KI-Sicherheit: Wie Unternehmen Risiken erkennen und mindern

Viele Unternehmen nutzen heute vortrainierte Modelle, Cloud‑APIs oder eigene Machine‑Learning‑Pipelines, ohne genau zu wissen, welche Sicherheitsrisiken damit verbunden sind. Modelle können Daten speichern, Schnittstellen sind Angriffsflächen, und Drittanbieterkomponenten bringen Abhängigkeiten mit. Behörden wie das BSI, ENISA und NIST geben inzwischen praxisnahe Hinweise und Standards. Die Frage, wie Organisationen diese Hinweise umsetzen, betrifft IT‑Teams, Entwicklerinnen und Dienstleister gleichermaßen. Dieser Text führt strukturiert durch Grundlagen, typische Angriffswege, praktische Maßnahmen und realistische Prioritäten.

Unter KI‑Sicherheit verstehen Fachleute den Schutz von AI/ML‑Systemen gegen Manipulation, Datenverlust und Missbrauch. Dazu gehören drei Ebenen: die Software‑/Infrastruktur‑Ebene (Code, Container, CI/CD), die Daten‑ und Modell‑Ebene (Trainingsdaten, Modelldateien, Versionierung) sowie die Betriebs‑Ebene (Monitoring, Zugänge, Incident Response). Wichtig ist, dass viele Risiken nicht neu sind; sie treten in anderer Form bei klassischer IT‑Sicherheit auf, gewinnen aber durch die Spezifika von Modellen an Relevanz.

Schutz beginnt mit Inventar und Verantwortlichkeiten: Ohne zu wissen, welche Modelle und Daten im Einsatz sind, lassen sich Risiken nicht priorisieren.

Behördliche Leitlinien nennen ähnliche Kernaufgaben. Das BSI weist in seinem Lagebericht 2023 auf die Bedeutung von Patch‑Management und Zugangssicherung hin; diese Zahlendaten stammen aus 2023 und sind damit älter als zwei Jahre, bleiben aber als Basisempfehlung relevant. ENISA beschreibt in seinem Multilayer‑Framework zusätzlich AI‑spezifische Schutzschichten, und NIST ergänzt mit konkreten Vorgaben für die Lieferkette und CI/CD‑Pipelines.

Ein knappes, nützliches Ordnungsschema:

Die Tabelle zeigt, dass technische und organisatorische Maßnahmen zusammenwirken müssen. Viele Empfehlungen von ENISA und NIST lassen sich in dieses Dreifeld‑Schema einsortieren.

KI‑Systeme stehen nicht isoliert: Chatbots, Empfehlungssysteme, Automatisierungsskripte und Assistenz‑APIs kommunizieren mit Nutzern und Backend‑Systemen. Angreifer nutzen diese Schnittstellen auf drei Wegen: über die Eingangsdaten (bösartige Prompts oder manipulierte Trainingsdaten), über die Lieferkette (kompromittierte Modelle oder Bibliotheken) und über Management‑Tools (kompromittierte CI/CD‑Runner, gestohlene Service‑Konten).

Konkrete Beispiele aus dem Alltag verdeutlichen das Muster: Ein Support‑Chatbot, der auf vertrauliche Kundendaten zugreift, kann durch manipulierte Anfragen dazu gebracht werden, sensible Informationen auszugeben, wenn das System keine Kontextsicherung und keinen Output‑Filter hat. Eine externe Modell‑Bibliothek mit einer Hintertür kann in einen Produktionsworkflow eingeschleust werden, wenn keine Signatur‑Verifikation vorhanden ist. Und ein Leck in der CI/CD‑Pipeline kann dazu führen, dass ein schädlicher Build auf Produktionsserver gelangt.

ENISA und NIST betonen, dass diese Risiken nicht nur technisch gelöst werden: Governance, Nachvollziehbarkeit und vertragliche Anforderungen an Lieferanten sind ebenso wichtig. Die ENISA‑Berichte (2023/2024) basieren teils auf OSINT‑Monitoring; deshalb sind Fallzahlen indikativ, nicht vollständig.

Der Einsatz von KI bringt Chancen: Prozessautomatisierung, bessere Entscheidungen aus Daten und Effizienzgewinne. Gleichzeitig entstehen Risiken, die sich auf Compliance, Betriebssicherheit und Reputation auswirken können. Drei klingende Beispiele:

1) Compliance‑Risiko: Für Hochrisiko‑KI‑Systeme verlangt die EU‑KI‑Verordnung ausführliche Dokumentation und Nachweise zu Datenherkunft und Bias‑Assessment. Fehlende Dokumente können rechtliche und wirtschaftliche Folgen haben.

2) Betriebsrisiko: Ungepatchte Komponenten, schwache Zugangskontrollen und fehlende Backups führen zu Ausfallrisiken. Das BSI‑Lagebild 2023 weist auf Ransomware‑Gefahren hin und empfiehlt Patching, MFA und Offline‑Backups — diese Empfehlungen stammen aus 2023 und sind als etablierte Basismaßnahmen weiterhin relevant.

3) Missbrauchsrisiko: Generative Modelle können für Social‑Engineering, Phishing‑Texte oder Deepfakes verwendet werden. NIST und ENISA fordern deshalb Robustheits‑ und Adversarial‑Tests sowie Monitoring, um Missbrauch früh zu erkennen.

Operational bedeutet das: Priorisieren nach Wirksamkeit. Ein pragmatischer Dreischritt, der sich in Leitlinien wie dem NIST AI RMF findet, lautet: Inventar bilden, kritische Abhängigkeiten härten, regelmäßige Tests und Überprüfungen einführen. Für viele Organisationen ergibt sich daraus eine überschaubare Reihenfolge von Maßnahmen mit hohem Nutzen.

Praktische Schritte lassen sich entlang des Lebenszyklus umsetzen. Kurzfristig (0–3 Monate) lohnt sich: ein aktuelles Inventar für Modelle und Drittanbieter‑Komponenten, Durchsetzung von Multi‑Factor‑Authentication für alle privilegierten Zugänge und ein Notfallplan für Datensicherungen. Mittelfristig (3–6 Monate) sind CI/CD‑Härte, signierte Builds und automatische Erstellung von SBOM/MBoM sowie erste TEVV‑Tests (Test, Evaluation, Verification & Validation) empfehlenswert. Langfristig gilt es, Governance‑Prozesse zu etablieren, Lieferanten‑Audits durchzuführen und regelmäßige Red‑Team‑Übungen anzusetzen.

Technisch bedeutet das konkret:

• SBOM/MBoM erstellen: Inventar aller Software‑ und Modellartefakte.
• Isolierte, signierte Builds: CI/CD‑Runner absichern und Signaturen prüfen.
• Data‑Provenance: Herkunft und Transformationen der Trainingsdaten dokumentieren.
• Robustness‑ und Adversarial‑Tests: Angriffsarten simulieren und Modelle gegen Manipulation prüfen.
• Monitoring & Logging: Telemetrie so gestalten, dass sie sowohl Privacy‑anforderungen erfüllt als auch forensische Nutzung erlaubt.

Institutionelle Unterstützung hilft: NIST liefert verbindliche Muster für die Supply‑Chain‑Absicherung und CI/CD (SP 800‑204D, AI RMF), ENISA bietet ein Multilayer‑Framework für AI‑Security und das BSI konkretisiert Prioritäten für Deutschland. Diese Dokumente sind praktische Referenzen, weil sie Umsetzungsschritte nennen — etwa die Fristen und Attestationsregeln in US‑Beschaffungsrichtlinien (M‑23‑16) oder die Datenqualitätskataloge des BSI (QUAIDAL, 2025).

KI‑Sicherheit lässt sich nicht auf ein einzelnes Tool reduzieren. Sie entsteht, wenn Inventar, Lieferkettenhärtung, Testverfahren und Governance zusammenarbeiten. Kurzfristig bringen Inventarisierung, MFA und Offline‑Backups oft den größten Schutz bei vergleichsweise überschaubarem Aufwand. Mittelfristig sind signierte Builds, SBOM/MBoM und regelmäßige Robustheits‑Tests entscheidend. Die Empfehlungen von BSI, ENISA und NIST bieten klare, komplementäre Vorgaben: Sie verbinden operative Schritte mit strategischer Governance und helfen, Risiken systematisch zu mindern.