Künstliche Intelligenz (KI) ist aus vielen Unternehmen nicht mehr wegzudenken. Doch der Einsatz solcher Systeme bringt nicht nur Vorteile, sondern auch Risiken für die Datensicherheit. Ein aktueller Fall zeigt, wie mangelnde Sicherheitsmaßnahmen bei einem KI-Anbieter dazu führen können, dass vertrauliche Unternehmensdaten offengelegt werden – inklusive Verträge, Rechnungen, Zugangsdaten und interne Informationen.
In diesem Beitrag erklären wir, was passiert ist, welche Gefahren bestehen und welche Maßnahmen Unternehmen ergreifen sollten, um ähnliche Vorfälle zu verhindern.
Was ist passiert?
Bei einem österreichischen KI-Anbieter konnten Sicherheitsexperten offenbar mit relativ einfachen Mitteln Zugang zu einem System erhalten, das eigentlich geschützt sein sollte. Dieser Zugang erlaubte es, auf sensible Daten zuzugreifen, darunter:
- interne Dokumente von Kunden
- E-Mail-Konten
- Zugangsinformationen
- Rechnungen und Verträge
- Systeminformationen
Berichten zufolge waren zum Teil einfache Passwort-Kombinationen ausreichend, um Zugang zu erlangen. Der Vorfall betraf zahlreiche Unternehmen und Institutionen, darunter Banken, Energieversorger, Behörden und andere Organisationen.
Warum ist das so gefährlich?
Solche Sicherheitsprobleme sind aus mehreren Gründen gravierend:
1. Verlust von Vertraulichkeit
Sensible Daten wie Verträge oder interne E-Mails dürfen nicht in falsche Hände geraten. Kommen sie an die Öffentlichkeit oder werden missbraucht, kann das:
- Wettbewerbsnachteile erzeugen
- rechtliche Probleme auslösen
- finanziellen Schaden verursachen
- das Vertrauen von Kunden und Partnern beschädigen
Datenschutz und Vertraulichkeit sind zentrale Bestandteile der Unternehmenssicherheit.
2. Risiko für das eigene Netzwerk
Wenn ein Angreifer erst einmal in ein System gelangt, kann er sich oft lateral bewegen – also weiteren Zugang zu anderen Systemen im Netzwerk erlangen. Diese Kettenreaktion erhöht das Risiko von umfassenden Schaden.
3. Rechtliche und regulatorische Folgen
Unternehmen müssen im Rahmen der Datenschutz-Grundverordnung (DSGVO) und weiterer Sicherheitsstandards nachweisen:
- dass sie geeignete technische und organisatorische Maßnahmen ergriffen haben
- Verstöße melden (z. B. Meldepflicht bei Datenpannen)
- Risiken für Betroffene minimieren
Kommt es zu einem Datenleck, kann dies zu hohen Bußgeldern oder anderen rechtlichen Konsequenzen führen.
Ursachen des Vorfalls
Nach Einschätzung der Beteiligten geriet dieser Vorfall nicht durch einen ausgeklügelten Angriff zustande, sondern durch grundlegende Fehler in der Sicherheitsgestaltung:
- Test- oder Entwicklungsinstanzen wurden öffentlich zugänglich gemacht
- Fehlende oder schwache Zugangsbeschränkungen
- Mangelhafte Passwortsicherheit
- Fehlende Überwachung und Erkennung von unautorisierten Zugriffen
Solche Grundlagenfehler sollten bei jedem professionell betriebenen System ausgeschlossen sein.
Was sollte ein Unternehmen daraus lernen?
A. Sicherheit von Anfang an planen
Gerade wenn ein Dienstleister Zugang zu sensiblen Daten hat, muss bereits in der Planung klar definiert sein:
- wie Daten geschützt werden
- wer darauf zugreifen darf
- wie Zugriffe protokolliert werden
B. Externe Dienste sorgfältig prüfen
Bevor eine KI-Lösung eingebunden wird, sollten Unternehmen prüfen:
- den Sicherheitsstandard des Anbieters
- technische Zertifikate und Prüfberichte
- wie Daten verschlüsselt und gespeichert werden
- welche Sicherheitsprozesse existieren
C. Eigene Kontrollmechanismen einführen
Verlassen Sie sich nicht allein auf den Dienstleister. Eigene Kontrollen sind wichtig:
- Sicherheitsüberprüfungen (Penetrationstests)
- Monitoring von Datenzugriffen
- Schwachstellen-Scans
D. Mitarbeiter schulen
Viele Sicherheitsprobleme entstehen nicht nur durch externe Angriffe, sondern durch Fehlverhalten oder Unwissen der Mitarbeitenden. Regelmäßige Schulungen zu sicheren Passwörtern, Erkennung von Phishing-Mails oder richtigem Umgang mit KI-Tools sind Pflicht.
E. Notfall- und Reaktionspläne entwickeln
Sollte es dennoch zu einem Vorfall kommen, müssen klare Abläufe etabliert sein, etwa:
- sofortige Reaktion und Isolierung betroffener Systeme
- interne und externe Kommunikation
- Meldung an Datenschutzbehörden nach gesetzlichen Vorgaben
Der Vorfall bei einem KI-Anbieter zeigt, dass auch innovative Technologien wie künstliche Intelligenz nicht vor klassischen Sicherheitslücken geschützt sind. Sensible Daten sind oft der zentrale Wert eines Unternehmens – und müssen auch so geschützt werden.
Unternehmen müssen Sicherheit aktiv gestalten – nicht erst reagieren, wenn es zu spät ist. Gute Vorbereitung, sorgfältige Auswahl von Partnern und regelmäßige Sicherheitsprüfungen sind entscheidend, um Datenlecks und potenziellen Schaden zu vermeiden.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz