Sensible Unternehmensdaten durch Sicherheitsprobleme bei KI-Firma kompromittiert – was Unternehmen daraus lernen können

Künstliche Intelligenz (KI) ist aus vielen Unternehmen nicht mehr wegzudenken. Doch der Einsatz solcher Systeme bringt nicht nur Vorteile, sondern auch Risiken für die Datensicherheit. Ein aktueller Fall zeigt, wie mangelnde Sicherheitsmaßnahmen bei einem KI-Anbieter dazu führen können, dass vertrauliche Unternehmensdaten offengelegt werden – inklusive Verträge, Rechnungen, Zugangsdaten und interne Informationen.

In diesem Beitrag erklären wir, was passiert ist, welche Gefahren bestehen und welche Maßnahmen Unternehmen ergreifen sollten, um ähnliche Vorfälle zu verhindern.

Was ist passiert?

Bei einem österreichischen KI-Anbieter konnten Sicherheitsexperten offenbar mit relativ einfachen Mitteln Zugang zu einem System erhalten, das eigentlich geschützt sein sollte. Dieser Zugang erlaubte es, auf sensible Daten zuzugreifen, darunter:

  • interne Dokumente von Kunden
  • E-Mail-Konten
  • Zugangsinformationen
  • Rechnungen und Verträge
  • Systeminformationen

Berichten zufolge waren zum Teil einfache Passwort-Kombinationen ausreichend, um Zugang zu erlangen. Der Vorfall betraf zahlreiche Unternehmen und Institutionen, darunter Banken, Energieversorger, Behörden und andere Organisationen. 

Warum ist das so gefährlich?

Solche Sicherheitsprobleme sind aus mehreren Gründen gravierend:

1. Verlust von Vertraulichkeit

Sensible Daten wie Verträge oder interne E-Mails dürfen nicht in falsche Hände geraten. Kommen sie an die Öffentlichkeit oder werden missbraucht, kann das:

  • Wettbewerbsnachteile erzeugen
  • rechtliche Probleme auslösen
  • finanziellen Schaden verursachen
  • das Vertrauen von Kunden und Partnern beschädigen

Datenschutz und Vertraulichkeit sind zentrale Bestandteile der Unternehmenssicherheit. 

2. Risiko für das eigene Netzwerk

Wenn ein Angreifer erst einmal in ein System gelangt, kann er sich oft lateral bewegen – also weiteren Zugang zu anderen Systemen im Netzwerk erlangen. Diese Kettenreaktion erhöht das Risiko von umfassenden Schaden.

3. Rechtliche und regulatorische Folgen

Unternehmen müssen im Rahmen der Datenschutz-Grundverordnung (DSGVO) und weiterer Sicherheitsstandards nachweisen:

  • dass sie geeignete technische und organisatorische Maßnahmen ergriffen haben
  • Verstöße melden (z. B. Meldepflicht bei Datenpannen)
  • Risiken für Betroffene minimieren

Kommt es zu einem Datenleck, kann dies zu hohen Bußgeldern oder anderen rechtlichen Konsequenzen führen.

Ursachen des Vorfalls

Nach Einschätzung der Beteiligten geriet dieser Vorfall nicht durch einen ausgeklügelten Angriff zustande, sondern durch grundlegende Fehler in der Sicherheitsgestaltung:

  • Test- oder Entwicklungsinstanzen wurden öffentlich zugänglich gemacht
  • Fehlende oder schwache Zugangsbeschränkungen
  • Mangelhafte Passwortsicherheit
  • Fehlende Überwachung und Erkennung von unautorisierten Zugriffen

Solche Grundlagenfehler sollten bei jedem professionell betriebenen System ausgeschlossen sein. 

Was sollte ein Unternehmen daraus lernen?

A. Sicherheit von Anfang an planen

Gerade wenn ein Dienstleister Zugang zu sensiblen Daten hat, muss bereits in der Planung klar definiert sein:

  • wie Daten geschützt werden
  • wer darauf zugreifen darf
  • wie Zugriffe protokolliert werden

B. Externe Dienste sorgfältig prüfen

Bevor eine KI-Lösung eingebunden wird, sollten Unternehmen prüfen:

  • den Sicherheitsstandard des Anbieters
  • technische Zertifikate und Prüfberichte
  • wie Daten verschlüsselt und gespeichert werden
  • welche Sicherheitsprozesse existieren

C. Eigene Kontrollmechanismen einführen

Verlassen Sie sich nicht allein auf den Dienstleister. Eigene Kontrollen sind wichtig:

  • Sicherheitsüberprüfungen (Penetrationstests)
  • Monitoring von Datenzugriffen
  • Schwachstellen-Scans

D. Mitarbeiter schulen

Viele Sicherheitsprobleme entstehen nicht nur durch externe Angriffe, sondern durch Fehlverhalten oder Unwissen der Mitarbeitenden. Regelmäßige Schulungen zu sicheren Passwörtern, Erkennung von Phishing-Mails oder richtigem Umgang mit KI-Tools sind Pflicht.

E. Notfall- und Reaktionspläne entwickeln

Sollte es dennoch zu einem Vorfall kommen, müssen klare Abläufe etabliert sein, etwa:

  • sofortige Reaktion und Isolierung betroffener Systeme
  • interne und externe Kommunikation
  • Meldung an Datenschutzbehörden nach gesetzlichen Vorgaben


Der Vorfall bei einem KI-Anbieter zeigt, dass auch innovative Technologien wie künstliche Intelligenz nicht vor klassischen Sicherheitslücken geschützt sind. Sensible Daten sind oft der zentrale Wert eines Unternehmens – und müssen auch so geschützt werden.

Unternehmen müssen Sicherheit aktiv gestalten – nicht erst reagieren, wenn es zu spät ist. Gute Vorbereitung, sorgfältige Auswahl von Partnern und regelmäßige Sicherheitsprüfungen sind entscheidend, um Datenlecks und potenziellen Schaden zu vermeiden.

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz 


×
Bleiben Sie informiert!

Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.

Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!

 
Eine Brücke zwischen DSGVO und KI-Verordnung – was...
Ausweiskopien in Hotels – rechtliche Grundlagen un...

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.