Schatten IT
10. Dezember 2025
Schatten-IT und Schatten-KI: Risiken, Herausforderungen und Lösungen für Unternehmen In vielen Unternehmen ist Schatten-IT längst mehr als ein Randphänomen: Mitarbeitende nutzen eigene Software, Cloud-Dienste oder
KI-Kompetenz
Steigern Sie Ihre KI-Kompetenz und verbessern Sie Ihre Compliance
KI-Potential durch KI-Kompetenz richtig nutzen
Künstliche Intelligenz ist nicht nur in aller Munde, sie entwickelt sich auch rasant weiter. Hierdurch entstehen Gefahren durch unsachgemäße Anwendung oder durch eine gestiegene Bedrohungslage in der Informationssicherheit/Cybersicherheit.
Nicht nur durch den AI Act (bzw. KI-Verordnung) wird deutlich, dass Unternehmen ihre KI-Kompetenz stärken müssen, um wettbewerbsfähig und gesetzeskonform zu bleiben. Wir können Ihnen dabei helfen, die Herausforderungen des AI Acts zu meistern und Ihre KI-Strategie zu optimieren. Unser E-Learning-Kurs vermittelt Ihren Mitarbeitern praxisnahes Wissen über KI, über ihre Chancen, aber auch deren Risiken sowie über rechtlichen Vorgaben. Wir führen aber auch Workshops sowie Management-Schulungen durch und beraten Sie zur sicheren rechtskonformen Einführung von KI-Systemen.
Schulung für KI-Kompetenz
- einfache Umsetzung der gesetzlichen Pflicht
- lebendige Schaffung von KI-Kompetenz
- Was ist KI und worin unterscheidet sie sich von
herkömmlicher Software? - Welche Einsatz-Szenarien und Risiken gibt es?
- Welche rechtlichen Vorgaben sind zu beachten?
- Welche Do’s and Dont’s gibt es?
- Was ist KI und worin unterscheidet sie sich von
Rechtliche Anforderungen
Rechtliche Anforderungen
Durch die KI-Verordnung, aber auch durch die Datenschutz-Grundverordnung und weitere rechtliche Rahmenbedingungen sind Anforderungen beim Einsatz von KI zu beachten. Hierzu ist ein Verständnis über Künstliche Intelligenz sowie deren Potentiale und Grenzen zu schaffen (sog. KI-Kompetenz).
Gefahren durch Nutzung
Gefahren mit KI
Unsachgemäße und unsichere Nutzung von KI im Unternehmen kann zu Problemen führen. Bias, Halluzinationen und andere Integritätsprobleme (z. B. durch eine schlechte Datenbasis oder schlechte Auswahl von Algorithmen und Modellen) in Kombination mit schlechter Nachvollziehbarkeit der Ergebnisse können zu Schäden führen.
Bedrohungslage durch KI
Bedrohungslage durch KI
Durch verbesserte Schwachstellensuchen, schnellere Analyse von Sicherheitspatches oder größerer Potentiale im Rahmen des Social Engineerings ist KI auch für Angreifer ein wertvolles Werkzeug. Diese geänderte Risikosituation macht Anpassungen im ISMS und in der IT-Infrastruktur erforderlich; aber auch die User müssen sensibilisiert werden.
Fragen und Antworten rund um Künstliche Intelligenz (AI)
Was ist Künstliche Intelligenz?
Künstliche Intelligenz beschreibt Technologien, die in der Lage sind, menschliches Denken und Verhalten nachzuahmen. Dazu zählen etwa das Lernen aus Erfahrung, das Treffen von Entscheidungen oder das Verstehen von Sprache. KI-Systeme benötigen dafür große Datenmengen und spezielle Algorithmen. Im Alltag begegnen wir KI z. B. in Form von Chatbots, Empfehlungssystemen oder Bilderkennungssoftware. Anders als herkömmliche Programme folgt KI keinen festen Regeln, sondern passt sich durch „Lernen“ an neue Situationen an – ein großer Unterschied zur klassischen Softwareentwicklung.
Kategorisierung der KI
KI kann in drei Kategorien eingeteilt werden: Schwache, starke und Super-KI. Schwache KI ist spezialisiert auf eine bestimmte Aufgabe – z. B. Bilderkennung oder Sprachverarbeitung – und kommt heute am häufigsten vor. Starke KI hingegen wäre in der Lage, flexibel wie ein Mensch zu denken und zu lernen. Sie existiert bislang nur theoretisch. Super-KI wäre der menschlichen Intelligenz weit überlegen. Auch sie ist bislang hypothetisch. Die Unterscheidung hilft dabei, realistische Erwartungen an den Stand der Technik zu setzen und zukünftige Entwicklungen einzuordnen.
Was beinhaltet die KI-Verordnung (AI Act)?
Die EU-KI-Verordnung (AI Act) ist ein regulatorischer Rahmen, der den sicheren und vertrauenswürdigen Einsatz von KI innerhalb der EU gewährleisten soll. Die Verordnung verfolgt einen risikobasierten Ansatz und kategorisiert KI-Systeme in vier Risikostufen: verboten, hochriskant, begrenzt riskant und geringes Risiko. Besonders im Fokus stehen Transparenz, Überwachung, Dokumentation und menschenzentrierte Kontrolle.
Hierbei unterscheidet die Verordnung verschiedene Akteure, die unterschiedliche Anforderungen zu erfüllen haben; je nachdem ob beispielsweise die KI entwickelt oder genutzt wird, wie z. B. Anbieter (also die Hersteller/Entwickler einer KI) oder Betreiber (also diejenigen, die KI einsetzen). Doch vorsicht: Durch Customizing kann ein Betreiber zum Anbieter werden und zusätzlich weitere Anforderungen erfüllen müssen.
Haben alle KI-Anwendungen die gleichen Anforderungen zu beachten?
Die KI-Verordnung unterteilt KI-Systeme in vier Kategorien. Für jede Kategorie gelten spezifische Anforderungen – von Verboten bis hin zu umfangreichen Prüf-, Melde- und Dokumentationspflichten. Unternehmen müssen ihre KI-Anwendungen korrekt einordnen und entsprechende Maßnahmen ergreifen.
Folgende Risikoklassen sind in der KI-Verordnung definiert:
Minimales Risiko; hierbei handelt es sich um KI-Anwendung mit sehr geringem Risiko. Hierfür gelten nur freiwillige Verhaltensregeln. Beispiele sind Spamfilter, Übersetzungshilfen, Rechtschreib- und Grammatikkorrekturen.
Für KI mit einem begrenzten Risiko, wie etwa Chatbots oder generative KI für Bilder, Videos, Stimmen gelten Kennzeichnungspflichten.
Hochrisiko-KI sind beispielsweise im Personalwesen oder im Gesundheitswesen aufzufinden. Für die Anbieter und Betreiber gibt es verschiedene Anforderungen.
Hochrisiko-KI unterliegt den strengsten Auflagen. Dazu zählen:
- Durchführung von Risikoanalysen
- Einrichtung eines Qualitätsmanagementsystems
- Dokumentation technischer Unterlagen
- menschliche Aufsicht
- Transparenzpflichten
- Konformitätsbewertung vor Inverkehrbringen.
Ziel ist es, die Sicherheit, Nachvollziehbarkeit und Fairness dieser Systeme sicherzustellen. Organisationen müssen interne Prozesse schaffen, um diese Anforderungen dauerhaft zu erfüllen.
Darüber hinaus verbietet die KI-Verordnung auch KI-Systeme, wie beispielsweise Social Scoring, unterschwellige Technologien zur (negativen) Beeinflussung oder die Ableitung von Emotionen einer natürlichen Person am Arbeitsplatz.
Was bedeutet KI-Kompetenz?
Mit KI-Kompetenz wird abstrakt umschrieben, was notwendig ist, um in der digitalen Welt unter dem Einsatz von KI-Systemen erfolgreich agieren zu können.
Mit 02.02.2025 gelangen die ersten Bestimmungen des AI Act zur Anwendung, darunter auch die KI-Kompetenz gemäß Art. 4 KI-Verordnung.
„Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind.“
Bei „KI-Kompetenz“ handelt es sich um Fähigkeiten, die Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen unter Berücksichtigung ihrer jeweiligen Rechte und Pflichten im Rahmen dieser Verordnung ermöglichen, KI-Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst zu werden.
Welche Fragestellungen müssen vor dem Einsatz von KI zu betrachten?
Vor dem Einsatz von Künstlicher Intelligenz (KI) ist es entscheidend, eine gründliche Überprüfung rechtlicher und sicherheitsrelevanter Fragestellungen vorzunehmen, um Compliance sowie den Schutz von Daten und Geschäftsgeheimnissen zu gewährleisten.
Datenschutz-Grundverordnung (DSGVO)
Die Einhaltung der DSGVO ist fundamental. Dazu gehört die Sicherstellung, dass personenbezogene Daten rechtmäßig verarbeitet werden und dass alle nötigen Datenschutzmechanismen implementiert sind. Es sollte auch geklärt werden, ob eine Datenschutzfolgenabschätzung erforderlich ist.
AI-Act bzw. KI-Verordnung
Der AI-Act regelt spezifische Anforderungen an die Transparenz, Sicherheit und Fairness von KI-Systemen. Zu den Fragestellungen zählen die Risikoklassifizierung des KI-Systems und die Sicherstellung der Konformität mit den festgelegten Sicherheitsstandards.
Informationssicherheit
Eine umfassende Risikoanalyse ist unerlässlich. Je nach Kritikalität sind entsprechende Maßnahmen zum Schutz der Daten, der Modelle und der Systeme einzuführen, um Vertraulichkeit, Integrität und Verfügbarkeit sicherzustellen.
Weitere Rechtsgebiete
Auch Urheber- und Markenrecht sowie der Schutz von Geschäftsgeheimnissen sind zu berücksichtigen. Die Frage, ob Daten für das Training der KI verwendet werden dürfen, ist ebenfalls relevant.
Welchen Bedrohungen bestehen für Unternehmen für KI?
Auch wenn Unternehmen selbst keine KI-Systeme einsetzen möchte, so muss es sich mit den Gefahren auseinandersetzen. So nutzen bspw. Cyberkriminelle selbst verschiedene KI-Potentiale, die Auswirkungen auf die Sicherheit von Unternehmen haben.
Social Engineering
Durch KI können täuschend echte Texte, Bilder und sogar Videos erstellen. Cyberkriminelle könnten diese Fähigkeiten dafür nutzen, um beispielsweise Fake-Anrufe zu tätigen und dabei eine Person vorzutäuschen, die der Angerufene kennt. Dabei kann der Angerufene zu Aktionen animiert werden, die man bei einer klassischen (Phishing-) Mail nicht tun würde (Geldtransaktion, Preisgabe von streng vertraulichen Informationen etc.). Diese Art von Betrug kann Unternehmen nicht nur finanziell schädigen, sondern auch ihren Ruf nachhaltig beeinträchtigen.
Angriffe mit KI
Aber auch für Angriffe durch Hacking bieten KI-Systeme große Gefahren. Angreifer können Schwachstellen automatisiert erkennen, Angriffe mittels KI vorbereiten und durchführen lassen. Cyberkriminelle analysieren mittels KI auch Patches von Softwareherstellern, um besonders schnell die (durch das Patch behobene) Schwachstellen auszunutzen – noch vor dem Einspielen des Patches im Unternehmen.
Eine umfassende Risikoanalyse ist unerlässlich. Darauf aufbauend sollten Sie Ihr ISMS anpassen und Schulungsmaßnahmen aufbauen.
UIMC als Praxis-Partner mit KI-Kompetenz
Künstliche Intelligenz ist nicht nur in aller Munde, sie entwickelt sich auch rasant weiter. Hierdurch entstehen Gefahren durch unsachgemäße Anwendung oder durch eine gestiegene Bedrohungslage in der Informationssicherheit/Cybersicherheit.
Mit dem neuen AI Act wird deutlich, dass Unternehmen ihre KI-Kompetenz stärken müssen, um wettbewerbsfähig und gesetzeskonform zu bleiben. Wir können Ihnen dabei helfen, die Herausforderungen des AI Acts zu meistern und Ihre KI-Strategie zu optimieren. Unser E-Learning-Kurs vermittelt Ihren Mitarbeitern praxisnahes Wissen über KI, über ihre Chancen, aber auch deren Risiken sowie über rechtlichen Vorgaben.
Datenschutz
Datenschutz
Die KI-Verordnung ersetzt weder die DSGVO noch ist sie eine DSGVO 2.0. Daher müssen die Anforderungen an Rechtmäßigkeit, Transparenz und Sicherheit etc. bei der personenbezogenen Datenverarbeitung zusätzlich eingehalten werden. Hierbei unterstützen wir Sie gerne.
Informationssicherheit
Informationssicherheit
Die Nutzung von KI kann Risiken für Vertraulichkeit, Verfügbarkeit und Integrität von Daten und Informationen erzeugen. Diesen ist angemessen zu begegnen und innerhalb des ISMS zu berücksichtigen. Dies gilt auch, wenn Sie intern keine KI-Anwendungen betreiben oder nutzen. Hierbei unterstützen wir Sie gerne.
KI-Verordnung (AI Act)
KI-Verordnung (AI Act)
Die KI-Verordnung ist beim Einsatz von KI-Systemen zwingend zu berücksichtigen. Aufgrund des risikobasierten Ansatzes sollte vorab die KI-Anwendung analysiert werden, um die im konkreten Fall relevanten Vorgaben zu berücksichtigen. Dies gilt sowohl für den Hersteller ("Anbieter") und Anwender ("Betreiber"). Hierbei unterstützen wir Sie gerne.
News
Aktuelles & Interessantes zum Thema KI
Weiterlesen »
Digitaler Omnibus
30. November 2025
Europäische Kommission: Reform der Datenschutz- und KI-Regulierung – Das plant der „digitale Omnibus“ Die Europäische Kommission arbeitet aktuell an einer weitreichenden Reform für den europäischen
Cyberangriffe
6. November 2025
Cyberangriffe: Eine wachsende Bedrohung und die Rolle der Geschäftsführung In der heutigen digitalen Welt sind Cyberangriffe allgegenwärtig und entwickeln sich ständig weiter. Der Lagebericht des
Vorteile
Nutzen Sie die Vorteile aus der Beratung aus einer Hand
Bei uns erhalten Sie Leistungen und Beratung rund um das Thema Compliance aus einer Hand: Datenschutz, Informationssicherheit, Hinweisgeberschutzgesetz und KI.
Erfahrung und Expertise
Profitieren Sie von unserer Erfahrung und Größe. Wir sind in der Lage, umfangreiche Projekte unabhängig von einzelnen Mitarbeitern durchzuführen und gleichzeitig individuell auf Ihre Bedürfnisse einzugehen.
Vielseitige Experten
Unsere rund 30 Mitarbeiterinnen und Mitarbeitern haben breit gefächerte Spezialisierungen, die für praxisnahe Lösungen sorgen. Wir helfen Ihnen mit pragmatischen Lösungen und verständlichen Informationen.
Über 500 erfolgreiche Projekte
Unsere Erfolge sprechen für sich selbst! Wir haben aktuell mehr als 500 Projekte; viele unserer Kunden halten uns seit Jahren und zum Teil auch seit Jahrzehnten die Treue.
Immer gut informiert
Newsletter
Bleiben Sie mit unserem Info-Brief auf dem Laufenden.
Abonnieren Sie den Newsletter und verpassen Sie keinen unserer Artikel.
Sie haben Fragen?
Sie benötigen Beratung zum Datenschutz, eine Schulung des Datenschutzbeauftragten der Firma oder einen externen Datenschutzbeauftragten?
Melden Sie sich bei uns und lassen Sie sich unverbindlich und kostenfrei beraten.
Leistungen
Unsere Datenschutzkonzepte passen zu jeder Unternehmensform
Kleine mittelständische Unternehmen
Gerade in KMU kann der Datenschutz häufig durch ein Outsourcing effizient umgesetzt werden. Budget schonend und unter optimiertem personellen Aufwand etablieren wir mit standardisierten Hilfsmitteln ein praktikables Datenschutzkonzept, welches Sie in Ihrem KMU angemessen umzusetzen können. Die Idee unseres speziell auf KMU zugeschnittenen Konzepts besteht darin, die gesetzlich verankerte Angemessenheit im besonderen Maße zu berücksichtigen. Durch ein hohes Maß an Standardisierung, die Nutzung erprobter, standardisierter Hilfsmittel und die Reduzierung der Vor-Ort-Leistungen wird es ermöglicht, eine pragmatische, wenig aufwendige Lösung für das Datenschutzproblem zu akzeptablen Preisen zu realisieren. Dennoch sind wir immer dann verfügbar und helfen Ihnen genau dann verständlich und pragmatisch weiter, wenn Sie uns brauchen.
Profitieren Sie vom Synergieeffekt
und übergeben Sie Datenschutz- und IT-Sicherheitskonzept mit nur einem Auftrag an unsere Experten.
Unternehmensgruppen und Konzerne
Im Rahmen der Umsetzung der Datenschutz-Grundverordnung besteht verständlicherweise der Anspruch von Unternehmensgruppen bzw. Konzernen, eine homogene Datenschutz-Organisation aufzubauen und der Wunsch nach einer ganzheitlichen Betreuung, um bei der Umsetzung Synergien zu nutzen.
Je nach Ausgangssituation wird ein auf einem UIMC-Standard basierendes Implementierungskonzept angepasst und im Anschluss ein Projektplan zur Einführung beziehungsweise dem Ausbau der Datenschutzorganisation erstellt. Die nächsten Schritte stellen die Konzeptionierung des auf die Unternehmung zugeschnittenen Datenschutzmanagementsystems und den Aufbau der Datenschutzorganisation dar.
Das Reporting hat einen wesentlichen Anteil am Gelingen der Umsetzung, da ohne eine regelmäßige und transparente Berichterstattung die übergreifende Steuerung der Projekte nicht oder nur mit geringerem Erfolg zu realisieren ist. Dies findet in regelmäßigen Status-Meetings statt, deren Turnus in Abhängigkeit von Größe bzw. Kritikalität der aktuellen Tätigkeiten festgelegt wird.
Internationale Konzerne
Ziel ist es, für Konzerneinheiten auf dem europäischen Kontinent bzw. innerhalb der EU eine einheitliche Datenschutz-Organisation sowie eine ganzheitliche Betreuung umzusetzen. Die Vorgehensweise ist analog zur o. g. Umsetzung in Unternehmensgruppen, wird aber um die nationalen Besonderheiten ergänzt.
Der Projektplan sieht in der Regel einen Piloten in Deutschland vor, der dann im späteren Verlauf auf die europäischen Tochtergesellschaften und ggf. Mehrheitsbeteiligungen erweitert wird. Nachdem das Projekt aufgesetzt und die Umsetzungsunterstützung durch die Unternehmensführung sichergestellt wurde, wird ein Projektmarketing bei allen (wichtigen) lokalen Geschäftsführungen in Europa zur Vorstellung der UIMC und der Implementierungsmethodik vollzogen.
Kirchliche Einrichtungen
Durch langjährige Betreuungen von kirchlichen Institutionen kann die UIMC eine umfassende Expertise vorweisen, wenn es darum geht, Datenschutzkonzepte zu erstellen, welche die Regelungen des KDG (Kirchliches Datenschutzgesetz), des DSG-EKD (Datenschutzgesetz der Evangelischen Kirche) oder weiterer Kirchennormen umfassend umsetzen.
Aufgrund der besonderen Gesetzeslage, aber auch durch die besondere Art der Organisationen, bedarf es einer etwas anderen Absprache im Datenschutz. Darin sind wir genau die Experten, nach denen Sie suchen!
Aufgrund der besonderen Gesetzeslage, aber auch durch die besondere Art der Organisationen, bedarf es einer etwas anderen Absprache im Datenschutz. Darin sind wir genau die Experten, nach denen Sie suchen!
Hochschulen
Auch Hochschulen und Universitäten bedürfen einer individuellen Umsetzung des Datenschutzes. Gerade die spezielle Organisationsform und Tätigkeitsfelder wie Lehre und Forschung erfordern besondere Erfahrung in der Umsetzung des Datenschutzes. Neben speziellen Gesetzesanforderungen sind auch die Beteiligten anders als in der freien Wirtschaft in den Umsetzungsprozess zu integrieren. Die UIMC betreut schon seit vielen Jahren die Hochschulwelt und kann daher mit viel Erfahrung und Expertise überzeugen.
Gesundheitswesen
Auch das Gesundheitswesen bedarf einer besonderen Betrachtung im Datenschutz. Neben der Tatsache, dass gerade hier hochvertrauliche Daten (Gesundheitsdaten als „besondere Kategorien personenbezogener Daten“) verarbeitet werden, gibt es in Krankenhäusern, medizinischen Versorgungszentren, Praxen etc. besondere Abläufe und Anforderungen. Ferner gibt es in diesem Bereich unzählige Spezialgesetze (ob in der weltlichen oder kirchlichen Rechtsordnung), die es gilt zu berücksichtigen.
Durch langjährige Betreuungen von Institutionen im Gesundheitswesen kann die UIMC eine umfassende Expertise für die Unterstützung bieten.
Das passende Paket für Ihre Anforderungen an Ihr E-Learning:
Schulungsinhalte
| Comfort | Comfort+ | Premium | |
|---|---|---|---|
| Grundlagen-Schulung | |||
| Auffrischungs-Schulungen | - | ||
| Fachbereichs-Schulungen | - |  | |
| Kurz-Schulung für unkritische Bereiche | - | | |
| Zusatzinhalte | |||
| Intranet | |||
| myCollege | |||
| FAQ | |||
| Online-Formular-Center | |||
| Sprachpakete | |||
| deutsch | |||
| englisch | | | |
User
| Comfort | Comfort+ | Premium | |
|---|---|---|---|
| individueller Account pro User | |||
| Restart an gleicher Position | |||
| Festlegung der Nomenklatur des Usernamens | - | ||
| User-Anlage auch ohne eigene E-Mail-Adresse | - | ||
| Einladungsversand durch UIMC | - | ||
| Automatisierte Kommunikation mit User (Willkommen, Abschluss etc.) | - | ||
| Follow-Up-Mails ("gegen die Vergessenskurve") | - | |
Kursabschluss / Nachweis
| Comfort | Comfort+ | Premium | |
|---|---|---|---|
| Wissenstest | |||
| Test (relevant für Abschluss) | |||
| Anpassen der Bestehensgrenze | - | | |
| Kursabschluss | |||
| Elektronischer Kursabschluss durch Test | |||
| Festlegung weiterer Abschlusskriterien | - | | |
| optionale Bestätigung durch HR | - | | |
| optionale Bestätigung durch User | - | - | |
| Abschluss-Dokumentation | |||
| Online-Übersicht | |||
| Übersicht inkl. Zusatzinformationen (z.B. Abteilungen) | - | ||
| Ausdruck eines Zertifikats | |||
| Verleihung von Badges | - | - | |
| Automatisierte Mails | |||
| Mail-Bestätigung an User bei Kursabschluss | - | ||
| automatisierte Erinnerung der User | - | |
Customizing
| Comfort | Comfort+ | Premium | |
|---|---|---|---|
| Basis-Customizing | |||
| Customizing der Schulungsinhalte | - | | |
| Erstellung von kundenspezifischen Inhalten | - | | |
| Erstellung von kundenspezifischen Testfragen | - | | |
| eigenständiger Upload von Dokumenten | - | | |
| weitere Funktionen und Anpassungen | - | - | auf Nachfrage |
Service
| Comfort | Comfort+ | Premium | |
|---|---|---|---|
| Briefing/Videokonferenz zur Einrichtung des Kurses | - | ||
| Mail-Support | |||
| Telefon-Support | | | |
| monatlicher User-Update/Upload | |||
| weitere Services | auf Nachfrage | auf Nachfrage | auf Nachfrage |
Legende
| = enthalten (inkl.) = optional erhältlich (Aufpreis) |
|---|