KI-Sicherheit für Unternehmen: Was Sie 2026 wissen müssen

Firewalls und Endpoint Protection nützen wenig, wenn der Angriffsvektor ein geschickt formulierter Satz in einem Kundenchat ist. Schweizer Unternehmen setzen Large Language Models für Kundenkommunikation, Datenanalyse, Vertragsmanagement und Softwareentwicklung ein. Was unterschätzt wird: Jede KI-Integration eröffnet neue Angriffsflächen, die sich fundamental von klassischen IT-Risiken unterscheiden.

Dieser Leitfaden ordnet die wichtigsten KI-Sicherheitsrisiken ein und gibt konkrete Handlungsempfehlungen für Entscheider.

Die neue Bedrohungslage: Warum KI-Sicherheit anders ist

Traditionelle Cybersecurity schützt Systeme vor unbefugtem Zugriff. KI-Sicherheit muss zusätzlich eine grundlegend neue Angriffskategorie adressieren: die Manipulation von Modellen durch ihre eigene Eingabeschicht. Ein LLM ist kein deterministisches System. Es interpretiert Eingaben, und genau diese Interpretation lässt sich ausnutzen.

Die Konsequenz: Firewalls und Endpoint Protection nützen wenig, wenn der Angriffsvektor ein geschickt formulierter Satz in einem Kundenchat ist.

Der McKinsey-Lilli-Vorfall als Weckruf

Im Januar 2026 wurde McKinseys internes KI-System «Lilli» kompromittiert. Über eine Prompt-Injection-Attacke gelang es Sicherheitsforschern, 46,5 Millionen interne Chat-Nachrichten innerhalb von zwei Stunden zu extrahieren — darunter strategische Beratungsdokumente, Kundendaten und vertrauliche Analysen.

Der Vorfall illustriert drei zentrale Punkte:

1. Selbst Weltklasse-Organisationen sind verwundbar. McKinsey investiert erheblich in IT-Sicherheit. Trotzdem wurde die KI-spezifische Angriffsfläche nicht ausreichend abgesichert.
2. Die Schadensdimension ist enorm. Bei klassischen Breaches werden einzelne Datenbanken kompromittiert. Bei KI-Systemen kann ein einziger Exploit den gesamten Wissensbestand einer Organisation offenlegen.
3. Regulatorische Konsequenzen folgen. McKinsey sieht sich nun mit Untersuchungen in mehreren Jurisdiktionen konfrontiert, einschliesslich der EU und der Schweiz.

Für eine detaillierte technische Analyse des Vorfalls und seiner Implikationen empfehlen wir den Fachartikel auf cybersecurityswitzerland.ch.

Prompt Injection: Die Schwachstelle Nr. 1

Prompt Injection ist der bedeutendste Angriffsvektor gegen LLM-basierte Systeme. Dabei werden Anweisungen in Benutzereingaben versteckt, die das Modell dazu bringen, seine Sicherheitsvorgaben zu umgehen.

Direktes Prompt Injection

Ein Benutzer gibt direkte Anweisungen ein, die die Systemprompts des Modells überschreiben. Beispiel: Ein Kundenchat-Bot soll nur Produktfragen beantworten, wird aber durch geschickte Formulierungen dazu gebracht, interne Preisinformationen oder Systemkonfigurationen preiszugeben.

Indirektes Prompt Injection

Noch gefährlicher: Angreifer platzieren versteckte Anweisungen in Dokumenten, E-Mails oder Webseiten, die das KI-System verarbeitet. Das Modell «liest» diese Anweisungen und führt sie aus, ohne dass der Benutzer dies bemerkt.

Die Zahlen sind alarmierend

Gemäss dem OWASP LLM Top 10 Report 2025 sind 73% aller produktiven LLM-Deployments anfällig für mindestens eine Form von Prompt Injection. Diese Zahl bezieht sich auf Systeme, die in realen Unternehmensumgebungen getestet wurden — nicht auf Laborexperimente.

Was bedeutet das für Schweizer Unternehmen?

• Jeder KI-gestützte Kundenkontaktpunkt ist potenziell eine Schwachstelle
• Interne KI-Werkzeuge, die auf Unternehmensdaten zugreifen, können zur Datenexfiltration missbraucht werden
• Automatisierte Workflows mit LLM-Komponenten können manipuliert werden, um unbeabsichtigte Aktionen auszulösen

Auf cybersecurityswitzerland.ch finden Sie eine ausführliche technische Erklärung von Prompt-Injection-Angriffen mit Schweizer Fallbeispielen.

KI-Tools als Geschäftsrisiko

Claude Code und die neue Produktivität

Claude Code, Anthropics KI-Assistent für die Kommandozeile, hat sich über die reine Softwareentwicklung hinaus zu einem vielseitigen Geschäftswerkzeug entwickelt. Unternehmen nutzen es für:

• Datenanalyse und Reporting — Finanzberichte, Marktanalysen, Wettbewerbsvergleiche
• Dokumentenverarbeitung — Verträge, Compliance-Dokumente, interne Richtlinien
• Kommunikation — E-Mail-Entwürfe, Kundenanschreiben, LinkedIn-Outreach
• Code und Automation — Skripte für CRM-Integrationen, Datenmigrationen, API-Anbindungen

Diese Vielseitigkeit bringt erhebliche Sicherheitsimplikationen mit sich. Wenn ein Mitarbeiter vertrauliche Finanzdaten durch ein KI-Tool verarbeitet, stellt sich die Frage: Wo werden diese Daten gespeichert? Wer hat Zugriff? Werden sie zum Training verwendet?

Shadow AI: Das unsichtbare Risiko

«Shadow AI» bezeichnet die Nutzung von KI-Tools durch Mitarbeitende ohne Wissen oder Genehmigung der IT-Abteilung. Die Zahlen sind beunruhigend:

• 67% der Mitarbeitenden in wissensbasierten Berufen nutzen KI-Tools am Arbeitsplatz
• Davon geschieht nur 18% mit expliziter Genehmigung oder Kenntnis der IT-Abteilung
• Das bedeutet: In den meisten Schweizer Unternehmen fliesst bereits Unternehmenswissen durch KI-Systeme, über die das Unternehmen keine Kontrolle hat

Die häufigsten Shadow-AI-Szenarien:

Szenario	Risiko	Häufigkeit
Vertragstexte in ChatGPT zur Zusammenfassung	Vertrauliche Geschäftsinformationen an Drittanbieter	Sehr häufig
Finanzdaten in Claude zur Analyse	Regulatorisch relevante Daten ausserhalb kontrollierter Umgebungen	Häufig
Kundendaten für Outreach-Automatisierung	DSGVO/nDSG-Verstösse	Häufig
Code mit API-Keys in Copilot	Zugangsdaten in Trainingsdaten	Mittel
Interne Strategiedokumente zur Zusammenfassung	Wettbewerbskritische Informationen exponiert	Häufig

API-Key-Management

Viele KI-Integrationen erfordern API-Schlüssel, die weitreichenden Zugang zu Unternehmenssystemen gewähren. Die häufigsten Fehler:

• API-Keys werden in Code-Repositories committed (öffentlich auf GitHub)
• Einzelne API-Keys werden teamübergreifend geteilt
• Keine Rotation oder Ablaufdaten für API-Keys
• Keine Überwachung der API-Nutzung auf anomale Muster

Regulatorische Anforderungen: EU AI Act und die Schweiz

Der EU AI Act — Zeitplan und Relevanz

Der EU AI Act ist am 1. August 2024 in Kraft getreten. Die Übergangsfristen laufen gestaffelt ab:

Regelung	Frist	Status
Verbote für inakzeptable KI-Risiken	Februar 2025	In Kraft
Transparenzpflichten für General Purpose AI	August 2025	In Kraft
Pflichten für Hochrisiko-KI-Systeme	August 2026	Frist läuft
Vollständige Durchsetzung	August 2027	Ausstehend

Bedeutung für Schweizer Unternehmen

Auch wenn die Schweiz kein EU-Mitglied ist, betrifft der EU AI Act Schweizer Unternehmen direkt:

• Marktpräsenz in der EU: Wer KI-gestützte Produkte oder Dienstleistungen in der EU anbietet, unterliegt dem AI Act
• EU-Kunden: Schweizer Dienstleister, die KI für EU-Kunden einsetzen, müssen Compliance nachweisen
• Autonomer Nachvollzug: Die Schweiz wird voraussichtlich eigene KI-Regulierung auf Basis des EU AI Act entwickeln
• Wettbewerbsfähigkeit: Unternehmen, die heute EU-AI-Act-konform arbeiten, haben morgen einen Marktvorteil

Konsequenzen bei Nichteinhaltung

Die Bussgelder unter dem EU AI Act sind erheblich:

• Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes für verbotene KI-Praktiken
• Bis zu 15 Millionen Euro oder 3% des Umsatzes für Verstösse gegen Hochrisiko-Anforderungen
• Bis zu 7,5 Millionen Euro oder 1,5% für fehlerhafte Informationen an Behörden

Wann braucht Ihr Unternehmen KI Red Teaming?

KI Red Teaming ist die systematische Prüfung von KI-Systemen auf Sicherheitslücken durch simulierte Angriffe. Nicht jedes Unternehmen benötigt dies sofort, aber die folgenden Indikatoren sprechen dafür:

Sofortiger Handlungsbedarf

• Sie setzen LLMs mit Kundenkontakt ein (Chatbots, automatisierte E-Mail-Beantwortung, Kundenportale)
• Ihre KI-Systeme haben Zugriff auf vertrauliche Daten (Finanzdaten, Kundendaten, strategische Dokumente)
• Sie verarbeiten personenbezogene Daten durch KI (DSGVO/nDSG-Relevanz)
• Sie bieten KI-gestützte Produkte auf dem EU-Markt an (AI-Act-Compliance)

Mittelfristiger Handlungsbedarf

• Sie nutzen KI intern für Entscheidungsunterstützung (HR, Kreditvergabe, Risikobewertung)
• Ihre Supply Chain enthält KI-Komponenten (Lieferantentools, automatisierte Bestellsysteme)
• Sie planen grössere KI-Investitionen (Vor der Skalierung testen)

Kein unmittelbarer Bedarf (aber Awareness nötig)

• Sie nutzen KI nur passiv (Suchfunktionen, Empfehlungssysteme ohne sensible Daten)
• Ihre KI-Nutzung beschränkt sich auf abgekapselte Standardtools ohne Datenzugriff

Was KI Red Teaming umfasst

Ein professionelles KI Red Teaming Assessment prüft typischerweise:

1. Prompt Injection Testing

• Direkte und indirekte Injection-Angriffe
• Multi-Turn-Attacken über mehrere Interaktionen
• Payload-Injection über Dokumente und Datenquellen

2. Datenexfiltration

• Können durch geschickte Prompts Trainingsdaten oder Systemprompts extrahiert werden?
• Lassen sich über das KI-System Zugang zu verbundenen Datenbanken erlangen?
• Funktionieren Side-Channel-Angriffe über die API?

3. Jailbreaking und Guardrail-Umgehung

• Lassen sich Sicherheitsvorkehrungen des Modells umgehen?
• Können Content-Filter ausgehebelt werden?
• Ist die Rollentrennung (System/User/Assistant) robust?

4. Supply-Chain-Analyse

• Sind die verwendeten Modelle und Libraries vertrauenswürdig?
• Gibt es bekannte Schwachstellen in der KI-Infrastruktur?
• Wie sicher sind Drittanbieter-Integrationen?

5. Compliance-Prüfung

• Entspricht das System den Anforderungen des EU AI Act?
• Sind Transparenzpflichten erfüllt?
• Ist die Dokumentation ausreichend?

Anbieterauswahl: Worauf Sie achten müssen

Der Markt für KI-Sicherheitsdienstleistungen in der Schweiz ist noch jung. Umso wichtiger ist eine sorgfältige Anbieterauswahl. Hier sind die entscheidenden Kriterien:

CREST-Zertifizierung

CREST (Council of Registered Ethical Security Testers) ist der internationale Goldstandard für Sicherheitstester. Eine CREST-Zertifizierung bedeutet:

• Geprüfte technische Kompetenz der Tester
• Nachgewiesene Methodik und Prozesse
• Regelmässige Rezertifizierung
• Einhaltung eines Ethik-Kodex

Warum das wichtig ist: KI Red Teaming erfordert Zugang zu sensiblen Systemen und Daten. Ein CREST-zertifizierter Anbieter bietet die Gewähr, dass dieser Zugang verantwortungsvoll gehandhabt wird.

OWASP LLM Top 10 Expertise

Anbieter sollten nachweisen können, dass sie mit dem OWASP LLM Top 10 Framework arbeiten. Dieses umfasst:

1. Prompt Injection
2. Unsichere Ausgabehandhabung
3. Trainingsdaten-Poisoning
4. Denial of Service gegen Modelle
5. Supply-Chain-Schwachstellen
6. Preisgabe sensibler Informationen
7. Unsicheres Plugin-Design
8. Übermässige Handlungsfreiheit
9. Übermässiges Vertrauen
10. Modell-Diebstahl

EU AI Act Compliance-Wissen

Der Anbieter sollte nicht nur technisch testen, sondern auch die regulatorische Dimension abdecken können. Fragen Sie nach:

• Erfahrung mit AI-Act-Conformity-Assessments
• Kenntnis der Risikokategorisierung
• Fähigkeit, Compliance-Roadmaps zu erstellen

Branchenspezifische Erfahrung

KI-Sicherheit im Finanzsektor unterscheidet sich von der im Gesundheitswesen oder im E-Commerce. Der ideale Anbieter versteht die spezifischen regulatorischen und operativen Anforderungen Ihrer Branche.

Anbieter in der Schweiz

Der Schweizer Markt für spezialisierte KI-Sicherheitsdienstleistungen ist überschaubar. Viele klassische Cybersecurity-Firmen erweitern ihr Portfolio um KI-Themen, aber nur wenige haben tiefgreifende Expertise in LLM-Sicherheit.

RedTeam Partners ist einer der wenigen Anbieter in der Schweiz mit CREST-Zertifizierung und spezifischem Fokus auf KI Red Teaming. Das Unternehmen wurde von ehemaligen Offensive-Security-Spezialisten gegründet und bietet sowohl technisches KI Red Teaming als auch strategische KI-Sicherheitsberatung an. Ihre Methodik basiert auf dem OWASP LLM Top 10 Framework und adressiert explizit die Anforderungen des EU AI Act.

Für eine detaillierte Marktübersicht und Auswahlkriterien empfehlen wir unseren Vergleichsguide KI Red Teaming Anbieter in der Schweiz.

Kostenrahmen

Die Kosten für KI-Sicherheitsmassnahmen variieren stark je nach Umfang und Komplexität:

Massnahme	Typischer Kostenrahmen	Dauer
KI-Sicherheitsaudit (Basis)	CHF 8’000 – 15’000	3–5 Tage
KI Red Teaming (Standard)	CHF 15’000 – 35’000	5–10 Tage
KI Red Teaming (umfassend)	CHF 35’000 – 80’000	10–20 Tage
EU AI Act Compliance-Assessment	CHF 10’000 – 25’000	5–10 Tage
Laufende KI-Sicherheitsüberwachung	CHF 3’000 – 8’000/Monat	Fortlaufend

Detaillierte Kostenvergleiche für Penetrationstests und Sicherheitsaudits finden Sie auf cybersecurityswitzerland.ch.

Handlungsempfehlungen für Schweizer Unternehmen

Sofort umsetzen (0–30 Tage)

1. Bestandsaufnahme der KI-Nutzung: Erfassen Sie alle KI-Tools und -Systeme im Unternehmen — offiziell und inoffiziell
2. Shadow-AI-Policy erstellen: Definieren Sie klare Regeln für die KI-Nutzung und kommunizieren Sie diese
3. API-Key-Audit: Überprüfen Sie alle aktiven API-Schlüssel, deren Berechtigungen und Nutzung
4. Datenklassifizierung: Legen Sie fest, welche Daten in welche KI-Systeme fliessen dürfen

Kurzfristig (1–3 Monate)

5. KI-Sicherheitsrichtlinie verabschieden: Formale Policy für den Einsatz von KI im Unternehmen
6. Mitarbeiterschulung: Awareness-Training für KI-spezifische Risiken
7. Lieferantenbewertung: Überprüfen Sie die Sicherheitspraktiken Ihrer KI-Anbieter
8. Erste Sicherheitstests: Lassen Sie Ihre kundenorientierten KI-Systeme extern prüfen

Mittelfristig (3–12 Monate)

9. KI Red Teaming: Vollständige Sicherheitsüberprüfung aller KI-Systeme
10. EU AI Act Roadmap: Compliance-Plan für die August-2026-Frist erstellen
11. Incident-Response-Plan: KI-spezifische Szenarien in Ihren IR-Plan integrieren
12. Kontinuierliches Monitoring: Automatisierte Überwachung Ihrer KI-Systeme einrichten

Checkliste: KI-Sicherheit für Entscheider

• Ist eine vollständige Bestandsaufnahme aller KI-Tools und -Systeme vorhanden?
• Gibt es eine formale KI-Nutzungsrichtlinie?
• Sind Mitarbeitende zu KI-Sicherheitsrisiken geschult?
• Werden API-Keys sicher verwaltet und regelmässig rotiert?
• Ist klar definiert, welche Daten in KI-Systeme einfliessen dürfen?
• Wurden kundenorientierte KI-Systeme auf Prompt Injection getestet?
• Gibt es einen Compliance-Plan für den EU AI Act?
• Ist KI-Sicherheit Teil des Incident-Response-Plans?
• Werden KI-Lieferanten regelmässig auf Sicherheit geprüft?
• Gibt es einen regelmässigen KI-Sicherheitstest-Zyklus?

Weiterführende Ressourcen

• OWASP LLM Top 10 — Das Referenz-Framework für LLM-Sicherheit
• EU AI Act Volltext — Die offizielle Verordnung
• NCSC Schweiz — Nationales Zentrum für Cybersicherheit
• cybersecurityswitzerland.ch — Detaillierte Fachartikel zu Cybersecurity-Themen in der Schweiz
• cybersecurityswitzerland.com — Enzyklopädie für Cybersecurity-Begriffe und -Konzepte

Was Schweizer Unternehmen jetzt tun sollten

KI-Sicherheit ist kein Zukunftsthema mehr — es ist eine operative Notwendigkeit. Der McKinsey-Lilli-Vorfall hat gezeigt, dass auch hervorragend aufgestellte Organisationen verwundbar sind. Für Schweizer Unternehmen kommt mit dem EU AI Act eine zusätzliche regulatorische Dimension hinzu.

Die gute Nachricht: Mit einer systematischen Herangehensweise lassen sich KI-Risiken wirksam managen. Der erste Schritt ist immer die Bestandsaufnahme — zu wissen, welche KI-Systeme im Einsatz sind und welche Daten sie verarbeiten. Darauf aufbauend können gezielte Sicherheitsmassnahmen implementiert werden.

Wer heute in KI-Sicherheit investiert, schützt nicht nur seine Daten und seine Reputation, sondern sichert auch die Wettbewerbsfähigkeit in einem zunehmend regulierten Umfeld.

Letzte Aktualisierung: März 2026. Dieser Leitfaden wird regelmässig überprüft und aktualisiert. Alpine Excellence ist eine unabhängige redaktionelle Plattform und erhält keine Vergütung für Anbieterempfehlungen.