KI-Lösungen gehören in vielen Unternehmen und Organisationen zum Alltag. Doch beim Umgang mit KI lauern Gefahren für die Datensicherheit und Compliance-Verstöße. GenAI-Firewalls bündeln Confidential Computing, RAG und Pseudonymisierung, damit Teams LLMs nutzen, ohne Patientendaten, Finanzdaten oder geistiges Eigentum offenzulegen.
Verschlüsselte KI-Interaktionen über eine GenAI-Firewall sollen den Austausch mit Sprachmodellen ermöglichen, ohne dass sensible Unternehmensdaten die geschützte Ausführungsumgebung verlassen.
Seit dem Launch der ersten ChatGPT-Version und dem darauffolgenden Hype sind generative KI-Systeme aus dem privaten und geschäftlichen Alltag nicht mehr wegzudenken – von Large Language Models (LLMs) über Specialized Language Models (SLMs) bis hin zu weiteren generativen Technologien. Einer Konjunkturumfrage des Ifo Instituts aus Juni 2025 zufolge verwenden bereits über 40 Prozent der deutschen Wirtschaftsunternehmen KI in ihren Geschäftsprozessen, mit stark steigender Tendenz.
Dies ist wenig verwunderlich, denn die Potenziale generativer KI in Kombination mit den Datenschätzen von Organisationen sind enorm. So könnten sichere Interaktionen mit Patientendaten etwa die Effizienz der Behandlungen im Krankenhaus deutlich steigern. In einem anderen Beispiel wiederum ließe sich die Analyse großer Mengen von Finanztransaktionen – ein Vorgang, der in Finanzhäusern zum alltäglichen Geschäft gehört – wesentlich schneller umsetzen.
Herausforderungen im Zusammenhang mit der KI-Nutzung
Mit der Nutzung gehen allerdings auch zahlreiche Herausforderungen einher, deren Bewältigung vor allem für Unternehmen in streng regulierten Sektoren eine große Hürde darstellt. Denn sobald sensible Informationen in die KI-Interaktionen einfließen, entstehen Gefahren für den Datenschutz und die Einhaltung regulatorischer Vorschriften wie DSGVO (Datenschutz-Grundverordnung) und HIPAA (Health Insurance Portability and Accountability Act). Vor allem in der Kombination mit öffentlichen oder falsch konfigurierten LLMs drohen Datenlecks, durch die sensible Daten und geistiges Eigentum offengelegt werden könnten.
Zudem haben bösartige Akteure längst auch ihrerseits das Potenzial künstlicher Intelligenzen erkannt und neuartige KI-basierte Angriffsvektoren entwickelt – wie etwa die „OWASP Top 10 for LLM Applications 2025“ zeigen. Dazu gehören unter anderem Techniken wie Prompt Injection oder Jailbreaking, im Zuge dessen LLMs so manipuliert werden, dass sie entgegen eigener Schutzmechanismen vertrauliche Informationen preisgeben.
Auch operative und betriebswirtschaftliche Herausforderungen spielen beim Einsatz von KI-Systemen eine nicht unerhebliche Rolle. So sind Unternehmen bei der Nutzung externer LLM-Modelle oft an limitierte Datenmengen gebunden oder müssen im Zuge des Token Pricing mit ausufernden Kosten rechnen – denn die Rechenleistung des Anbieters steigt mit der Menge der eingespielten internen Daten. Eine weitere operative Herausforderung stellen Abhängigkeiten von Organisationen in Bezug auf ihre spezifischen Security-Lösungen und -Anbieter dar, was es oft erschwert, andere Systeme zum Schutz der Daten bei KI-Nutzung zu integrieren. Diese Abhängigkeit kann ebenfalls zu steigenden Kosten und einer geringeren Flexibilität bei der Verwaltung der Sicherheit über verschiedene Plattformen hinweg führen.
Sichere Daten – selbst während der Verarbeitung
Eine Antwort auf all diese Herausforderungen liefern sogenannte GenAI-Firewalls, die zu jeder Zeit den Schutz der Daten gewährleisten, die Einhaltung regulatorischer Vorgaben ermöglichen und somit sichere Interaktionen mit KI-Systemen zulassen. Realisiert wird dies durch die Kombination verschiedener Technologien. Die Grundlage bildet der Ansatz des Confidential Computing, bei dem sämtliche Daten in allen drei Dimensionen (at rest, in transit, in use) verschlüsselt sind.
Diese „3D-Verschlüsselung“ schließt eine wichtige Lücke im konsistenten Schutz von Daten, die vor allem während des Verarbeitungsprozesses in Applikationen, etwa in RAM oder CPU, oft ungeschützt und angreifbar sind. Um dies zu verhindern, erfolgt die Kommunikation mit der KI ausschließlich über das User Interface der GenAI-Firewall, die wiederum in einer sicheren Enklave ausgeführt wird, also auf vertraulichen virtuellen Maschinen mit Hardware-basierter Isolierung. Dieser Ansatz schützt die verarbeiteten Daten vor sämtlichen nicht autorisierten Zugriffen, sogar vor Cloud Service Providern oder privilegierten Accounts wie Administratoren.
Doch wie genau sieht nun der Prozess der LLM-Nutzung per GenAI-Firewall aus? Zunächst erfolgt die Verknüpfung der benötigten (internen) Daten mit der verschlüsselten Enklave. Diese werden dort automatisch vektorisiert, mit Metadaten angereichert und in einer Vector Database hinterlegt. Anschließend erzeugen Nutzer über ein User Interface, ähnlich wie bei bekannten LLMs, einen Chatroom und starten die Interaktion in natürlicher Sprache. Die GenAI-Firewall vektorisiert diese Fragen, führt eine Datenabfrage an die Vector Database durch und gibt eine passende Antwort aus. In diesem ersten Schritt interagieren die Nutzer demnach zunächst mit ihren eigenen Datenbeständen im Sinne einer Retrieval Augmented Generation (RAG).
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Schematische Darstellung veranschaulicht den Workflow der KI-Interaktion über die GenAI-Firewall Garnet.
(Bild: enclaive)
Um die Ergebnisse dieser Interaktionen über generative KI-Systeme wie öffentliche LLMs mit zusätzlichen Infos anzureichern, oder interne Ergebnisse validieren zu lassen, müssen allerdings persönliche oder vertrauliche Daten verborgen werden. Dazu identifiziert die GenAI-Firewall bereits bei der RAG sensible Informationen und entwickelt eine Replacement Map, die pseudonymisierte Informationen für die externe LLM-Kommunikation vorschlägt. Da sich die Definition der sensiblen Daten je nach Branche und Anwendungsfall unterscheiden kann, lässt sich die GenAI-Firewall darauf trainieren, die richtigen Informationen zu identifizieren.
Alternativ ist auch eine manuelle Nachbearbeitung der Replacement Map möglich. Bei der folgenden Kommunikation mit einem LLM oder SLM durch den pseudonymisierten Prompt ist nun gewährleistet, dass das Modell keine Informationen erhält, die es nicht hätte bekommen dürfen. Die Antwort wird anschließend in der sicheren Enklave wieder mit den vertraulichen Daten angereichert und liefert dem User ein weitreichendes, vollumfängliches Ergebnis aus den internen Daten, validiert mit einer externen Perspektive durch das LLM.
Neben den offensichtlichen Vorteilen hinsichtlich des Datenschutzes profitieren Unternehmen jedoch auch darüber hinaus von modernen GenAI-Firewalls. So reduziert die Vorfilterung des eigenen Datenbestandes über die Vector Database die Menge an Informationen, mit der ein LLM gespeist wird. Auf diese Weise können Unternehmen große Datenmengen sicher und effizient nutzen, ohne an externe Modellbeschränkungen gebunden zu sein. Gleichzeitig sorgt die Vorfilterung für niedrigere Kosten bei der Nutzung generativer KI-Modelle, da die niedrigere Datenmenge auch die benötigte Rechenleistung auf Seiten des Anbieters reduziert.
Um das freigewordene Kapital nicht gleich an anderer Stelle wieder zu binden, sollten bei der Wahl einer GenAI-Firewall in jedem Fall herstellerunabhängige Lösungen in Betracht gezogen werden. Denn Organisationen entwickeln bezüglich ihrer Security-Lösungen häufig eine Abhängigkeit zu spezifischen Herstellern. Dadurch ist es schwerer, zwischen Anbietern zu wechseln oder andere Systeme zu integrieren. Diese Abhängigkeit erhöht wiederum die Gefahr steigender Kosten und einer geringeren Flexibilität bei der Verwaltung der Sicherheit über verschiedene Plattformen hinweg.
Unter Berücksichtigung aller genannten Aspekte und Herausforderungen profitieren Unternehmen und Organisationen von den enormen Effizienzsteigerungen, die fortschrittliche generative KI-Modelle für Unternehmensprozesse bieten können. GenAI-Firewalls markieren einen Wendepunkt im sicheren Umgang mit KI im Enterprise-Umfeld. Sie verbinden technologische Innovation mit regulatorischer Absicherung und eröffnen neue Wege für den Wissenstransfer – ohne dabei die Kontrolle über oder die Vertraulichkeit von Daten zu opfern. Wer heute in solche Schutzmechanismen investiert, stellt die Weichen für die vertrauenswürdige und zukunftsfähige Nutzung generativer KI-Systeme in Unternehmen.
Über den Autor: Andreas Walbrodt ist CEO und Co-Founder von enclaive, dem Confidential-Computing-Spezialisten hinter der GenAI-Firewall Garnet. Der Experte für innovative Geschäftsmodelle und Start-Up-Gründung verfügt über mehr als 30 Jahre Erfahrung im Bereich Cloud und IT-Security – und war unter anderem als Direktor bei IBM sowie Mitglied der Geschäftsleitung der TÜV Rheinland i-SEC GmbH tätig.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/10/ba/10bae076405664ebd82e96c36e36a3e8/0128826249v2.jpeg "In Mittelfranken wurde das IT-Netzwerk der Kreisklinik Roth Ziel eines Hackerangriffs, was kurzzeitig zur Schließung der Notaufnahme führte. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/d6/1bd65487872c5a13507782e703434a9e/0128868304v1.jpeg "KI kann als Enabler für effektive Compliance und Governance dienen, indem sie die Automatisierung von Risikoanalysen und Richtlinienentwicklungen unterstützt und somit die Herausforderungen der rasant wachsenden KI-Regulierungen in praktikable Lösungen umwandelt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/9a/c99a8808294a5aafcf9b076f7e8f9f1e/0122470970v1.jpeg "Der Microsoft Patchday im Januar 2026 zeigt erneut eine starke Konzentration auf lokale Rechteausweitungen und komplexe Angriffsketten, die Speicherlecks, Kernel-Bugs und Virtualisierungskomponenten kombinieren. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/b1/04b1d6bf801ccd26ef735a77ff1ce662/0128685991v2.jpeg "Ab sofort können sich Schülerinnen und Schüler für die Hacking Challenge der TH Augsburg anmelden. Die Challenge beginnt am 3. Februar. (Bild: © Seventyfour - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/25/6e25fe25fd017458e7c3c2cca2629623/0128786853v2.jpeg "Mit FRITZ!OS 8.20 bringt AVM neue Funktionen, u.a. Fritz! Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/b3/48/b348b5b4c3b5253cd22f69cbca436295/0128830451v1.jpeg "Über Untergrundforen und soziale Netzwerke verbreiten Kriminelle angebliche Datenleaks, auch wenn keine aktuellen Systeme kompromittiert wurden. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/6c/676c57a5470e5ab12edf5da910455703/0128870241v1.jpeg "2026 wird zum Stresstest für Security-Teams, denn Cyberangriffe werden noch raffinierter. IT-Entscheider müssen sich auf den Ernstfall vorbereiten und überzeugende Talentstrategien entwickeln. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/fb/5e/fb5e6563de158dfdc87d10e9c9d0c34f/0128572605v2.jpeg "Manipulierte FortiCloud-SSO-Anmeldungen umgehen die Authentifizierung auf FortiGate-Firewalls; Admins sollten den Dienst deaktivieren und auf die bereitgestellten Fixes aktualisieren. (Bild: © Viks_jin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/8d/f78db8cbd0acd49fe4493824cbb7e8d3/0124003300v1.jpeg "Hinter jeder Firewall verbergen sich hunderte oder gar tausende von Regeln, die den Benutzern den Zugriff auf Anwendungen und Ressourcen erlauben oder diesen eben verweigern. Das Problem: Viele Regeln sind veraltet, überflüssig oder irrelevant. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/d1/abd13c198ea79dcb5523a529d9aa3f46/0122696219v2.jpeg "Die Implementierung von LLMs birgt Gefahren, aber es gibt effektive Strategien, um sowohl interne als auch externe Risiken zu reduzieren. (Bild: scaliger - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/e0/c2e03b39a0398ad9bd3a9674ae813957/0127468957v2.jpeg "3,3 Prozent aller Cyberangriffe richten sich gegen Deutschland. Damit gehört Deutschland laut Microsoft zu den Top 4 Zielen von Cyberkriminellen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c5/20/c520d821ae4fde4ea79c62f16645e417/0122725183v1.jpeg "Egal, welche Größe und egal, welche Branche: Auch deutsche Unternehmen sind vor Cyberkriminellen nicht sicher. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c2/5c/c25ca43f09ff76fbfc68ed758b92e9b1/0127833315v2.jpeg "Neue Angriffsvariante gegen Cisco ASA und FTD: Ungepatchte VPN-Endpunkte führen zu unerwarteten Neustarts und Denial-of-Service-Angriffen. Updates für CVE-2025-20333 und CVE-2025-20362 stehen bereit. (©cendhika - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/26/5e26172f43a1356ee4220f77157bb57d/0123816971v2.jpeg "Die Einführung von generativer KI (GenAI) in Unternehmen führt zu neuen Risiken – intern durch die stark steigende Vernetzung durch APIs und fehlerhafte Bedienung, extern durch neuartige Angriffsmöglichkeiten für Cyberkriminelle. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ce/67/ce677d7c2b748df1ad99bedafd1531cf/0123121837v2.jpeg "Die Zukunft der KI liegt in agentenbasierten Systemen, die LLMs, Speicher und Workflows miteinander integrieren. Diese Systeme bieten neue Möglichkeiten, erfordern jedoch auch erweiterte Sicherheitsstrategien. (Bild: Naseem - stock.adobe.com)")