Claude Code erstellt Ihrem Marketing-Team LinkedIn-Outreach-Sequenzen. ChatGPT fasst die Quartalsberichte zusammen. Copilot schreibt die API-Integration für Ihr CRM. Was vor zwei Jahren noch undenkbar war, ist heute Arbeitsalltag in Schweizer Unternehmen — und ein Sicherheitsrisiko, das die meisten IT-Abteilungen noch nicht im Griff haben.

Dieser Leitfaden analysiert die konkreten Sicherheitsrisiken, die sich aus dem Unternehmenseinsatz von KI-Tools ergeben, und gibt praxisnahe Empfehlungen für ein wirksames Risikomanagement.

Die Realität: KI-Tools sind längst überall

Weit mehr als Coding-Assistenten

Die öffentliche Wahrnehmung von Tools wie Claude Code oder GitHub Copilot ist stark auf die Softwareentwicklung fixiert. Die Realität in Unternehmen sieht anders aus. KI-Tools werden heute für ein breites Spektrum an Geschäftsprozessen eingesetzt:

Vertrieb und Marketing

  • LinkedIn-Prospecting und Outreach-Automatisierung
  • Lead-Qualifizierung und CRM-Datenanreicherung
  • Content-Erstellung für Social Media, Blogs und Newsletter
  • Wettbewerbsanalysen und Marktrecherchen

Finanzen und Controlling

  • Quartalsberichte zusammenfassen und analysieren
  • Budgetvergleiche und Abweichungsanalysen
  • Finanzprognosen und Szenario-Modellierung
  • Rechnungsverarbeitung und Kategorisierung

Human Resources

  • Bewerbungsscreening und Vorauswahl
  • Stellenausschreibungen formulieren
  • Onboarding-Dokumentation erstellen
  • Mitarbeiterumfragen auswerten

Recht und Compliance

  • Vertragsentwürfe prüfen und zusammenfassen
  • Regulatorische Änderungen monitoren
  • Compliance-Dokumentation erstellen
  • Due-Diligence-Recherchen

IT und Operations

  • Skripte und Automationen schreiben
  • Systemdokumentation erstellen
  • Log-Analysen und Fehlerbehebung
  • Datenmigrationsskripte generieren

Das Problem: Jeder dieser Anwendungsfälle beinhaltet potenziell sensible Unternehmensdaten. Und in den meisten Fällen wissen weder IT-Abteilung noch Geschäftsleitung, dass diese Daten durch externe KI-Systeme fliessen.

Shadow AI: Die unsichtbare Bedrohung

Die Zahlen

Die Diskrepanz zwischen offizieller KI-Strategie und tatsächlicher KI-Nutzung in Unternehmen ist frappant:

  • 67% der Mitarbeitenden in wissensbasierten Berufen nutzen regelmässig KI-Tools bei der Arbeit
  • Nur 18% davon tun dies mit expliziter Genehmigung oder unter Kenntnis der IT-Abteilung
  • Das bedeutet: Über die Hälfte aller Wissensarbeiter nutzt KI-Tools am Arbeitsplatz, ohne dass das Unternehmen davon weiss

Diese Zahlen stammen aus einer Erhebung unter europäischen Unternehmen mit 50 bis 5’000 Mitarbeitenden. Für die Schweiz dürften die Werte aufgrund der hohen Digitalisierungsrate eher am oberen Ende liegen.

Warum Shadow AI so gefährlich ist

Shadow AI unterscheidet sich von klassischer Shadow IT in einem entscheidenden Punkt: Die Daten verlassen nicht nur die kontrollierte Umgebung — sie werden von einem System verarbeitet, das daraus «lernen» kann. Konkret:

  1. Daten in Trainingsdaten: Je nach Anbieter und Konfiguration können eingegebene Daten in Trainingsdaten einfliessen. Das bedeutet, dass vertrauliche Geschäftsinformationen theoretisch in den Antworten für andere Nutzer auftauchen könnten.

  2. Keine Audit-Trails: Wenn ein Mitarbeiter vertrauliche Daten in ein persönliches ChatGPT-Konto eingibt, gibt es für das Unternehmen keine Möglichkeit, dies nachzuvollziehen.

  3. Keine Datenklassifizierung: Mitarbeitende treffen ad hoc Entscheidungen darüber, welche Daten «sicher genug» für KI-Tools sind — ohne formale Kriterien.

  4. Keine Versionskontrolle: KI-generierte Outputs werden oft direkt in Geschäftsprozesse eingespeist, ohne dass dokumentiert wird, dass KI beteiligt war.

Bekannte Schwachstellen und CVEs

Die Sicherheitsforschung zu KI-Tools-Schwachstellen hat sich 2025 und 2026 deutlich intensiviert. Zwei besonders relevante CVEs illustrieren die Risiken:

CVE-2025-59536: Prompt Injection über Dokumente

Diese Schwachstelle betrifft KI-Systeme, die Dokumente verarbeiten (PDF-Analyse, E-Mail-Zusammenfassungen, Dokumenten-Chat). Durch speziell präparierte Dokumente können Angreifer:

  • Die Systemprompts des KI-Modells auslesen
  • Das Modell anweisen, sensible Daten aus dem Kontext zu extrahieren und an externe Endpunkte zu senden
  • Die Guardrails des Modells umgehen und unvorhergesehene Aktionen auslösen

Betroffene Szenarien in Unternehmen:

  • Ein Mitarbeiter lädt eine «Bewerbung» (PDF) in ein KI-gestütztes HR-Tool — das Dokument enthält versteckte Prompt-Injection-Anweisungen
  • Eine E-Mail mit manipuliertem Anhang wird von einem KI-Assistenten zusammengefasst — dabei werden interne Kontextdaten exfiltriert
  • Ein Vertragsentwurf einer Gegenpartei enthält versteckte Anweisungen, die das KI-System des prüfenden Unternehmens kompromittieren

CVE-2026-21852: API-Level-Schwachstelle in KI-Toolchains

Diese neuere Schwachstelle betrifft die API-Ebene von KI-Toolchains und ermöglicht:

  • Unauthorized Access Escalation über manipulierte API-Calls
  • Umgehung von Rate-Limiting und Zugriffskontrollen
  • Extraktion von Systemkonfigurationen und Modellparametern

Relevanz für Unternehmen:

  • Betrifft Unternehmen, die KI-APIs in eigene Applikationen integriert haben
  • Besonders kritisch bei Multi-Tenant-Setups, wo mehrere Kunden dasselbe System nutzen
  • Kann zur Exfiltration von Daten anderer Mandanten führen

Beide CVEs wurden von den betroffenen Anbietern gepatcht, aber die zugrunde liegenden Angriffsmuster bleiben relevant und werden in neuen Varianten weiter auftreten.

Tool-spezifische Risikoprofile

ChatGPT / OpenAI API

AspektRisikobewertungDetails
DatenverarbeitungMittelEnterprise-Pläne mit Opt-out für Trainingsdaten verfügbar
API-SicherheitMittelRobuste API-Sicherheit, aber Fehlkonfigurationen häufig
ComplianceMittel-HochSOC 2 zertifiziert, DSGVO-Konformität dokumentiert
Shadow-AI-RisikoSehr hochBreite Verbreitung, einfacher Zugang über Consumer-Konten
Prompt InjectionHochAnfällig für Multi-Turn- und indirekte Injection

Claude / Anthropic API

AspektRisikobewertungDetails
DatenverarbeitungNiedrig-MittelStrikte Datenpolitik, keine Nutzung für Training bei API
API-SicherheitNiedrig-MittelSolide API-Sicherheitsarchitektur
ComplianceMittelSOC 2, wachsende Compliance-Dokumentation
Shadow-AI-RisikoHochWachsende Verbreitung, Claude Code als CLI-Tool schwer zu kontrollieren
Prompt InjectionMittelConstitutional AI bietet zusätzlichen Schutz, aber nicht immun

GitHub Copilot

AspektRisikobewertungDetails
DatenverarbeitungMittelBusiness-Pläne mit Datenschutzgarantien
Code-SicherheitHochKann unsicheren Code vorschlagen, der übernommen wird
Secrets ExposureHochRisiko, dass API-Keys und Credentials in Vorschläge einfliessen
Supply ChainHochKann anfälligen oder veralteten Code aus Trainingsdaten vorschlagen
ComplianceMittelLizenzcompliance bei generiertem Code unklar

Microsoft Copilot (M365)

AspektRisikobewertungDetails
DatenverarbeitungNiedrig-MittelVerarbeitung innerhalb des M365-Mandanten
ZugriffsrechteSehr hochÜbernimmt bestehende M365-Berechtigungen — offenbart Oversharing
ComplianceNiedrig-MittelIntegriert in bestehende Microsoft-Compliance
Shadow-AI-RisikoMittelAn Unternehmenslizenz gebunden, dadurch kontrollierbarer
DatenabflussMittelKann unbeabsichtigt Daten aus anderen Bereichen des Mandanten zusammenführen

Supply-Chain-Risiken

Das KI-Ökosystem als Angriffsfläche

Moderne KI-Implementierungen bestehen selten aus einem einzelnen Tool. Typisch ist eine Kette von Komponenten:

Eingabedaten → Vorverarbeitung → KI-Modell (API) → Nachverarbeitung → Output → Geschäftsprozess
                     ↑                  ↑                  ↑
              Drittanbieter-      Modell-Anbieter    Plugins/
              Libraries                              Integrationen

Jede Komponente in dieser Kette ist ein potenzieller Angriffspunkt:

  1. Modell-Supply-Chain: Die Herkunft und Integrität des verwendeten Modells. Wurde es manipuliert? Enthält es Backdoors?
  2. Library-Dependencies: Python-Packages, JavaScript-Module und andere Abhängigkeiten können kompromittiert sein
  3. Plugin-Ökosystem: Viele KI-Tools unterstützen Plugins, die weitreichende Berechtigungen erhalten
  4. Datenquellen: RAG-Systeme (Retrieval Augmented Generation) sind nur so sicher wie ihre Datenquellen

Reale Angriffsvektoren

  • Manipulierte Modelle auf Hugging Face: Modelle auf öffentlichen Plattformen können trojanisiert sein
  • Poisoned Training Data: Gezielte Manipulation von Trainingsdaten, die zu vorhersagbar fehlerhaftem Verhalten führt
  • Compromised Plugins: Drittanbieter-Plugins, die mehr Daten sammeln als deklariert
  • API-Intercepting: Man-in-the-Middle-Angriffe auf API-Kommunikation zwischen Unternehmenssystemen und KI-Anbietern

Praktische Empfehlungen: KI-Tool-Governance aufbauen

Schritt 1: Inventarisierung (Woche 1–2)

Erstellen Sie ein vollständiges Inventar aller KI-Tools im Unternehmen:

  • Offizielle Tools: Lizenzierte und genehmigte KI-Dienste
  • Shadow AI: Anonyme Umfrage bei Mitarbeitenden zu inoffizieller KI-Nutzung
  • Embedded AI: KI-Funktionen in bestehender Software (z.B. Microsoft Copilot in M365, Salesforce Einstein)
  • API-Integrationen: Eigene Integrationen mit KI-APIs

Schritt 2: Risikobewertung (Woche 2–4)

Für jedes identifizierte Tool bewerten Sie:

  • Welche Daten fliessen in das Tool?
  • Wie werden diese Daten vom Anbieter verarbeitet und gespeichert?
  • Welche vertraglichen Datenschutzgarantien bestehen?
  • Wer hat Zugang zum Tool und mit welchen Berechtigungen?
  • Gibt es Audit-Logs?

Schritt 3: Richtlinie erstellen (Woche 3–5)

Eine KI-Nutzungsrichtlinie sollte mindestens folgende Punkte abdecken:

Datenklassifizierung für KI-Nutzung

DatenklasseBeschreibungKI-Nutzung erlaubt?
ÖffentlichBereits publizierte InformationenJa, alle Tools
InternAllgemeine GeschäftsinformationenJa, genehmigte Tools mit Enterprise-Lizenz
VertraulichKundendata, Finanzdaten, StrategiedokumenteNur genehmigte Tools mit DPA und Enterprise-Lizenz
Streng vertraulichM&A-Dokumente, Geschäftsgeheimnisse, besondere PersonendatenNein, keine externe KI-Verarbeitung

Genehmigte Tools und Konfigurationen

  • Liste der zugelassenen KI-Tools mit spezifischen Konfigurationsanforderungen
  • Vorgaben für API-Key-Management (Rotation, Berechtigungen, Monitoring)
  • Anforderungen an Enterprise-Lizenzen vs. persönliche Konten

Nutzungsregeln

  • Keine personenbezogenen Daten ohne vorherige DPA-Prüfung
  • Keine Eingabe von Zugangsdaten, API-Keys oder Passwörtern
  • KI-generierte Outputs müssen als solche gekennzeichnet werden
  • Vieraugenprinzip für KI-generierte Entscheidungsgrundlagen

Schritt 4: Technische Kontrollen (Woche 4–8)

  • Netzwerk-Level: Monitoring des Datenverkehrs zu KI-Anbieter-APIs
  • Endpoint-Level: Application Whitelisting für KI-Tools auf Unternehmensgeräten
  • API-Level: Zentrales API-Gateway für alle KI-API-Aufrufe mit Logging und Rate-Limiting
  • DLP-Integration: Data-Loss-Prevention-Regeln für KI-Datenflüsse

Schritt 5: Schulung und Awareness (fortlaufend)

  • Onboarding-Modul zu KI-Sicherheit für neue Mitarbeitende
  • Quartalsweise Updates zu neuen Risiken und Richtlinienänderungen
  • Praxisnahe Beispiele: «Was passiert, wenn ich diese Daten in ChatGPT eingebe?»
  • Positive Kommunikation: Sichere KI-Nutzung fördern, nicht verbieten

API-Key-Sicherheit: Ein unterschätztes Risiko

API-Keys sind die Eintrittskarten zu KI-Diensten — und werden erschreckend sorglos behandelt.

Häufige Fehler

  1. Keys im Source Code: API-Keys werden direkt in den Code geschrieben und landen via Git-Repository in der Öffentlichkeit. GitHub-Scans zeigen täglich tausende exponierter API-Keys.

  2. Geteilte Keys: Ein einzelner API-Key wird teamübergreifend genutzt. Bei einer Kompromittierung gibt es keine Möglichkeit, den Zugriff granular zu widerrufen.

  3. Keine Rotation: API-Keys werden einmal erstellt und nie erneuert. Bei einem unerkannten Leak hat der Angreifer dauerhaft Zugang.

  4. Übermässige Berechtigungen: API-Keys erhalten volle Zugriffsrechte, obwohl nur eingeschränkte Berechtigungen benötigt werden.

  5. Kein Monitoring: Die API-Nutzung wird nicht überwacht. Anomalien wie plötzlich gestiegenes Volumen oder Zugriffe aus ungewöhnlichen Regionen bleiben unerkannt.

Best Practices

  • Secrets Management: Verwenden Sie dedizierte Tools wie HashiCorp Vault, AWS Secrets Manager oder Azure Key Vault
  • Granulare Keys: Pro Anwendung und Umgebung separate API-Keys mit minimalen Berechtigungen
  • Automatische Rotation: Keys sollten mindestens quartalsweise rotiert werden
  • Usage Monitoring: Alerting bei anomalen Nutzungsmustern
  • Emergency Revocation: Prozess für die sofortige Deaktivierung kompromittierter Keys

Kostenabschätzung: Was KI-Tool-Governance kostet

MassnahmeEinmalige KostenLaufende Kosten
Inventarisierung und RisikobewertungCHF 5’000 – 15’000
RichtlinienerstellungCHF 3’000 – 8’000CHF 1’000 – 2’000/Jahr (Updates)
Technische Kontrollen (Setup)CHF 10’000 – 30’000CHF 2’000 – 5’000/Monat
SchulungsprogrammCHF 5’000 – 12’000CHF 2’000 – 5’000/Jahr
Externer KI-SicherheitstestCHF 15’000 – 35’000CHF 15’000 – 35’000/Jahr
Gesamtrahmen (KMU)CHF 38’000 – 100’000CHF 30’000 – 80’000/Jahr

Diese Investition relativiert sich schnell angesichts der potenziellen Schäden. Der McKinsey-Lilli-Vorfall — bei dem 46,5 Millionen Nachrichten exponiert wurden — dürfte das Unternehmen ein Vielfaches kosten: Rechtskosten, Reputationsschäden, Kundenabwanderung und regulatorische Strafen.

Wann externe Expertise nötig ist

Ein KI-Sicherheitsaudit durch einen spezialisierten Anbieter empfiehlt sich, wenn:

  • Ihr Unternehmen KI-Tools mit Kundenkontakt einsetzt
  • Sie KI-APIs in eigene Applikationen integriert haben
  • Sie personenbezogene oder regulierte Daten durch KI verarbeiten
  • Sie Compliance-Anforderungen (EU AI Act, nDSG, branchenspezifische Regulierung) erfüllen müssen
  • Sie vor einer grösseren KI-Investition die Risiken bewerten wollen

Bei der Auswahl eines Anbieters achten Sie auf CREST-Zertifizierung und nachgewiesene Erfahrung mit LLM-Sicherheitstests. Einen detaillierten Vergleich finden Sie in unserem Guide KI Red Teaming Anbieter in der Schweiz.

Einordnung: KI-Tools sind nicht das Problem — fehlende Governance ist es

KI-Tools bringen reale Produktivitätsgewinne. Ihre Nutzung zu verbieten ist weder realistisch noch sinnvoll. Aber die Nutzung ohne angemessene Governance-Strukturen ist ein Risiko, das sich kein Unternehmen leisten kann.

Der Schlüssel liegt in einem pragmatischen Ansatz: Sichere Nutzung ermöglichen, Risiken transparent machen und klare Leitplanken setzen. Technische Kontrollen allein genügen nicht — es braucht eine Kombination aus Richtlinien, Schulung, Technologie und regelmässiger Überprüfung.

Unternehmen, die heute eine solide KI-Governance aufbauen, schaffen nicht nur Sicherheit, sondern auch die Grundlage für eine verantwortungsvolle und wettbewerbsfähige KI-Nutzung.

Letzte Aktualisierung: März 2026. Dieser Leitfaden wird regelmässig überprüft und aktualisiert. Alpine Excellence ist eine unabhängige redaktionelle Plattform und erhält keine Vergütung für Anbieterempfehlungen.