Bewerbern durch KI-Systeme ist Vorsicht geboten: Daten müssen geschützt werden, Entscheidungen nachvollziehbar sein und es muss eine Stelle geben, die Verantwortung trägt, falls etwas schiefgeht.
Zusammengefasst heißt das: Geschäftsführer, die KI einführen wollen, müssen sich genauso um Sicherheit, Verantwortlichkeiten und Betrieb kümmern wie beim Beispiel der Drucker zeigt. Es reicht nicht, Technik einzukaufen und zu hoffen, dass alles gut läuft. Es braucht Inventar, Regeln, Budget, klare Zuständigkeiten, Überwachung und Schulung. Nur so lassen sich Chancen der KI nutzen, ohne die Firma unnötig zu gefährden.