Zum Inhalt springen
EsperIT Logo

25. Mai 2026

KI-Sicherheit für kleine und mittelständische Unternehmen

Viele kleine und mittelständische Unternehmen stehen generativer KI derzeit gleichzeitig neugierig und skeptisch gegenüber. Was viele Unternehmer nachts wachhält – und warum das meiste davon lösbar ist.

KI-Sicherheit für kleine und mittelständische Unternehmen

Laut einer aktuellen Branchenerhebung nennen rund 47 Prozent der mittelständischen Unternehmen Datenschutzbedenken als Grund, warum sie KI bisher meiden. Sie sind mit Ihren Fragen also in bester Gesellschaft.

Ich habe hier fünf Sorgen herausgegriffen, die mir am häufigsten begegnen. Zu jeder finden Sie eine kleine Übersicht der typischen Fragen – und jeweils die wichtigsten Antworten darauf.

Sorge 1: „Macht die KI am Ende Dinge, die ich gar nicht wollte?"
Das ist die Urangst schlechthin: Die KI verschickt eigenmächtig eine E-Mail, löscht eine Datei, verändert etwas im System – und niemand hat es kommen sehen. Diese Sorge ist nicht aus der Luft gegriffen, denn moderne KI-Helfer können tatsächlich mehr als nur Texte schreiben. Sie können angebunden werden, um selbst Aufgaben zu erledigen. Aber genau hier liegt auch die Lösung:

Was die KI erledigen darf, legen Sie fest.

Was Unternehmer hier umtreibt:

- verschickt die KI selbstständig E-Mails oder Angebote an Kunden?
- kann sie versehentlich Dateien oder Datensätze löschen?'
- trifft sie eigenmächtig Entscheidungen, die Geld oder Verträge betreffen?
- läuft im Hintergrund etwas ab, von dem ich gar nichts mitbekomme?

Dazu sei folgendes angeführt:

a) geben Sie der KI nur Leserechte, wo immer es geht.
Für die allermeisten nützlichen Aufgaben – Texte zusammenfassen, Informationen finden, Entwürfe schreiben – muss eine KI gar nichts verändern oder versenden. Sie muss nur lesen dürfen. Eine KI, die nichts löschen und nichts verschicken kann, kann auch keinen entsprechenden Schaden anrichten.

Zuständig: Ihre IT-Betreuung. Eingerichtet wird das in der Benutzer- und Rechteverwaltung des jeweiligen KI-Werkzeugs bzw. der angebundenen Programme.

b) lassen Sie heikle Schritte immer von einem Menschen freigeben.
Soll doch einmal etwas verschickt oder verändert werden, wird das so eingestellt, dass ein Mitarbeiter es vorher per Klick bestätigt. Die KI bereitet vor – der Mensch gibt frei. So bleibt die letzte Entscheidung immer bei Ihnen im Haus.

Zuständig: wer den Arbeitsablauf einrichtet (IT oder Dienstleister). Eingerichtet wird das in der KI-Anwendung selbst bzw. in der Automatisierungs-Plattform, die die Abläufe steuert.

c) setzen Sie feste Leitplanken.
Man kann einer KI klare Verbote mitgeben – etwa „niemals etwas löschen" oder „niemals Daten nach außen schicken". Diese Regeln werden in einer Art Steuerungsdatei hinterlegt und gelten dann dauerhaft, bei jeder einzelnen Anfrage.

Zuständig: IT bzw. Dienstleister. Eingerichtet wird das in den Einstellungen bzw. der Konfigurationsdatei der KI-Anwendung.

Sorge 2: „Bekommt die KI unsere vertraulichen Unterlagen zu sehen?"
Kundendaten, Kalkulationen, Verträge, Gehaltslisten – das Tafelsilber jedes Unternehmens. Die Vorstellung, eine KI könnte hier ungefragt herumstöbern, ist unangenehm. Wichtig zu wissen: Eine KI hat nicht von allein Zugriff auf Ihre Dateien. Diesen Zugriff muss man ihr erst aktiv einräumen – und dabei kann man sehr genau steuern, wer was sehen darf.

Was Unternehmer hier umtreibt:

- durchsucht die KI heimlich unsere Ordner und Laufwerke?
- sieht sie auch Dinge, die nur die Geschäftsführung sehen sollte?
- verlassen unsere Daten das Haus und landen irgendwo im Internet?
- kann ein einfacher Mitarbeiter über die KI plötzlich an vertrauliche Akten kommen?

Hier meine Antworten auf diese Fragen:

a) die KI sieht nur das, was der jeweilige Mitarbeiter ohnehin sehen darf. Man koppelt die KI an die bestehenden Zugriffsrechte. Wer im Vertrieb arbeitet, sieht über die KI also Vertriebsunterlagen – aber keine Gehaltslisten. Es entsteht keine neue Hintertür; es gelten dieselben Regeln wie bisher.

Zuständig: IT bzw. Dienstleister. Eingerichtet wird das in der Benutzerverwaltung Ihrer Systeme (z. B. dem zentralen Firmenkonto, über das sich alle anmelden).

b) markieren Sie, welche Unterlagen besonders schützenswert sind. Wenn klar hinterlegt ist, welche Dokumente „nur intern" oder „streng vertraulich" sind, kann man der KI den Zugriff auf die heikelsten Kategorien von vornherein verwehren. Das ist wie ein abschließbarer Aktenschrank, zu dem die KI schlicht keinen Schlüssel bekommt.

Zuständig: Geschäftsführung legt die Einstufung fest, IT setzt sie um. Eingerichtet wird das in Ihrem Dokumenten- bzw. Cloudspeicher-System.

c) nutzen Sie eine geschäftliche KI-Lösung statt frei zugänglicher Dienste. Bei Geschäftsversionen der bekannten Anbieter ist vertraglich zugesichert, dass Ihre Eingaben nicht zum Training verwendet werden und Ihr Unternehmensumfeld nicht verlassen. Ihre Daten bleiben dort, wo sie hingehören.

Zuständig: Geschäftsführung (Auswahl/Vertrag), IT (Einrichtung). Eingerichtet wird das bei der Wahl des KI-Anbieters und dem zugehörigen Geschäftskonto.

Sorge 3: „Was, wenn ein Mitarbeiter aus Versehen etwas Heikles eingibt?"
Das ist – ehrlicherweise – die realistischste aller Sorgen. Nicht die Technik ist das größte Risiko, sondern der gut gemeinte, schnelle Griff zum frei verfügbaren KI-Dienst: Ein Mitarbeiter kopiert einen Vertrag hinein, um ihn „mal eben" zusammenfassen zu lassen. Die Branche ist sich hier auffallend einig: Ein Großteil der Probleme entsteht nicht durch böse Absicht, sondern schlicht durch fehlendes Wissen, was erlaubt ist und was nicht.

Was Unternehmer hier umtreibt:

- lädt jemand vertrauliche Verträge in einen kostenlosen KI-Dienst hoch?
- tippen Mitarbeiter Kundendaten in private KI-Konten?
- weiß überhaupt jeder im Team, was erlaubt ist und was nicht?
- merken wir es überhaupt, wenn so etwas passiert?

Ich empfehle hier folgendes Vorgehen:

a) schreiben Sie eine einfache, klare Hausregel. Eine knappe, verständliche Richtlinie wirkt oft mehr als jede Technik: Welche KI-Dienste sind erlaubt? Was darf hinein, was niemals? Eine Seite genügt, solange sie jeder versteht und kennt. Das schafft Sicherheit – auf beiden Seiten.

Zuständig: Geschäftsführung. „Eingerichtet" wird das als schriftliche Richtlinie im Unternehmen – ganz ohne Technik.

b) stellen Sie eine geschäftliche KI bereit, damit niemand auf private Konten ausweicht. Mitarbeiter greifen meist nur deshalb zu privaten Diensten, weil es keine offizielle Alternative gibt. Wer eine geprüfte, geschäftliche Lösung anbietet, nimmt den Anreiz dafür weg – und behält den Überblick.

Zuständig: Geschäftsführung (Bereitstellung), IT (Einrichtung). Eingerichtet wird das durch die Einführung eines geschäftlichen KI-Zugangs für das Team.

c) schulen Sie Ihr Team kurz und praxisnah. Eine halbe Stunde, in der erklärt wird, warum man bestimmte Dinge nicht in eine KI eingibt, verhindert die meisten Pannen. Anmerkung am Rande: Seit Februar 2025 ist eine solche Mitarbeiter-Schulung im Umgang mit KI durch die europäische KI-Verordnung ohnehin verpflichtend – Sie schlagen hier also zwei Fliegen mit einer Klappe.

Zuständig: Geschäftsführung. „Eingerichtet" wird das als regelmäßige, kurze Mitarbeiterschulung.

Sorge 4: „Kann jemand unsere KI gezielt austricksen?"
Eine berechtigte und durchaus moderne Sorge. Tatsächlich gibt es Versuche, einer KI über geschickt formulierte Eingaben oder über manipulierte Dokumente „neue Anweisungen unterzuschieben" – sie also gegen die eigenen Regeln zu wenden. Fachleute halten dieses Thema für eines der wichtigsten überhaupt.
Die ehrliche Einordnung: Ganz ausschließen lässt es sich nach heutigem Stand nicht. Sehr wohl aber lässt sich der mögliche Schaden klein halten – und genau darauf kommt es an.

Was Unternehmer hier umtreibt:

- kann ein Außenstehender unsere KI mit Tricks zu Fehlverhalten bringen? -
- können in einem Dokument versteckte Anweisungen die KI umlenken?
- lässt sich die KI dazu bringen, Vertrauliches preiszugeben?
- Bemerken wir einen solchen Versuch überhaupt?

Hier kommen die passenden Antworten dazu:

a) der wirksamste Schutz ist, der KI von vornherein wenig Macht zu geben. Eine ausgetrickste KI ist nur dann gefährlich, wenn sie auch etwas anrichten kann. Hat sie ohnehin nur Leserechte und keinen Zugriff auf kritische Systeme (siehe Sorge 1), läuft selbst ein gelungener Trickversuch ins Leere. Begrenzte Rechte sind hier die beste Versicherung.

Zuständig: IT bzw. Dienstleister. Eingerichtet wird das in der Rechtevergabe der KI-Anwendung.

b) trennen Sie Anweisungen von Inhalten. Eine gut eingerichtete KI-Lösung behandelt das, was in einem Dokument oder einer Kundenmail steht, strikt als „Inhalt zum Lesen" – und nicht als Befehl, dem zu folgen ist. Diese Trennung ist eine der wirksamsten technischen Vorkehrungen.

Zuständig: Anbieter der KI-Lösung bzw. Ihr Dienstleister bei der Einrichtung. Eingerichtet wird das in der KI-Anwendung selbst.

c) behalten Sie ungewöhnliche Aktivitäten im Blick. Wenn alle KI-Aktivitäten mitprotokolliert werden, fallen merkwürdige Muster auf – und man kann reagieren, bevor etwas passiert. Man muss nicht jeden Eintrag lesen; es reicht, dass eine Aufzeichnung existiert.

Zuständig: IT bzw. Dienstleister. Eingerichtet wird das in den Protokoll-Einstellungen der KI-Anwendung bzw. der Sicherheitssoftware.

Sorge 5: „Sind wir mit alldem rechtlich überhaupt auf der sicheren Seite?"
Die vielleicht drängendste Frage für jeden Inhaber – denn am Ende tragen Sie die Verantwortung. Seit Februar 2025 gilt die europäische KI-Verordnung vollständig, und parallel dazu greift weiterhin der Datenschutz. Das klingt nach einem Berg an Pflichten. Die beruhigende Wahrheit: Für die meisten Mittelständler, die KI lediglich nutzen (und nicht selbst entwickeln), läuft es auf wenige, gut machbare Dinge hinaus.

Was Unternehmer hier umtreibt

- drohen uns Bußgelder, wenn wir etwas falsch machen?
- müssen wir aufwendig dokumentieren, wo wir KI einsetzen?
- verstoßen wir gegen den Datenschutz, wenn die KI Kundendaten verarbeitet?
- brauchen wir teure Spezialisten, um das alles zu erfüllen?

Die Antworten auf diese Fragen sind weniger dramatisch:

a) für reine KI-Nutzer ist der Aufwand überschaubar. Wer KI nur einsetzt, statt sie zu entwickeln, muss im Kern drei Dinge tun: festhalten, wo KI verwendet wird, die Mitarbeiter schulen und gegenüber Kunden transparent sein. Für kleinere Unternehmen sieht die Verordnung zudem ausdrücklich Erleichterungen vor. Es ist also kein Großprojekt, sondern eine überschaubare Hausaufgabe.

Zuständig: Geschäftsführung. „Eingerichtet" wird das in Form einer einfachen Übersicht der eingesetzten KI-Werkzeuge.

b) prüfen Sie den Vertrag mit Ihrem KI-Anbieter. Verarbeitet eine KI personenbezogene Daten, braucht es eine passende vertragliche Grundlage mit dem Anbieter. Bei Geschäftstarifen ist das in aller Regel vorgesehen – bei kostenlosen Privatkonten dagegen oft nicht. Schon allein deshalb lohnt der Umstieg auf eine geschäftliche Lösung.

Zuständig: Geschäftsführung, ggf. mit Rechts- oder Datenschutzberatung. „Eingerichtet" wird das beim Vertragsabschluss mit dem KI-Anbieter.

c) fangen Sie früh an – das ist Ihr Wettbewerbsvorteil. Wer sich jetzt strukturiert aufstellt, vermeidet nicht nur Ärger, sondern kann es sogar als Pluspunkt nach außen tragen: „Bei uns ist der KI-Einsatz geregelt und sicher." Das schafft Vertrauen bei Kunden – gerade dort, wo andere noch zögern.

Zuständig: Geschäftsführung, unterstützt durch fachliche Beratung. „Eingerichtet" wird das als bewusste, frühzeitige Entscheidung.

Keine dieser Stellschrauben ist kompliziert. Man muss nur wissen, an welcher man dreht – und in welcher Reihenfolge. Genau dann wird aus einer diffusen Sorge ein klarer, machbarer Plan. Und KI verwandelt sich vom Unsicherheitsfaktor in das, was sie sein soll: ein verlässlicher Helfer, der Ihrem Betrieb Zeit und Luft verschafft.

Sie möchten das für Ihr Unternehmen sortieren?

Genau hier setze ich an. Wir schauen uns gemeinsam an, wo KI Ihnen konkret hilft, welche Stellschrauben in Ihrem Fall zählen und wie Sie sie sicher und rechtskonform einstellen – verständlich erklärt, ohne Fachchinesisch, abgestimmt auf Ihren Betrieb.

Fachliche Grundlage dieses Beitrags: Dieser Artikel stützt sich auf anerkannte, öffentlich zugängliche Fachquellen – insbesondere die OWASP Top 10 für KI-Anwendungen (Ausgabe 2025), das KI-Risikomanagement-Rahmenwerk des US-amerikanischen Normungsinstituts NIST sowie die europäische KI-Verordnung (Verordnung (EU) 2024/1689) und die Datenschutz-Grundverordnung. Die genannten Zahlen zur KI-Nutzung im Mittelstand stammen aus aktuellen Branchenerhebungen des Jahres 2026.

Jetzt anrufen