KI schafft neue Cybergefahren: Fehlende Transparenz und erzwungenes Vertrauen kollidieren mit Zero-Trust-Strategien und strengen Vorgaben wie DSGVO und NIS-2. Ein sicherer KI-Einsatz, zum Beispiel auch um SAP-Umfeld, erfordert konsequente Systemhärtung, klare Richtlinien und menschliche Aufsicht – für verlässliche Security und Compliance.
Es liegt in der Verantwortung jeder Organisation, die KI-basierte Dienste besitzt, nutzt oder bereitstellt, sicherzustellen, dass die zugrunde liegenden Trainingsmodelle geschützt sind.
(Bild: IM Imagery - stock.adobe.com)
Künstliche Intelligenz analysiert riesige Datenmengen und trifft Entscheidungen auf der Grundlage von Mustern, die manchmal schwer zu verstehen sind. Dieser Mangel an Transparenz kann ein Problem für Unternehmen sein, die Vorschriften und Standards einhalten müssen, welche von ihnen verlangen, dass sie in der Lage sind, ihre Sicherheitsentscheidungen zu erklären. Gemäß der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union müssen Unternehmen beispielsweise in der Lage sein, die Logik hinter automatisierten Entscheidungen zu erklären, die Einzelpersonen betreffen.
Ein weiteres der größten Risiken von KI in der Bedrohungslandschaft der Cybersicherheit ist die Ungewissheit über ihre Ergebnisse. KI-Systeme treffen Entscheidungen auf der Grundlage der Daten und Algorithmen, mit denen sie trainiert wurden. Menschen verifizieren die Ergebnisse nicht immer. Dieser Prozess kann zu einer Situation führen, in der Menschen der KI blind vertrauen müssen, ohne vollständig zu verstehen, wie oder warum sie eine bestimmte Entscheidung getroffen hat.
Dieses Maß an Vertrauen ist ein grundlegender Konflikt mit den weit verbreiteten Zero-Trust-Strategien in der Cybersicherheit. Diese betonen, wie wichtig es ist, jede (Zugriffs-)Anfrage unabhängig von der Quelle zu verifizieren und zu authentifizieren. Mit zunehmender Reife der KI wird die Überprüfung der erzielten Ergebnisse aber immer schwieriger, wenn nicht sogar unmöglich.
Bei KI ist nicht immer ersichtlich, welche Absicht hinter einer bestimmten Antwort steckt. Es wird zur Herausforderung, die Richtigkeit und Authentizität der von KI-Systemen generierten Informationen zu überprüfen. Solange eine Aussage Sinn ergibt, könnte man es als unerheblich betrachten, wie die KI zu ihr gelangt. Problem: Es gibt Regularien wie NIS-2 oder die GDPDR, die nach genau diesem Zustandekommen fragen und – wenn es nicht hergeleitet werden kann – die Aussage nicht gelten lassen. Die Lösung bestünde dann darin, KI-Einsatz nur dort zuzulassen, wo es solche Regularien nicht gibt. SAP definiert konkret Fälle mit hohem Risiko und legt fest, dass sie nicht von KI berührt werden sollen. Zu den Richtlinien des Unternehmens gehört die Verarbeitung personenbezogener Daten (in Bezug auf eine natürliche Person) und sensibler Daten (in Bezug auf sexuelle Orientierung, Religion oder biometrische Daten wie Gesichtsanalyse (face imaging) oder Spracherkennung).
Höheres Maß an Schutz und Bewusstsein ist erforderlich
Sicherheitsorganisationen müssen bei der Interaktion mit KI-Systemen Vorsicht walten lassen und eine hohe Skepsis bewahren. Die Herausforderung, bösartige KI-Systeme zu erkennen, wird nur noch größer werden, wenn KI-Technologien weiterentwickelt und immer vernetzter werden. Mit ihrer zunehmenden Intelligenz könnten sie bald in der Lage sein, dynamisch auf Ereignisse innerhalb von Organisationen zu reagieren. Zum Beispiel können Beschäftigte scheinbar legitime Nachrichten von einem KI-System erhalten, das vorgibt, zum Support-Team zu gehören, das sich aufgrund einer geplanten Wartung gemeldet hat.
Dies unterstreicht, wie wichtig es ist, bei der Erkennung und Abwehr bösartiger KI-Systeme proaktiv vorzugehen, mit anderen Worten, sein (SAP-)System entsprechend zu härten: Angriffsfläche reduzieren durch Patch Management, sicherheitskonforme Systemkonfiguration und sicherer Custom Code. Wer diese drei Komponenten der Systemhärtung anwendet, hat damit die Voraussetzung für eine KI-gesteuerte SAP-Security geschaffen.
Essenziell sind außerdem Schulungen darüber, wie man potenzielle Social-Engineering-Angriffe erkennt und darauf reagieren kann. Sie sollten münden im Ausarbeiten entsprechender Leitlinien und der konkreten Anpassung interner Abläufe. Etwa derart, dass auf Links auch in internen E-Mails verzichtet werden soll – Absender können manipuliert sein und werden von den meisten als solche nicht erkannt. Hier also besser mit Kollaborationslösungen wie Microsoft Teams oder internen Portalen wie Confluence arbeiten.
Beruhigend zu wissen, dass SAP in seinen Leitprinzipien für Künstliche Intelligenz ausdrücklich auf Transparenz hingewiesen hat. Das Unternehmen erklärt: „Unsere Systeme unterliegen spezifischen Standards, die sich nach ihrem technischen Leistungsniveau und ihrem Verwendungszweck richten. Ihre Eingaben, Fähigkeiten, ihr Verwendungszweck und ihre Grenzen werden unseren Kunden klar mitgeteilt.“ Diese zukunftsweisenden Prinzipien werden Kunden beruhigen, die Bedenken hinsichtlich der Einführung von KI-gestützten Technologien haben.
Ein weiterer Ansatz, um Unternehmen dabei zu helfen, ihre KI-Ängste zu lindern, ist die Einführung eines Rahmens für ethische Praktiken. Die Ethikleitlinien der Europäischen Kommission für vertrauenswürdige KI betonen die Bedeutung von Transparenz, Rechenschaftspflicht und menschlicher Aufsicht bei der Entwicklung und dem Einsatz von KI-Systemen. Ein Unternehmen sollte prüfen, inwieweit sie diese in seine internen Policies aufnimmt und damit einen solchen Rahmen schafft.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
KI hat das Potenzial, unser Leben in vielerlei Hinsicht zu verbessern, aber es ist entscheidend, sie ethisch und sicher zu nutzen. Derzeit wird sie bereits in verschiedenen Branchen eingesetzt, um die Produktivität zu steigern, Aufgaben zu automatisieren und innovative Lösungen zu schaffen. Mit ihrer Weiterentwicklung wird KI immer ausgefeilter in Geschäftsanwendungen wie ERP-Systeme integriert werden. Umso wichtiger wird es, ethische und datenschutzrechtliche Erwägungen bei der Entwicklung und Implementierung zu berücksichtigen. Nur so lassen sich unbeabsichtigte Folgen wie Voreingenommenheit bei der KI-Entscheidungsfindung oder Datenschutzverletzungen vermeiden.
Fazit
Es liegt in der Verantwortung jeder Organisation, die KI-basierte Dienste besitzt, nutzt oder bereitstellt, sicherzustellen, dass die zugrunde liegenden Trainingsmodelle geschützt sind: durch Implementierung strenger Richtlinien für die Verwaltung und Überprüfung der von KI-Systemen verwendeten Trainingsdaten oder durch Treffen von Sicherheitsmaßnahmen, um Manipulationen der Trainingsmodelle zu erkennen und zu verhindern.
Über den Autor: Holger Hügel ist Product Management Director bei SecurityBridge.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/03/2d/032d6a97078ed8b14c380b4cfb0125cd/0129257875v2.jpeg "Die beliebteste Passwortwahl hat sich kaum geändert, während Cyberkriminelle immer ausgeklügeltere Methoden entwickeln, um in Konten und Daten einzudringen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2e/2a/2e2ac965035d3a6fd7ac2fd253f1bbf0/0129285508v2.jpeg "Bei den gestohlenen Daten handle es sich größtenteils um interne Informationen sowie personenbezogene Daten von Bumble-Mitarbeitenden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3f0eef0140714a3397057a1ac1bb4/0129321130v2.jpeg "Die Werkstatt Bremen betreut als Dienstleister die Computertechnik der Beweisstückstelle der Polizei. Glücklicherweise hat der Ransomware-Angriff keine Auswirkungen auf die reguläre Arbeit der Polizei. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/75/7c754f68090dae4a979abbbd877ff774/0129310503v2.jpeg "Instant Messaging und Kollaborationstools werden zum Einfallstor für Cyberangriffe auf die Automobilindustrie. Sichere, DSGVO-konforme Kommunikation wird zur strategischen Notwendigkeit. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/21/d1/21d1c191d71d4c5e11c33df897f23005/0129068361v1.jpeg "Symbolbild: Mehrstufige Perimetersicherung mit Zaun, Zutrittskontrolle und Videoüberwachung zählt zu den Basismaßnahmen, um kritische Rechenzentrumsstandorte vor unbefugtem Zugriff zu schützen. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/b9/bdb94bdad4100b29346fe4392185cbd0/0129008419v1.jpeg "China kritisiert EU-Pläne, Anbieter von Netzwerktechnik wegen Sicherheitsbedenken auszuschließen. Das verletze die Regeln des fairen Wettbewerbs. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/21/41/21416a22094050a42523321b4cae1941/0113384447.jpeg "Als Unternehmen sollte man zurückhaltend bei der Nutzung eines Dienstes wie ChatGPT sein. Es empfiehlt sich, die weiteren Ergebnisse der Datenschutzaufsichtsbehörden genau zu beachten. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/14/aa/14aa362cb23a420707d28944d163c2c4/0121432641v2.jpeg "Je nach Herkunftsland einer KI besteht bei vielen Unternehmen die Unsicherheit, was mit ihren Daten dort geschehen könnte. In Deutschland und in der EU insgesamt vertraut man dagegen auf den Datenschutz und die KI-Regulierung, an die sich die Anbieter halten müssen. (Bild: Franklin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647v2.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/d6/79d6de3a752cac1ebb8120ccd01f7a41/0121277360v2.jpeg "Der EU AI Act soll Innovationen nicht im Keim ersticken – im Gegenteil. Durch Klarheit und das damit verbundene Vertrauen soll die Entwicklung von KI gefördert sowie die öffentliche Akzeptanz erhöht werden. (Bild: Franklin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/62/5b627a6796ceb5333a403f9f5d6f813c/0122181205v2.jpeg "ETH-Benchmark bescheinigt KI-Sprachmodellen eine noch unzureichende Compliance. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/10/a7/10a71246f9ef39f3191e450426ae2e92/0123135247v1.jpeg "Der Autor: Florian Lauck-Wunderlich ist Head of AI and Advanced Analytics Consulting EMEA bei Pegasystems (Bild: Pegasystems)")
:quality(80)/p7i.vogel.de/wcms/8a/fe/8afe405b9e0c706205333d2a6f2a04d6/0124568746v2.jpeg "Der KI-Report von Axis Communications beleuchtet u. a. die wachsende Bedeutung von Edge- und Cloud-KI sowie neue Anwendungsszenarien für Netzwerkkameras im Bereich betriebliche Effizienz und Business Intelligence. (Bild: Axis)")