[datensicherheit.de, 05.03.2026] Zimperium, Anbieter von Echtzeitschutz für Mobilgeräte, analysiert in einem neuen Blog-Beitrag, wie regulatorische Veränderungen und Fortschritte beim Einsatz Künstlicher Intelligenz (KI) die mobile Bedrohungslandschaft verändern und neue Herausforderungen schaffen. Mobilgeräte und Apps zählten zu den größten Angriffsflächen im Unternehmen. Da Cyberkriminelle offenbar eine „Mobile First“-Angriffsstrategie verfolgten, beschleunige die Kombination aus neuen regulatorischen Richtlinien und KI-gesteuerter Entwicklung, wie mobile Apps gebaut, verteilt und von Angreifern ausgenutzt werden.

Foto: Zimperium

Krishna Vishnubhotla zur KI-Ambivalenz: Organisationen liefern mobile Software schneller aus, während Angreifer neue KI-Technologien nutzen, um sie schneller kompromittieren zu können

Drittanbieter-Software birgt zusätzliche Risiken

Grundsätzlich legten Regulierungsbehörden mehr Wert auf die Sicherheit mobiler Anwendungen, da Apps zunehmend Zahlungen, digitale Identitäten und sensible Unternehmensdaten verarbeiteten.

• Neue regulatorische Anforderungen durch den Gesetzgeber veränderten aber auch das mobile „Ökosystem.“

So schrieben EU-Regeln vor, dass Apple alternative App-Marktplätze zulassen müsse. Einerseits entstünden erweiterte Vertriebswege für mobile Apps — andererseits stiegen durch ungeprüfte Drittanbieter-Software auch die potenziellen Risiken.

KI beschleunigt Entwicklung mobiler Software – aber auch Zuspitzung der Bedrohungslage

„Mobile Sicherheit tritt in eine neue Phase ein, in der sowohl Politik als auch neue Technologien die Risiken erhöhen“, so Krishna Vishnubhotla, „Vice President of Product Strategy“ bei Zimperium.

• Er führt weiter aus: „Organisationen liefern mobile Software schneller aus, während Angreifer neue KI-Technologien nutzen, um sie schneller kompromittieren zu können. Angesichts dieser Entwicklungen müssen auch Sicherheitstechnologien schnell weiterentwickelt werden!“

Die vorliegende vollständige Analyse von Zimperium untersucht demnach, wie regulatorische Veränderungen und KI-gesteuerte Entwicklung das mobile Risiko beschleunigen und warum Unternehmen den Schutz sowohl für mobile Apps als auch für die von Mitarbeitern abhängigen Geräte verstärken müssen.

Weitere Informationen zum Thema:

ZIMPERIUM
Zimperium / The World Leader in Mobile Device & Application Security

ZIMPERIUM
Krishna Vishnubhotla / Mobile App Security Expert

ZIMPERIUM, Krishna Vishnubhotla, 05.03.2026
2026 Mobile Security: How Regulation and AI Are Reshaping Risk

datensicherheit.de, 04.05.2025
Zimperiums Global Mobile Threat Report 2025: Mobilgeräte als bevorzugter Angriffsvektor Cyber-Krimineller / Zimperium-Forscher der „zLabs“ analysierten Bedrohungsdaten, um sich entwickelnde und komplexe Angriffe sowie Schwachstellen aufzudecken

datensicherheit.de, 20.02.2025
Zimperium-Studie: Deutliche Zunahme von Mobile-Phishing-Angriffen / Neuer „zLabs Mishing Report“ ermittelt Anstieg von Betrug per SMS, QR-Code oder E-Mail

Von unserem Gastautor Christoph Storzum, VP Sales Europe, Scality

[datensicherheit.de, 23.02.2026] Als Apollo 13 infolge der Explosion eines Sauerstofftanks in über 200.000 Meilen Entfernung von der Erde in eine kritische Situation geriet, standen die Ingenieure der NASA vor der Aufgabe, unter extremen Beschränkungen handlungsfähig zu bleiben. Rasche Entscheidungen mussten innovative Lösungsansätze mit unverrückbaren physikalischen Rahmenbedingungen, großer Distanz und erheblichem Risiko in Einklang bringen. „Failure is not an option“ war dabei keine rhetorische Zuspitzung, sondern eine operative Notwendigkeit, die sich unmittelbar aus den gegebenen Umständen ergab.

Christoph Storzum, VP Sales Europe, Scality, Foto: Scality

Auch wenn es heute für Unternehmen offensichtlich nicht um Leben und Tod geht wie bei der Apollo-Mission, sehen sich Organisationen in der globalen KI- und Datenlandschaft mit vergleichbaren technischen Herausforderungen konfrontiert. Während sich Künstliche Intelligenz rasant beschleunigt und Datenvolumina exponentiell wachsen, müssen Unternehmen in nie dagewesener Geschwindigkeit innovieren, und das innerhalb zunehmend strenger regulatorischer, geopolitischer und Souveränitäts-bezogener Rahmenbedingungen. Daten sind längst kein global und reibungslos über Grenzen hinweg verfügbares Gut mehr. Ihr Speicherort, ihre Verarbeitung und die letztendliche Kontrolle sind zu strategischen, regulatorischen und sicherheitspolitischen Faktoren geworden.

Regulierungen für KI und Datenspeicherung entwickeln sich mit hoher Dynamik, getrieben durch wachsende Bedenken hinsichtlich Datenschutz, Souveränität und systemischer Risiken. Gartner prognostiziert, dass bis 2027 rund 35 % der Staaten aufgrund von Anforderungen an Datensouveränität und Regulierung auf regionalspezifische KI-Plattformen beschränkt sein werden. Dieser Trend wird Regierungen dazu veranlassen, die Kontrolle über KI-Technologien und deren Einsatz innerhalb nationaler Grenzen weiter zu verschärfen.

Divergierende regulatorische Ansätze

Unternehmen müssen heute zwei Kräfte ausbalancieren, die häufig in einem Spannungsfeld zueinander stehen: den freien Datenfluss als Treiber von Innovation und die regulatorischen Rahmenwerke zum Schutz von Bürgern, Staaten und kritischer Infrastruktur. Die Navigation dieser regionalen Unterschiede ist längst keine reine Compliance-Aufgabe mehr, sondern eine grundlegende architektonische und unternehmerische Strategienentscheidung.

Europa: Datensouveränität, Kontrolle und Compliance by Design

Europäische Regulierungsbehörden verfolgen eine klare Linie in Bezug auf Datensouveränität und verankern diese tief in politischen Rahmenwerken wie etwa der DSGVO, dem Digital Services Act (DSA), dem Digital Markets Act (DMA) sowie in neu entstehenden, KI-spezifischen Regulierungen. Der kürzlich aktualisierte EU-Cybersecurity Act verschärft die Kontrolle für Hochrisiko-Anbieter im Bereich IKT, vereinfacht Compliance-Prozesse und stärkt die Rolle der ENISA zum besseren Schutz kritischer Infrastrukturen und zur Erhöhung der digitalen Resilienz Europas. Ziel dieser Maßnahmen ist es, die Abhängigkeit Technologien außerhalb der EU zu reduzieren und die technologische Souveränität Europas angesichts wachsender Cyber-Bedrohungen zu stärken.

Im Zentrum all dieser Initiativen und legislativen Verschärfungen steht ein klares Ziel: sicherzustellen, dass sensible Daten (und dabei insbesondere personenbezogene, staatliche sowie Industrie-kritische Daten) unter europäischer rechtlicher und operativer Kontrolle verbleiben, was heute allgemein als Souveränität verstanden wird. Diese Themen besitzen derzeit höchste Priorität für europäische Regierungen und Unternehmen.
Infolgedessen legt Europa verstärkt Wert auf souveräne Cloud-Services, souveräne KI-Modelle sowie regional konforme Backup- und Recovery-Lösungen. Datenresidenz beschränkt sich dabei nicht auf den physischen Speicherort. Sie umfasst ebenso operative Kontrolle, Eigentum an kryptografischen Schlüsseln, Zugriffs-Governance sowie Transparenz in der Lieferkette. Europäische Unternehmen priorisieren Lösungen, die lokale juristische Zuständigkeit garantieren und gleichzeitig die Exposition gegenüber extraterritorialen Gesetzen minimieren.
Compliance ist damit zu einer zentralen geschäftlichen Anforderung geworden, die die Auswahl von Anbietern, die Wahl der Systemarchitektur und die KI-Einsatzstrategien maßgeblich beeinflusst. Unternehmen in Europa müssen nicht nur technische Exzellenz nachweisen, sondern auch überprüfbare Konformität in Bezug auf Transparenz, Auditierbarkeit und Datenschutz.

Vereinigte Staaten: Innovation, Skalierung und freier Datenfluss

Im Gegensatz dazu verfolgen die Vereinigten Staaten einen Governance-Ansatz, der den freien Fluss von Informationen als Motor für Innovation, wirtschaftliches Wachstum und nationale Sicherheit priorisiert. Datenschutz- und Cybersicherheitsrisiken werden primär über branchenspezifische Regelungen und freiwillige Rahmenwerke adressiert, während die übergeordnete politische Ausrichtung möglichst geringe Einschränkungen für grenzüberschreitende Datenübertragungen vorsieht.

Dieses innovationsgetriebene Modell der Datenfreiheit hat das Entstehen von Hyperscale-Cloud Plattformen ermöglicht, KI-Experimente beschleunigt und global verteilte Architekturen hervorgebracht, die auf Performance und Kosteneffizienz optimiert sind. Sicherheit und Datenschutz werden in diesem Paradigma als technische und Governance-Themen behandelt, die parallel zu Geschwindigkeit und Skalierung gemanagt werden und nicht als absolute Restriktionen für Datenbewegungen.
Diese Divergenz erzeugt jedoch strukturelle Spannungen. Multinationale Unternehmen müssen US-zentrierte, auf Offenheit ausgelegte Architekturen mit Rechtsräumen in Einklang bringen, die strikte Datenlokalisierung und souveräne Kontrolle verlangen. Die daraus entstehende Reibung zählt zu den prägendsten Herausforderungen moderner Datenstrategien.

Asien: Strategische Beobachtung und selektive Regulierung

In Asien variieren regulatorische Ansätze stark und spiegeln unterschiedliche politische Systeme, wirtschaftliche Prioritäten sowie digitale Reifegrade wider. Einige Märkte orientieren sich eng an europäischen Souveränitätsmodellen, andere folgen stärker dem innovationsorientierten US-Ansatz. Viele Staaten beobachten die globalen Entwicklungen aufmerksam und positionieren sich so, dass sie gezielt Regelwerke übernehmen können, die nationale Interessen schützen, ohne dabei Wachstum zu behindern.
Für multinationale Organisationen entsteht daraus ein komplexes Mosaik an Anforderungen, das flexible, regional bewusste Datenarchitekturen erfordert, die sich dynamisch an veränderte lokale Regulierungen anpassen lassen.

Geopolitische Spannungen und regulatorische Anforderungen managen

KI-Governance und Datensouveränität stehen heute im Zentrum globaler Debatten, von nationalen Parlamenten bis hin zu Foren wie etwa dem World Economic Forum in Davos. Regierungen und Unternehmen ringen gleichermaßen um das richtige Gleichgewicht zwischen Innovation, Freiheit, Datenschutz, Sicherheit und Souveränität. Die globalen Regionen justieren dieses Gleichgewicht auf unterschiedliche Weise, was maßgeblichen Einfluss darauf haben wird, wie das kommende Jahrzehnt mit Blick auf die digitale Infrastruktur gestaltet wird.

Integration souveräner KI in hybride Objekt-Storage Architekturen

Mit der zunehmenden Verbreitung von KI gewinnt das Konzept der souveränen KI zentrale Bedeutung für die Datenstrategie. Souveräne KI stellt sicher, dass KI-Workloads Anforderungen an Datenresidenz, rechtliche Zuständigkeiten und Governance-Richtlinien erfüllen, ohne dabei Innovation oder Performance zu beeinträchtigen. Dies erfordert in der Praxis häufig hybride Architekturen, die On-Prem- oder Private-Cloud Umgebungen für sensible Workloads mit objektbasierten Speicherplattformen kombinieren, welche in der Folge skalierbares, sicheres und Richtlinien-gesteuertes Datenmanagement über verteilte Umgebungen hinweg ermöglichen.

Datenherkunft, -fluss, -zugriff und -nutzung müssen über den gesamten KI-Lebenszyklus hinweg vollständig abgesichert, auditierbar und steuerbar sein. Ohne diese ganzheitliche Kontrolle ist echte Datensouveränität nicht erreichbar, und ohne Datensouveränität riskieren Unternehmen KI-Systeme, denen Kontrolle, Vertrauenswürdigkeit und letztlich regulatorische Konformität fehlen. Diese Anforderung gewinnt weiter an Bedeutung, da Architekturen wie Retrieval-Augmented Generation (RAG) und Model Control Protocol (MCP) zunehmend eingesetzt werden.

RAG erweitert Large Language Models (LLMs) im Unternehmenseinsatz durch die Integration proprietären Wissens, das häufig direkt aus Dokumenten und Datenquellen in objektbasierten Speichersystemen abgerufen wird. Objektspeicher entwickeln sich dabei von einem passiven Repository zu einer aktiven Komponente des KI-Workflows. Während der Inferenz greifen diese Systeme auf unstrukturierte Daten zu, führen semantische Analysen durch und erzeugen kontextualisierte Antworten auf Basis spezifischen Organisationswissens. Inferenz auf Enterprise-Scale stellt ein massives Datenproblem dar, und Objektspeicher sind für diese Herausforderung hervorragend geeignet.

Ein hybrider Ansatz ermöglicht es Unternehmen, KI-Modelle lokal zu trainieren und zu betreiben, wo strenge Souveränitäts-Anforderungen gelten, und gleichzeitig globale Cloud-Ressourcen für rechenintensive Aufgaben zu nutzen. Unveränderliche Backups, Verschlüsselung sowie richtlinienbasierte Automatisierung stellen sicher, dass KI-Pipelines innerhalb robuster Sicherheits- und Compliance-Leitplanken operieren. So lässt sich souveräne KI praktisch umsetzen, ohne dabei die Kontrolle über Speicherort, Verarbeitung und Zugriff auf Daten aufzugeben.

API-First, KI-fähiger Objektspeicher – technische Grundlagen moderner Speicherlösungen

Aus technischer Sicht setzen Objekt-Storage Plattformen auf zustandslose API-First-Architekturen, um eine nahtlose Integration in moderne KI-Pipelines und Datenorchestrierungs-Frameworks zu ermöglichen. Sie können als einheitlicher Namespace über mehrere Storage-Personas hinweg fungieren und Daten für Hot-, Warm- und Cold-Use Cases bereitstellen. Die Kompatibilität mit Vektor-Datenbanken gewinnt in diesem Zusammenhang ebenfalls zunehmend an Bedeutung, da sie semantische Such- und Retrieval-Workflows unterstützt, die fortgeschrittene KI-Anwendungen ermöglichen. Schnelle semantische Indizierung sowie intelligente Mechanismen zum Metadaten-Tagging verbessern zusätzlich die Fähigkeit, relevante Informationen während der KI-Inferenz kontextbezogen und zeitnah bereitzustellen.

Moderne Datensicherung: Sicherheit in Bewegung und im Ruhezustand

Mit der Weiterentwicklung regulatorischer Rahmenbedingungen muss sich Datenschutz von statischen, Perimeter-basierten Kontrollen hin zu adaptiven, resilienten Modellen entwickeln. Zeitgemäße Datenschutz-Architekturen integrieren Cyber-Resilienz, Zero-Trust-Prinzipien, unveränderliche und manipulationssichere Backups sowie fortschrittliche Erkennung von Bedrohungen, um Daten konsistent über hybride, Multi-Cloud- und Edge-Umgebungen hinweg zu schützen.

Diese Cyber-resilienten Architekturen sind darauf ausgelegt, kontinuierliche regulatorische Veränderungen aufzunehmen, sodass neue Compliance-Anforderungen über Richtlinien und Konfigurationen adressiert werden können, ohne komplette System-Neugestaltungen zu erzwingen. End-to-End Verschlüsselung, souveränes und kundengesteuertes Key-Management sowie richtlinienbasierte Automatisierung sind keine optionalen Erweiterungen mehr, sondern fundamentale Voraussetzungen für Integrität, Verfügbarkeit und Vertrauen im großen Maßstab.

Skalierbare Backup-Lösungen: Compliance ohne Kompromisse

Backup- und Recovery-Systeme spielen eine zentrale Rolle in Strategien mit Blick auf Datensouveränität und regulatorische Konformität. Skalierbare, Regions-bewusste Backup-Architekturen stellen Datenverfügbarkeit, operative Resilienz und Richtlinientreue in geografisch verteilten Umgebungen sicher. Sie ermöglichen es Unternehmen, anspruchsvolle Recovery-Time- und Recovery-Point Objectives einzuhalten und gleichzeitig Anforderungen an Daten-Residenz, rechtliche Zuständigkeit und Governance zu erfüllen.

Moderne Backup-Plattformen entwickeln sich weiter, um neue Anforderungen abzudecken – darunter der Schutz von KI-Workloads, das rasante Wachstum unstrukturierter Daten sowie zunehmend komplexe Multi-Cloud- und Hybrid-Infrastrukturen. Durch die Ausdehnung von Resilienz-Funktionen auf diese Bereiche können Unternehmen sicherstellen, dass ihre Datensicherungsstrategien mit der Innovationsgeschwindigkeit Schritt halten, ohne dabei Kontrolle oder Compliance zu gefährden.

Kosten – Strategien zur Kontrolle steigender Anforderungen bei der KI-Infrastruktur

Mit steigenden KI-Kosten, häufig verursacht durch intransparente Preismodelle sowie versteckte Gebühren öffentlicher Cloud-Anbieter, überdenken viele Organisationen, wo und wie sie ihre KI-Workloads betreiben. Zunehmend verlagern Unternehmen Workloads in Private-Cloud- und Hybrid-Umgebungen, um planbarere Kosten, stärkere Datenkontrolle und konsistente Performance zu erzielen. Dieser Trend unterstreicht den Bedarf an KI-Infrastrukturen, die Kosteneffizienz mit hoher Sicherheit, Zuverlässigkeit und langfristiger operativer Resilienz in Einklang bringen.

Die Zukunft des globalen Datenmanagements

Regulatorische Entwicklungen werden Unternehmensstrategien für Daten nachhaltig prägen. Mit der tieferen Integration von KI in Geschäftsprozesse nimmt auch die Kontrolle von Trainingsdaten, Modell-Governance und Inferenz-Standorten zu. Organisationen, die Compliance als statische Checkliste betrachten, laufen Gefahr, sowohl regulatorisch als auch wettbewerblich zurückzufallen.

Die Zukunft gehört adaptiven Datenmanagement-Frameworks: Architekturen, die Compliance und Innovation durch Modularität, Automatisierung sowie richtlinienbasierte Steuerung in Einklang bringen. Fortschritte in den Bereichen KI, Speichereffizienz und intelligenter Daten-Orchestrierung werden entscheidend sein, um regulatorische Komplexität zu bewältigen, ohne dabei Performance oder Kosteneffizienz zu opfern.
In diesem Umfeld wird Datenstrategie untrennbar mit unternehmerischer Resilienz verknüpft. Unternehmen müssen Systeme entwerfen, die regulatorische Veränderungen, geopolitische Disruptionen sowie technologische Evolution gleichzeitig absorbieren können.

„Failure Is Not an Option“: Resiliente Datenstrategien für das KI-Zeitalter

Wie bei der Apollo-13 Mission erfordern die heutigen globalen Herausforderungen im Datenmanagement Präzision, Anpassungsfähigkeit und Fokus. Die Restriktionen sind real, die

Einsätze hoch: Scheitern ist keine Option.

Unternehmen im Zeitalter der KI müssen zukunftsorientierte Strategien verfolgen, die Datensouveränität und Innovation miteinander versöhnen. Hybride Cloud-Architekturen, cybersichere Datenschutz-Mechanismen und skalierbare Backup-Lösungen bilden das Fundament widerstandsfähiger, konformer und insgesamt leistungsstarker Daten-Ökosysteme.
Durch Agilität und eine Architektur, die auf regulatorische Vielfalt ausgerichtet ist, können Organisationen Compliance von einer bloßen Verpflichtung zu einem strategischen Wettbewerbsvorteil entwickeln und dabei nicht nur bestehen, sondern in der zunehmend komplexen globalen Datenlandschaft nachhaltig erfolgreich agieren.

Weitere Informationen zum Thema:

datensicherheit.de, 27.06.2024
Cyber-Sicherheitspolitik in der EU: Kompendium für umfassenden Überblick erschienen

[datensicherheit.de, 04.10.2025] Unter dem Motto „Artificial Intelligence in our daily lives: Data and Privacy Issues” („Künstliche Intelligenz in unserm Alltagsleben: Daten- und Datenschutzfragen“) fand Mitte September 2025 in Seoul die 47. Jahreskonferenz der „Global Privacy Assembly“ (GPA) statt. Um die internationale Zusammenarbeit der Aufsichtsbehörden zu stärken, hat der Stellvertretende Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine gemeinsame Erklärung mit dem Gastgeber, der Personal Information Protection Comission (PIPC) Südkorea, und der französischen Datenschutzaufsichtsbehörde Commission Nationale de L`Informatique et des Libertes (CNIL) und weiteren Delegationen unterzeichnet.

Foto: Johanna Wittig

Prof. Dr. Louisa Specht-Riemenschneider betont: Eine Vernetzung und Kompetenzbündelung der Datenschutzaufsichtsbehörden auf internationaler Ebene ist nötig, um auf vertrauenswürdige, innovative Anwendungen im Bereich der Künstlichen Intelligenz hinzuwirken!

KI trägt zu erheblichen technologischen Fortschritten und zur weiteren Digitalisierung unseres Lebens bei

Die unterzeichnenden Behörden haben demnach darin festgehalten, sich für eine vertrauenswürdige Regulierung von Anwendungen Künstlicher Intelligenz (KI) einzusetzen und dabei die Aspekte der Innovationsfreundlichkeit und eine nachhaltige Gewährleistung des Datenschutzes im Auge zu behalten.

„In unserer heutigen Gesellschaft trägt die Künstliche Intelligenz zu erheblichen technologischen Fortschritten und zur weiteren Digitalisierung unseres Lebens bei. Solche Anwendungen sind oft mit grenzüberschreitenden Datenflüssen verbunden. Eine Vernetzung und Kompetenzbündelung der Datenschutzaufsichtsbehörden auf internationaler Ebene ist nötig, um auf vertrauenswürdige, innovative Anwendungen im Bereich der Künstlichen Intelligenz hinzuwirken“, kommentiert die BfDI, Prof. Dr. Louisa Specht-Riemenschneider.

„Network of Networks“: Erfahrungsaustausch über gemeinsame relevante Themen

Erstmals fand im Rahmen der GPA unter der Leitung von BfDI und PIPC ein Treffen in dem neuen Format „Network of Networks“ statt, in welchem regionale Datenschutz-Netzwerke aus Europa, Afrika, Lateinamerika und Asien einen Erfahrungsaustausch über gemeinsame relevante Themen beginnen konnten.

Die GPA trifft sich jährlich und hat derzeit über 130 Mitglieder aus aller Welt: Sie ist die größte internationale Vereinigung von Datenschutzbehörden. Die Mitglieder diskutieren weltweit relevante datenschutzpolitische und datenschutzrechtliche Themen.

Weitere Informationen zum Thema:

GPA Global Privacy Assembly
Mission and Vision

GPA 2025 SEOUL
47th GLOBAL PRIVACY ASSEMBLY / 15-19 SEPTEMBER 2025 | SEOUL, KOREA

datensicherheit.de, 05.09.2025
KI-Kontrolle: Scharfe Kritik der Landesdatenschutzbehörden am BMDS / Berliner Beauftragte für Datenschutz und Informationsfreiheit warnt vor Schwächung des Grundrechtsschutzes und verweist auf „KI-Verordnung“

datensicherheit.de, 03.09.2024
BfDI-Amtsantritt: Prof. Dr. Louisa Specht-Riemenschneider benennt Schwerpunkte ihres Wirkens / BfDI möchte vor allen Dingen lösungsorientierten Umgang beim Thema Datenschutz erreichen

datensicherheit.de, 22.01.2024
AI Act: EU-Exportschlager mit Potenzial zum weltweiten Standard für KI-Regulierung / Hybride EAID-Veranstaltung anlässlich des Europäischen Datenschutztags 2024

datensicherheit.de, 11.12.2023
AI Act: Politische Einigung zur Regulierung von Künstlicher Intelligenz in der EU / Ansatz enthält eine teilweise Verlagerung der Compliance-Verpflichtung entlang der KI-Lieferkette

[datensicherheit.de, 04.07.2025] Fast drei Viertel der europäischen IT- und Cybersicherheitsexperten geben nach aktuellen ISACA-Erkenntnissen an, dass ihre Mitarbeiter bereits Generative KI (GenAI) bei der Arbeit nutzen – dies sei ein Anstieg um zehn Prozentpunkte innerhalb eines Jahres. Laut einer neuen ISACA-Studie haben jedoch nur knapp ein Drittel der Unternehmen hierzu formelle Richtlinien eingeführt. Es sei klar, dass der Einsatz von KI am Arbeitsplatz zunehme und die Regulierung ihrer Nutzung daher die beste Lösung sei. Dennoch verfüge nicht einmal ein Drittel (31%) der Unternehmen über eine formelle, umfassende KI-Richtlinie. „Dies verdeutlicht die Diskrepanz zwischen der Häufigkeit des Einsatzes von KI und der Intensität ihrer Regulierung am Arbeitsplatz.“

Abbildung: ISACA

ISACA: „Taking the Pulse of AI in 2025“ (europäische Ausgabe) publiziert

Optimistische Erwartung, dass sich KI im nächsten Jahr positiv auf ihr Unternehmen auswirken wird

KI wirke sich indes bereits positiv auf den Arbeitsalltag aus: „Mehr als die Hälfte (56%) der Befragten gibt an, dass sie die Produktivität des Unternehmens gesteigert hat. 71 Prozent berichten von Effizienzsteigerungen und Zeiteinsparungen.“ Mit Blick auf die Zukunft seien 62 Prozent der Befragten optimistisch, dass sich KI im nächsten Jahr positiv auf ihr Unternehmen auswirken werde.

Doch genau diese Geschwindigkeit und dieser Umfang machten diese Technologie auch zu einem „Magneten für böswillige Akteure“. Fast zwei Drittel (63%) der Befragten seien „sehr“ oder „äußerst“ besorgt, dass Generative KI gegen sie eingesetzt werden könnte. 71 Prozent erwarteten zudem, dass sogenannte Deepfakes im kommenden Jahr noch stärker verbreitet sein würden.

Ohne klare Richtlinien und Schulungen zur Risikominderung wird KI zu einer potenziellen Belastung

Trotzdem investierten nur 18 Prozent der Unternehmen Geld in „Tools“ zur Erkennung von Deepfakes – dies sei eine erhebliche Sicherheitslücke. Diese Kluft zwischen dem steigenden Bewusstsein und den mangelnden Investitionen der Unternehmen führe dazu, dass sie in einer Zeit, in der sich KI-gestützte Bedrohungen schnell weiterentwickelten, ungeschützt seien.

KI sei zwar sehr vielversprechend, ohne klare Richtlinien und Schulungen zur Risikominderung werde sie jedoch zu einer potenziellen Belastung. „Erforderlich sind robuste, rollenspezifische Richtlinien – von der Frage, wann KI eingesetzt werden soll, bis hin zur Frage, wie man einen Deepfake erkennt –, damit Unternehmen das Potenzial der KI sicher nutzen können.“

KI-Bedrohungen entwickeln sich schnell weiter

„Mit dem ,EU AI Act’, der neue Standards für Risikomanagement und Transparenz setzt, müssen Unternehmen schnell vom Bewusstsein zum Handeln übergehen”, legt Chris Dimitriadis, „Chief Global Strategy Officer“ von ISACA, nahe. Er führt hierzu weiter aus: „KI-Bedrohungen, von Fehlinformationen bis hin zu Deepfakes, entwickeln sich schnell weiter, doch die meisten Unternehmen haben noch nicht in die entsprechenden ,Tools‘ oder Schulungen investiert. Die Schließung dieser Risiko- und Handlungslücke ist nicht nur eine Frage der ,Compliance’ – sie ist entscheidend für den Schutz von Innovationen und die Aufrechterhaltung des Vertrauens in die digitale Wirtschaft.“

Strategien seien jedoch nur so wirksam, wie die Menschen, die sie verstehen und sicher in die Praxis umsetzen könnten. Da sich aufstrebende Technologien wie KI weiterentwickelten, bestehe die Notwendigkeit, sich weiterzubilden und neue Qualifikationen zu erwerben.

Böswillige Akteure halten mit den KI-Veränderungen durchaus Schritt

42 Prozent glaubten, dass sie ihre Fähigkeiten und Kenntnisse im Bereich KI in den nächsten sechs Monaten erweitern müssten, um ihren Arbeitsplatz zu behalten oder ihre Karriere voranzutreiben – ein Anstieg um acht Prozent gegenüber dem letzten Jahr. Die meisten (89%) würden erkennen, dass dies innerhalb der nächsten zwei Jahre erforderlich sein werde.

Dimitriadis kommentiert: „Ohne Leitlinien, Regeln oder Schulungen, die klären, inwieweit KI am Arbeitsplatz eingesetzt werden kann, könnten die Mitarbeitenden sie weiterhin im falschen Kontext oder auf unsichere Weise nutzen.“ Ebenso könnten sie nicht in der Lage sein, Fehlinformationen oder Deepfakes so leicht zu erkennen, wie es mit den richtigen Kenntnissen und Werkzeugen möglich wäre. „Die Technologie entwickelt sich weiter und böswillige Akteure halten mit den Veränderungen Schritt, um sie als Waffe einzusetzen und immer raffiniertere und fortschrittlichere Angriffe durchzuführen.“

Fortbildung dringend erforderlich: KI-Schulungen müssen Priorität erhalten

Deshalb könne die Fortbildung nicht warten. KI-Schulungen müssten Priorität haben und mit einem angemessenen Budget ausgestattet werden. Gleichzeitig müssten Unternehmen formale und umfassende Richtlinien einführen, „die von allen verstanden werden“, während die Mitarbeiter mit KI in ihrem Arbeitsalltag experimentierten.

Mit besser ausgebildeten Mitarbeitern verfügten Unternehmen über eine Belegschaft, „die bewährte Verfahren besser versteht“. Diese sei eher in der Lage, sich für die Einbettung von Richtlinien einzusetzen und dafür zu sorgen, „dass die Vorschriften eingehalten werden und ein guter Standard gewährleistet ist“.

Weitere Informationen zum Thema:

ISACA
EUROPEAN EDITION: „Taking the Pulse of AI in 2025“

ISACA
Explore Critical Findings From the ISACA 2025 AI Pulse Poll

ISACA
The AAISM Beta Program is in progress / AI is reshaping the security environment. Help lead the way.

datensicherheit.de, 23.05.2025
Sicherer GenAI-Einsatz: Delinea gibt Unternehmen 3 zentrale Tipps / Mittels GenAI erhalten Unternehmen immense Möglichkeit – doch neben Effizienzgewinnen birgt deren kontinuierliche und rasante Weiterentwicklung auch Sicherheitsrisiken

[datensicherheit.de, 16.05.2025]  „Cybersecurity muss in jeden Kopf – zur Not als Ohrwurm“, sagt Dr. Dominik Merli, Professor für IT-Sicherheit an der Technischen Hochschule Augsburg (THA). „Mit dem Song wollen wir Hersteller auf den Cyber Resilience Act aufmerksam machen. Die neue EU-Verordnung schreibt ein Mindestmaß an Cybersicherheit für vernetzte Produkte vor.“ Der Song Cyber Gangsta’s Paradise und das von Merli konzipierte Musikvideo feierten Premiere bei Auxinnos, dem jährlich stattfindenden Forum für innovative Sicherheit der THA, das ebenfalls im Zeichen des CRA stand.

YouTube, Cyber Gangsta’s Paradise | Prof. Merli ft. MC BlackHat [Parody Music Video]

CRA macht digitale Sicherheit von Produkten zur Pflicht

Die digitale Sicherheit von Produkten wird zur Pflicht. Mit dem Cyber Resilience Act (CRA) gibt die EU einen Security-Standard für vernetzte Produkte vor, an den sich Herstellerinnen und Hersteller spätestens ab dem 11. Dezember 2027 halten müssen. Davon betroffen sind auch viele Produkthersteller aus Bayerisch-Schwaben. Am 13. Mai 2025 widmete sich Auxinnos, das Forum für innovative Sicherheit der Technischen Hochschule Augsburg und des Digitalen Zentrum Schwabens (DZ.S), deshalb der praxisnahen Umsetzung des CRA. Dazu beleuchteten Experten in Vorträgen, wie Unternehmen regulatorische Anforderungen erfüllen und sichere sowie widerstandsfähige Produkte entwickeln können.

Ohrwurm als Awareness-Maßnahme

Der vielerwartete Abschluss der Veranstaltung war die Premiere des Songs „Cyber Gangsta’s Paradise“ und des dazugehören Musikvideos von Dominik Merli, Professor für IT-Sicherheit an der Technischen Hochschule Augsburg. Er meint dazu: „Cybersicherheit ist langweilig und nervt nur? Das sehe ich anders. Cybersicherheit braucht Kreativität! Denn Security muss in jeden Kopf – zur Not eben als Ohrwurm.“

Cyber Gangsta’s Paradise, MC Blackhat, Bild: Jonah Stiller/Langesicht Filmproduktion

Eigentlich ist Dominik Merli Professor für IT-Sicherheit an der Technischen Hochschule Augsburg. Im Song „Cyber Gangsta’s Paradise“ schlüpft er in die Rolle des böswilligen Hackers MC BlackHat. In seinem Musikvideo prangert Prof. Merli Missstände bei der Cybersicherheit von Produkten an.

Mindeststandard an Cybersicherheit für vernetzte Produkte sollen sichtbarer werden

Der Song „Cyber Gangsta’s Paradise“ soll den geforderten Mindeststandard an Cybersicherheit für vernetzte Produkte sichtbarer machen. Merli erklärt: „Es gibt immer mehr Geräte und Produkte, die im Internet of Things im Alltag, aber auch in Unternehmen miteinander vernetzt sind. Diese sogenannten IoT-Geräte sind zunehmend von Cyberangriffen betroffen. Dazu fehlt leider noch viel zu oft das Bewusstsein für Cybersicherheit. Der Song beschreibt diese paradiesischen Zustände, auf denen Cyberkriminelle ihr lukratives Geschäftsmodell aufbauen und damit Produkthersteller und Kundinnen und Kunden gleichermaßen gefährden.“

Merli bringt die Botschaft seines Songs auf den Punkt: „Nicht jedes Produkt muss vernetzt werden. Und wenn doch, braucht es eben ein Mindestmaß an Cybersicherheit.“

Musikvideo als Teil einer Awareness- und Informationskampagne

Das Musikvideo ist Teil einer Awareness- und Informationskampagne zum Cyber Resilience Act, die bereits seit Herbst 2024 läuft. Unter dem Hashtag #CRAmitINNOS informierte Merli zweimal wöchentlich auf dem Business-Netzwerk LinkedIn über den CRA. Zudem entstand ein Blog mit aktuellen Informationen zum CRA auf der Webseite des Instituts für innovative Sicherheit der Technischen Hochschule Augsburg.

Merli dazu: „Im Laufe des Jahres wurde klar, dass der Cyber Resilience Act erhebliche Auswirkungen auf die Entwicklung moderner Produkte haben wird. Meine Mitarbeitenden und ich haben deshalb die wichtigsten Informationen leicht verständlich und speziell für Hersteller von Produkten aufbereitet – mit Charts, Schaubildern und einfachen Texten. Damit wollten wir es Herstellern möglichst einfach machen, die Anforderungen zu verstehen, und entsprechende Sicherheitsmaßnahmen einzuführen.“

YouTube-Kanal gestartet

Mit dem Musikvideo zu Cyber Gangsta’s Paradise startete Merli auch seinen YouTube-Kanal, mit dem der Professor für IT-Sicherheit noch mehr Menschen erreichen möchte. Dort findet sich bereits eine Reihe zum Cyber Resilience Act. Hier sagt Merli zum CRA: „Der Gesetzestext ist komplex. Die nötigen Maßnahmen umfangreich. Und die vorgesehene Zeit knapp. Deshalb sollten Hersteller zügig handeln und die Umsetzung des CRA nicht auf die lange Bank schieben.“ In Zukunft sollen auf dem Kanal noch weitere Videos zur sicheren Entwicklung von Produkten erscheinen, mit einfachen Erklärungen, die es Unternehmen leichter machen, Sicherheit in ihren Produkten und Systemen effizient umzusetzen.

Über Auxinnos – das Forum für innovative Sicherheit

Die Veranstaltung AUXINNOS soll das Bewusstsein und Verständnis für Sicherheit im Austausch mit Expertinnen und Experten aus Wirtschaft und Forschung stärken. Veranstaltet wird das Forum von THA_innos, dem Digitalen Zentrum Schwaben (DZ.S) und vom Branchennetzwerk aitiRaum e.V. Mit wissenschaftlichen Fachvorträgen und Impulsen aus der regionalen Wirtschaft steht die Kooperation und das gemeinsame Lernen für mehr Cybersicherheit im Fokus.

Weitere Informationen zum Thema:

#THAinnos
Blog zum CRA von THA_innos

datensicherheit.de, 18.10.2024
Cybersecurity wird zur Pflicht: EU-Regularien setzen neue Maßstäbe in Europa

[datensicherheit.de, 06.11.2024] Für den eco – Verband der Internetwirtschaft e.V. stellt der Beschluss der Bundesregierung vom 6. November 2024 zum „KRITIS-Dachgesetz“ (KRITISDachG) einen wichtigen Schritt dar, um eben den Schutz Kritischer Infrastrukturen in Deutschland weiter zu stärken. Das Gesetz habe das Bundeskabinett passiert und schaffe damit neue Vorgaben für den physischen Schutz bedeutender und Kritischer Einrichtungen. „Da das „NIS-2-Umsetzungsgesetz“ (NIS2UmsuCG) bereits im Juli 2024 verabschiedet wurde und sich aktuell im parlamentarischen Verfahren befindet, betont die Internetwirtschaft jedoch die Notwendigkeit klarer Abgrenzungen und fordert eine Regulierung ohne Überschneidungen, um Doppelstrukturen zu vermeiden.“

Foto: eco e.V.

eco-Vorstand Klaus Landefeld: Internetwirtschaft braucht klar definierten und kohärenten Ordnungsrahmen, um Dienste effizient anbieten zu können!

eco drängt auf Gewährleistung, dass für bereits regulierte Anbieter keine zusätzlichen Pflichten oder doppelte Aufsicht entstehen

eco-Vorstand Klaus Landefeld kommentiert: „Es muss gewährleistet sein, dass Anbietern, die bereits durch andere Gesetze reguliert sind, durch das KRITIS-DachG keine zusätzlichen Pflichten oder doppelte Aufsicht entstehen!“ Der aktuelle Gesetzentwurf beseitige dieses Risiko jedoch nicht vollständig, da der Telekommunikations- und IT-Sektor nach wie vor teilweise vom Gesetz erfasst werde.

Für die Internetwirtschaft, darunter Rechenzentrumsbetreiber und Anbieter von „Cloud“-Diensten, bestünden mit dem NIS2UmsuCG bereits umfassende gesetzliche Vorgaben, ebenso wie für den Telekommunikationssektor unter dem TKG.

Unternehmen der Branche befürchteten nun, dass die im Gesetz festgelegten Zuständigkeiten wie zum gemeinsamen Betrieb eines Meldeportals nicht klar genug verteilt seien und zu Überschneidungen zwischen dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesnetzagentur führen könnten.

eco setzt sich weiterhin für klare Regulierungsstrategie ein

„Die Internetwirtschaft braucht einen klar definierten und kohärenten Ordnungsrahmen, um ihre Dienste effizient anzubieten“, unterstreicht Landefeld und führt weiter aus: „Wir begrüßen ausdrücklich, dass es zwischen dem NIS-2-Umsetzungsgesetz zur Cyber-Sicherheitsstärkung und dem KRITIS-Dachgesetz klare Übereinstimmungen für die Schaffung branchenspezifischer Sicherheitsstandards gibt.“

Aber einheitliche und transparente Aufsichtsstrukturen seien auch dabei von essenzieller Bedeutung – das ist immerhin ein erklärtes Ziel der europäischen Harmonisierung, welche in der NIS-2-Richtlinie angestrebt und durch den kürzlich veröffentlichten Durchführungsrechtsakt zumindest für die digitalen Diensteanbieter auch verwirklicht werde.

Der eco setzt sich demnach daher weiterhin für eine Regulierungsstrategie ein, welche klare Grenzen zwischen bestehenden und neuen Vorschriften zieht, um Unsicherheiten bei Unternehmen zu vermeiden und den Schutz Kritischer Infrastrukturen in Deutschland nachhaltig zu stärken.

Weitere Informationen zum Thema:

datensicherheit.de, 05.09.2023
KRITIS-Dachgesetz: eco moniert drohende Doppelregulierung und Rechtsunsicherheiten / KRITIS-DachG soll erstmals bundesweit einheitliche Vorgaben zum physischen Schutz kritischer Anlagen machen

[datensicherheit.de, 08.02.2024] Ab dem 17. Februar 2024 wird das „Gesetz über digitale Dienste“ (GdD – „Digital Services Act“ / DSA) in vollem Umfang für Suchmaschinen, Soziale Medien, Video-Apps und Online-Marktplätze in der gesamten EU gelten – darauf weist in einer aktuellen Stellungnahme die Stiftung Neue Verantwortung e.V. (SNV) hin. „Nun müssen sich die neuen Regeln für Online-Plattformen in der Praxis bewähren und beweisen, dass sie das richtige Instrument sind, um die Menschen im Digitalen Raum zu stärken“, kommentiert der SNV-Projektleiter „Policy | Plattformregulierung“, Dr. Julian Jaursch.

Europäische Kommission und neue nationale Regulierungsbehörden in der Verantwortung

Die Europäische Kommission und die neuen nationalen Regulierungsbehörden – die Koordinatoren für digitale Dienste („Digital Services Coordinators“, DSC) – übernehmen demnach bei der Durchsetzung des GdD wichtige Funktionen. So sollen die DSC die zentrale Anlaufstelle für Nutzer sein, welche sich über GdD-Verstöße beschweren möchten.

Zudem akkreditierten die DSC Forscher, „die Daten von Plattformen anfordern wollen“. Aber auch anderen Gruppen komme eine wichtige Rolle zu – „und sie alle werden auf eigene Weise mit den Regulierungsbehörden zusammenarbeiten“, erläutert Dr. Jaursch. Er verweist auf sein neues Papier (s.u.), in dem er der Frage nachgeht, welche Veränderungen auf Plattformnutzer, Forscher, zivilgesellschaftliche Organisationen und Unternehmen zukommen.

Vernetzung auf EU-Ebene als Schlüssel für den Erfolg

Ob es gelingt, eine starke Plattform-Aufsicht aufzubauen, hänge vor allem davon ab, ob zwischen den DSC und den genannten Gruppen ein enger Austausch zustande kommt. In seinem Papier argumentiert Dr. Jaursch, dass Vernetzung der Schlüssel sei, damit das GdD „nicht zu einer bürokratischen Übung mit geringem Nutzen für die Menschen gerät“. Eine Möglichkeit, dieser Gefahr zu begegnen, sei die Einrichtung eines ständigen Beratungsgremiums auf EU-Ebene, um die Regulierungsbehörden mit klar definierten Aufgaben zu unterstützen.

„Sollten Sie Fragen, Anmerkungen oder Kritik zu meinem Papier haben, freue ich mich über eine Nachricht von Ihnen!“, so Dr. Jaursch. Abschließend lädt er noch zu einem online übertragenen „Hintergrundgespräch“ ein: „Am 27. Februar spreche ich übrigens mit Laureline Lemoine, die sich bei der Kanzlei und Beratungsagentur AWO intensiv mit Plattform-Regulierung auseinandersetzt, über die Änderungen, die der DSA bringt.“

„Background talk with Laureline Lemoine: DSA enforcement starts now – what changes can platform users expect?“ (Hintergrundgespräch in Englisch)
27.02.2024, 16.00 bis 17.00 Uhr, online – Anmeldung erforderlich (s.u.)

Weitere Informationen zum Thema:

Stiftung Neue Verantwortung
Background talk with Laureline Lemoine: DSA enforcement starts now – what changes can platform users expect? / Hintergrundgespräch

Stiftung Neue Verantwortung
The Digital Services Act is in effect – now what? / What the establishment of Digital Services Coordinators across the EU means for platform users, researchers, civil society and companies

Europäische Kommission
Gesetz über digitale Dienste / Mehr Sicherheit und Verantwortung im Online-Umfeld

[datensicherheit.de, 22.01.2024] Die Europäische Akademie für Informationsfreiheit und Datenschutz e.V. (EAID) lädt Entscheider und Interessierte aus Politik, Wirtschaft, Forschung, Zivilgesellschaft und Datenschutz anlässlich des „Europäischen Datenschutztags 2024“ zu einer Diskussionsveranstaltung zur Regulierung der Künstlichen Intelligenz (KI) ein. Diese Veranstaltung wird hybrid angeboten.

Am 7. Dezember 2023 wurde EU-weite verbindliche KI-Regelung beschlossen

Am 7. Dezember 2023 – zweieinhalb Jahre nach Vorlage des Entwurfs des Gesetzes über Künstliche Intelligenz (AI Act / KI-Verordnung) – haben sich das Europäische Parlament, der Rat und die Europäische Kommission nach zähen Verhandlungen geeinigt und damit den Grundstein für die EU-weite verbindliche Regelung einer jungen, aber rasant wachsenden Technologie gelegt. EU-Kommissar Thierry Bréton habe diesen Kompromiss sogar als „historischen Schritt“ bezeichnet.

Strittig seien bis zuletzt Fragen der Regulierung von KI-Basismodellen und biometrischer Verfahren wie etwa der Echtzeit-Gesichtserkennung im Öffentlichen Raum gewesen. „Nur wenige Wochen zuvor hatte US-Präsident Biden mit einer ,Executive Order’ einen umfassenden Rahmen für die Anwendung von Künstlicher Intelligenz in der Wirtschaft wie auch im öffentlichen Sektor festgelegt.“

Erörterung, ob der europäische Gesetzgeber einen geeigneten Weg zur Regulierung im Spannungsfeld von Bürgerrechten und Innovation aufzeigt

Auch wenn das europäische KI-Gesetz erst in ca. zwei Jahren in Kraft treten werde, stellten sich bereits jetzt zahlreiche Fragen der Konkretisierung und Umsetzung in die Praxis. Bei dieser Veranstaltung werde es aber in erster Linie um die Frage gehen, „ob der europäische Gesetzgeber tatsächlich einen Weg gefunden hat, um den notwendigen zukunftsfähigen Ausgleich zwischen dem Schutz der Bürgerrechte und der Ermöglichung von Innovation herbeizuführen“.

Dabei soll es laut EAID vor allem um diese Fragen gehen:

• „Ist der Ansatz des europäischen Gesetzgebers, KI-Technologien in (abstrakte) Risikoklassen einzuteilen, sinnvoll ? Was wäre die Alternative gewesen?“
• „Wie verhält sich die KI-Verordnung zur Datenschutz-Grundverordnung (DS-GVO), die ihrerseits bereits weitreichende Informations- und Transparenzvorgaben für Systeme der automatisierten Entscheidungsfindung enthält, wie der EuGH jüngst festgestellt hat? Welchen Mehrwert bringt die KI-Verordnung gegenüber der DS-GVO?“
• „Räumt die KI-Verordnung der Selbstregulierung durch ,Codes of Practice’ einen zu hohen Stellenwert ein?“
• „Welche Folgen hat die verzögerte Behandlung der KI-Haftungsrichtlinie?“
• „Kann die KI-Verordnung – ähnlich wie die DS-GVO für den Datenschutz – zu einem internationalen Goldstandard für die Regulierung der Künstlichen Intelligenz werden?“

Exportschlager AI Act – Setzt die EU einen weltweiten Standard für die KI-Regulierung?

Montag, 29. Januar 2024, 18.00 Uhr bis 20.00 Uhr
(im Anschluss Gelegenheit zu einem ,Get Together’ bei kleinem Imbiss und Getränken)
Europäische Akademie Berlin, Bismarck-Allee 46/48, 14193 Berlin
Präsenzveranstaltung mit begleitendem Internet-Streaming. Teilnahme kostenlos – Anmeldung erforderlich:

Zur Präsenz-Veranstaltung per E-Mail an dst24@eaid-berlin.de
oder
zur Online-Teilnahme per E-Mail an dst24-online@eaid-berlin.de
(Zugangsdaten für die Online-Teilnahme: https://meet.goto.com/465113565)

Alternativ Einwahl per Telefon mit dem Zugangscode 465-113-565:
Germany: +49 721 9881 4161

Einführungsstatements und anschließende Paneldiskussion (ohne Gewähr):

• Dr. Sergey Lagodinsky, MdEP, Stellv. Vorsitzender des Rechtsausschusses des Europäischen Parlaments
• Axel Voss, MdEP, Mitglied des Rechtsausschusses des Europäischen Parlaments
• Prof. Dr. Ute Schmid, Leiterin des Lehrstuhls für Kognitive Systeme an der Otto-Friedrich-Universität Bamberg
• Kilian Vieth-Ditlmann, Stellv. Leiter des Advocacy & Policy-Teams, AlgorithmWatch, Berlin
• Marc Rotenberg, Präsident des Center for AI and Digital Policy, Washington D.C.

Moderation: Dr. Alexander Dix, LL.M. (EAID); Begrüßung Peter Schaar (EAID).

Weitere Informationen zum Thema:

EAID
29.1.2024: Exportschlager AI Act – Setzt die EU einen weltweiten Standard für die KI-Regulierung?

Ein Kommentar von Rechtsanwältin Marieke Merkle von der Kanzlei Noerr

[datensicherheit.de, 11.12.2023] Zur politischen Einigung zur Regulierung von Künstlicher Intelligenz (KI) in der EU teilt Rechtsanwältin Marieke Merkle von der Kanzlei Noerr mit:

„Die vorläufige politische Einigung zu Basismodellen (Foundation Models) macht deutlich: die Einführung eines AI Compliance Systems wird zukünftig immer mehr Unternehmen treffen. Der Ansatz enthält eine teilweise Verlagerung der Compliance-Verpflichtung entlang der KI-Lieferkette.

Marieke Merkle, Kanzlei Noerr, Foto: Noerr

Der Einigung zwischen Parlament und Rat dürfte weiterhin nur zu einem kurzen Aufatmen der Parlamentarier des EU-Parlaments führen. Die entscheidende Detailarbeit auf technischer Ebene steht erst jetzt an. Die Ausgestaltung der Vorschriften ist von herausragender Bedeutung für den Wirtschaftsstandort Europa: Es bedarf klarer Vorgaben, die Unternehmen weitestgehende Rechtssicherheit gewähren, um Innovationen nicht im Keim zu ersticken. Dies gilt in besonderem Maße vor dem Hintergrund der im AI Act vorgesehenen Bußgelder.

Es bleibt zudem abzuwarten, ob die vereinbarten Ausnahmen für kleine und mittlere Unternehmen (KMUs) sowie Open-Source-Modelle ausreichend sind, um innerhalb des europäischen Binnenmarktes KI-Innovationen gedeihen zu lassen.“

Weitere Informationen zum Thema:

datensicherheit.de, 04.10.2022
KI: Bitkom kommentiert EU-Haftungsrichtlinie

[datensicherheit.de, 24.10.2019] Der eco – Verband der Internetwirtschaft e.V. warnt vor einer Algorithmen-Verordnung, welche die Digitalisierung ausbremsen könnte. Der Verband forciert nach eigenen Angaben einen „diskursiven Ansatz zu Fragen digitaler Ethik“.

Warnung vor tiefen Eingriffen in die digitale Welt

Im Juli 2018 habe die vom Innen- und dem Justizministerium eingesetzte Datenethikkommission ihre Arbeit aufgenommen, um Leitfragen zum ethischen Umgang mit Algorithmen, künstlicher Intelligenz (KI) und digitalen Innovationen zu beantworten.
Am 23. Oktober 2019 hätten nun die Experten ihren Abschlussbericht präsentiert: „Mit dem rund 250 Seiten starken Bericht fordert die Kommission tiefe Eingriffe in die digitale Welt.“

Regulierungsphantasien als Digitalisierungs-Bremse

„Mit einigen Forderungen ist die Kommission deutlich übers Ziel hinausgeschossen. Regulierungsphantasien wie eine neue allgemeine europäische Algorithmen-Verordnung (EUVAS) könnten zur echten Digitalisierungs-Bremse werden, denn Algorithmen sind die Basis digitaler Transformation“, kommentiert eco-Vorstand Oliver J. Süme.
Bei einer Verpflichtung zur Interoperabilität für Messenger müsse sogar hinterfragt werden, „inwieweit dadurch die Souveränität von Anwenderinnen und Nutzern eingeschränkt wird“.

Diskursiver Ansatz zu Fragen digitaler Ethik angestrebt

Die Digitalisierung schreite unaufhaltsam voran, dabei stellten sich auch ethische und rechtliche Fragen. Süme: „Wir nehmen diese Fragen zu ethischen Normen und Handlungsleitlinien sehr ernst. Der Einsatz von Algorithmen und künstlicher Intelligenz birgt große Potenziale, doch es ist nachvollziehbar, dass beim Einsatz dieser Technologien auch mitgedacht werden muss, welche Daten Dienstebetreibern zur Verfügung gestellt werden.“ Zur Durchsetzung ethischer Standards brauche es nicht zwingend neue Vorgaben und Kennzeichnungspflichten für digitale Dienste wie Chatbots.
Der eco warnt vor „Unmengen neuer Gesetze und Regeln“ und fordert nach eigenen Angaben „ethische Leitkonzepte an die Verhältnisse der digitalen Welt anzupassen und einen diskursiven Ansatz zu verfolgen“: Eine blinde Überregulierung würde die Entwicklung und den KI-Einsatz als Schlüsseltechnologie massiv beeinträchtigen und die Digitalisierung in Deutschland nur noch weiter verzögern.

Internetunternehmen bereits in der Verantwortung

Der eco unterstreicht in diesem Zusammenhang außerdem, „dass zahlreiche Unternehmen bereits Verantwortung für ethische Herausforderungen im Zusammenhang mit der Digitalen Transformation übernehmen und beispielsweise im Rahmen von Selbstverpflichtungsinitiativen erfolgreich zur Einhaltung ethischer Normen beitragen.“
Ein prominentes Beispiel sei hier die „eco Beschwerdestelle“ zur Bekämpfung unerwünschter und illegaler Internetinhalte.

Weitere Informationen zum Thema:

eco – Verband der Internetwirtschaft e.V.
eco Beschwerdestelle

eco – Verband der Internetwirtschaft e.V. , 2019
Kompendium: Digitale Ethik / Vertrauen in die digitale Welt

eco – Verband der Internetwirtschaft e.V., 13.05.2019
Stellungnahme für die Konsultation des Bundesministeriums für Justiz und Verbraucherschutz zu Interoperabilität und Datenportabilität bei Sozialen Netzwerken

eco – Verband der Internetwirtschaft e.V., 17.09.2018
Leitlinien zum Umgang mit Künstlicher Intelligenz

Bundesministerium der Justiz und für Verbraucherschutz
Datenethikkommission

Hochschule Bonn-Rhein-Sieg
Anmeldung zur Veranstaltung: „Abschlussbericht der Datenethikkommission“ 4. November 2019, 18-20 Uhr – Campus Sankt Augustin – Grantham-Allee 20 – 53757 Sankt Augustin – Audimax (Hörsaal1)

datensicherheit.de, 24.10.2019
VdTÜV begrüßt Abschlussbericht der Datenethikkommission

datensicherheit.de, 23.10.2019
Datenethikkommission: Bitkom kritisiert Abschlussbericht