KI, IoT, Leichtsinn: Die größten Cyberfallen im Unternehmen
Der Bereich der Cybersicherheit befindet sich in einem fundamentalen Wandel. Die zunehmende Verbreitung von Künstlicher Intelligenz (KI), insbesondere generativer Systeme, sowie von IoT-Geräten (Internet der Dinge) bringt nicht nur Effizienzgewinne – sondern auch erhebliche neue Risiken. Viele Organisationen ignorieren diese Bedrohungen, obwohl die Medien regelmäßig über kostspielige Vorfälle berichten.
1. Generative KI: Vertrauliche Daten in fremden Händen
Werkzeuge wie ChatGPT sind in vielen Unternehmen zu alltäglichen Helfern geworden. Gleichzeitig stellen sie ein neues Risiko für Datenlecks dar: Mitarbeitende geben oft – meist unbeabsichtigt – vertrauliche Informationen in externe KI-Systeme ein, etwa beim Kürzen oder Zusammenfassen interner Dokumente. Die Folge: sensible Informationen geraten außer Kontrolle – mit potenziell massiven Konsequenzen für Reputation und Kundenvertrauen.
Ein prominenter Fall ereignete sich Ende 2023 bei Samsung, als Mitarbeitende durch die Nutzung von ChatGPT Quellcode und interne Informationen preisgaben. Die Reaktion war drastisch: Samsung verbot daraufhin jegliche Nutzung externer KI-Tools und begann mit der Entwicklung eines eigenen, internen Systems.
Lehre für Unternehmen: KI ist kein Spielzeug. Es braucht klare Regeln, welche Daten verarbeitet werden dürfen – und eine ständige Erinnerung: Vertrauliches gehört nicht in öffentliche KI. Ohne Kontrolle wird aus dem digitalen Helfer schnell ein Einfallstor für Geschäftsgeheimnisse.
2. Wenn die Schwachstelle der Partner ist
Unternehmen sind heute stark abhängig von Partnern, Zulieferern und Cloud-Anbietern. Das erhöht die Angriffsfläche über die Lieferkette: Angreifer zielen häufig nicht direkt auf das Zielunternehmen, sondern auf dessen weniger geschützte Dienstleister.
Ein Beispiel: Im März 2025 rühmte sich ein Hacker im Darknet-Forum, Zugang zu den Cloud-Servern von Oracle erlangt zu haben – samt Daten von über 140.000 Kunden weltweit. Oracle dementierte zunächst, musste aber nach Veröffentlichung gestohlener Datensätze einräumen, dass der Vorfall echt war. Auch Organisationen in Litauen waren betroffen.
Lehre: Die IT-Sicherheit endet nicht am eigenen System. Führungskräfte müssen sicherstellen, dass Partner hohen Sicherheitsstandards folgen und vertraglich haftbar sind. Dazu gehören auch Notfallpläne für den Fall, dass der Partner – nicht das eigene Unternehmen – zum Einfallstor wird.
3. IoT – gefährlich unterschätzt
Vernetzte Geräte, von Smart-Cams bis Industrie-Sensoren, verbreiten sich rasant. Doch häufig wird Komfort vor Sicherheit gestellt: Werkspasswörter, seltene Updates, mangelhafte Verschlüsselung. Ist ein Gerät kompromittiert, eröffnet es Angreifern den Weg ins gesamte interne Netzwerk.
Ein drastisches Beispiel: Der „Mars Hydro“-Skandal 2025. Die chinesische Firma ließ eine Datenbank mit 1,17 Terabyte ungeschützter Nutzerdaten offen im Netz stehen – darunter WLAN-Passwörter, IP-Adressen und Gerätekennungen. Angreifer konnten auf die Daten ohne Passwortschutz zugreifen.
Lehre: Jedes IoT-Gerät muss inventarisiert, regelmäßig überprüft und am besten in einem isolierten Netzwerk betrieben werden. Standardpasswörter sind ein Sicherheitsrisiko und müssen sofort ersetzt werden.
4. Die Gefahr aus dem eigenen Haus
Nicht selten ist der Angreifer ein (Ex-)Mitarbeiter mit legitimen Zugangsdaten. Das kann Absicht oder Nachlässigkeit sein – beides ist gefährlich. Oft bleiben Zugänge nach dem Ausscheiden im System aktiv.
Beispiel: Der iranische Bankriese Bank Sepah wurde im März 2025 Opfer eines massiven Angriffs. Die Gruppe „Codebreakers“ verschaffte sich Zugang zu 42 Millionen Kundendatensätzen – teils auch aus dem militärischen Bereich. Der Verdacht: Hilfe von innen.
Lehre: Zugriffsrechte müssen klar geregelt und bei Austritt sofort entzogen werden. Unternehmen sollten zudem Verhaltensanalysen implementieren, um auffällige Aktivitäten interner Nutzer – wie ungewöhnliche Datenabfragen – frühzeitig zu erkennen.
5. Menschliches Versagen: Schwache Passwörter, gefährliche Klicks
Selbst die beste Technik schützt nicht, wenn Mitarbeitende grundlegende Regeln missachten: schwache Passwörter, identische Logins für mehrere Systeme, Leichtgläubigkeit gegenüber Phishing-Mails.
Fallbeispiel: Der US-Medizingeräte-Anbieter Numotion meldete 2024 einen schweren Datenverstoß. Über manipulierte Phishing-Mails hatten Angreifer Zugriff auf E-Mail-Konten erlangt – rund 494.000 sensible Kundendaten wurden über Monate unbemerkt abgegriffen.
Lehre: Sicherheit beginnt beim Menschen. Jeder Mitarbeitende muss wissen, wie Phishing aussieht, was ein sicheres Passwort ist und warum Zwei-Faktor-Authentifizierung unverzichtbar ist. Regelmäßige Schulungen, simulierte Angriffe und strenge Passwortpolitik gehören zur Pflicht – nicht nur für die IT, sondern für die Führungsetage.
