Ein Kommentar von unserem Gastautor Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

[datensicherheit.de, 16.03.2025] Das KI-Gesetz der Europäischen Union markiert einen Wendepunkt für die Anforderungen am Arbeitsplatz – mit einem klaren Fokus auf KI-Kompetenz. Nach Artikel 4 sind Organisationen verpflichtet, sicherzustellen, dass ihre Mitarbeiter über ausreichende Kenntnisse im Umgang mit Künstlicher Intelligenz verfügen. Doch was bedeutet das konkret für Unternehmen?

Das Gesetz verlangt, dass Organisationen angemessene KI-Schulungen für ihre Mitarbeitenden und Betreiber bereitstellen. Diese müssen technisches Wissen, praktische Erfahrung, den Bildungshintergrund sowie den spezifischen Einsatzkontext der KI-Systeme berücksichtigen. Diese Flexibilität ist einerseits begrüßenswert, birgt aber zugleich eine Herausforderung: Es gilt zu definieren, was eine „ausreichende“ Schulung für verschiedene Rollen und Anwendungsfälle tatsächlich bedeutet.

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4, Foto: KnowBe4

Rollenbasierte Schulungsanforderungen

Ein effektives KI-Schulungsprogramm muss gezielt auf drei zentrale Mitarbeitergruppen zugeschnitten sein:

• Technische Teams – Entwickler und Datenwissenschaftler sollten sich auf sichere KI-Entwicklungspraktiken, Modellarchitekturen sowie ethische Grundsätze im Umgang mit Daten konzentrieren.
• Nicht-technische Mitarbeiter benötigen praxisnahe Richtlinien zur Nutzung von KI, ein Bewusstsein für ethische Fragestellungen und grundlegende Kenntnisse der Compliance-Anforderungen.
• Führungskräfte müssen sich mit KI-Governance-Rahmenwerken, Risikomanagementstrategien und den geschäftlichen Auswirkungen von KI auseinandersetzen.

Diese gezielte Schulung stellt sicher, dass alle Mitarbeiter die für ihre Rolle relevanten KI-Kompetenzen erwerben und verantwortungsbewusst mit der Technologie umgehen.

Sicherheit und Compliance vereinen

Das Gesetz gestattet zwar auch minimale Schulungsprogramme, doch reine Compliance reicht nicht aus, um eine Organisation nachhaltig zu schützen. Ein fundiertes Schulungskonzept, das sich an etablierten Standards wie den OWASP Top 10 für große Sprachmodelle orientiert, bietet eine ganzheitliche Grundlage. Dieser Ansatz berücksichtigt nicht nur die aktuelle KI-Bedrohungslandschaft, sondern auch Prinzipien der Datenverwaltung, den ethischen KI-Einsatz und praxisnahe Sicherheitsmaßnahmen.

Unabhängig davon, ob eine Organisation kommerzielle KI-Produkte nutzt oder maßgeschneiderte Lösungen entwickelt – Transparenz ist essenziell. Das Schulungsprogramm sollte daher Aspekte wie die Nachvollziehbarkeit der Datenverarbeitung, die Anforderungen an die Systemdokumentation und die Auswirkungen auf die Nutzer berücksichtigen. Besonders für Unternehmen, die eigene KI-Lösungen entwickeln, bietet sich die Gelegenheit, regulatorische Vorgaben und Schulungsmaßnahmen von Anfang an in den Entwicklungsprozess zu integrieren.

Aufbau einer widerstandsfähigen Belegschaft

Schulungsprogramme sollten adaptive Lernpfade und interaktive Module beinhalten und gleichzeitig kontinuierliche Weiterbildungsaktualisierungen gewährleisten. Rollenspezifische Bewertungen tragen dazu bei, dass die Schulungen für die Bedürfnisse jedes Mitarbeiters relevant und praktisch bleiben. Der wahre Wert von Schulungen zur KI-Kompetenz geht weit über die reine Einhaltung von Vorschriften hinaus. Organisationen sollten diese Anforderung als Chance betrachten, eine starke Sicherheitskultur zu pflegen, die sowohl die Organisation als auch ihre Mitarbeiter schützt. Durch die Umsetzung umfassender, rollenbasierter Schulungsprogramme, die über die grundlegenden Compliance-Anforderungen hinausgehen, sind Sie besser auf die Herausforderungen und Chancen einer KI-gesteuerten Zukunft vorbereitet.

Denken Sie daran, dass Compliance nicht automatisch gleichbedeutend mit Sicherheit ist. Obwohl das KI-Gesetz Flexibilität bei der Umsetzung bietet, sollten Organisationen, die es mit dem Risikomanagement für den Menschen ernst meinen, über die Mindestanforderungen hinausgehen. Gut ausgebildete Mitarbeiter sind nicht nur ein regulatorisches Kriterium, sondern ein Wettbewerbsvorteil in einer zunehmend KI-abhängigen Geschäftswelt.

Die Anforderungen des EU-KI-Gesetzes an die Alphabetisierung mögen auf den ersten Blick abschreckend wirken. Sie bieten jedoch eine wertvolle Gelegenheit, die KI-Governance und die Sicherheitslage Ihrer Organisation zu stärken. Wenn Sie jetzt einen proaktiven Ansatz für die KI-Alphabetisierung verfolgen, bauen Sie eine widerstandsfähigere, aufmerksamere und fähigere Belegschaft auf, die bereit ist, das Potenzial der KI zu nutzen und gleichzeitig ihre Risiken zu managen.

Weitere Informationen zum Thema:

EU Kommission
KI-Gesetz | Gestaltung der digitalen Zukunft Europas

[datensicherheit.de, 25.01.2021] Der Digitalcourage e.V. kritisiert in seiner aktuellen Stellungnahme die „mangelhafte Transparenz bei der Entstehung des Gesetzes zur Fingerabdruck-Pflicht in Personalausweisen“. Das im November 2020 vom Deutschen Bundestag beschlossene „Gesetz zur Stärkung der Sicherheit im Pass-, Ausweis- und ausländerrechtlichen Dokumentenwesen“ enthalte unter anderem die „generelle anlasslose Fingerabdruck-Speicherpflicht“. Ab 2. August 2021 sind demnach alle Bürger bei der Beantragung von Personalausweisen verpflichtet, die Abdrücke ihrer beiden Zeigefinger elektronisch scannen und auf dem Chip des Personalausweises speichern zu lassen.

Empfehlung, jetzt noch fingerabdruckfreie Dokumente zu beantragen

Die Grundrechteorganisation kritisiert nach eigenen Angaben:

• „Während der Bundesnachrichtendienst früh in die Gesetzgebung eingebunden wurde, wurde Transparenz für Bürgerinnen und Bürger monatelang herausgezögert.“
• „Wenn Geheimdienste in Gesetzgebung eingreifen, hört Transparenz auf, weil die Dienste von Auskunftspflichten nach dem Informationsfreiheitsgesetz (IFG) ausgenommen sind.“
• „Transparenz-Anfragen werden häufig pauschal und ohne ausreichende Begründung abgelehnt.“
• „Die Bearbeitung von Transparenzanfragen dauert oft zu lange.“
• „Dokumente werden erst nach Ende einer Gesetzgebung zugänglich gemacht. Das widerspricht dem Demokratieprinzip.“

Nach dem Motto „#PersoOhneFinger“ wird nun empfohlen, noch – solange es geht – fingerabdruckfreie Dokumente zu beantragen.

Derzeit juristische Optionen gegen Rechtsgrundlagen der Fingerabdruck-Speicherpflicht in der Prüfung

Digitalcourage habe unter anderem mit einer ausführlichen Stellungnahme im Bundestag die Fingerabdruck-Pflicht als „unnötig und unbegründet“ abgelehnt. Kritik habe es u.a. auch vom EU-Datenschutzbeauftragten, der EU-Grundrechteagentur und von Dr. Thilo Weichert gegeben.
Geprüft würden derzeit juristische Optionen gegen die Rechtsgrundlagen der Fingerabdruck-Speicherpflicht in Personalausweisen. Hierzu wurde ein Aufruf zur materiellen und ideellen Unterstützung gestartet.

Weitere Informationen zum Thema:

Remote Chaos Experience (rC3), 29.12.2020
Vortrag „Holt euch Personalausweise ohne Fingerabdrücke solange es geht“

digitalcourage, 22.10.2020
Stellungnahme zum Entwurf eines Gesetzeszur Stärkung der Sicherheit im Pass- und Ausweiswesen

digitalcourage, Friedemann Ebelt, 25.01.2021
#PersoOhneFinger: Geheimdienst ja, Transparenz später

datensicherheit.de, 28.11.2020
Fingerabdrücke im Personalausweis: Digitalcourage prüft rechtliche Schritte / Digitalcourage warnt vor Klassifikation aller Bürger als potenziell Tatverdächtige

[datensicherheit.de, 02.11.2020] Der Digitalcourage e.V. meldet, dass am 5. November 2020 um 21.15 Uhr die Abgeordneten im Bundestag final über die Fingerabdruck-Pflicht in Personalausweisen abstimmen solle. Es sei „höchste Zeit für ein klares Nein zur generellen und anlasslosen Fingerabdruck-Pflicht“. Aufgerufen wird, die „zehn entscheidenden SPD-Abgeordneten“ zu kontaktieren und aufzufordern, gegen die Fingerabdruck-Pflicht zu stimmen.

Abbildung: Digitalcourage e.V.

Aufruf: „Mithelfen: Nein zur Fingerabdruck-Pflicht!“

10 SPD-Bundestagsabgeordnete im Innenausschuss könnten generelle und anlasslose Fingerabdruck-Pflicht verhindern

Der Termin der Abstimmung könne sich eventuell noch ändern – der aktuelle Sitzungsplan sei online (s. „Sicherheit im Pass- u. Dokumentenwesen“). Es liege jetzt besonders in den Händen der zehn SPD-Bundestagsabgeordneten im Innenausschuss, die generelle und anlasslose Fingerabdruck-Pflicht zu verhindern. „Denn es liegt an diesen zehn, die gesamte SPD im Bundestag über die schweren Grundrechtsbedenken zu informieren.“

SPD im EU-Parlament 2019: Speicherung von Fingerabdrücken weder verhältnismäßig noch notwendig

Der Digitalcourage e.V. fordert: „Die SPD sollte gegen den Entwurf des sogenannten Gesetzes ,zur Stärkung der Sicherheit im Pass- und Ausweiswesen‘ stimmen!“, – das wäre konsequent. Denn 2019 habe sich die SPD bereits im EU-Parlament dagegen gestellt und erklärt: „[Die] Speicherung von Fingerabdrücken [ist] weder verhältnismäßig noch notwendig.“

Fingerabdruck-Pflicht grundrechtswidrig und nutzlos

„Am 26. Oktober war unser Campaigner Friedemann Ebelt im Innenausschuss des Bundestags eingeladen und hat dort erläutert, warum die geplante Pflicht aus unserer Sicht, aber auch aus Sicht des EU-Datenschutzbeauftragten, der EU-Kommission und der EU-Grundrechteagentur ein Fehler ist.“ Der Digitalcourage e.V. vertritt die Ansicht: „Die Fingerabdruck-Pflicht ist grundrechtswidrig und nutzlos.“

Bei GroKo-Beschluss der Fingerabdruck-Pflicht als Korrektiv nur noch Gerichte

Wie der Digitalcourage e.V. nach eigenen Angaben aus dem Bundestag erfahren hat, hätten Union und SPD sogar versucht, das Gesetz ohne Debatte zu beschließen – und das, „obwohl es eine Anhörung gab, in der beide Experten, die sich auf das Thema fokussiert hatten, die Fingerabdruck-Pflicht klar abgelehnt haben“. Wenn die „Große Koalition“ dieses Gesetz mit ihrer Mehrheit beschließt, blieben „als letztes Korrektiv für unsere Grundrechte nur noch die Gerichte“.

Weitere Informationen zum Thema:

digitalcourage, Friedemann Ebelt, 27.10.2020
Mithelfen: Nein zur Fingerabdruck-Pflicht!

Deutscher Bundestag, 26.10.2020
Widerstand von Datenschützern gegen geplante Passgesetz-Novelle (Friedemann Ebelt spricht ab Minute 27)

Deutscher Bundestag
5. November 2020 (189. Sitzung)

Europäisches Parlament Fraktion der S&D, Sylvia-Yvonne Kaufmann, 04.04.2019
„Speicherung von Fingerabdrücken weder verhältnismäßig noch notwendig“ / Einigung auf gemeinsame Sicherheitsstandards für Personalausweise

datensicherheit.de 27.10.2020
Fingerabdrücke im Personalausweis: Digitalcourage kritisiert Generalverdacht / Anhörung im Innenausschuss zur geplante Fingerabdruck-Pflicht

[datensicherheit.de, 13.04.2016] Online-Händler, deren Webformulare Daten unverschlüsselt übertragen, sollen künftig nicht mehr nur von Datenschutzbehörden angemahnt werden – auch Google plant, bald alle Webseiten ohne SSL-Verschlüsselung mit einem roten X zu markieren, meldet die PSW GROUP.

Das Internet sicherer machen

Offenbar sei das nun Googles nächster Schritt, um das Internet sicherer zu machen, nachdem schon seit 2014 HTTPS ein Ranking-Signal sei. Bereits seit Sommer jenen Jahres listet Google demnach mit HTTPS verschlüsselte Webseiten in den Suchergebnissen besser.
Nahezu jede Website enthält heutzutage die Möglichkeit, sensible Daten einzugeben – Kontaktformulare, Bestellformulare für Webshops oder Kommentarfunktionen, zu deren Nutzung Kunden mindestens ihren Namen und ihre E-Mail-Adresse angeben müssen. Um den Austausch sensibler Daten abzusichern, gibt es SSL/TLS-Zertifikate, deren Aufgabe es ist, die Kommunikation zwischen Server und Client zu verschlüsseln. Somit sei es unbefugten Dritten nicht mehr möglich, die Daten mitzulesen, erklärt Christian Heutger, Geschäftsführer der PSW GROUP.

OpenSSL als kostenloses Toolkit für einfache Zertifikatserstellung

Um ein SSL/TLS-Zertifikat zu erstellen, rät Heutger zur Installation eines Toolkits, mit dem sich die SSL/TLS-Zertifikate auch verwalten lassen. „OpenSSL“ gehöre hierbei zu den am meisten verbreiteten Lösungen. Bevor das eigentliche SSL-Zertifikat erstellt werden könne, müsse jedoch zunächst ein „Certificate Signing Request“ (CSR) angelegt werden. Die CSR werde für die Bestellung des eigentlichen SSL/TLS-Zertifikats bei einer Zertifizierungsstelle benötigt. Im CSR seien Informationen über den Antragsteller und der zu verschlüsselnden Domain gespeichert, außerdem finde sich dort der öffentliche Schlüssel für die Verschlüsselung von Daten, so Heutger.

Private Key muss zwingend privat und geheim bleiben

Auf dem Server erzeuge der Anwender sodann ein aus dem privaten Schlüssel und der CSR selbst bestehendes Schlüsselpaar. Da das SSL/TLS-Zertifikat ausschließlich mit der angegebenen Domain genutzt werden kann, empfiehlt Heutger diese so exakt wie möglich, beispielsweise als „www.example.com“ und nicht verkürzt als „example.com“, im CSR anzugeben.
Der private Schlüssel dürfe unter keinen Umständen veröffentlicht oder Dritten anvertraut werden. Er sei untrennbar mit dem SSL/TLS-Zertifikat verbunden und diene der Entschlüsselung der Daten. Auf dem Server werde der Zugriff auf den „Private Key“ übrigens über Dateizugriffsrechte geschützt. Heutger rät jedoch zusätzlich zu einer Sicherheitskopie der .key-Datei, die ebenfalls vor unbefugtem Zugriff geschützt werden sollte.

Browser-Kompatibilität beachten

Aufgrund von Schwierigkeiten mit Browser-Kompatibilitäten betrachtet der Experte die Möglichkeit, ein eigenes SSL-Zertifikat zu erstellen, als kritisch. SSL/TLS-Zertifikate sollten so ausgestellt werden, dass auch ältere „Internet Explorer“-Versionen sowie sämtliche mobilen Browser und selbst Exoten wie „Opera Mobile“ einbezogen würden. Hinzu komme, dass mit selbst erstellten Zertifikaten die Identitätsprüfung der Zertifizierungsstellen wegfalle, so dass ein wertvoller Zweck des Zertifikats, nämlich die Authentifizierung, verlorengehe, erläutert Heutger.
SSL/TLS-Zertifikate seien bereits ab 15 Euro jährlich erhältlich. Hierbei handele es sich um domainvalidierte Zertifikate, bei denen eine Zertifizierungsstelle prüfe, ob der Antragsteller der Domaininhaber ist. Die für den Verbraucher Vertrauen spendenden Zeichen im Browser seien kaum sichtbar, für private Websites wie Blogs sei das aber völlig in Ordnung.
Betreibern kommerzieller Blogs und geschäftlicher Websites rät er dagegen zu organisationsvalidierten SSL/TLS-Zertifikaten, bei denen die Prüfung über die Inhaberschaft der Domain hinaus geht.
Idealerweise sollten aber EV-Zertifikate („Extended Validation“) verwendet werden. Die Prüfung durch die Zertifizierungsstelle bedinge auch Dokumente, die das Vorhandensein der Organisation belegten, etwa einen Handelsregisterauszug. Auch die Darstellung im Browser werde umfangreicher – EV-Zertifikate ließen die Adressleiste in Browsern grün werden, wodurch der Datenschutzgedanke für Benutzer sofort sichtbar und die Identität mit einem Klick auf die Adressleiste nachvollziehbar werde, betont Heutger.

Weitere Informationen zum Thema:

PSW GROUP, 22.03.2016
Verschlüsselung / SSL/TLS-Zertifikat erstellen

[datensicherheit.de, 11.09.2012] Die Verbraucherorganisation foodwatch fordert die Länder vor der Verbraucherschutzministerkonferenz am 13. September 2012 auf, die Ergebnisse der amtlichen Lebensmittelkontrollen verpflichtend an der Ladentür zu veröffentlichen:
Jetzt gebe es keine Ausreden mehr – die Verbraucher müssten endlich vor den „Schmuddelbetrieben“ geschützt werden statt diese wie bisher vor den Verbrauchern, so der stellvertretende foodwatch-Geschäftsführer Matthias Wolfschmidt. Bundesministerin Ilse Aigner hat bereits im Vorfeld der Konferenz angekündigt, das Lebensmittelrecht so ändern zu wollen, dass eine verpflichtende Information durch Aushänge möglich ist. Frau Aigners „Rolle vorwärts“ komme eineinhalb Jahre verspätet; völlig sinnlos habe die Ministerin den seit Jahren überfälligen Einstieg in eine transparente Lebensmittelüberwachung verzögert – gegen den ausdrücklichen Wunsch von mehr als 90 Prozent der Bevölkerung, sagt Wolfschmidt.
Bereits im Mai 2011 hatten sich die Länder darauf geeinigt, die Ergebnisse der amtlichen Lebensmittelkontrollen ab 1. Januar 2012 mittels einer „Hygiene-Ampel“ zu veröffentlichen und die Bundesministerin aufgefordert, eine Pflicht-Kennzeichnung durch Bundesrecht zu ermöglichen. Die aktuell diskutierte Version einer „Hygiene-Ampel“ ist aus Sicht von foodwatch nicht geeignet, um die Forderung der Verbraucher nach echter Transparenz zu erfüllen. Diese „Hygiene-Ampel“ belohne in ihrer jetzigen Form zu viele Betriebe trotz zahlreicher Mängel mit einem „grünen Licht“, kritisiert Wolfschmidt.
In Deutschland wird bei den amtlichen Lebensmittelkontrollen Jahr für Jahr etwa jeder vierte kontrollierte Betrieb beanstandet. Welche Betriebe in welcher Form gegen das Lebensmittelrecht verstoßen, erfahren die Verbraucher jedoch nicht. In Dänemark sind Betriebe bereits seit mehr als zehn Jahren verpflichtet, ihre Kunden direkt vor Ort mit Aushängen und einem Smiley-Symbol über das Ergebnis der letzten Lebensmittelkontrolle zu informieren. Seitdem ist die Quote der Beanstandungen dort um die Hälfte zurückgegangen. Bei einer repräsentativen Umfrage des Instituts TNS Emnid im Auftrag von foodwatch im Jahr 2010 sollen sich 93 Prozent der Bundesbürger für die Einführung des dänischen Smiley-Systems in Deutschland ausgesprochen haben.

Weitere Informationen zum Thema:

foodwatch, 28.04.2010
Bürger wollen Lebensmittel-Smileys