Die Schnelligkeit der digitalen Welt nutzen mittlerweile auch Cyberkriminelle, insbesondere durch KI-unterstützte Attacken, die in Qualität und Geschwindigkeit klassischer Abwehrmaßnahmen überlegen sind. Wo früher die Frage lautete, ob man gehackt wird, ist sie heute eindeutig wann.

Ausmaß der Angriffe

Mehr als die Hälfte der deutschen Unternehmen wurde im vergangenen Jahr Opfer eines Hackerangriffs. Dies zeigt, dass nicht nur Großkonzerne, sondern zunehmend auch kleine und mittelständische Betriebe Zielscheibe sind.

Regulatorische Rahmenwerke

Richtlinien wie KRITIS, DORA oder NIS2 signalisieren die Ernsthaftigkeit der Bedrohung: NIS2 weitet den Geltungsbereich auf Zulieferer und Dienstleister aus und schreibt strenge Vorgaben zu Risikomanagement, Meldepflichten und Sanktionen vor.

Kritische Angriffsformen

Am bedrohlichsten sind aktuell Ransomware-Angriffe, bei denen Unternehmenssysteme verschlüsselt und Lösegeldforderungen gestellt werden. Die Schäden können in die Millionen- bis Milliardenhöhe gehen. Mitarbeiterschulungen zur Sensibilisierung gelten als unverzichtbar.

Empfohlene Tools und Best Practices

Ein detaillierter Incident-Response-Plan ist essenziell: Er legt fest, welche Maßnahmen im Ernstfall zu ergreifen sind, wer zu kontaktieren ist und wie Geräte zu behandeln sind. Die Konsultation des BSI und die Nutzung dortiger Weiterbildungsangebote verbessern die Vorbereitung signifikant. Achtsamkeit im Alltag – etwa das Sperren von Bildschirmen oder der Einsatz von Displayschutz – reduziert vermeidbare Risiken.

Zukünftige Trends

KI beschleunigt nicht nur die Abwehr, sondern auch die Angriffsgeschwindigkeit. Die historische „Dwell Time“ von 12–14 Monaten zwischen Eindringen und Entdecken kann heute dank moderner Lösungen auf Tage verkürzt werden, dennoch steigt die Angriffsgeschwindigkeit weiter. Phishing-Kampagnen werden durch generative KI immer überzeugender, was zusätzliche Schutzmechanismen erfordert.

Handlungsempfehlungen

Für Eigentümer von Unternehmen

• Strategische Verantwortung übernehmen: Legen Sie Cybersecurity als festen Bestandteil der Unternehmensstrategie fest und sichern Sie ausreichende Ressourcen für Prävention und Krisenmanagement.
• Governance etablieren: Installieren Sie klare Rollen und Zuständigkeiten (z. B. CISO), verankern Sie Berichtswege an die Eigentümerebene und prüfen Sie regelmäßig Compliance mit NIS2 & Co..
• Investitionspriorisierung: Fördern Sie gezielt Awareness-Programme und Incident-Response-Tests, um die Resilienz zu erhöhen und Haftungsrisiken zu reduzieren.

Für Top Manager

• Risikoportfoliomanagement: Integrieren Sie Cyberrisiken in das Enterprise-Risk-Management und definieren Sie KPI sowie Schwellenwerte zur kontinuierlichen Überwachung.
• Supply-Chain-Absicherung: Stellen Sie sicher, dass Zulieferer und Dienstleister die eigenen Sicherheitsanforderungen erfüllen und verankern Sie entsprechende Audits in Verträgen.
• Regulatorisches Reporting: Bereiten Sie sich auf Meldepflichten vor (z. B. NIS2-Vorfälle innerhalb vorgeschriebener Fristen) und etablieren Sie standardisierte Kommunikationsprozesse mit Behörden.

Für IT-Leiter

• ISMS implementieren: Führen Sie ein Informationssicherheits-Managementsystem nach ISO 27001 oder BSI IT-Grundschutz ein, um systematisch Risiken zu identifizieren und zu behandeln.
• Incident Response & Tests: Entwickeln und üben Sie Notfallpläne regelmäßig (Simulationsübungen, Penetrationstests) und integrieren Sie Lessons Learned in Ihre Sicherheitsarchitektur.
• Technische Absicherung: Setzen Sie auf Zero Trust-Prinzipien, EDR/NGAV, SIEM/UEBA und automatisierte Patch-Management-Prozesse, um schnelle Erkennung und Eindämmung zu gewährleisten.

Wichtigste regulatorische Normen und ihre Schwerpunkte

• NIS2-Richtlinie (EU 2022/2555): Erweitert den Geltungsbereich der ursprünglichen NIS-Richtlinie auf Zulieferer und wichtige Einrichtungen, fordert Risikomanagement, Meldepflichten, Business Continuity und klare Governance auf Führungsebene.
• IT-Sicherheitsgesetz 2.0 / BSIG § 8a: Deutsche Umsetzung von NIS2, verschärft Pflichten für KRITIS-Betreiber, mandatiert Sicherheitsüberprüfungen, Melde- und Auditpflichten.
• BSI-KritisV: Konkretisiert Anforderungen des BSIG § 8a für Betreiber kritischer Infrastrukturen, definiert Schwellenwerte und Mandate zur Umsetzung technischer und organisatorischer Maßnahmen.
• BSI IT-Grundschutz: Vorgehensweise zur Einführung eines ganzheitlichen ISMS in Behörden und Unternehmen, bietet Mindeststandards, Kompendium und Profile für spezifische Anwendungsfälle.
• ISO/IEC 27001: Internationaler Standard für ISMS, fokussiert Risikoanalyse, kontinuierliche Verbesserung, definiert Kontrollziele und Auditleitfaden.
• DSGVO (Art. 32): Verlangt angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten, z. B. Pseudonymisierung, Verschlüsselung, Verfügbarkeits- und Wiederherstellungsfähigkeit.
• DORA (Reg. EU 2022/2554): Stärkt digitale Resilienz des Finanzsektors durch harmonisierte Vorgaben zu IKT-Risikomanagement, Incident Management, Drittanbieter-Kontrolle und kontinuierlicher Überwachung.

Der Beitrag Cybersecurity: Ein Update mit Handlungsempfehlungen erschien zuerst auf Verein zur Unterstützung der digitalen Transformation e.V..

Die Digitalisierung bietet Unternehmen – insbesondere für Startups und mittelständische Betriebe – enorme Chancen, sich im Wettbewerb zu differenzieren und ihre Geschäftsprozesse nachhaltig zu transformieren. Dei Überlegungen von Gartner zur KI-Strategie liefern hierfür einen umfassenden Rahmen, der dabei hilft, die „KI-Ambition“ eines Unternehmens klar zu definieren und gezielt umzusetzen. Im Folgenden fassen wir die wesentlichen Ergebnisse des Berichts zusammen und leiten konkrete Handlungsempfehlungen für die Mitglieder des Vereins zur Unterstützung der digitalen Transformation ab.

Die Grundpfeiler einer erfolgreichen KI-Strategie

Der Gartner Bericht unterscheidet zwei zentrale Dimensionen, die den strategischen Einsatz von Künstlicher Intelligenz (KI) bestimmen:

• Art des KI-Einsatzes:
  • Everyday AI: KI-Anwendungen, die primär zur Steigerung der Effizienz und Produktivität beitragen. Beispiele sind automatisierte Textgenerierung, Chatbots oder Unterstützung in der Softwareentwicklung.
  • Game-Changing AI: Transformative KI-Lösungen, die nicht nur bestehende Prozesse verbessern, sondern neue Geschäftsmodelle, Produkte und Dienstleistungen ermöglichen. Diese Ansätze erfordern oft maßgeschneiderte Lösungen und einen umfangreichen Datenpool.
• Einsatzbereich innerhalb des Unternehmens:
  • Externe, kundenorientierte Anwendungen: KI wird direkt in die Interaktion mit Kunden und Partnern integriert, um beispielsweise das Kundenerlebnis zu optimieren oder innovative Produkte zu entwickeln.
  • Interne, operative Anwendungen: KI kommt im Hintergrund zum Einsatz – in Bereichen wie Finanzen, Personalwesen, IT oder der Logistik – um interne Prozesse zu automatisieren und zu optimieren.

Das AI Opportunity Radar: Ein strategisches Instrument

Kernstück des Berichts ist das sogenannte AI Opportunity Radar. Dieses Modell visualisiert, wie KI in vier wesentlichen Bereichen genutzt werden kann:

1. Front Office:
   Verbesserung der Kundeninteraktion und Steigerung der Effizienz in Marketing, Vertrieb und Service.
2. Produkte und Dienstleistungen:
   Integration von KI in bestehende Angebote oder die Entwicklung neuer, innovativer Produkte.
3. Kernkompetenzen:
   Einsatz von KI, um zentrale Geschäftsprozesse – beispielsweise in der Gesundheitsdiagnostik oder im Finanzwesen – signifikant zu verbessern und somit einen Wettbewerbsvorteil zu sichern.
4. Back Office:
   Automatisierung und Optimierung interner Verwaltungs- und Supportprozesse.

Das Modell hilft Unternehmen dabei, potenzielle Einsatzbereiche systematisch zu identifizieren, Use Cases zu priorisieren und die strategische Ausrichtung ihrer KI-Initiativen zu bestimmen.

Konkrete Handlungsempfehlungen für Startups und mittelständische Unternehmen

Für technisch ambitionierte Unternehmen, die die digitale Transformation aktiv vorantreiben, ergeben sich aus dem Gartner Bericht folgende konkrete Maßnahmen:

1. Definieren Sie Ihre KI-Ambition klar und frühzeitig:
   Überlegen Sie, ob Ihre KI-Initiativen primär der Effizienzsteigerung (Everyday AI) dienen oder ob Sie auch disruptive, marktverändernde Lösungen anstreben möchten (Game-Changing AI). Eine klare strategische Zielsetzung hilft, Investitionen und Ressourcen optimal zu steuern.
2. Nutzen Sie den AI Opportunity Radar als Bewertungsrahmen:
   Kartieren Sie potenzielle Use Cases in den vier Kernbereichen. Beginnen Sie dabei mit Pilotprojekten in Bereichen, in denen die technische Machbarkeit hoch und der organisatorische Wandel moderat ist – beispielsweise im Back Office oder im Front Office.
3. Verknüpfen Sie experimentelle Ansätze mit strategischer Planung:
   Viele Unternehmen starten mit Bottom-up-Initiativen, die schnell erste Erfolge liefern. Diese Experimente sollten jedoch zeitnah durch ein Top-down-Management begleitet werden, um die gewonnenen Erkenntnisse in eine langfristige Strategie einzubetten.
4. Priorisieren Sie Projekte mit langfristigem Wettbewerbsvorteil:
   Während viele KI-Anwendungen zunächst den Fokus auf Produktivitätsgewinne legen, lohnt sich ein gezielter Einsatz in Kernbereichen, die Ihr Geschäftsmodell nachhaltig transformieren können – etwa in der Produktentwicklung oder im Kundenservice.
5. Beachten Sie ethische und marktspezifische Aspekte:
   Gerade bei kundenorientierten Anwendungen sollten Sie abwägen, inwieweit automatisierte Prozesse den persönlichen Kundenkontakt ersetzen oder ergänzen. Achten Sie darauf, dass der Einsatz von KI stets im Einklang mit Ihrer Markenidentität und den Erwartungen Ihrer Zielgruppe steht.
6. Skalierung und kontinuierliche Überprüfung:
   Da sich der Markt und die technologische Landschaft dynamisch verändern, sollten Sie Ihre KI-Strategie regelmäßig überprüfen und anpassen. Nutzen Sie dabei Kennzahlen und Feedback-Schleifen, um den Erfolg Ihrer Initiativen messbar zu machen.

Fazit

Der Gartner Bericht liefert ein praxisnahes Rahmenwerk, das es Unternehmen ermöglicht, ihre KI-Initiativen systematisch zu bewerten und gezielt umzusetzen. Für Startups und mittelständische Unternehmen, die die digitale Transformation aktiv vorantreiben, bieten sich hier klare Anknüpfungspunkte: Von der Definition der eigenen KI-Ambition über den gezielten Einsatz im Front und Back Office bis hin zur Entwicklung innovativer Produkte und Dienstleistungen.

Es liegt an uns, diese Erkenntnisse in konkrete Projekte zu überführen, um nicht nur kurzfristige Effizienzgewinne zu realisieren, sondern auch langfristig Wettbewerbsvorteile zu sichern. Wie planen Sie, Ihre KI-Strategie in den kommenden Monaten weiterzuentwickeln? Teilen Sie Ihre Erfahrungen und Ideen – der Austausch in unserem Verein kann den nächsten Schritt in der digitalen Transformation entscheidend voranbringen.

Quelle

• https://www.gartner.com/en/newsroom/press-releases/2023-11-06-gartner-says-ai-ambition-and-ai-ready-scenarios-must-be-a-top-priority-for-cios-for-next-12-24-months

Der Beitrag KI-Strategie für digitale Vorreiter erschien zuerst auf Verein zur Unterstützung der digitalen Transformation e.V..