Schatten IT
10. Dezember 2025
Schatten-IT und Schatten-KI: Risiken, Herausforderungen und Lösungen für Unternehmen In vielen Unternehmen ist Schatten-IT längst mehr als ein Randphänomen: Mitarbeitende nutzen eigene Software, Cloud-Dienste oder
KI-Kompetenz
Steigern Sie Ihre KI-Kompetenz und verbessern Sie Ihre Compliance
KI-Potential durch KI-Kompetenz richtig nutzen
Künstliche Intelligenz ist nicht nur in aller Munde, sie entwickelt sich auch rasant weiter. Hierdurch entstehen Gefahren durch unsachgemäße Anwendung oder durch eine gestiegene Bedrohungslage in der Informationssicherheit/Cybersicherheit.
Nicht nur durch den AI Act (bzw. KI-Verordnung) wird deutlich, dass Unternehmen ihre KI-Kompetenz stärken müssen, um wettbewerbsfähig und gesetzeskonform zu bleiben. Wir können Ihnen dabei helfen, die Herausforderungen des AI Acts zu meistern und Ihre KI-Strategie zu optimieren. Unser E-Learning-Kurs vermittelt Ihren Mitarbeitern praxisnahes Wissen über KI, über ihre Chancen, aber auch deren Risiken sowie über rechtlichen Vorgaben. Wir führen aber auch Workshops sowie Management-Schulungen durch und beraten Sie zur sicheren rechtskonformen Einführung von KI-Systemen.
Schulung für KI-Kompetenz
- einfache Umsetzung der gesetzlichen Pflicht
- lebendige Schaffung von KI-Kompetenz
- Was ist KI und worin unterscheidet sie sich von
herkömmlicher Software? - Welche Einsatz-Szenarien und Risiken gibt es?
- Welche rechtlichen Vorgaben sind zu beachten?
- Welche Do’s and Dont’s gibt es?
- Was ist KI und worin unterscheidet sie sich von
Rechtliche Anforderungen
Rechtliche Anforderungen
Durch die KI-Verordnung, aber auch durch die Datenschutz-Grundverordnung und weitere rechtliche Rahmenbedingungen sind Anforderungen beim Einsatz von KI zu beachten. Hierzu ist ein Verständnis über Künstliche Intelligenz sowie deren Potentiale und Grenzen zu schaffen (sog. KI-Kompetenz).
Gefahren durch Nutzung
Gefahren mit KI
Unsachgemäße und unsichere Nutzung von KI im Unternehmen kann zu Problemen führen. Bias, Halluzinationen und andere Integritätsprobleme (z. B. durch eine schlechte Datenbasis oder schlechte Auswahl von Algorithmen und Modellen) in Kombination mit schlechter Nachvollziehbarkeit der Ergebnisse können zu Schäden führen.
Bedrohungslage durch KI
Bedrohungslage durch KI
Durch verbesserte Schwachstellensuchen, schnellere Analyse von Sicherheitspatches oder größerer Potentiale im Rahmen des Social Engineerings ist KI auch für Angreifer ein wertvolles Werkzeug. Diese geänderte Risikosituation macht Anpassungen im ISMS und in der IT-Infrastruktur erforderlich; aber auch die User müssen sensibilisiert werden.
Fragen und Antworten rund um Künstliche Intelligenz (AI)
Was ist Künstliche Intelligenz?
Künstliche Intelligenz beschreibt Technologien, die in der Lage sind, menschliches Denken und Verhalten nachzuahmen. Dazu zählen etwa das Lernen aus Erfahrung, das Treffen von Entscheidungen oder das Verstehen von Sprache. KI-Systeme benötigen dafür große Datenmengen und spezielle Algorithmen. Im Alltag begegnen wir KI z. B. in Form von Chatbots, Empfehlungssystemen oder Bilderkennungssoftware. Anders als herkömmliche Programme folgt KI keinen festen Regeln, sondern passt sich durch „Lernen“ an neue Situationen an – ein großer Unterschied zur klassischen Softwareentwicklung.
Kategorisierung der KI
KI kann in drei Kategorien eingeteilt werden: Schwache, starke und Super-KI. Schwache KI ist spezialisiert auf eine bestimmte Aufgabe – z. B. Bilderkennung oder Sprachverarbeitung – und kommt heute am häufigsten vor. Starke KI hingegen wäre in der Lage, flexibel wie ein Mensch zu denken und zu lernen. Sie existiert bislang nur theoretisch. Super-KI wäre der menschlichen Intelligenz weit überlegen. Auch sie ist bislang hypothetisch. Die Unterscheidung hilft dabei, realistische Erwartungen an den Stand der Technik zu setzen und zukünftige Entwicklungen einzuordnen.
Was beinhaltet die KI-Verordnung (AI Act)?
Die EU-KI-Verordnung (AI Act) ist ein regulatorischer Rahmen, der den sicheren und vertrauenswürdigen Einsatz von KI innerhalb der EU gewährleisten soll. Die Verordnung verfolgt einen risikobasierten Ansatz und kategorisiert KI-Systeme in vier Risikostufen: verboten, hochriskant, begrenzt riskant und geringes Risiko. Besonders im Fokus stehen Transparenz, Überwachung, Dokumentation und menschenzentrierte Kontrolle.
Hierbei unterscheidet die Verordnung verschiedene Akteure, die unterschiedliche Anforderungen zu erfüllen haben; je nachdem ob beispielsweise die KI entwickelt oder genutzt wird, wie z. B. Anbieter (also die Hersteller/Entwickler einer KI) oder Betreiber (also diejenigen, die KI einsetzen). Doch vorsicht: Durch Customizing kann ein Betreiber zum Anbieter werden und zusätzlich weitere Anforderungen erfüllen müssen.
Haben alle KI-Anwendungen die gleichen Anforderungen zu beachten?
Die KI-Verordnung unterteilt KI-Systeme in vier Kategorien. Für jede Kategorie gelten spezifische Anforderungen – von Verboten bis hin zu umfangreichen Prüf-, Melde- und Dokumentationspflichten. Unternehmen müssen ihre KI-Anwendungen korrekt einordnen und entsprechende Maßnahmen ergreifen.
Folgende Risikoklassen sind in der KI-Verordnung definiert:
Minimales Risiko; hierbei handelt es sich um KI-Anwendung mit sehr geringem Risiko. Hierfür gelten nur freiwillige Verhaltensregeln. Beispiele sind Spamfilter, Übersetzungshilfen, Rechtschreib- und Grammatikkorrekturen.
Für KI mit einem begrenzten Risiko, wie etwa Chatbots oder generative KI für Bilder, Videos, Stimmen gelten Kennzeichnungspflichten.
Hochrisiko-KI sind beispielsweise im Personalwesen oder im Gesundheitswesen aufzufinden. Für die Anbieter und Betreiber gibt es verschiedene Anforderungen.
Hochrisiko-KI unterliegt den strengsten Auflagen. Dazu zählen:
- Durchführung von Risikoanalysen
- Einrichtung eines Qualitätsmanagementsystems
- Dokumentation technischer Unterlagen
- menschliche Aufsicht
- Transparenzpflichten
- Konformitätsbewertung vor Inverkehrbringen.
Ziel ist es, die Sicherheit, Nachvollziehbarkeit und Fairness dieser Systeme sicherzustellen. Organisationen müssen interne Prozesse schaffen, um diese Anforderungen dauerhaft zu erfüllen.
Darüber hinaus verbietet die KI-Verordnung auch KI-Systeme, wie beispielsweise Social Scoring, unterschwellige Technologien zur (negativen) Beeinflussung oder die Ableitung von Emotionen einer natürlichen Person am Arbeitsplatz.
Was bedeutet KI-Kompetenz?
Mit KI-Kompetenz wird abstrakt umschrieben, was notwendig ist, um in der digitalen Welt unter dem Einsatz von KI-Systemen erfolgreich agieren zu können.
Mit 02.02.2025 gelangen die ersten Bestimmungen des AI Act zur Anwendung, darunter auch die KI-Kompetenz gemäß Art. 4 KI-Verordnung.
„Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind.“
Bei „KI-Kompetenz“ handelt es sich um Fähigkeiten, die Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen unter Berücksichtigung ihrer jeweiligen Rechte und Pflichten im Rahmen dieser Verordnung ermöglichen, KI-Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst zu werden.
Welche Fragestellungen müssen vor dem Einsatz von KI zu betrachten?
Vor dem Einsatz von Künstlicher Intelligenz (KI) ist es entscheidend, eine gründliche Überprüfung rechtlicher und sicherheitsrelevanter Fragestellungen vorzunehmen, um Compliance sowie den Schutz von Daten und Geschäftsgeheimnissen zu gewährleisten.
Datenschutz-Grundverordnung (DSGVO)
Die Einhaltung der DSGVO ist fundamental. Dazu gehört die Sicherstellung, dass personenbezogene Daten rechtmäßig verarbeitet werden und dass alle nötigen Datenschutzmechanismen implementiert sind. Es sollte auch geklärt werden, ob eine Datenschutzfolgenabschätzung erforderlich ist.
AI-Act bzw. KI-Verordnung
Der AI-Act regelt spezifische Anforderungen an die Transparenz, Sicherheit und Fairness von KI-Systemen. Zu den Fragestellungen zählen die Risikoklassifizierung des KI-Systems und die Sicherstellung der Konformität mit den festgelegten Sicherheitsstandards.
Informationssicherheit
Eine umfassende Risikoanalyse ist unerlässlich. Je nach Kritikalität sind entsprechende Maßnahmen zum Schutz der Daten, der Modelle und der Systeme einzuführen, um Vertraulichkeit, Integrität und Verfügbarkeit sicherzustellen.
Weitere Rechtsgebiete
Auch Urheber- und Markenrecht sowie der Schutz von Geschäftsgeheimnissen sind zu berücksichtigen. Die Frage, ob Daten für das Training der KI verwendet werden dürfen, ist ebenfalls relevant.
Welchen Bedrohungen bestehen für Unternehmen für KI?
Auch wenn Unternehmen selbst keine KI-Systeme einsetzen möchte, so muss es sich mit den Gefahren auseinandersetzen. So nutzen bspw. Cyberkriminelle selbst verschiedene KI-Potentiale, die Auswirkungen auf die Sicherheit von Unternehmen haben.
Social Engineering
Durch KI können täuschend echte Texte, Bilder und sogar Videos erstellen. Cyberkriminelle könnten diese Fähigkeiten dafür nutzen, um beispielsweise Fake-Anrufe zu tätigen und dabei eine Person vorzutäuschen, die der Angerufene kennt. Dabei kann der Angerufene zu Aktionen animiert werden, die man bei einer klassischen (Phishing-) Mail nicht tun würde (Geldtransaktion, Preisgabe von streng vertraulichen Informationen etc.). Diese Art von Betrug kann Unternehmen nicht nur finanziell schädigen, sondern auch ihren Ruf nachhaltig beeinträchtigen.
Angriffe mit KI
Aber auch für Angriffe durch Hacking bieten KI-Systeme große Gefahren. Angreifer können Schwachstellen automatisiert erkennen, Angriffe mittels KI vorbereiten und durchführen lassen. Cyberkriminelle analysieren mittels KI auch Patches von Softwareherstellern, um besonders schnell die (durch das Patch behobene) Schwachstellen auszunutzen – noch vor dem Einspielen des Patches im Unternehmen.
Eine umfassende Risikoanalyse ist unerlässlich. Darauf aufbauend sollten Sie Ihr ISMS anpassen und Schulungsmaßnahmen aufbauen.
UIMC als Praxis-Partner mit KI-Kompetenz
Künstliche Intelligenz ist nicht nur in aller Munde, sie entwickelt sich auch rasant weiter. Hierdurch entstehen Gefahren durch unsachgemäße Anwendung oder durch eine gestiegene Bedrohungslage in der Informationssicherheit/Cybersicherheit.
Mit dem neuen AI Act wird deutlich, dass Unternehmen ihre KI-Kompetenz stärken müssen, um wettbewerbsfähig und gesetzeskonform zu bleiben. Wir können Ihnen dabei helfen, die Herausforderungen des AI Acts zu meistern und Ihre KI-Strategie zu optimieren. Unser E-Learning-Kurs vermittelt Ihren Mitarbeitern praxisnahes Wissen über KI, über ihre Chancen, aber auch deren Risiken sowie über rechtlichen Vorgaben.
Datenschutz
Datenschutz
Die KI-Verordnung ersetzt weder die DSGVO noch ist sie eine DSGVO 2.0. Daher müssen die Anforderungen an Rechtmäßigkeit, Transparenz und Sicherheit etc. bei der personenbezogenen Datenverarbeitung zusätzlich eingehalten werden. Hierbei unterstützen wir Sie gerne.
Informationssicherheit
Informationssicherheit
Die Nutzung von KI kann Risiken für Vertraulichkeit, Verfügbarkeit und Integrität von Daten und Informationen erzeugen. Diesen ist angemessen zu begegnen und innerhalb des ISMS zu berücksichtigen. Dies gilt auch, wenn Sie intern keine KI-Anwendungen betreiben oder nutzen. Hierbei unterstützen wir Sie gerne.
KI-Verordnung (AI Act)
KI-Verordnung (AI Act)
Die KI-Verordnung ist beim Einsatz von KI-Systemen zwingend zu berücksichtigen. Aufgrund des risikobasierten Ansatzes sollte vorab die KI-Anwendung analysiert werden, um die im konkreten Fall relevanten Vorgaben zu berücksichtigen. Dies gilt sowohl für den Hersteller ("Anbieter") und Anwender ("Betreiber"). Hierbei unterstützen wir Sie gerne.
News
Aktuelles & Interessantes zum Thema KI
Weiterlesen »
Digitaler Omnibus
30. November 2025
Europäische Kommission: Reform der Datenschutz- und KI-Regulierung – Das plant der „digitale Omnibus“ Die Europäische Kommission arbeitet aktuell an einer weitreichenden Reform für den europäischen
Cyberangriffe
6. November 2025
Cyberangriffe: Eine wachsende Bedrohung und die Rolle der Geschäftsführung In der heutigen digitalen Welt sind Cyberangriffe allgegenwärtig und entwickeln sich ständig weiter. Der Lagebericht des
Vorteile
Beratung aus einer Hand
Bei uns erhalten Sie Leistungen und Beratung rund um das Thema Compliance aus einer Hand: Datenschutz, Informationssicherheit, Hinweisgeberschutzgesetz und KI.
KI und Datenschutz
Ob Datenschutz-Folgenabschätzung, Informationspflichten oder Dienstleister-Prüfung: KI hat viele Datenschutz-Implikationen, bei denen wir Sie pragmatisch unterstützen können.
KI und Sicherheit
Durch die Verarbeitung in KI-Systemen auf fremden Servern können auch Gefahren für Ihr Unternehmen entstehen. Wir helfen, diese besser zu managen, um Vertraulichkeit und Integrität Ihrer Prozesse zu wahren.
KI-Kompetenz
Nutzende von KI-Systemen müssen wissen, was sie tun. Nicht nur, weil es die KI-Verordnung verlangt, sondern auch um den Mehrwert der KI zu realisieren sowie um Fehlbedienungen zu verhindern.