Samstag, Mai 16, 2026
Aktuelles:
BildungBusinessGlobalesRatgeberTechnologie

Wenn KI das schwächste Glied in der Kette verstärkt – und gleichzeitig selbst zur Gefahr wird

Redaktion

Mehr als die Hälfte aller Beschäftigten nutzt private KI-Konten für die Arbeit – oft mit sensiblen Firmendaten. Neue Gartner-Daten zeigen: Jahrzehntelange Sicherheitsschulungen greifen nicht mehr. Was Unternehmen und Einzelpersonen jetzt konkret tun müssen.

Die Zahlen in Kürze

KennzahlAnteil der Beschäftigten
Nutzen private KI-Konten für berufliche Aufgaben57 %
Geben sensible Firmendaten in nicht genehmigte KI-Tools ein33 %
Nutzen nicht autorisierte KI-Tools auf Firmengeräten (Schatten-KI)36 %

Quelle: Gartner-Umfrage unter 175 Beschäftigten, Mai–November 2025

Das alte Modell ist gescheitert

Früher klickten Mitarbeitende auf gefährliche Links, weil sie es nicht besser wussten oder gestresst waren. Heute passiert Ähnliches – nur mit einem neuen Werkzeug: Sie fügen Firmencode, Vertragsdetails oder Kundendaten in öffentliche KI-Chatbots ein, einfach weil es die Arbeit schneller macht. Aus Unwissenheit, Bequemlichkeit – oder weil das Unternehmen kein genehmigtes Alternativwerkzeug bereitstellt.

Jährliche Pflichtschulungen, Poster im Pausenraum und allgemeine Phishing-Warnungen ändern daran nichts. Laut Gartner-Analyst Alex Michaels reicht „Sensibilisierung allein nicht mehr aus“. Wer Sicherheit als Hindernis empfindet, findet einen Umweg – und mit KI-Tools sind diese Umwege besonders verlockend.

⚠️ Wichtig: Nicht nur die eigenen Mitarbeitenden sind das Problem. Auch Angreifer nutzen KI. KI-generierte Phishing-E-Mails haben sich in zwei Jahren verdoppelt. Sogenannte Deepfake-Angriffe – gefälschte Stimmen oder Videos von Vorgesetzten – haben bereits 35 % der Unternehmen getroffen.

Warum KI die Bedrohungslage grundlegend verändert

Es gibt drei neue Risikodimensionen, die herkömmliche Sicherheitsprogramme schlicht nicht abdecken:

  1. Unsichtbare Bedrohungen: KI-generierte E-Mails und Deepfake-Anrufe wirken täuschend echt – auch für erfahrene Mitarbeitende. Die klassischen Warnsignale wie schlechte Grammatik oder unbekannte Absender fallen weg.
  2. Angriffe in Minuten statt Tagen: Was früher Expertenwissen und Planung erforderte, gelingt Angreifern heute mit einfachen KI-Anweisungen in kürzester Zeit. Die Angriffsgeschwindigkeit hat sich fundamental verändert.
  3. Neue Risikoverhaltensweisen: Sogenannte Prompt-Injection-Angriffe (versteckte Befehle in Dokumenten, die ein KI-Tool manipulieren), blindes Vertrauen in KI-Ergebnisse ohne Gegenkontrolle und das unkontrollierte Weitergeben von Firmenkontext an öffentliche KI-Modelle – all das sind Risiken, die in bisherigen Schulungen nicht vorkamen.

📊 Gartner-Prognose (April 2026): Bis 2028 werden rund 25 % aller KI-Unternehmensanwendungen jährlich mindestens fünf Sicherheitsvorfälle produzieren – ein deutlicher Anstieg gegenüber 2025. Hauptursache laut Gartner: unreife Praktiken im Umgang von Menschen mit KI.

Was jetzt wirklich hilft: Verhalten statt Wissen

Zukunftsorientierte Sicherheitsteams entwickeln sogenannte Security Behavior and Culture Programs (SBCPs) – Programme, die nicht auf Wissensvermittlung setzen, sondern auf Verhaltensänderung im Arbeitsalltag.

Der Grundgedanke: Wer die Regeln kennt, aber dennoch sensible Daten in einen öffentlichen KI-Chatbot eingibt, weil es Zeit spart, braucht keine neue Warnung. Er oder sie braucht ein besseres, genehmigtes Werkzeug – und einen Arbeitsablauf, in dem das sichere Verhalten der einfachere Weg ist.

✅ Gartner-Prognose: Unternehmen, die KI-Einführung mit integrierten SBCPs kombinieren, könnten bis 2026 40 % weniger durch menschliches Fehlverhalten verursachte Sicherheitsvorfälle erleben.

Handlungsempfehlungen für Unternehmen und IT-Verantwortliche

  1. Schatten-KI sichtbar machen: Erfassen Sie, welche KI-Tools Mitarbeitende tatsächlich nutzen – auch inoffiziell. Nur was bekannt ist, kann sicher gemacht werden. Anonyme Umfragen helfen dabei, ehrliche Antworten zu bekommen.
  2. Genehmigte Tools bereitstellen – nicht nur verbieten: Wer keine Alternativen anbietet, treibt Mitarbeitende in unsichere Lösungen. Stellen Sie geprüfte KI-Werkzeuge mit klaren Nutzungsregeln zur Verfügung.
  3. Klare Datenklassifizierung einführen: Definieren Sie eindeutig: Welche Daten dürfen in welches Tool? Zum Beispiel: Öffentliche Informationen → freigegeben. Kundendaten, Code, Finanzdaten → nur in intern geprüfte Systeme.
  4. Bewusste Prüfpunkte einbauen: Bei kritischen KI-Aktionen – etwa der Weitergabe von Kundendaten oder der automatischen Ausführung von Code-Ergebnissen – eine kurze menschliche Überprüfung einfordern. Das kostet Sekunden, verhindert aber Datenlecks.
  5. Deepfake-Szenarien in Simulationen integrieren: Üben Sie gezielt mit realistischen Beispielen – gefälschte Sprachnachrichten von Vorgesetzten, perfekt formulierte Phishing-Mails. Mitarbeitende müssen diese Angriffe erkennen, bevor sie im Ernstfall auftreten.
  6. Prompt-Injection erklären: Schulen Sie Mitarbeitende darin, was Prompt-Injection bedeutet: Versteckte Anweisungen in Dokumenten oder Webseiten können ein KI-Tool dazu bringen, Daten preiszugeben oder falsche Aktionen durchzuführen.
  7. Melden vereinfachen: Das Melden einer verdächtigen KI-Interaktion sollte so einfach sein wie das Markieren einer Spam-Mail. Niedrige Hürden fördern eine Meldekultur.
  8. Governance als Teamaufgabe: Entscheidungen über KI-Nutzung dürfen nicht allein bei der IT-Abteilung liegen. Binden Sie Recht, Compliance, HR und Unternehmensführung aktiv ein.
  9. Kennzahlen zur KI-Sicherheit erfassen: Messen Sie nicht nur Schulungsquoten, sondern echte Verhaltensänderungen: Wie oft werden verdächtige KI-Interaktionen gemeldet? Wie hoch ist die sichere Nutzungsrate genehmigter Tools?
  10. Kontinuierliches Microlearning statt Jahresmodulen: Kurze, regelmäßige Lernimpulse zu aktuellen KI-Angriffstechniken sind wirksamer als einmalige Pflichtschulungen.

Handlungsempfehlungen für alle Mitarbeitenden

  • Keine sensiblen Daten in öffentliche KI-Tools eingeben: Dazu zählen Namen von Kunden, Vertragsdetails, Quellcode, Finanzdaten oder interne Strategiedokumente. Wenn Sie nicht sicher sind, ob ein Tool genehmigt ist: fragen Sie die IT-Abteilung.
  • Privates KI-Konto ≠ berufliches KI-Konto: Halten Sie beide strikt getrennt. Daten, die Sie in Ihr privates ChatGPT-Konto eingeben, landen auf Servern, die Ihr Arbeitgeber nicht kontrolliert.
  • Ungewöhnliche Anfragen immer verifizieren: Wenn ein Vorgesetzter per Sprachnachricht oder E-Mail eine ungewöhnliche Aktion verlangt (Überweisung, Dateifreigabe, Passwort), rufen Sie die Person direkt an – auch wenn Stimme oder Schreibstil vertraut wirken.
  • KI-Ergebnisse kritisch prüfen: KI-Tools können plausibel klingende, aber falsche Informationen liefern. Wichtige Aussagen immer an der ursprünglichen Quelle gegenkontrollieren, bevor sie weitergegeben werden.
  • Verdächtige KI-Interaktionen melden: Wenn Ihnen eine Antwort eines KI-Tools merkwürdig vorkommt oder Sie den Verdacht haben, dass ein Dokument manipulierte Anweisungen enthielt, melden Sie es. Es gibt keine dummen Meldungen.

„Mitarbeitende kennen die Regeln, fügen aber dennoch sensible Daten in ChatGPT ein, weil es Zeit spart. Um diese Diskrepanz zu schließen, bedarf es Überzeugungsarbeit – nicht bloßer Anweisungen.“ Sinngemäß aus der Gartner-Analyse

Fazit: Verhalten schlägt Bewusstsein

Das alte Modell der Cybersicherheit ging davon aus, dass mehr Wissen automatisch zu sichererem Handeln führt. Generative KI hat gezeigt, dass das nicht stimmt. Menschen handeln nach dem, was bequem und schnell ist – nicht nach dem, was sie im letzten Schulungsmodul gelernt haben.

Die eigentliche Aufgabe von Sicherheitsteams besteht heute darin, sichere Entscheidungen zum einfachsten Weg zu machen: durch gute Werkzeuge, kurze Feedbackschleifen und eine Unternehmenskultur, in der das Melden eines Problems belohnt wird – nicht sanktioniert.

Wer das umsetzt, verwandelt menschliches Verhalten vom größten Risikofaktor in einen echten Wettbewerbsvorteil im Zeitalter der generativen KI.

Buch Cover
Kindle Edition & Taschenbuch
Auf Amazon ansehen
Amazon Logo

Das könnte dir auch gefallen

KI-Reform der Einkommensteuer in Deutschland

Redaktion

„Der Phantom-Pilot“ – Wie ein Identitätsschwindel die Schwächen der Luftfahrtsicherheit offenbart

Redaktion

Der neue transatlantische Zoll-Deal: Fakten, Folgen und Bewertung

Redaktion

Schreibe einen Kommentar