KI & IT-Security
Digitalisierung auf Sand gebaut: Wie KI-Euphorie die IT-Security im Mittelstand gefährdet
Digitale Schnellschüsse ohne Sicherheitskonzept: Viele Unternehmen öffnen unbewusst Einfallstore für Angriffe.
Neue Cloud-Dienste werden abonniert, KI-Helfer installiert, Daten exportiert – oft alles gleichzeitig.
Während viele Unternehmen im Rausch der Digitalisierung neue Systeme einführen, bleibt die IT-Sicherheit zurück. „Wer künstliche Intelligenz ohne stabile Sicherheitsbasis integriert, vervielfacht die Schwachstellen – statt sie zu beseitigen“, warnt Micha Pfisterer, Geschäftsführer der Ext-Com IT GmbH und Sachverständiger für IT-Sicherheit.
Er kennt die Fallstricke aus erster Hand. Pfisterer gibt Einblicke in schlafwandelnde Digitalisierung, unsichtbare Risiken und die Frage, was ein Unternehmen wirklich „KI-ready“ macht.
Herr Pfisterer, KI-Tools und Automatisierung schießen derzeit wie Pilze aus dem Boden – Ist das ein echter Fortschritt – oder sind viele dieser Tools im Kern nur Varianten desselben Prinzips?
Der Einsatz generativer KI eröffnet ganz neue Möglichkeiten, beispielsweise wenn Maschinen Baupläne verstehen oder Vertriebsprozesse selbstständig Texte erstellen. Gleichzeitig sind unter den vielen neuen Angeboten erstaunlich viele „Klon‑Produkte“, die lediglich eine hübsche Oberfläche über das immer gleiche Grundmodell stülpen. Für Unternehmen bedeutet das: Die grundlegende Technologie ist tatsächlich ein Fortschritt, doch jedes einzelne Tool muss sich an seinem messbaren Nutzen und einem sauberen Sicherheitskonzept messen lassen.
Was passiert, wenn Unternehmen KI-Tools einführen, ohne vorher ihre IT-Sicherheit sauber aufzustellen?
Wenn Firmen künstliche Intelligenz ohne stabile Sicherheitsbasis integrieren, riskieren sie den unkontrollierten Abfluss sensibler Daten, weil Eingaben oft direkt in fremden Clouds verarbeitet werden. Zudem entstehen schnell Schatten‑IT‑Strukturen, weil Fachabteilungen ohne Abstimmung Abos abschließen, Schnittstellen öffnen und Identitäten ohne Mehrfaktorauthentifizierung vergeben. Am Ende vervielfacht jedes dieser KI‑Werkzeuge die vorhandenen Schwachstellen, statt sie zu beseitigen.
Viele Entscheider verstehen Digitalisierung als das Einführen von Tools – was genau übersehen sie aus Ihrer Sicht strategisch?
Wer Digitalisierung nur als Anschaffung neuer Software begreift, unterschätzt den Stellenwert von Datenqualität, abgestimmten Prozessen und gelebtem Risikomanagement. Ein leistungsfähiges Tool kann nur dann Wirkung entfalten, wenn die zugrunde liegenden Abläufe angepasst und das Risiko, das jede Veränderung mit sich bringt, aktiv gesteuert werden.
Wie erkennt ein Unternehmen, ob seine IT‑Infrastruktur „KI‑ready“ ist?
Ein Unternehmen ist erst dann wirklich „KI‑ready“, wenn es seine Daten eindeutig klassifiziert, ein konsistentes Identitäts‑ und Zugriffsmanagement eingeführt und ein lückenloses Monitoring für alle genutzten Schnittstellen eingerichtet hat. Solange eine dieser Voraussetzungen fehlt, sollte man skeptisch bleiben, selbst wenn der Softwarevertrieb den schnellen Einsatz von künstlicher Intelligenz in Aussicht stellt.
Gibt es einen Fall aus Ihrer Praxis, in dem moderne Tools eingeführt wurden – und erst danach deutlich wurde, dass die IT-Security unterdimensioniert war?
Ja, erst vor Kurzem haben wir bei einem Mittelständler eine Infrastrukturanalyse durchgeführt. Dort war ein erstklassiges EDR/XDR‑System installiert – die Lizenzkosten waren also schon verbucht – aber fast alle Komponenten liefen lediglich im Reporting‑Modus. Das bedeutet: Das Tool sammelte fleißig Warnmeldungen, griff im Ernstfall jedoch nicht aktiv ein, weil weder automatische Sperr‑Regeln noch Reaktions‑Workflows konfiguriert waren. Dem Management vermittelte das Dashboard trotzdem ein Gefühl von Sicherheit à la „grüner Haken vorhanden“. Erst unsere Analyse machte deutlich, dass ein echter Angriff ungebremst durchmarschieren könnte. Nach dem Audit haben wir zusammen mit den Verantwortlichen klare Richtlinien, Alarm‑Schwellen und automatische Gegenmaßnahmen definiert – und anschließend in einer Live‑Übung getestet. Das Ergebnis: Das vorhandene Tool schützt jetzt wirklich, statt nur Statistiken zu liefern, und die Geschäftsführung weiß, welche Alarme sofort eskalationspflichtig sind.
Oft hören wir in Unternehmen: „Für Security haben wir den Dienstleister – das läuft mit.“ Warum ist genau diese Haltung gefährlich, wenn gleichzeitig neue Systeme und Datenflüsse entstehen?
Ein externer Dienstleister kann Technik betreiben, aber er kann nicht die Risikobereitschaft der Geschäftsführung festlegen, die Hoheit über Kundendaten garantieren oder die Prioritäten im Krisenfall entscheiden. Wer diese Verantwortung vollständig auslagert und gleichzeitig neue Systeme einführt, verhält sich so, als würde er ohne Sicherheitsgurt Auto fahren, weil der Abschleppdienst im Notfall ja da ist.
Wenn Sie Unternehmen eine 3‑Punkte-Checkliste für sichere Digitalisierung mitgeben könnten – wie würde die aussehen?
Erstens sollte jedes Digitalprojekt mit klaren Rollen, Budgets und Entscheidungspfaden für die Sicherheit beginnen. Zweitens müssen Identitäten, Datenklassifizierung und Netzsegmentierung von Anfang an in die technische Planung einfließen, statt später angeflanscht zu werden. Drittens braucht es ein dauerhaftes Lern‑ und Prüfprogramm mit regelmäßigen Awareness‑Schulungen, Phising-Simulationen und Kennzahlen, die dem Management zeigen, wie sich das Risiko entwickelt. Zudem sollte ein leicht verständliches ISMS entwickelt werden, das dem Kunden auf einen Blick transparent aufzeigt, welchen Risiken er aktuell ausgesetzt ist – und welche dieser Risiken sich mit einem definierten Budget gezielt minimieren oder beseitigen lassen.
