KI-Sicherheit für KMU als Wachstumsmotor

Jedes Jahr am 27. Juni begeht die Welt den Internationalen Tag der Kleinst-, Klein- und Mittelunternehmen (KMU) der von den Vereinten Nationen als MSME-Day ins Leben gerufen wurde. Das diesjährige Thema «Empowering MSMEs through Innovation and Sustainable Industrial Development» könnte nicht aktueller sein. Denn vielerorts werden KMU im globalen Wettbewerb um KI schlichtweg vergessen.

Daten des WEF SME Resource Hub zeigen, dass es weltweit schätzungsweise 400 Millionen KMU gibt. Sie machen etwa 90 Prozent aller Unternehmen weltweit aus, schaffen schätzungsweise 70 Prozent der Arbeitsplätze und sind allesamt der Gefahr von Cyberangriffen ausgesetzt. Die Daten bestätigen die Beobachtungen aus der Praxis. Das JPMorgan Chase Institute stellte fest, dass die aktuelle Untersuchung kleiner Unternehmen innerhalb von etwa sechs Monaten eine KI-Einführungsrate von 10 Prozent erreichte. Die Untersuchung von 2019 benötigte für denselben Meilenstein mehr als sechs Jahre. Das Office of Advocacy der SBA berichtet, dass sich die Lücke fast geschlossen hat: Große Unternehmen führten KI einst fast doppelt so schnell ein wie kleine, und bis Ende 2025 war dieser Vorsprung so gut wie verschwunden. Das ist kein langsamer Aufholprozess. Das kleine Ende des Marktes gibt das Tempo vor.

Das sollte niemanden überraschen, der tatsächlich schon einmal ein kleines Unternehmen geführt hat. Ein Unternehmen mit 30 Mitarbeitern kann neue Technologien oft schneller einführen als größere Organisationen. Allerdings verfügt es möglicherweise über weniger Budget und Fachpersonal, um die damit verbundenen Cyberrisiken zu bewerten und zu bewältigen. Der B2B-Einkauf hat sich schon vor Jahren an den Konsummarkt angepasst. Der Großteil der Entscheidung fällt, bevor überhaupt jemand mit einem Anbieter spricht, und KI ist das bislang deutlichste Beispiel dafür.

Eine kostenlose Testversion und eine Kreditkarte, diese Art von Geschäftsmodell wird im Mittelstand erst richtig gefährlich.

Ein Unternehmen mit 200 Mitarbeitern verfügt über genügend Systeme, Daten und Geld, um ein lohnendes Angriffsziel zu sein. Zudem gibt es in der Regel genügend Abteilungen, sodass KI an fünf Stellen gleichzeitig eingeführt wird. In der Regel arbeitet es jedoch nach wie vor ohne einen einzigen festangestellten Sicherheitsmitarbeiter.

Eine Umfrage von Thryv unter Kleinunternehmen ergab, dass der KI-Einsatz bei Firmen mit 10 bis 100 Mitarbeitern innerhalb eines Jahres um 21 Prozentpunkte auf 68 Prozent gestiegen ist. Das ist kein Experimentieren mehr. Es ist eine Abhängigkeit, die sich schneller entwickelt als die Kontrollmechanismen, die sie umgeben. Das Risiko liegt nicht in der Einführung von KI. Das Risiko besteht darin, KI schneller einzuführen, als man sie kontrollieren kann.

Ein Beispiel welche Art von Risiko gemeint ist:

Eine Marketingmitarbeiterin fügt die gesamte Kundenliste in einen Chatbot ein, um sie «aufzuräumen». Diese Daten befinden sich nun an einem Ort, den das Unternehmen nicht kontrolliert und von dem aus sie nicht mehr zurückgeholt werden können. Eine Buchhalterin führt eine Zahlung durch, weil sie eine entsprechende Aufforderung in einer Nachricht erhielt. Früher kam diese als E-Mail. Heute erhält sie genauso oft die Aufforderung in Form einer Teams- oder Slack-Nachricht vielleicht sogar nur als Sprachnachricht des Bevollmächtigten. Zunehmend kommt die Aufforderung auch als Deepfake-Sprachnotiz von einem «Lieferanten» oder als mehrsprachige Rechnung, die vom Original nicht zu unterscheiden ist.

Dieses Sicherheitsproblem gab es bereits vor der KI, allerdings hat sie ihn für jeden Cyberkriminellen auf dieser Welt schnell und kostengünstig in großem Maßstab umsetzbar gemacht. Ein Büroleiter verbindet einen KI-Assistenten mit dem gemeinsamen Posteingang und Kalender, damit dieser «die Terminplanung übernehmen» kann. Dadurch gewährt er einem Drittanbietersystem ständigen Zugriff auf jede Unterhaltung im Unternehmen. Nichts davon löst Alarm aus. Das meiste davon verursacht keine Schäden – bis zu dem Tag, an dem es doch dazu kommt.

Besonders KMU sind betroffen, denn Angreifer bevorzugen sie ohnehin schon. Der jüngste Verizon-Bericht zu Sicherheitsverletzungen belegt diesen Umstand. Die meisten dieser Angriffe sind mit Ransomware verbunden. Dabei ist der Anteil der Angriffe auf kleine Unternehmen deutlich höher als bei großen Unternehmen. Sie werden nicht trotz, sondern gerade wegen ihrer geringen Größe angegriffen.

Im Zeitalter der KI ist die mittlere Zeitspanne von der Offenlegung einer Schwachstelle bis zu einem funktionierenden Exploit von Jahren auf Stunden geschrumpft.

Es wird prognostiziert, dass sie bis Ende 2026 unter eine Stunde fallen wird. Das Aufkommen von Frontier AI-Modellen wie «Claude Mythos Preview» zeigt, wie schnell KI Softwarefehler aufspüren kann. Diese Fähigkeiten werden nicht für immer für das Patching eingeschränkt bleiben. Deshalb bleibt in keinem Unternehmen viel Spielraum für verzögerte Patches, manuelle Prozesse oder reaktive Sicherheit. Geschweige denn in einem Unternehmen mit 30 Mitarbeitern.

Aktuell gibt es zwei Kurven, die sich in entgegengesetzte Richtungen bewegen. Die Einführung von KI im kleinen und mittleren Mittelstand steigt schneller als jede andere Technologiewelle, die ich bisher beobachtet habe. Die KI-Sicherheit in diesem Segment stagniert hingegen nahezu. In der Lücke zwischen diesen beiden Kurven liegt das Sicherheitsrisiko, das die meisten Unternehmer noch nicht erkennen können.

Shadow-KI: Die Risiken, denen KMU nicht zugestimmt haben

Eines der größten Risiken für KMU ist nicht die KI, die das Unternehmen einsetzt, sondern die KI, die Mitarbeiter nutzen, ohne dass es jemand bemerkt. Mitarbeiter verwenden KI-Assistenten, um E-Mails zu schreiben, Dokumente zusammenzufassen, Folien zu erstellen und Code zu entwerfen. Der Produktivitätsgewinn ist real. Ebenso real sind die Nebenwirkungen: Sensible Kundendaten, Finanzunterlagen, geistiges Eigentum und vertrauliche Pläne werden unbemerkt auf öffentliche KI-Plattformen hochgeladen. Es werden Entscheidungen auf Basis von Ergebnissen getroffen, von denen man mit Sicherheit weiß, dass sie falsch sind. Und ein Unternehmen, das den Überblick darüber verloren hat, wo seine eigenen Daten verarbeitet oder gespeichert werden.

Häufig kontrolliert ein Unternehmen die KI-Ausgaben, lässt dabei jedoch die KI-Risiken völlig außer Acht. Die Tools werden genauso genehmigt wie jedes andere Software-Abonnement: eine Position im Budget, ein kurzes Nicken – fertig. Was jedoch nie genehmigt wird, da es als Entscheidung nicht wahrgenommen wird, ist die Tatsache, dass Mitarbeiter die Finanzdaten der Kunden in diese Tools eingeben, um den Monatsabschluss zu beschleunigen. Die Ausgaben werden kontrolliert. Das Risiko jedoch nicht. Das ist die gesamte Lücke im Kleinen.

Hier ist der Punkt, den Unternehmer oft übersehen:

Selbst, wenn das eigene Unternehmen zu klein erscheint, um ein Ziel zu sein, ist es mit ziemlicher Sicherheit Teil der Lieferkette eines anderen Unternehmens. Das wissen auch Angreifer. Anstatt einen multinationalen Konzern frontal anzugreifen, nehmen sie den kleineren Zulieferer, den Logistikpartner, den kleinen Softwareentwickler oder das Dienstleistungsunternehmen mit weniger strengen Kontrollen ins Visier. Kunden, Aufsichtsbehörden, Versicherer, Investoren und Partner beginnen, kritische Fragen zu stellen, bevor sie mit Ihnen zusammenarbeiten. In einer KI-getriebenen Wirtschaft ist Vertrauen still und leise zu einem Wettbewerbsvorteil geworden.

Sicherheit als Wachstumsmotor, nicht als Kostenfaktor

KMU sollten Cybersicherheit nicht als Kostenfaktor, sondern als Wachstumsmotor betrachten. Jahrelang wurde sie als Kostenfaktor betrachtet, als eine Art Abgabe, die gezahlt wurde, um Risiken zu minimieren. In einer KI-getriebenen Wirtschaft kehrt sich dieses Verhältnis um: Cybersicherheit ist die Voraussetzung dafür, KI vertrauensvoll einzusetzen, größere Kunden zu gewinnen, sich für umfangreichere Lieferketten zu qualifizieren, neue Vorschriften zu erfüllen und das Vertrauen zu schützen, das Sie über Jahre hinweg aufgebaut haben. Unternehmen, die Sicherheit von Anfang an in ihre KI-Strategie integrieren, kommen in der Regel schneller voran.

Fazit

Laut der UN Sustainable Development Group machen KMU 90 Prozent aller Unternehmen aus, schaffen bis zu 70 Prozent der Arbeitsplätze und erwirtschaften die Hälfte des weltweiten BIP. Sie sind der Teil der Wirtschaft, den KI wirklich gleichberechtigt machen könnte. An diesem Tag der Kleinst-, Klein- und Mittelunternehmen ist dies besonders schützenswert. Die Technologie hat in ihren Unternehmen schon früh Einzug gehalten. Für viele KMU ist KI-gestützte Sicherheit die erste realistische Chance, ihr Unternehmen auf angemessene Weise zu schützen, ohne dafür Personal in entsprechender Größenordnung einstellen zu müssen. Da Angreifer innerhalb von Minuten und nicht erst nach Wochen zuschlagen, ist ein präventiver Ansatz wichtiger denn je. Einen Angriff zu stoppen, bevor er Fuß fassen kann, ist deutlich kostengünstiger, als seine Folgen zu beseitigen.

Die zukünftige Generation der KMU wird nicht deshalb erfolgreich sein, weil sie über die größten Budgets oder die umfangreichsten IT-Teams verfügt, sondern weil sie in einer KI-gesteuerten Welt schneller innovativ sein, intelligenter agieren und sich effektiver verteidigen kann. Es ist also entscheidend, auch in puncto Sicherheit keine Kompromisse einzugehen, damit die nächste Generation der KMU nicht nur KI-gestützt, sondern auch durch KI-geschützt ist.

Autor: David Meister, Global Head of MSP & MSSPs bei Check Point Software Technologies.