KI ist in der Cyber Security längst angekommen. Gleichzeitig bleibt der nüchterne Befund: Der Engpass ist selten fehlende KI, sondern eine unklare Architektur, nicht gelebte Prozesse und mangelnde Risikotransparenz. KI macht Auffälligkeiten schneller sichtbar, aber sie behebt keine schlechte Ausgangslage.

KI ist in der Cyber Security gleichzeitig etabliertes Arbeitsmittel und Gegenstand von Hype. Neu ist vor allem die breite Aufmerksamkeit für große Sprachmodelle, die Dokumentation, Skripting und Integrationsaufgaben deutlich erleichtern. Gerade hier gilt: LLMs beschleunigen Arbeitsschritte, ersetzen aber weder Governance noch Freigabeprozesse. Ohne Leitplanken erhöhen sie sogar das Risiko von Fehlkonfigurationen und Datenabfluss.
KI bringt ihren größten Mehrwert vor allem dann, wenn sie typische Verhaltensmuster erlernt und daraus Anomalien ableitet. In SIEM- sowie MDR-Umgebungen identifizieren User- und Entity-Behavior-Analytics (UEBA) Auffälligkeiten in Logdaten und Netzwerkströmen, die reine Signaturverfahren häufig nicht erfassen. Gerade in der E-Mail-Sicherheit treffen dabei generative und auf Erkennung ausgelegte KI-Lösungen direkt aufeinander. Ein zunehmend relevantes Feld ist die Policy-Optimierung: Machine Learning (ML) lernt reale Applikationskommunikation und ordnet Firewall-Regeln konkreten Anwendungen zu. Das beschleunigt die Einführung eines Rezertifizierungsprozesses, wie er zum Beispiel im DORA-Regelwerk gefordert ist, und reduziert gewachsene Regelwerke auf das Wesentliche. Ebenso kann eine KI bei der Dokumentation sehr gut unterstützen. Entscheidend bleibt jedoch: KI kann Regeln vorschlagen und Anomalien markieren. Ob eine Regel businesskritisch ist, wer sie verantwortet und welches Restrisiko akzeptabel ist, muss organisatorisch geklärt sein.

Regulatorik und Vertrauen

Regulatorische Vorgaben bestimmen dabei zunehmend die Anforderungen an den Einsatz einer KI im Unternehmen. Sie fordern Nachweisbarkeit, Verantwortlichkeiten und kontrollierbare Risiken, also genau die Grundlagen, die KI nicht automatisch mitbringt.
EU AI Act: Für den Einsatz von KI in der kritischen Infrastruktur etwa bedarf es speziell zugelassener KI-Systeme. Auch die Schulung der Mitarbeiter für die KI-Nutzung ist verpflichtend. Bei Infrastrukturen mit einem geringen Risiko greifen lediglich die eingegrenzten Transparenz- und Informationspflichten. Dazu zählt unter anderem die Vorgabe, KI-generierte Inhalte als solche zu kennzeichnen. Die Regelungen der KI-Verordnung (EU) 2024/1689, dem sogenannten EU AI Act, gelten grundsätzlich unmittelbar ab dem 2. August 2026.
DSGVO: Werten Verfahren benutzerbezogenen Daten aus, wie beispielsweise bei User and Entity Behavior Analytics (UEBA), dann unterliegt das System neben dem AI-Act auch den strengen in der DSGVO festgeschrieben Anforderungen an Zweckbindung, Datenminimierung, Auftragsverarbeitung, Datenlokation und mögliche Rechtszugriffe. Unternehmen müssen wissen, wo welche Daten liegen, wer sie verarbeitet und welche Jurisdiktionen im Ernstfall zugreifen könnten.

Jenseits der Compliance

Abseits der Regularien gibt es weitere Dinge, die beachtet werden müssen. Eine öffentlich frei zugängliche, kostenlose KI kann unter Umständen mit den eingegebenen Daten trainiert werden. Das wird dann zum Problem, wenn beispielsweise geistiges Eigentum, wie ein Programm, mithilfe einer KI optimiert werden soll. Dieses wird mit dem Code trainiert und das KI-System könnte Teile davon an andere weitergeben. Ebenso problematisch sind personenbezogene Abfragen. Wenn eine KI zum Beispiel in einem Support-Portal eingesetzt wird und falsche Handlungsanweisungen gibt, kann dies zu einer Haftung führen.

Kritisch prüfen

Aus diesen Gründen ist es dringend empfohlen das Angebot eines KI-Anbieters mit entsprechendem Lizenzmodell zu erwägen, damit das geistige Eigentum nicht mit in die Trainingsdaten fließt.
Ein gesundes Misstrauen hilft, die Marketing-Versprechen der Cloud-AI-Anbieter zu hinterfragen. Das sogenannte Sovereignty Washing, also das Marketingversprechen von DSGVO-Konformität oder „EU-only“-Betrieb ohne belastbare Nachweise, sollte kritisch geprüft werden. Ebenso wichtig ist das Bewusstsein, dass KI-Antworten vom Kontext ihrer Trainingsdaten abhängig sind: Je nach Herkunft und politischem Umfeld können blinde Flecken entstehen. Cyber Security muss daher nach dem Mehrquellenprinzip arbeiten und Hersteller-Claims gegenprüfen.
Zusammenfassend gilt: Wer die Nutzung von KI im Unternehmen noch nicht geregelt hat, sollte davon ausgehen, dass sie unkontrolliert genutzt wird.

Fazit: Saubere Architektur und klare Prozesse schaffen

Die nähere Zukunft gehört der KI-gestützten Hygiene-Automation. Tools werden vermehrt Empfehlungen aussprechen und Konfigurationen aktiv vorschlagen – vom Policy-Tuning und der Regelbereinigung bis zum Konfigurations-Hardening auf Basis gelernter Muster. Regulatorisch zeichnet sich ab: Risk-by-Design wird zum Standard. DORA, NIS2, EU AI Act und DSGVO verankern Governance, Nachweisbarkeit und Datenethik als unverhandelbare Grundlagen. Denn wird eine KI „falsch“ genutzt, werden im schlimmsten Fall Geschäftsgeheimnisse von der KI gelernt oder benutzerbezogene Kundendaten ohne rechtliche Grundlage verarbeitet. Die Quintessenz: Design- und Prozessreife sind die Voraussetzung dafür, dass KI zum Schutzschild wird. KI ist der Beschleuniger – die Grundlage bleibt saubere Architektur, klare Prozesse und gelebte Verantwortlichkeit.

Autor: Eike Trapp, Senior Security Consultant bei Axians [www.axians.com]