Warum Einzelmaßnahmen nicht genügen
Der Handlungsdruck ist messbar: Laut BSI-Lagebericht 2025 richteten sich rund 80 Prozent der angezeigten Cyberangriffe gegen kleine und mittlere Unternehmen. Gleichzeitig lassen sich KI-spezifische Risiken wie Prompt Injection nach Einschätzung des britischen NCSC möglicherweise nie vollständig beheben – sie müssen durch Architektur begrenzt werden. Genau das leistet ein Modell aus drei Schichten: Governance legt fest, was gelten soll. Technik erzwingt, dass es gilt. Der Mensch entscheidet, wenn beide nicht greifen. Jede Schicht allein ist überwindbar – zusammen machen sie aus einem attraktiven Ziel ein unwirtschaftliches.
Schicht 1: Governance – Rahmenwerke und Pflichten
Freiwillige Rahmenwerke
Das NIST AI Risk Management Framework 1.0 (Januar 2023) strukturiert KI-Risikomanagement in vier Funktionen – Govern, Map, Measure, Manage – und ist damit ein pragmatisches Gerüst auch für kleinere Organisationen. Für generative KI ergänzt das Profil NIST-AI-600-1 (Juli 2024) zwölf spezifische Risikobereiche und über 200 konkrete Maßnahmen. Wer Zertifizierbarkeit anstrebt, etwa weil Kunden danach fragen, findet in ISO/IEC 42001:2023 den ersten zertifizierbaren Standard für KI-Managementsysteme.
Verbindliches Recht: AI Act und NIS2
Zwei Rechtsakte machen aus Empfehlungen Pflichten. Artikel 15 der KI-Verordnung (EU) 2024/1689 verlangt für Hochrisiko-KI-Systeme Genauigkeit, Robustheit und Cybersicherheit über den gesamten Lebenszyklus – ausdrücklich einschließlich Schutz gegen Data und Model Poisoning. Unmittelbarer für viele Mittelständler ist die NIS2-Richtlinie: Das deutsche NIS2-Umsetzungsgesetz trat am 6. Dezember 2025 ohne Übergangsfrist in Kraft. Nach Schätzung des BSI fallen rund 29.500 Unternehmen in 18 Sektoren unter die neuen Pflichten – auch Zulieferer kritischer Kunden sind oft mittelbar betroffen. Die Eckpunkte: Selbstregistrierung beim BSI (die Frist lief am 6. März 2026 ab; wer betroffen und noch nicht registriert ist, holt das unverzüglich nach), zehn Mindestmaßnahmen zum Risikomanagement nach Paragraf 30 BSIG-neu, Erstmeldung erheblicher Vorfälle binnen 24 Stunden mit qualifizierter Folgemeldung binnen 72 Stunden und Abschlussbericht nach einem Monat, Bußgelder bis zu 10 Millionen Euro. Anders als frühere IT-Sicherheitsgesetze adressiert NIS2 die Geschäftsleitung persönlich: Sie haftet für die Umsetzung, muss die Maßnahmen billigen, ihre Umsetzung überwachen und sich selbst schulen lassen.
Schicht 2: Technik – Kontrollen um die KI herum
Die technische Schicht besteht aus sechs Bausteinen:
- Kontrollierte Zugänge: Enterprise-Verträge für alle produktiv genutzten KI-Dienste – mit Auftragsverarbeitung, Trainingsausschluss und zentraler Administration. Das entzieht der Schatten-KI den Nährboden.
- Datenklassifizierung und DLP: Wer nicht weiß, welche Daten vertraulich sind, kann sie nicht schützen. Data-Loss-Prevention-Regeln verhindern, dass klassifizierte Inhalte in nicht freigegebene Tools fließen.
- Rechtekopplung: Jedes KI-System erhält ein eigenes Servicekonto mit exakt den Rechten seiner Aufgabe – nach dem NCSC-Prinzip begrenzt auf das Rechteniveau der verarbeiteten Daten. Approval-Gates sichern folgenreiche Aktionen ab.
- Logging und Monitoring: Alle KI-Interaktionen und Agenten-Aktionen werden protokolliert und in das bestehende Security-Monitoring integriert – Voraussetzung für Nachvollziehbarkeit und für NIS2-Meldungen binnen 24 Stunden.
- Red-Teaming: Testen Sie Ihre KI-Anwendungen, bevor es andere tun. Die Wissensbasis MITRE ATLAS dokumentiert in Version 5.1.0 (November 2025) 16 Angreifer-Taktiken, 84 Techniken und 42 reale Fallstudien gegen KI-Systeme – ein bewährter Ausgangspunkt für Testpläne, auch wenn die Durchführung an Dienstleister vergeben wird.
- Sicherer Lebenszyklus: Die von NCSC und CISA gemeinsam mit 21 weiteren Behörden veröffentlichten „Guidelines for Secure AI System Development“ strukturieren die Pflichten entlang von vier Phasen – von Secure Design bis Secure Operation – und eignen sich als Checkliste für Eigenentwicklungen und Beschaffung.
Schicht 3: Mensch – die letzte Verteidigungslinie
Technik filtert, aber am Ende entscheidet ein Mensch, ob er überweist, klickt oder meldet. Das BSI benennt die Schulung der Beschäftigten als zentrale Maßnahme gegen Deepfakes – und der Nachholbedarf ist belegt: Laut der globalen KPMG-Studie mit der Universität Melbourne haben nur 47 Prozent der Beschäftigten je eine KI-Schulung erhalten. Drei Elemente tragen diese Schicht: Awareness mit aktuellen Szenarien (Deepfake-Anrufe, perfekte Phishing-Mails und manipulierte KI-Ausgaben gehören in jedes Schulungsprogramm – praxisnah geübt statt abstrakt doziert), Verifikationsprozesse als Routine (Kontrollfrage, Out-of-Band-Rückruf und Vier-Augen-Prinzip wirken nur, wenn sie eingeübt und von der Führung vorgelebt werden) sowie eine Meldekultur ohne Schuldzuweisung. Wer einen Klick oder einen Beinahe-Betrug meldet, liefert wertvolle Lageinformation; Sanktionen erzeugen Schweigen – und Schweigen verlängert die Reaktionszeit.
Der 90-Tage-Fahrplan
Die Abwehrarchitektur entsteht nicht über Nacht – aber sie braucht auch kein Jahresprojekt. Drei Phasen bringen ein mittelständisches Unternehmen auf ein belastbares Schutzniveau; jede ist mit Bordmitteln und punktueller externer Unterstützung machbar.
Phase 1 (Tag 1–30): Sichtbarkeit schaffen
Ein KI-Inventar inklusive Schatten-KI-Amnestie, Enterprise-Tiers für die meistgenutzten Dienste, Prüfung der NIS2-Betroffenheit mit gegebenenfalls unverzüglicher Nachregistrierung – und eine sofort geltende Zahlungs-Verifikationsregel per Arbeitsanweisung: Rückruf plus Vier-Augen-Prinzip. Ergebnis: ein vollständiges Bild der KI-Nutzung, das CEO-Fraud-Risiko sofort entschärft, die NIS2-Pflichten im Griff.
Phase 2 (Tag 31–60): Regeln und Technik
Eine KI-Richtlinie mit erlaubten Tools je Datenklasse, Prüfpflichten und Meldewegen; ein Rechtekonzept für KI-Systeme und Agenten mit Least Privilege, Servicekonten und Approval-Gates; aktiviertes Logging und Monitoring; dazu Deepfake- und Phishing-Schulung für alle, vertieft für Finanz, Assistenz und IT. Ergebnis: verbindliche Spielregeln statt Schatten-KI; KI-Systeme können nur, was sie sollen; die Belegschaft kennt die Angriffsmuster.
Phase 3 (Tag 61–90): den Ernstfall proben
Eine Red-Team-Übung (ATLAS-gestützt, intern oder als Dienstleistung), die Ergänzung des Incident-Response-Plans um KI-Szenarien und den NIS2-Meldeprozess sowie eine Tabletop-Übung mit der Geschäftsführung. Ergebnis: getestete Abwehr statt Papierlage, Meldefähigkeit binnen 24 Stunden, eine entscheidungssichere Geschäftsführung.
Ein Praxis-Tipp für den Start: die Schatten-KI-Amnestie. Wer private KI-Tools beruflich genutzt hat, meldet dies vier Wochen lang straffrei und erhält Zugang zum offiziellen Enterprise-Werkzeug plus Kurzschulung. So wird das Inventar realistisch statt geschönt – angesichts von 57 Prozent zumindest zeitweise verheimlichter Nutzung laut KPMG ist das der schnellste Weg zur Wahrheit.
Nach den 90 Tagen: aus dem Projekt wird Routine
Nach den 90 Tagen geht das Projekt in den Regelbetrieb über: quartalsweise Inventar-Prüfung, jährliche Schulung und Tabletop-Übung, Red-Teaming bei jeder größeren KI-Einführung. Das erfordert kein Security Operations Center im Konzernmaßstab, sondern Entscheidungen der Geschäftsleitung – die NIS2 ohnehin persönlich in die Pflicht nimmt – und konsequente Umsetzung.
Dieser Artikel skizziert das Zielbild. Die vollständige Abwehrarchitektur mit allen Details zu Rahmenwerken, NIS2-Pflichten und Fahrplan finden Sie im Whitepaper „KI-Sicherheit“.