Warum Einzelmaßnahmen nicht genügen

Der Handlungsdruck ist messbar: Laut BSI-Lagebericht 2025 richteten sich rund 80 Prozent der angezeigten Cyberangriffe gegen kleine und mittlere Unternehmen. Gleichzeitig lassen sich KI-spezifische Risiken wie Prompt Injection nach Einschätzung des britischen NCSC möglicherweise nie vollständig beheben – sie müssen durch Architektur begrenzt werden. Genau das leistet ein Modell aus drei Schichten: Governance legt fest, was gelten soll. Technik erzwingt, dass es gilt. Der Mensch entscheidet, wenn beide nicht greifen. Jede Schicht allein ist überwindbar – zusammen machen sie aus einem attraktiven Ziel ein unwirtschaftliches.

Schicht 1: Governance – Rahmenwerke und Pflichten

Freiwillige Rahmenwerke

Das NIST AI Risk Management Framework 1.0 (Januar 2023) strukturiert KI-Risikomanagement in vier Funktionen – Govern, Map, Measure, Manage – und ist damit ein pragmatisches Gerüst auch für kleinere Organisationen. Für generative KI ergänzt das Profil NIST-AI-600-1 (Juli 2024) zwölf spezifische Risikobereiche und über 200 konkrete Maßnahmen. Wer Zertifizierbarkeit anstrebt, etwa weil Kunden danach fragen, findet in ISO/IEC 42001:2023 den ersten zertifizierbaren Standard für KI-Managementsysteme.

Verbindliches Recht: AI Act und NIS2

Zwei Rechtsakte machen aus Empfehlungen Pflichten. Artikel 15 der KI-Verordnung (EU) 2024/1689 verlangt für Hochrisiko-KI-Systeme Genauigkeit, Robustheit und Cybersicherheit über den gesamten Lebenszyklus – ausdrücklich einschließlich Schutz gegen Data und Model Poisoning. Unmittelbarer für viele Mittelständler ist die NIS2-Richtlinie: Das deutsche NIS2-Umsetzungsgesetz trat am 6. Dezember 2025 ohne Übergangsfrist in Kraft. Nach Schätzung des BSI fallen rund 29.500 Unternehmen in 18 Sektoren unter die neuen Pflichten – auch Zulieferer kritischer Kunden sind oft mittelbar betroffen. Die Eckpunkte: Selbstregistrierung beim BSI (die Frist lief am 6. März 2026 ab; wer betroffen und noch nicht registriert ist, holt das unverzüglich nach), zehn Mindestmaßnahmen zum Risikomanagement nach Paragraf 30 BSIG-neu, Erstmeldung erheblicher Vorfälle binnen 24 Stunden mit qualifizierter Folgemeldung binnen 72 Stunden und Abschlussbericht nach einem Monat, Bußgelder bis zu 10 Millionen Euro. Anders als frühere IT-Sicherheitsgesetze adressiert NIS2 die Geschäftsleitung persönlich: Sie haftet für die Umsetzung, muss die Maßnahmen billigen, ihre Umsetzung überwachen und sich selbst schulen lassen.

Schicht 2: Technik – Kontrollen um die KI herum

Die technische Schicht besteht aus sechs Bausteinen:

  • Kontrollierte Zugänge: Enterprise-Verträge für alle produktiv genutzten KI-Dienste – mit Auftragsverarbeitung, Trainingsausschluss und zentraler Administration. Das entzieht der Schatten-KI den Nährboden.
  • Datenklassifizierung und DLP: Wer nicht weiß, welche Daten vertraulich sind, kann sie nicht schützen. Data-Loss-Prevention-Regeln verhindern, dass klassifizierte Inhalte in nicht freigegebene Tools fließen.
  • Rechtekopplung: Jedes KI-System erhält ein eigenes Servicekonto mit exakt den Rechten seiner Aufgabe – nach dem NCSC-Prinzip begrenzt auf das Rechteniveau der verarbeiteten Daten. Approval-Gates sichern folgenreiche Aktionen ab.
  • Logging und Monitoring: Alle KI-Interaktionen und Agenten-Aktionen werden protokolliert und in das bestehende Security-Monitoring integriert – Voraussetzung für Nachvollziehbarkeit und für NIS2-Meldungen binnen 24 Stunden.
  • Red-Teaming: Testen Sie Ihre KI-Anwendungen, bevor es andere tun. Die Wissensbasis MITRE ATLAS dokumentiert in Version 5.1.0 (November 2025) 16 Angreifer-Taktiken, 84 Techniken und 42 reale Fallstudien gegen KI-Systeme – ein bewährter Ausgangspunkt für Testpläne, auch wenn die Durchführung an Dienstleister vergeben wird.
  • Sicherer Lebenszyklus: Die von NCSC und CISA gemeinsam mit 21 weiteren Behörden veröffentlichten „Guidelines for Secure AI System Development“ strukturieren die Pflichten entlang von vier Phasen – von Secure Design bis Secure Operation – und eignen sich als Checkliste für Eigenentwicklungen und Beschaffung.

Schicht 3: Mensch – die letzte Verteidigungslinie

Technik filtert, aber am Ende entscheidet ein Mensch, ob er überweist, klickt oder meldet. Das BSI benennt die Schulung der Beschäftigten als zentrale Maßnahme gegen Deepfakes – und der Nachholbedarf ist belegt: Laut der globalen KPMG-Studie mit der Universität Melbourne haben nur 47 Prozent der Beschäftigten je eine KI-Schulung erhalten. Drei Elemente tragen diese Schicht: Awareness mit aktuellen Szenarien (Deepfake-Anrufe, perfekte Phishing-Mails und manipulierte KI-Ausgaben gehören in jedes Schulungsprogramm – praxisnah geübt statt abstrakt doziert), Verifikationsprozesse als Routine (Kontrollfrage, Out-of-Band-Rückruf und Vier-Augen-Prinzip wirken nur, wenn sie eingeübt und von der Führung vorgelebt werden) sowie eine Meldekultur ohne Schuldzuweisung. Wer einen Klick oder einen Beinahe-Betrug meldet, liefert wertvolle Lageinformation; Sanktionen erzeugen Schweigen – und Schweigen verlängert die Reaktionszeit.

Der 90-Tage-Fahrplan

Die Abwehrarchitektur entsteht nicht über Nacht – aber sie braucht auch kein Jahresprojekt. Drei Phasen bringen ein mittelständisches Unternehmen auf ein belastbares Schutzniveau; jede ist mit Bordmitteln und punktueller externer Unterstützung machbar.

Phase 1 (Tag 1–30): Sichtbarkeit schaffen

Ein KI-Inventar inklusive Schatten-KI-Amnestie, Enterprise-Tiers für die meistgenutzten Dienste, Prüfung der NIS2-Betroffenheit mit gegebenenfalls unverzüglicher Nachregistrierung – und eine sofort geltende Zahlungs-Verifikationsregel per Arbeitsanweisung: Rückruf plus Vier-Augen-Prinzip. Ergebnis: ein vollständiges Bild der KI-Nutzung, das CEO-Fraud-Risiko sofort entschärft, die NIS2-Pflichten im Griff.

Phase 2 (Tag 31–60): Regeln und Technik

Eine KI-Richtlinie mit erlaubten Tools je Datenklasse, Prüfpflichten und Meldewegen; ein Rechtekonzept für KI-Systeme und Agenten mit Least Privilege, Servicekonten und Approval-Gates; aktiviertes Logging und Monitoring; dazu Deepfake- und Phishing-Schulung für alle, vertieft für Finanz, Assistenz und IT. Ergebnis: verbindliche Spielregeln statt Schatten-KI; KI-Systeme können nur, was sie sollen; die Belegschaft kennt die Angriffsmuster.

Phase 3 (Tag 61–90): den Ernstfall proben

Eine Red-Team-Übung (ATLAS-gestützt, intern oder als Dienstleistung), die Ergänzung des Incident-Response-Plans um KI-Szenarien und den NIS2-Meldeprozess sowie eine Tabletop-Übung mit der Geschäftsführung. Ergebnis: getestete Abwehr statt Papierlage, Meldefähigkeit binnen 24 Stunden, eine entscheidungssichere Geschäftsführung.

Ein Praxis-Tipp für den Start: die Schatten-KI-Amnestie. Wer private KI-Tools beruflich genutzt hat, meldet dies vier Wochen lang straffrei und erhält Zugang zum offiziellen Enterprise-Werkzeug plus Kurzschulung. So wird das Inventar realistisch statt geschönt – angesichts von 57 Prozent zumindest zeitweise verheimlichter Nutzung laut KPMG ist das der schnellste Weg zur Wahrheit.

Nach den 90 Tagen: aus dem Projekt wird Routine

Nach den 90 Tagen geht das Projekt in den Regelbetrieb über: quartalsweise Inventar-Prüfung, jährliche Schulung und Tabletop-Übung, Red-Teaming bei jeder größeren KI-Einführung. Das erfordert kein Security Operations Center im Konzernmaßstab, sondern Entscheidungen der Geschäftsleitung – die NIS2 ohnehin persönlich in die Pflicht nimmt – und konsequente Umsetzung.

Dieser Artikel skizziert das Zielbild. Die vollständige Abwehrarchitektur mit allen Details zu Rahmenwerken, NIS2-Pflichten und Fahrplan finden Sie im Whitepaper „KI-Sicherheit“.