KI sicher einführen — was Teams früh klären sollten

Warum Sicherheit kein Später-Thema ist

Die häufigste Sicherheits-Fehler bei KI-Tools entstehen nicht durch spektakuläre Vorfälle. Sie entstehen durch alltägliche Schlampigkeit: ein Screenshot mit internen URLs, ein Log-Ausschnitt mit Tokens, ein Prompt der Kunden-Daten enthält.

Diese Fehler passieren, weil Sicherheit als "Später-Thema" behandelt wird — erst wenn der Workflow läuft, dann kümmer ich mich darum. Das Muster führt fast immer zu vermeidbaren Problemen.

Daten-Lecks: das häufigste Problem

Was oft übersehen wird: was man an ein externes Modell schickt, geht dorthin. Nicht zwingend in die Trainings-Daten (kommt auf den Provider und Vertrag an), aber in die Verarbeitung. Für regulierte Branchen, für Kunden-Daten, für interne Systeme ist das relevant.

Praktische Filterregeln, die ich anwende:

• Screenshots vor dem Weitergeben auf sensible URLs prüfen
• Logs truncaten — die ersten 50 Zeilen reichen oft für Diagnose
• API-Keys, Tokens, Credentials niemals in Prompts
• Kunden-identifizierbare Daten ersetzen (Platzhalter, Anonymisierung)

Tool-Berechtigungen minimal halten

Ein Agent, der nichts tun darf, kann auch nichts kaputt machen. Minimale Berechtigung pro Aufgabe ist keine Theorie — es ist eine praktische Schutzmaßnahme.

Konkret: lese-only wo immer möglich. Schreib-Zugriff nur auf spezifische Pfade. Deploy- und Merge-Aktionen immer mit menschlicher Bestätigung. Das klingt restriktiv, ist in der Praxis aber kaum ein Hindernis für echte Produktivität.

Provider-Datenschutz klären

Manche Anbieter haben klare Compliance-Statements (SOC 2, DSGVO-Auftragsverarbeitung), andere nicht. Das ist eine Hausaufgabe pro Provider, die man nicht delegieren kann.

Für Teams: einen kurzen Provider-Freigabe-Prozess einführen. Nicht bürokratisch, aber klar. Welche Anbieter sind freigegeben, welche brauchen Prüfung, welche sind ausgeschlossen.

Action-Grenzen definieren

Agents, die Aktionen ausführen — PRs erstellen, Deploys triggern, Mails schreiben — brauchen klare Grenzen. Vorher definiert, nicht nach einem Vorfall.

Die Fragen, die ich für jeden Workflow kläre: Was darf der Agent automatisch? Was braucht meine Bestätigung? Was sollte er gar nicht können? Diese Grenzen in die Skill-Definition, nicht in den Kopf.

Für Teams: drei einfache Maßnahmen

• Provider-Liste: Welche sind freigegeben, welche nicht. Einmal erstellt, gepflegt wenn sich etwas ändert.
• Daten-Klassifikation: Intern, vertraulich, öffentlich. Klare Regel welche Klasse an externe Modelle darf.
• Bestätigungs-Protokoll: Welche Aktionen immer menschliche Freigabe brauchen. Kurze Liste, verbindlich.

Das ist kein großer Aufwand. Aber der Unterschied zwischen einem Team, das KI sicher nutzt, und einem, das auf einen Vorfall wartet.