[datensicherheit.de, 18.05.2026] Die Mängelquote bei Röntgengeräten in Deutschland ist nach aktuellen Erkenntnissen des TÜV-Verbands im Jahr 2025 leicht gestiegen: Gut jede achte Röntgeneinrichtung (13%) weist demnach bei den unabhängigen Sicherheitsprüfungen Mängel auf. Im Vergleich zum Vorjahresreport sei die Mängelquote um einen Prozentpunkt gestiegen, so ein ein Ergebnis vom „TÜV Röntgenreport 2026“. Insgesamt hätten die Sachverständigen der TÜV-Organisationen bundesweit 15.333 Röntgengeräte geprüft und dabei an 2.037 Geräten Mängel festgestellt sowie 2.794 einzelne Beanstandungen dokumentiert. „Röntgen ist ein unverzichtbares Werkzeug der Medizin und Technik, aber jede Aufnahme bedeutet auch eine Strahlenbelastung“, so Dr. Alexander Schröer, Strahlenschutzexperte des TÜV-Verbands. Daher müssten Geräte und Anwendung besonders sorgfältig kontrolliert werden.

Abbildung: © TÜV-Verband

Mängelverteilung an Röntgengeräten

Schwerwiegende und erhebliche Mängel sind von Fachleuten vor Weiterbetrieb zu beheben

Von den festgestellten Mängeln seien 17 Prozent „schwerwiegend“ gewesen. „Schwerwiegende Mängel“ seien solche, welche das Patientenrisiko stark erhöhen könnten, wie zum Beispiel eine zu hohe Dosis, bzw. mangelhafte Strahlfeldbegrenzung oder fehlende Bildqualität.

• Aber auch formale Punkte wie das Fehlen der CE-Kennzeichnung oder die Nichteinhaltung von gesetzlichen Vorgaben bei der Patientendosis-Erfassung gehörten dazu.

„Schwerwiegende Mängel“ schließen laut TÜV-Verband einen Weiterbetrieb der Anlage grundsätzlich aus, bis der Mangel behoben und das Gerät erneut geprüft wurde. Mehr als jeder zweite Mangel (52%) sei auf die Kategorie „erheblicher Mängel“ entfallen. „Erhebliche Mängel“ müssten zeitnahe von Fachpersonal beseitigt werden. Fast ein Drittel (31%) seien als „geringfügige“ beziehungsweise „formale Mängel“ eingestuft worden, welche mit geringem Aufwand von den Betreibern selbst behoben werden könnten.

Mehrheit der geprüften Röntgengeräte in der Human- und Dentalmedizin im Einsatz

Die meisten geprüften Röntgengeräte stammten aus der Human- und Dentalmedizin und würden unmittelbar in der Diagnostik am Menschen eingesetzt. Gut die Hälfte der Anlagen (53%) entfalle auf die Dentalmedizin und knapp jede fünfte (19%) auf die Humanmedizin. „Röntgenbilder sind die Grundlage medizinischer Entscheidungen und müssen daher korrekt sein“, stellt Schröer klar. Bereits kleine Fehler könnten die Aussagekraft beeinträchtigen und damit direkte Folgen für die Behandlung haben.

• Mit 8.144 geprüften Röntgenanlagen stelle die Dentalmedizin die größte Gerätegruppe. 16 Prozent dieser Geräte wiesen Mängel auf. Die Quote entspreche damit dem Niveau des Röntgenreports aus dem Jahr 2022 (16%). An 1.333 Anlagen seien insgesamt 1.748 Mängel festgestellt worden. „Erhebliche Mängel“ dominierten mit 49 Prozent, „schwerwiegende Mängel“ machten 16 Prozent aus, „geringfügige“ beziehungsweise „formale Mängel“ 35 Prozent.

In der Humanmedizin seien 2.939 Geräte geprüft worden – davon wiesen 14 Prozent Mängel auf. Die Mängelquote bei humanmedizinischen Röntgengeräten sei in den vergangenen Jahren deutlich gesunken – um acht Prozentpunkte seit 2022. Im Jahr 2025 hätten die Sachverständigen an den humanmedizinischen Röntgenanlagen 698 Mängel festgestellt. Der Großteil entfalle auf „erhebliche Mängel“ (71%), „schwerwiegende Mängel“ machten 17 Prozent aus, „geringfügige Mängel“ zwölf Prozent.

Human- und Dentalmedizin: Mängel bei Bildgebung und Strahlenschutz ermittelt

Auffällig seien Defizite rund um die Röntgenaufnahme selbst. Viele der festgestellten Mängel an Geräten aus der Human- und Dentalmedizin beträfen zentrale Elemente der Bildgebung, insbesondere Bildwiedergabesysteme sowie beschädigte oder unzureichend geprüfte Speicherfolien. „Kratzer, Knicke oder Verschmutzungen auf Speicherfolien können als Artefakte auf Röntgenbildern sichtbar werden und die Befundung erschweren oder verfälschen“, erläutert Schröer.

• Er unterstreicht: „In der Human- und Dentalmedizin ist eine verlässliche Diagnose nur anhand technisch einwandfreier Bilder möglich.“ Mit der zunehmenden Digitalisierung und dem Einsatz Künstlicher Intelligenz (KI) in der Bildauswertung gewinne die Qualität der zugrunde liegenden Röntgenaufnahmen weiter an Bedeutung. Artefakte oder Qualitätsmängel in den Bildern könnten die automatisierte Auswertung erschweren und die diagnostische Sicherheit beeinträchtigen.

Neben Defiziten bei der Bildqualität träten auch Mängel im Bereich des Strahlenschutzes auf – etwa bei Dosis-Indikatoren, Patientenschutzmitteln oder der Kennzeichnung von Expositionsparametern. Fehlende oder fehlerhafte Dosis-Indikatoren erschwerten indes die Kontrolle der Strahlenexposition und könnten dazu führen, „dass unnötige Belastungen nicht erkannt werden“. Mängel bei den Schutzmitteln für Patienten und Personal, wie Bleischürzen, führten dazu, dass Menschen während einer Röntgenaufnahme unnötig Strahlung ausgesetzt würden. Zudem könnten Mängel bei den Expositionsparametern die Nachvollziehbarkeit der Strahlenbelastung erschweren und eine optimale Einstellung der Geräte beeinträchtigen. Schröer verdeutlicht: „Strahlenschutz ist Voraussetzung für den sicheren Einsatz von Röntgentechnik!“ Röntgen sei nur dann sinnvoll, „wenn der Nutzen klar überwiegt und Risiken konsequent minimiert werden“.

Hoher Handlungsbedarf: Regelmäßige Prüfungen von zentraler Bedeutung

Um diesen Anspruch im Praxisalltag sicherzustellen, seien regelmäßige und unabhängige Prüfungen unverzichtbar. „Unabhängige Prüfungen sind kein bürokratischer Aufwand, sondern eine zentrale Voraussetzung für sicheren Strahlenschutz!“, gibt Schröer zu bedenken und führt hierzu weiter aus: „Sie sorgen dafür, dass technische Standards im Betrieb tatsächlich eingehalten werden.“

• Der „TÜV Röntgenreport 2026“ zeige, dass sich die Mängelquoten in den vergangenen Jahren insgesamt verbessert, zuletzt aber auf einem relevanten Niveau stabilisiert hätten. Entsprechend hoch bleibe der Handlungsbedarf.

Aus Sicht des TÜV-Verbands besteht insbesondere beim Strahlenschutz und im Umgang mit Bildgebungssystemen Qualifizierungsbedarf: „Viele der festgestellten Mängel betreffen den praktischen Umgang mit den Geräten sowie die Umsetzung von Sicherheitsanforderungen.“ Schröer rät daher: „Aus- und Weiterbildungsangebote für Betreiber, Servicefirmen und Aufsichtsbehörden sind daher notwendig.“ Zudem sollte die Abstimmung bei der praktischen Umsetzung regulatorischer Vorgaben zwischen Bund und Ländern verbessert werden, um einheitliche Standards sicherzustellen. Nur so ließen sich die Qualität der Bildgebung und die Sicherheit von Patienten dauerhaft gewährleisten.

Weitere Informationen zum Thema:

TÜV VERBAND
Über uns

TÜV VERBAND
Team/ Dr. Alexander Schröer – Referent Kerntechnik und Strahlenschutz

TÜV VERBAND
Reporte / Röntgenreport

datensicherheit.de, 26.01.2026
Digitalisierung der Medizin: Datenflut schwemmt auch bösartige Dateien in Systeme des Gesundheitswesens / Im Fall eines erfolgreichen Hacker-Angriffs drohen der gesamte digitale Betrieb und wesentliche operative Prozesse der medizinischen Einrichtung stark beeinträchtigt zu werden

datensicherheit.de, 04.04.2025
IT in Krankenhäusern: SIT-Sicherheitsstudie deckt signifikante Schwachstellen auf / SIT-Forscher fanden Schwachstellen in Informationssystemen für Krankenhäuser

datensicherheit.de, 31.01.2018
Experten fordern neue Cyber-Sicherheitsansätze für bildgebende Medizingeräte / Malware-Forscher der Ben-Gurion-Universität entwickeln Anomalieerkennung zur Warnung vor Angriffen

[datensicherheit.de, 30.03.2026] Der TÜV-Verband e.V. meldet, dass der Prüfungsbetrug beim Führerschein auf einem hohen Niveau bleibt: Im Jahr 2025 wurden demnach bundesweit 4.239 Täuschungsversuche in der theoretischen Fahrerlaubnisprüfung registriert. Dies sei ein leichter Anstieg von einem Prozent im Vergleich zum Vorjahr: Im Jahr 2024 sei die Zahl der Betrugsfälle noch um 13 Prozent auf 4.198 Fälle gestiegen und im Jahr 2023 sogar um 36 Prozent auf 3.759. Diese Erkenntnisse beruhen laut TÜV-Verband auf Daten aus Erhebungen der „TÜV | DEKRA arge tp 21“ – der aktuelle Datenreport zu den Fahrerlaubnisprüfungen 2025 sei zum Stichtag 31. Januar 2026 erhoben worden.

Abbildung: © TÜV-Verband

Erkenntnisse aus den Erhebungen der „TÜV | DEKRA arge tp 21“ zum Jahr 2025

Zunehmend Betrugsfälle im Kontext organisierter Strukturen

„Die aktuellen Zahlen zeigen, dass sich der Prüfungsbetrug nach einem starken Anstieg in den Vorjahren auf einem hohen Niveau stabilisiert“, berichtet Fani Zaneta, Referentin für „Fahrerlaubnis und Verkehrssicherheit“ beim TÜV-Verband.

• Sie führt weiter aus: „Gleichzeitig gehen wir von einem großen Dunkelfeld aus, da mutmaßlich nur ein Bruchteil der Täuschungen entdeckt wird.“ Dies habe Konsequenzen für die Verkehrssicherheit. Fahrschülern, welche sich ihre Fahrerlaubnis erschlichen, fehlten wichtige Kenntnisse im Straßenverkehr – damit gefährdeten sie dessen Sicherheit.

Besonders besorgniserregend sei zudem, dass hinter vielen Täuschungsversuchen zunehmend organisierte Strukturen stünden. Der TÜV-Verband warnt vor den Folgen für die Verkehrssicherheit und fordert ein konsequenteres Vorgehen der Behörden.

Häufiger Einsatz komplexer Technik beim Prüfungsbetrug

Laut den Erhebungen ist nach Einschätzung des TÜV-Verbands inzwischen gut jeder zweite Fall (53%) professionell organisiert. In 36 Prozent der Fälle würden technische Hilfsmittel wie nahezu unsichtbare Ohrhörer, Mini-Kameras oder andere versteckte Kommunikationstechnik eingesetzt. In weiteren 17 Prozent der Fälle seien sogenannte Stellvertreter entlarvt worden, welche die Prüfung für eine andere Person ablegen wollten.

• „Für professionelle Strukturen spricht, dass in den Betrug neben den Fahrschülern weitere Personen involviert sind, die den Prüfling technisch unterstützen, aus der Ferne Lösungen übermitteln oder sich als Fahrschüler ausgeben“, so Zaneta. Darüber hinaus sei entsprechendes technisches Know-how notwendig, um bestimmte Betrugsmaschen durchführen zu können.

Mit klassischen Hilfsmitteln wie Spickzetteln erfolgten 44 Prozent der Täuschungsversuche. In den allermeisten Fällen sei die PKW-Klasse betroffen: 96 Prozent der festgestellten Täuschungsversuche (4.052 Fälle) fänden in der Klasse B statt, welche auch den Großteil der abgelegten Prüfungen ausmachten.

Organisierte Betrugsversuche sollten künftig als Straftatbestand gewertet werden

Im bundesweiten Vergleich zeigten sich deutliche Unterschiede: Die meisten Täuschungsversuche seien in Nordrhein-Westfalen registriert worden – mit 1.378 Fällen auf einem ähnlich hohen Niveau wie im Vorjahr (2024: 1.368). Dahinter folge Berlin mit 497 Fällen, das im Bundesländervergleich den stärksten Anstieg verzeichne und gegenüber dem Vorjahr um rund 25 Prozent zugelegt habe. Platz 3 belege Bayern mit 449 Täuschungsversuchen. Deutlich niedriger seien die Fallzahlen in kleineren Bundesländern: Im Saarland sei mit 19 Fällen die geringste Zahl an Täuschungsversuchen erfasst worden, in Mecklenburg-Vorpommern seien es 23 und in Bremen 41.

• „Organisierter Prüfungsbetrug ist kein Kavaliersdelikt!“, betont Zaneta. Sie stellt klar: „Wer bei der theoretischen Fahrprüfung täuscht, bringt sich und andere in Gefahr. Wir brauchen deshalb klare Regeln, die konsequent von den Behörden angewendet werden!“

Um eine wirksame Abschreckung sicherzustellen, sollten Instrumente wie Sperrfristen oder Medizinisch-Psychologische Untersuchungen (MPU) bei organisierten Täuschungsversuchen bundesweit angeordnet werden. Darüber hinaus sollten aus Sicht des TÜV-Verbands die rechtlichen Voraussetzungen geschaffen werden, um organisierte Täuschungsversuche künftig als Straftatbestand zu werten, auch für beteiligte Dritte.

Weitere Informationen zum Thema:

TÜV VERBAND
Über uns

politik&kommunikation, 15.04.2024
Zaneta ist Referentin beim TÜV-Verband

TÜV | DEKRA ARGE TP 21
ÜBER UNS: Als Ingenieurs-Agentur für das Kraftfahrsachverständigenwesen arbeiten wir eng mit Behörden, Ministerien (Bund, Länder) und Prüforganisationen zusammen

TÜV VERBAND
Festgestellte Betrugsversuche bei der Theorieprüfung / Führerschein und Fahrerlaubniswesen 2026

[datensicherheit.de, 19.03.2026] In einer aktuellen Stellungnahme kritisiert der TÜV-Verband e.V. den Vorschlag, wesentliche Hochrisiko-Anwendungen aus der KI-Verordnung herauszunehmen – dies führe zu mehr Bürokratie für Start-Ups und den Mittelstand sowie zu weniger Sicherheit. EU-Mitgliedsstaaten und EU-Kommission seien jetzt gefordert, den horizontalen Ansatz des „AI Act“ zu erhalten. Dessen Rückabwicklung durch die Hintertür wäre indes der falsche Weg. Anstatt zentrale Produktbereiche aus dem Rechtsrahmen herauszulösen, braucht es laut dem TÜR-Verband zügig Auslegungsleitlinien der Europäischen Kommission, um Überschneidungen mit sektoralem Recht zu klären und ein hohes Maß an Sicherheit zu gewährleisten.

Foto: © Tobias Koch

Dr. Joachim Bühler: Gerade bei industriellen und verbrauchernahen Hochrisiko-KI-Systemen brauchen wir einheitliche Regeln zu Robustheit, Datenqualität, Transparenz, Risikomanagement und menschlicher Aufsicht!

Folgenschwerer Kurswechsel würde horizontalen Regulierungsansatz der „KI-Verordnung“ substanziell schwächen

Am 18. März 2026 haben demnach der „Ausschuss für Binnenmarkt und Verbraucherschutz“ (IMCO) und der „Ausschuss für bürgerliche Freiheiten, Justiz und Inneres“ (LIBE) des EU-Parlaments ihre Position zur Anpassung des „EU AI Act“ beschlossen und dabei mehrheitlich für einen sogenannten Sektor-Exit bei der KI-Regulierung gestimmt.

• Zentrale Hochrisiko-Produktbereiche, z.B. Medizinprodukte, Maschinen und Spielzeuge, sollten laut Forderung der Abgeordneten aus dem unmittelbaren Anwendungsbereich der „KI-Verordnung“ herausgelöst und KI-Anforderungen stattdessen künftig in den jeweiligen sektoralen Rechtsakten geregelt werden.

Aus Sicht des TÜV-Verbands wäre dies ein „folgenschwerer Kurswechsel“, welcher den horizontalen Regulierungsansatz des „AI Act“ substanziell schwächt und das europäische Schutzniveau für Hochrisiko-KI gefährdet.

„KI-Verordnung“ erster umfassender Rechtsrahmen, um Innovation und Schutz zusammenzudenken

„Der ,EU AI Act’ ist als weltweit erster umfassender Rechtsrahmen für Künstliche Intelligenz angetreten, um Innovation und Schutz zusammenzudenken“, erläutert Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands. Er warnt: „Wenn sich das Europäische Parlament in den Verhandlungen mit den Mitgliedsstaaten und der EU-Kommission durchsetzt, endet der europäische Weg bei Künstlicher Intelligenz in einer Sackgasse!“

• Zu Hochrisiko-KI-Systemen zählen Anwendungen, deren Fehlfunktionen oder Fehlentscheidungen erhebliche Folgen für Sicherheit, Gesundheit und Grundrechte haben könnten – zum Beispiel in den Bereichen Medizin, Robotik, Bewerbungsverfahren oder beim Zugang zu wichtigen Dienstleistungen wie Kreditvergaben.

Bühler betont: „Gerade bei industriellen und verbrauchernahen Hochrisiko-KI-Systemen brauchen wir einheitliche Regeln zu Robustheit, Datenqualität, Transparenz, Risikomanagement und menschlicher Aufsicht, damit Sicherheit, Gesundheit und Grundrechte wirksam geschützt werden!“

KI-Entwicklung rasanter als mögliche sektorale Regulierung

Die vorgeschlagene sektorale Verlagerung würde den europäischen Rechtsrahmen für Hochrisiko-KI-Systeme nicht vereinfachen, sondern zersplittern. Anforderungen an Künstliche Intelligenz (KI) müssten dann in zahlreichen sektoralen Richtlinien und Verordnungen neu erarbeitet und integriert werden – mit unterschiedlichen Standards, Verfahren und Umsetzungsfristen.

• Ein solcher „Sektor-Exit“ würde zudem die Regulierung von Hochrisiko-KI erheblich ausbremsen. KI-spezifische Anforderungen müssten dann mühsam in zahlreiche sektorale Vorschriften eingearbeitet und laufend nachgezogen werden. Angesichts der Geschwindigkeit technologischer Entwicklungen wäre es kaum möglich, KI-Anforderungen in zahlreichen sektoralen Rechtsakten rechtzeitig anzupassen. Veraltete Vorschriften würden so selbst zum Innovationshemmnis. Ein horizontaler Ansatz hingegen könne mit der Dynamik der KI Schritt halten und zugleich ein hohes Schutzniveau sichern.

„Das wäre kein Bürokratieabbau, sondern der Einstieg in einen regulatorischen ,Flickenteppich’ mit mehr Aufwand, mehr Unsicherheit und langfristig höheren Belastungen für Unternehmen!“, moniert Bühler daher die drohende Entwicklung.

Europa könnte Einfluss auf globale KI-Standards verlieren

Insbesondere für Hersteller, welche KI in sicherheitskritischen Produkten wie Medizinprodukten, Maschinen oder vernetzten Verbraucherprodukten einsetzen, seien klare und kohärente Regeln sowie deren europaweit einheitliche Umsetzung entscheidend, um Sicherheit, Innovation und Wettbewerbsfähigkeit zusammenzubringen.

• Der „AI Act“ gelte weltweit als Referenzmodell für vertrauenswürdige KI. Viele internationale Akteure orientierten sich bereits an diesem europäischen Ansatz. Mit einem „Sektor-Exit“ weiche die EU den eigenen KI-Regulierungsansatz auf und verliere an Einfluss auf internationale Standards.

Dies sei nicht nur regulatorisch relevant, sondern auch wirtschaftspolitisch entscheidend. Denn internationale Standards bestimmten, welche Anforderungen sich in globalen Märkten durchsetzen. „Wenn Europa seinen Ansatz bei Hochrisiko-KI verwässert, schwächen wir unseren Einfluss auf Regeln, die morgen weltweit gelten“, gibt Bühler zu bedenken und führt weiter aus: „Und das schwächt auch Europas Wettbewerbsfähigkeit im globalen KI-Wettbewerb.“

Verhandlungen zwischen EU-Parlament und -Mitgliedsstaaten müssen horizontalen Ansatz der „KI-Verordnung“ sichern

Der TÜV-Verband habe bereits gemeinsam mit AlgorithmWatch, AI Policy Lab, ALLAI, BSI – United Kingdom, DEKRA, ForHumanity, Open Knowledge Foundation, The Future Society und TÜV AI.Lab in einem Offenen Brief an die Bundesregierung vor einem „Sektor-Exit“ gewarnt.

• „Jetzt kommt es in den anstehenden Trilog-Verhandlungen zwischen EU-Parlament und Mitgliedsstaaten darauf an, den horizontalen Ansatz des ,AI Acts’ zu verteidigen und Europas Sicherheits- und Vertrauensversprechen bei Hochrisiko-KI-Systemen nicht preiszugeben“, so Bühler.

Eine Rückabwicklung des „AI Act“ durch die Hintertür wäre der falsche Weg. Bühlers Fazit: „Anstatt zentrale Produktbereiche aus dem Rechtsrahmen herauszulösen, braucht es zügig Auslegungsleitlinien der Europäischen Kommission, um Überschneidungen mit sektoralem Recht zu klären und ein hohes Maß an Sicherheit zu gewährleisten!“

Weitere Informationen zum Thema:

TÜV VERBAND
Über uns

mfm – future at work,
mfm – Interview: Drei Fragen an Joachim Bühler

TÜV VERBAND, Patrick Gilroy, 11.03.2026
Offener Brief: Einheitliche KI-Regeln in Europa sichern Innovation, Sicherheit und Wettbewerbsfähigkeit / Den horizontalen Ansatz des AI Act beibehalten – dazu rufen die Unterzeichner des vorliegenden offenen Briefs mit Blick auf die geplanten Änderungen im Rahmen des „Digital Omnibus“ der EU eindringlich auf

EUR-Lex
Trilog

datensicherheit.de, 12.02.2026
AI Act: Durchführungsgesetz beschlossen / Das Durchführungsgesetz zum „EU AI Act“ legt unter anderem fest, welche Behörden in Deutschland künftig für die Umsetzung, die Aufsicht und Unterstützung von Unternehmen zuständig sind

datensicherheit.de, 31.07.2025
Ein Jahr AI Act: eco mahnt rechtssichere Rahmenbedingungen und politischen Gestaltungswillen an / Vor einem Jahr, am 1. August 2024, ist der europäische „AI Act“ in Kraft getreten – laut eco ein historischer Meilenstein für die globale KI-Regulierung und Grundlage, um KI „Made in Europe“ zum Erfolgsmodell zu machen

[datensicherheit.de, 22.02.2026] Die TÜV Rheinland AG in Köln geht in ihrer aktuellen Stellungnahme auf den Verzeichnisdienst „Active Directory“ (AD) ein: Weltweit in Millionen von Organisationen im Einsatz, gelte dieser als Standard in „Windows“-basierten Netzwerken, um Benutzerkonten, Zugriffsrechte und Netzwerkressourcen zu verwalten. Doch gerade diese zentrale Rolle macht AD-Umgebungen demnach „zu einem attraktiven Ziel für Cyberangriffe“, um Schwachstellen auszunutzen, sich Zugang zu sensiblen Daten zu verschaffen, Berechtigungen auszuweiten oder kritische Geschäftsprozesse zu stören. Fachleute von TÜV Rheinland führen im neuen Whitepaper „Active Directory sicher gestalten“ aus, wie Unternehmen ihre AD-Umgebungen effektiv absichern können.

TÜV Rheinland benennt häufige Schwachstellen und Risiken im AD-Kontext

AD diene als Rückgrat der Benutzer- und Rechteverwaltung. Dessen Kompromittierung könne weitreichende Folgen haben, da Angreifer sich im Netzwerk bewegen, Berechtigungen ausweiten und sensible Daten gefährden könnten.

• Fehlkonfigurationen, veraltete Richtlinien und die zunehmende Komplexität moderner IT-Infrastrukturen erhöhten das Risiko zusätzlich.

Das nun vorliegende neue Whitepaper „Active Directory sicher gestalten“ von TÜV Rheinland soll praxisnahe Empfehlungen geben, um AD-Umgebungen widerstandsfähiger gegen Cyberangriffe zu machen.

TÜV Rheinland rät zu mehrschichtigem „Defense-in-Depth“-Ansatz

TÜV Rheinland empfiehlt Unternehmen einen mehrschichtigen „Defense-in-Depth“-Ansatz, um AD-Umgebungen abzusichern:

1. Minimale Privilegien
   Rechte und Berechtigungen regelmäßig überprüfen und auf das notwendige Minimum reduzieren!

2. Trennung von Administrator-Funktionen
   Einführung von „Just-in-Time“-Administration und klare Abgrenzung von administrativen Aufgaben!

3. Regelmäßige Sicherheitsaudits
   Schwachstellen frühzeitig erkennen und gezielt beheben!

4. Sicherheitsupdates und Patch-Management
   Kontinuierliche Aktualisierung der AD-Komponenten, um Sicherheitslücken zu schließen!

Weitere Informationen zum Thema:

TÜV Rheinland
Über uns

TÜV Rheinland. 2026
Whitepaper „Active Directory sicher gestalten“ – Ein Leitfaden für mehr Sicherheit, Transparenz und Widerstandskraft in Active Directory-Umgebungen

WIKIPEDIA
Active Directory

[datensicherheit.de, 10.11.2025] Generative Künstliche Intelligenz (KI) revolutioniert offensichtlich nicht nur zahlreiche Branchen – sie schafft andererseits auch neue Angriffsflächen und sicherheitstechnische Herausforderungen. Der TÜV Rheinland benennt hierzu den beispielhaften Fall, wenn Unternehmen große Sprachmodelle in „Chatbots“, Assistenzsystemen oder automatisierten Entscheidungsprozessen einsetzen. Welche spezifischen Risiken bei der Nutzung von „Large Language Models“ (LLMs) entstehen, erörtert der TÜV Rheinland in seinem aktuellen Whitepaper „Ist Ihr KI-System sicher?“. Zudem werde aufgezeigt, wie Unternehmen ihre KI-Anwendungen effektiv absichern können.

Warnung vor Angriffen mittels Manipulation von Eingaben und KI-Trainingsdaten

Das vorliegende Whitepaper beschreibt demnach, wie KI-Systeme angegriffen werden können. Ein Beispiel seien sogenannte Prompt Injections, bei denen Angreifer mit ihrer Eingabe das Modell manipulierten, damit es sich unvorhersehbar verhalte oder Informationen preisgebe – „und zwar solche, die nicht zugänglich sein sollten“.

• Weitere Risiken seien der unsichere Umgang mit den Ergebnissen generativer KI – etwa, indem Nutzer nicht validierte Codes ausführten – und die Manipulation von Trainingsdaten durch einen Angreifer.

Sowohl Angriffe als auch der falsche Umgang mit KI-Ergebnissen könnten fatale Folgen haben – von Datenlecks über fehlerhafte Entscheidungen bis hin zu wirtschaftlichen Schäden. Daher sei ein systematisches Risikomanagement für Unternehmen unerlässlich: Nicht zuletzt forderten dies auch zunehmend Regulierungen wie der „EU AI Act“. „Unternehmen müssen ihre Sicherheitskonzepte anpassen, um den Risiken von KI-Systemen gerecht zu werden“, unterstreicht Daniel Hanke, Experte für KI-Sicherheit beim TÜV Rheinland.

Pentests als Erfolgsindikator für KI-Sicherheit

Eine der wirksamsten Maßnahmen, um Bedrohungen frühzeitig zu erkennen und Schwachstellen zu schließen, sei das „Penetration Testing“ (Pentest): Im kontrollierten Rahmen simulierten Fachleute dabei Angriffe auf KI-Systeme, um potenzielle Schwachstellen zu identifizieren und zu beheben.

• Methoden wie „Black Box“- und „Gray Box“-Tests würden dabei an die Anforderungen von generativer KI angepasst. „KI-Systeme sind komplex und intransparent. Das erfordert neue Testansätze“, so Hanke.

Abschließend führt er aus: „Durch regelmäßige ,Penetration Tests’ können Unternehmen ihre Systeme widerstandsfähig machen und somit regulatorische Vorgaben erfüllen. Außerdem stärken sie so das Vertrauen von Partnern und Kunden.“

Weitere Informationen zum Thema:

TÜVRheinland
Über uns

TÜV Rheinland, 2025
Wie Sie eigene LLMs mit Penetration Testing und Best Practices gegen Risiken wappnen

Linkedin
Daniel Hanke – TÜV Rheinland Group

IBM, Cole Stryker & Mark Scapicchio
Was ist generative KI und wie funktioniert sie?

Fraunhofer IESE, Patricia Kelbert & Dr. Julien Siebert & Lisa Jöckel, 12.12.2023
Was sind Large Language Models? Und was ist bei der Nutzung von KI-Sprachmodellen zu beachten?

EU Artificial Intelligence Act
Die Gesetzestexte

datensicherheit.de, 13.06.2025
Generative KI boomt – zunehmende Sicherheitsrisiken als Kehrseite der Medaille / Zwar ermöglicht Generative KI beispiellose Produktivitätssteigerungen, gleichzeitig führt sie jedoch auch zu neuen, komplexen Risiken

datensicherheit.de, 03.07.2024
Generative KI gewinnt im Alltag an Bedeutung und definiert Prinzipien der Datensicherheit neu / Joseph Regensburger kommentiert private und berufliche Herausforderungen der KI-Fortentwicklung hinsichtlich der Datensicherheit

datensicherheit.de, 24.07.2018
Pentester finden gravierende IT-Sicherheitsschwachstellen in Unternehmen / Neuer Report „Under the Hoodie: 2018 – Lessons From a Season of Penetration Testing“ von Rapid7 veröffentlicht

[datensicherheit.de, 22.06.2025] Laut einer Meldung vom 11. Juni 2025 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem TÜV-Verband eine neue repräsentative Umfrage zur Cybersicherheit in Unternehmen durchgeführt. Deren Ergebnisse seien in zweifacher Hinsicht „besorgniserregend“: Erstens habe ein Anstieg der Bedrohungslage verzeichnet werden müssen, zweitens zeigten die Umfrageergebnisse, „dass viele Firmen die Lage unterschätzen und die eigene Resilienz überbewerten“. Das BSI warnt daher eindringlich vor „trügerischer Sicherheit“.

Abbildung: TÜV-Verband

TÜV Cybersecurity Studie 2025: Cybersicherheit in deutschen Unternehmen

NIS-2: Für ca. 29.000 „wesentliche“ bzw „wichtige“ Einrichtungen ergeben sich erstmals gesetzliche Pflichten

Zudem habe nur etwa die Hälfte der Befragten angegeben, die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) zu kennen. Jedoch: „Mit der Umsetzung der NIS-2-Richtlinie in nationales Recht, die aufgrund der vorgezogenen Neuwahlen in Deutschland bisher nicht erfolgt ist, wird das BSI für deutlich mehr Unternehmen als zuvor Aufsichtsbehörde.“

Für die bestehenden Kritischen Infrastrukturen (KRITIS) ändere sich hierdurch voraussichtlich wenig, aber für ca. 29.000 nach der NIS-2-Richtlinie „wesentliche“ (essential enhttps://www.bsi.bund.detities) und „wichtige“ Einrichtungen (important entities) ergäben sich erstmals gesetzliche Pflichten.

Viele Unternehmen scheinen die Risiken zu unterschätzen

Dr. Michael Fübi, Präsident des TÜV-Verbands, kommentiert: „Die deutsche Wirtschaft steht im Fadenkreuz staatlicher und krimineller Hacker, die sensible Daten erbeuten, Geld erpressen oder wichtige Versorgungsstrukturen sabotieren wollen. Allerdings scheinen viele Unternehmen die Risiken zu unterschätzen.“

• Neun von zehn (91%) bewerteten ihre Cybersicherheit als „gut“ oder „sehr gut“. Zudem gebe jedes vierte Unternehmen (27%) an, dass IT-Sicherheit für sie nur eine „kleine“ oder „gar keine“ Rolle spiele.

Eine Mehrheit spreche sich allerdings für gesetzliche Vorgaben aus, um das Schutzniveau in der Wirtschaft zu erhöhen: 56 Prozent seien der Meinung, dass alle Unternehmen verpflichtet sein sollten, angemessene Maßnahmen für ihre Cybersecurity zu ergreifen. „Die Bundesregierung sollte die überfällige nationale Umsetzung der NIS-2-Richtlinie zügig verabschieden“, legt Fübi nahe.

Auf dem Weg zur „Cybernation Deutschland“ noch eine Menge Arbeit voraus

„Die Studie des TÜV-Verbandes zeigt, dass auf dem Weg zur ,Cybernation Deutschland’ noch eine Menge Arbeit vor uns liegt. Was mich besonders besorgt, ist die geringe Bekanntheit der NIS-2-Richtlinie“, so die BSI-Präsidentin, Claudia Plattner.

• Umso wichtiger sei ihre zügige Umsetzung in nationales Recht. Verständlicherweise wiesen Unternehmen darauf hin, „dass regulatorische Vorgaben herausfordernd sind“ – auch, weil sie zu Bürokratie und damit zu Mehraufwand führen könnten. Richtig umgesetzt könnten sie uns aber dabei helfen, die Resilienz unserer Wirtschaft umfassend zu erhöhen.

„Wir als BSI legen dabei unseren Schwerpunkt auf Hilfestellung und Kooperation – und unterstützen Unternehmen auch heute schon mit umfangreichen Informations- und Beratungsangeboten. Unser Credo lautet ‚Cybersicherheit vor Bürokratie‘.“ Dies betreffe übrigens auch den „Cyber Resilience Act“ (CRA), im Rahmen dessen das BSI die Übernahme der Marktüberwachung anstrebe.

Das BSI beobachtet, analysiert und bewertet IT-Sicherheit in fünf Dimensionen

Der CRA gibt ein Mindestmaß an Cybersicherheit für vernetzte Produkte auf dem EU-Markt vor. Als nationale Stelle für Zertifizierung und Standardisierung von Cybersicherheitsmaßnahmen verfügt das BSI nach eigenen Angaben über etablierte Strukturen, die schnell für die Marktüberwachung im Sinne des CRA nutzbar gemacht werden können.

Um die Anforderungen greifbarer zu machen, hat das BSI die „Technische Richtlinie TR-03183“ erarbeitet, in der die im CRA formulierten Anforderungen an Hersteller und Produkte übersichtlich beschrieben und erklärt werden. Als Cybersicherheitsbehörde Deutschlands beobachte, analysiere und bewerte das BSI die Lage der IT-Sicherheit in fünf Dimensionen und fungiere als zivile Verteidigungsmacht des Digitalen Raumes.

Weitere Informationen zum Thema:

TÜV VERBAND
TÜV Cybersecurity Studie 2025: Cybersicherheit in deutschen Unternehmen / Neue Bedrohungslage – besserer Schutz

TÜV VERBAND
TÜV Cybersecurity Studie 2025: Cyberbedrohungen wachsen, aber viele Unternehmen hinken beim Schutz hinterher. Die TÜV Cybersecurity Studie 2025 zeigt: KI-gestützte Angriffe nehmen zu, doch nur wenige Betriebe setzen KI zur Verteidigung ein. Die Studie liefert alarmierende Zahlen – und klare Handlungsempfehlungen für Politik und Wirtschaft.

Bundesamt für Sicherheit in der Informationstechnik
BSI TR-03183 Cyber-Resilienz-Anforderungen

datensicherheit.de, 20.06.2025
Cybersicherheit geht alle an: Interaktive Trainingsplattform CyberALARM für Unternehmen vorgestellt / Mit „CyberALARM“ soll eine praxisnahe, interaktive Plattform für mehr Cybersicherheit im Mittelstand, im öffentlichen Sektor und in Bildungseinrichtungen geboten werden

datensicherheit.de, 16.05.2025
Cyber Gangsta’s Paradise: THA-Professor für IT-Sicherheit macht mit Musikvideo auf den Cyber Resilience Act (CRA) aufmerksam / Mit der EU-Regulierung wird die digitale Sicherheit von Produkten wird zur Pflicht.

datensicherheit.de, 06.04.2025
CRA erzwingt Produktanpassungen: Höchste Zeit für Hersteller zu handeln / Geräte mit ausnutzbaren Cyber-Schwachstellen dürfen nach CRA-Inkrafttreten in der EU bald nicht mehr verkauft werden

datensicherheit.de, 07.02.2025
Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken! / Laut aktueller Manager-Umfrage ist sich nur knapp die Hälfte ihrer Verantwortung für Cyber-Sicherheit bewusst

datensicherheit.de, 20.05.2025
Cybersicherheit: Deutsche Unternehmen sehen dringenden Handlungsbedarf / Laut einer QBE-Studie betreffen 64 Prozent der Cybervorfälle Schwachstellen in der Lieferkette. Dabei gehen zwei Drittel der Befragten gehen davon aus, dass sich das Budget für Cybersicherheit in den nächsten zwölf Monaten in ihrem Unternehmen erhöhen wird. 85 Prozent der Befragten sehen steigende Bedrohungen im Vergleich zum Vorjahr

[datensicherheit.de, 17.05.2025] In seiner Stellungnahme von 16. Mai 2025 geht der TÜV-Verband e.V. auf die Vorstellung des Programms des neuen Bundesdigitalministers, Dr. Karsten Wildberger, ein – dieser habe damit Richtung vorgegeben: „Verwaltung modernisieren, digitale Infrastruktur ausbauen, die Wirtschaft digital stärken.“ Der TÜV-Verband begrüßt diesen Ansatz „als wichtigen Schritt hin zu einer umsetzungsorientierten Digitalpolitik“.

Geopolitische Unsicherheiten, Rückstände in der Digitalisierung und verstärkte Bedrohungslage im Cyberraum dulden keinen Aufschub

„Nach einer langen Phase des digitalpolitischen Stillstands zeichnen sich nun konkrete Fortschritte ab“, kommentiert Marc Fliehe, Fachbereichsleiter „Digitalisierung und Bildung“ beim TÜV-Verband. Die Herausforderungen – von geopolitischen Unsicherheiten über Rückstände bei der Digitalisierung bis hin zur gestiegenen Bedrohungslage im Cyberraum – duldeten keinen Aufschub.

Fliehe unterstreicht: „Jetzt braucht es Geschwindigkeit, klare Zuständigkeiten und verlässliche Rahmenbedingungen. Wir brauchen einen echten ‚Digitalsprint‘!“ Es gehe nicht nur um das Nachholen versäumter Reformen, sondern vor allem darum, endlich in die Umsetzung zu kommen. „Die politischen Vorhaben müssen jetzt entschlossen in die Praxis überführt werden.“

Neu geschaffenes Bundesministerium für Digitalisierung und Staatsmodernisierung gut aufgestellt

Das neu geschaffene Bundesministerium für Digitalisierung-verband und Staatsmodernisierung (BMDS) ist aus Sicht des TÜV-Verbands dafür gut aufgestellt: „Ein eigenständiges Digitalministerium schafft die nötige politische Aufmerksamkeit für die Digitalisierung von Staat, Wirtschaft und Zivilgesellschaft, benötigt aber auch die entsprechenden Verantwortlichkeiten, Ressourcen und Prozesse.“ Der Verband hatte sich in der Vergangenheit wiederholt für ein eigenes Digitalministerium stark gemacht.

Aus Sicht des TÜV-Verbands wird die digitale Agenda der kommenden Jahre vor allem von Schlüsseltechnologien wie Künstlicher Intelligenz (KI), „Cloud“-Infrastrukturen, Cybersicherheit und Rechenzentren geprägt sein. „Souveränität ist heute ein zentraler Aspekt digitaler Sicherheit“, führt Fliehe aus und betont: „Das ,Schubladendenken’ hat ausgedient – heute wird Sicherheit als ganzheitliche und umfassende Notwendigkeit gesehen!“

Zur Umsetzung notwendiger Digitalisierungsprojekte starke Kooperationen essenziell

Mit Blick auf konkrete Projekte wie den „Deutschland-Stack“ (eine sichere IT-Infrastruktur für staatliche digitale Dienste), die Digitale Brieftasche („Wallet“) oder den beschleunigten Ausbau von Glasfaser und 5G ist der TÜV demnach bereit, einen Beitrag zu leisten. „Von AI über Bildung und Cybersicherheit bis zu Infrastrukturen im Weltraum – die TÜV-Häuser bauen ihre Digitalexpertise kontinuierlich weiter aus und stellen diese zur Verfügung.“

Um notwendige Digitalisierungsprojekte erfolgreich umzusetzen, sind laut Fliehe starke Kooperationen essenziell. Diese bildeten das Fundament für gegenseitige Unterstützung und einen vertrauensvollen Erfahrungsaustausch. Netzwerke wie die „Allianz für Cybersicherheit“ seien in den vergangenen Jahren weiter gewachsen und hätten sich noch stärker etabliert. „Die Aufgaben im Digitalen Raum sind groß. Unsere Zuversicht und unser gemeinsames Engagement sind es ebenfalls“, so Fliehe abschließend.

Weitere Informationen zum Thema:

Die Bundesregierung
Dr. Karsten Wildberger / Bundesminister für Digitales und Staatsmodernisierung

bitkom, 05.03.2025
Bitkom fordert Digitalpakt Deutschland / Deutschland-Stack, digitale Transformation und digitale Verwaltung im Mittelpunkt / Bitkom-Präsident Wintergerst fordert 100 Milliarden Euro für Deutschlands digitale Souveränität

Bundesministerium des Innern, 29.11.2023
Persönliche digitale Brieftasche für Bürgerinnen und Bürger: Sichere Identifizierung und Verwaltung amtlicher Dokumente mit dem Smartphone / Erster Architektur-Vorschlag für European Digital Identity Wallet veröffentlicht / Aufruf zur Beteiligung.

datensicherheit.de, 09.05.2025
Austausch über Stand der Cybersicherheit: Digitalminister Wildberger beim Antrittsbesuch im BSI / Digitalminister beabsichtigt, optimale Rahmenbedingungen zu schaffen, damit Deutschland als wettbewerbsfähiger und innovativer Digitalstandort wächst

datensicherheit.de, 30.04.2025
eco-Gratulation an Digitalminister – und „Top Five Agenda“ zur Wegleitung / Mandat des Digitalministeriums entscheidend, nicht das Etikett, betont eco-Vorstandsvorsitzender Oliver Süme

datensicherheit.de, 30.04.2025
Bitkom-Glückwünsche an neuen Digitalminister / Mehr denn je muss Deutschland jetzt wettbewerbsfähig, innovativ und digital handlungsfähig werden

[datensicherheit.de, 22.04.2025] Der TÜV NORD nimmt Stellung zu dem Anliegen, Deutschland besser auf Katastrophen und Sicherheitsrisiken vorzubereiten. 2024 wurde hierzu der Entwurf eines Gesetzes zur Stärkung der Resilienz Kritischer Infrastruktur (KRITIS), das sogenannte KRITIS-Dachgesetz, auf den Weg gebracht. Nun sei die neue Regierung in der Pflicht, dieses Thema zeitnah aufzugreifen und mit einem soliden KRITIS-Dachgesetz eben Kritische Infrastrukturen zu schützen.

„KRITIS-Dachgesetz“ für Betreiber von Anlagen der Kritischen Infrastruktur eine Leitlinie

„Im Bereich Kritische Infrastruktur sehen wir, dass die Gefährdungslage mit dem Krieg in der Ukraine und weiteren Bedrohungen jetzt eine ganz andere ist als vor zehn oder fünfzehn Jahren. Dadurch sind Betreiber mit neuen Aufgaben konfrontiert, die auf sie zukommen – im Bereich Cybersecurity, aber auch beim physischen Schutz der Anlagen vor beispielsweise längeren Stromausfällen“, erläutert Hans Koopman, Geschäftsführer von TÜV NORD EnSys.

• Koopman fordert aus diesem Grund, die EU-Richtlinie zur Resilienz Kritischer Einrichtungen (Critical Entities Resilience, CER) kurzfristig in nationales Recht umzusetzen. Es dürfe durch den Regierungswechsel keine unnötigen Verzögerungen geben.

Das „KRITIS-Dachgesetz“ gibt Betreibern von KRITIS-Anlagen eine Leitlinie an die Hand, mit welcher ein deutschlandweit einheitliches hohes Sicherheitsniveau geschaffen werden soll – dazu gehören Anlagensicherung, aber auch Notfallpläne und Prozesse zur Verkürzung von Ausfallzeiten im Schadenfall und vieles mehr.

Für Deutschland sind KRITIS auf zehn Sektoren verteilt

In Deutschland werden KRITIS in zehn Sektoren unterteilt, die für das Funktionieren der Gesellschaft und Wirtschaft von entscheidender Bedeutung sind: Im Einzelnen sind das die Energie- und Wasserversorgung, die Produktion und der Vertrieb von Lebensmitteln, Informationstechnik und Telekommunikation, Transport und Verkehr, medizinische und Arzneimittel-Versorgung, das Finanzwesen, Sozialversicherungsleistungen und Grundsicherung, der Schutz der Weltrauminfrastruktur sowie die Beseitigung und das Recycling von Abfällen.

• Werden diese beeinträchtigt oder fallen aus, kann das erhebliche Auswirkungen auf die Öffentliche Sicherheit, die Wirtschaft und das gesellschaftliche Leben haben.

„Wir haben bei TÜV NORD viel Erfahrung in diesem Bereich, weil wir schon seit Jahrzehnten Hochrisikotechnologie wie kerntechnische Anlagen betreuen. Mit unserer Expertise in der Funktionalen Sicherheit sowie bei systematischen Risikoanalysen, der Bewertung von Mensch-Technik-Organisation und bei Cybersicherheit unterstützen wir Betreiber dabei, aktiv eine hohe Resilienz und Versorgungssicherheit zu schaffen“, so Koopman. Noch gebe es keine regulatorischen Anforderungen – es obliege daher den Betreibern, ihre Anlagen ausreichend zu schützen.

Geplantes Dachgesetz verpflichtet KRITIS-Betreiber zu regelmäßiger Risikobewertung und geeigneter -minimierung

Das geplante Dachgesetz soll KRITIS-Betreiber verpflichten, regelmäßig eine Risikobewertung ihrer Anlage vorzunehmen und geeignete Maßnahmen zur Risikominimierung zu implementieren. Dies umfasst auch die physische Sicherheit der Anlage.

• „Maßstäbe setzen hier bereits einige Rechenzentren, deren Betreiber aus eigenem Interesse einen hohen Sicherheitsstandard und ein entsprechendes Niveau an physischer Sicherheit vorweisen wollen“, berichtet Lars Wilke, „Lead Expert Physische Sicherheit von Infrastrukturen“ und „Data Center Lead Auditor“ bei TÜV NORD.

Ein interdisziplinäres Team befasse sich daher schon lange mit Umfeldrisiken wie geologischen Gefahren, Explosionsrisiken oder Hochwassergefährdungen, baulicher Sicherheit, Brandmelde- und Sicherheitssystemen, physischem Schutz der Datenverkabelung sowie der Verfügbarkeit und dem Schutz von Strom- und Kälteversorgungssystemen. Wilke: „Es gibt zahlreiche Stellschrauben für mehr Sicherheit, die wir analysieren und auch auf andere Objekte der Kritischen Infrastruktur anwenden können.“

„KRITIS-Dachgesetz“ begründet erweiterte Meldepflicht bei Beeinträchtigung der Resilienz Kritischer Einrichtungen

Ein weiterer Aspekt des „KRITIS-Dachgesetzes“ ist die erweiterte Meldepflicht bei Vorfällen, welche die Resilienz Kritischer Einrichtungen beeinträchtigen könnten. Dies soll eine schnellere Reaktion und bessere Koordination zwischen den betroffenen Akteuren ermöglichen, sowohl national als auch auf EU-Ebene.

• Zudem werde es schließlich um den Schutz sensibler Informationen gehen: „Gerade für Kritische Infrastrukturen sind strenge Sicherheits- und Datenschutzmaßnahmen unerlässlich, wenn Anwendungen mit künstlicher Intelligenz, KI, zum Einsatz kommen“, kommentiert Koopman. Er führt weiter aus: „Mit Analysen und Risikobewertungen tragen wir zur sicheren, effizienten und regelkonformen Integration von KI-Technologien in Deutschlands Industrie und Kritischen Infrastrukturen bei.“

Dabei gehe es beispielsweise um Fragestellungen zur anforderungsgerechten Anwendung von KI-Lösungen, denn mit Standard-Lösungen sei es hier meist nicht getan, gibt Koopman zu bedenken. Die Experten von TÜV NORD könnten eine Aussage darüber treffen, „ob die Implementierung eines bestimmten KI-Systems risikobehaftet ist und unterstützen bei der Umsetzung von Datenschutzmaßnahmen und Sicherheitsprotokollen, um die Einhaltung der DSGVO und den Schutz vor Cyber-Angriffen zu gewährleisten“.

Weitere Informationen zum Thema:

OpenKRITIS
KRITIS-Dachgesetz

Die Bundesregierung, 08.04.2025
KRITIS-Dachgesetz / Kritische Infrastruktur schützen

datensicherheit.de, 07.11.2024
KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf / Laut Bitkom in Fragen der Sicherheit keine Trendwende – 86 Prozent der KRITIS-Unternehmen in den vergangenen zwölf Monaten von analogen oder digitalen Angriffen betroffen

datensicherheit.de, 05.09.2023
KRITIS-Dachgesetz: eco moniert drohende Doppelregulierung und Rechtsunsicherheiten / KRITIS-DachG soll erstmals bundesweit einheitliche Vorgaben zum physischen Schutz kritischer Anlagen machen

datensicherheit.de, 06.12.2022
KRITIS-Dachgesetz geplant: Sinnvolle Regulierung mit Augenmaß gefordert / Verabschiedung von Eckpunkten für einheitliche Schutzstandards in KRITIS-Unternehmen am 7. Dezember 2022 geplant

[datensicherheit.de, 31.07.2024] Der TÜV-Verband e.V. geht in seiner aktuellen Stellungnahme auf den mit gestaffelten Übergangsfristen in Kraft tretenden Europäischen „AI Act“ ein – der TÜV-Verband begrüßt demnach diese Regelung und fordert eine rasche Klärung offener Umsetzungsfragen. Das „TÜV AI.Lab“ entwickele zudem ein kostenloses Online-Tool zur Risikoklassifizierung von KI-Systemen und -Modellen – den „AI Act Risk Navigator“.

Abbildung: TÜV AI.Lab

AI Act Risk Navigator: „Classify your Risk according to the EU AI Act“

AI Act kodifiziert erstmals Regeln für KI

Der TÜV-Verband unterstützt nach eigenen Angaben das Inkrafttreten des europäischen „AI Act“, womit erstmals Regeln für Künstliche Intelligenz (KI) festlegt würden. Damit werde nun ein global führender Rechtsrahmen für sichere und vertrauenswürdige KI geschaffen.

„Der ,AI Act’ bietet die Chance, vor negativen Auswirkungen von Künstlicher Intelligenz zu schützen und gleichzeitig Innovationen zu fördern. Er kann dazu beitragen, einen globalen Leitmarkt für sichere ‚KI Made in Europe‘ zu etablieren“, kommentiert Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands.

Dr. Bühler betont: „Es ist jetzt wichtig, die Umsetzung effizient und unbürokratisch zu gestalten. Unabhängige Stellen spielen dabei eine wesentliche Rolle, nicht nur im Hinblick auf die verbindlichen Anforderungen, sondern auch im freiwilligen KI-Prüfmarkt.“

Gestaffelte Übergangsfristen für KI-Systeme bis 2027

Der „EU AI Act“ soll am 1. August 2024 mit gestaffelten Übergangsfristen in Kraft treten. Sechs Monate nach Inkrafttreten, das heißt ab Anfang 2025, sollten zunächst KI-Systeme verboten werden, die unter anderem manipulative oder täuschende Techniken einsetzen.

Ab dem 1. August 2025 werden dann Verhaltenskodizes für bestimmte Allzweck-KI-Modelle in Kraft treten. Zudem müssten die EU-Mitgliedstaaten nationale Behörden für die Marktüberwachung benennen. Verpflichtende Prüfungen für sogenannte Hochrisiko-KI in Bereichen wie Kreditvergabe, Personalwesen oder Strafverfolgung werden ab August 2026 erforderlich sein – und nicht nur KI-Entwickler betreffen, sondern auch KI-Anbieter, und Betreiber risikoreicher KI.

Ab 2027 sollen dann die Anforderungen an KI in „drittprüfpflichtigen Produkten“ in Kraft treten. Dr. Bühler führt hierzu aus: „Prüfungen von KI-Systemen schaffen Vertrauen und sind schon heute ein Wettbewerbsvorteil. Unternehmen sind gut beraten, sich jetzt mit den Anforderungen vertraut zu machen, insbesondere im Hinblick auf die Übergangsfristen. Es ist wichtig, abzuschätzen, wie und wo der ,AI Act’ ihre Aktivitäten betrifft.“

Herausforderungen der Umsetzung: KI-Risiken sowie Entwicklung systemischer Risiken besonders leistungsfähiger Allzweck-KI-Modellen im Blick behalten

„Eine einheitliche Interpretation und konsequente Anwendung des risikobasierten Ansatzes sind entscheidend, damit der ,AI Act’ in der Praxis wirksam wird – hier sind die Mitgliedsstaaten gefordert“, betont Dr. Bühler. Aus Sicht des TÜV-Verbands sollte besonderes Augenmerk auf eine effiziente und unbürokratische Umsetzung gelegt werden.

Klare Zuständigkeiten und „verantwortliche Stellen“ seien notwendig, um die Regelungen praktisch umzusetzen. So sollten Umsetzungsleitfäden für die Einstufung von Hochrisiko-KI-Systemen vom AI Office (Europäisches KI-Büro) schnellstmöglich veröffentlicht werden, um insbesondere kleinen und mittleren Unternehmen (KMU) Rechtssicherheit zu geben.

Darüber hinaus seien neue KI-Risiken sowie die Entwicklung systemischer Risiken von besonders leistungsfähigen Allzweck-KI-Modellen im Blick zu behalten und der Aufbau einer systematischen KI-Schadensberichterstattung voranzutreiben.

TÜV AI.Lab Risk Navigator zeigt soll helfen, Klarheit über Auswirkungen der KI-Verordnung zu schaffen

Das 2023 als Joint Venture der TÜV-Unternehmen gegründete „TÜV AI.Lab“ soll regulatorische Anforderungen an KI in die Prüfpraxis übersetzen und quantifizierbare Konformitätskriterien sowie geeignete Prüfmethoden für KI entwickeln.

Zum Inkrafttreten des „AI Act“ veröffentlicht das „TÜV AI.Lab“ den „AI Act Risk Navigator“ – ein kostenloses Online-Tool zur Risikoklassifizierung von KI-Systemen. „Mit dem ,AI Act Risk Navigator’ des ,TÜV AI.Lab’ bieten wir eine nutzerfreundliche Anwendung, mit der Unternehmen verstehen können, ob und wie sie vom AI Act betroffen sind“, erläutert Franziska Weindauer, Geschäftsführerin des „TÜV AI.Lab“.

„Unser Ziel ist es, Klarheit über die Auswirkungen der KI-Verordnung zu schaffen, so dass Unternehmen sich rechtzeitig vorbereiten können. Wenn wir Qualitätsanforderungen an Künstliche Intelligenz von Beginn an mitdenken, kann vertrauenswürdige Künstliche Intelligenz zum europäischen Alleinstellungsmerkmal werden.“ Der „AI Act Risk Navigator“ soll dabei Unterstützung bieten, KI-Systeme gemäß den Risikoklassen des „AI Act“ einzuordnen und Transparenz über die geltenden Anforderungen zu schaffen.

Anforderungen je nach KI-Risikoklassifizierung

Die EU-Regulierung teile KI-Anwendungen in vier Risikoklassen mit jeweils unterschiedlichen Anforderungen ein, welche in den kommenden Monaten schrittweise einzuhalten seien. Systeme mit hohem Risiko, die in Bereichen wie Medizin, Kritische Infrastrukturen oder Personalmanagement eingesetzt werden, unterlägen beispielsweise künftig strengen Auflagen und müssten umfassende Anforderungen an Transparenz, Sicherheit und Aufsicht erfüllen.

Bei Verstößen drohten Bußgelder von bis zu 15 Millionen Euro oder bis zu drei Prozent des weltweiten Jahresumsatzes. „Wir wissen, dass das für Unternehmen Fragen aufwirft. Deshalb wollen wir zu größerer Klarheit über das eigene Risikoprofil und die zu erfüllenden Anforderungen beitragen“, unterstreicht Weindauer.

Systeme mit begrenztem Risiko, wie etwa sogenannte Chatbots, müssten nur Transparenzanforderungen erfüllen, während Systeme mit minimalem Risiko, wie z.B. einfache Videospiele, gar nicht reguliert würden. Die risikobasierte Klassifizierung solle sicherstellen, „dass der Einsatz von KI sicher und vertrauenswürdig ist, damit so die Innovationskraft der Technologie und deren Marktdurchdringung weiter gesteigert werden kann“.

Weitere Informationen zum Thema:

TÜV AI.LAB
AI Act Risk Navigator / Classify your Risk according to the EU AI Act

[datensicherheit.de, 20.04.2024] Die sogenannte Digitalministerkonferenz (DMK) soll eine Plattform für länderübergreifenden Austausch bieten, um die Digitalisierung in Deutschland voranzutreiben. Der TÜV-Verband sieht nach eigenen Angaben in dieser Konferenz einen „wichtigen, aber überfälligen Schritt zur Koordinierung der Digitalisierungsbestrebungen“. Die Skepsis hinsichtlich ihrer Durchschlagskraft bleibe indes bestehen.

1. DMK-Treffen markiert notwendigen Schritt, Digitalisierungsanstrengungen länderübergreifend zu koordinieren

Zum ersten Mal haben sie die DMK-Akteure nun in Potsdam getroffen, um über die digitale Zukunft des Landes zu beraten. „Die Digitalisierung in Deutschland muss effizient und ohne Barrieren zwischen den Bundesländern vorangetrieben werden. Die erste Digitalministerkonferenz markiert daher einen notwendigen Schritt, die Digitalisierungsanstrengungen länderübergreifend zu koordinieren“, kommentiert Marc Fliehe, Fachbereichsleiter „Digitalisierung und Bildung“ beim TÜV-Verband.

Der TÜV-Verband begrüßt demnach diese Initiative ausdrücklich. Bisher seien viele digitalpolitische Kernthemen in Regie und nach Vorstellung der Bundesländer sowie föderal organisiert worden. Die DMK biete nun eine Plattform, Deutschland im Bereich digitaler Bildung, Digitalisierung der Verwaltung und Cyber-Sicherheit effektiv voranzubringen. Fliehe merkt jedoch an: „Es bleibt jedoch eine gewisse Skepsis hinsichtlich der Durchschlagskraft bestehen und es bleibt abzuwarten, wie nachhaltig und effektiv die beschlossenen Maßnahmen in die Praxis umgesetzt werden.“

58 Prozent der Unternehmen haben hohen Weiterbildungsbedarf bei Digitalkompetenzen

Fliehe benennt eine zentrale Herausforderung: „Ein länderübergreifendes Problem ist der Fachkräftemangel, der durch eine unzureichende digitale Bildung verschärft wird. Unsere Weiterbildungsstudie zeigt, dass erheblicher Bedarf besteht, Digital-Qualifikationen auf breiter Front zu fördern. Über die Hälfte – 58 Prozent – der Unternehmen hat einen hohen Weiterbildungsbedarf an Digitalkompetenzen. Untätigkeit in diesem Bereich gefährdet die Zukunftsfähigkeit unserer Wirtschaft.“

Grundlage der Studienergebnisse sei eine repräsentative Umfrage des Marktforschungsinstituts Forsa im Auftrag des TÜV-Verbands unter 500 Unternehmen ab 20 Mitarbeitern in Deutschland. Befragt worden seien von Oktober bis Dezember 2023 Verantwortliche für Weiterbildung, Geschäftsführer, CEOs und Vorstände.

Digitalisierung der Verwaltung: KI-Einsatz könnte helfen Bürokratie-Lasten abzubauen

Dringender Handlungsbedarf bestehe auch hinsichtlich der Zukunftstechnologie Künstliche Intelligenz (KI) – ansonsten drohe Deutschland international den Anschluss zu verlieren. Bisher böten nur wenige Unternehmen ihren Mitarbeitern KI-Weiterbildungen an: „Nur in zwölf Prozent der Unternehmen haben Mitarbeitende an KI-Fortbildungen teilgenommen. In weiteren sechs Prozent ist das konkret geplant und zehn Prozent ermitteln den Bedarf.“

Dagegen sähen 71 Prozent aktuell keinen Bedarf für KI-Schulungen. Fliehe unterstreicht: „Nachdem die Digitalisierung der Verwaltung in der Vergangenheit eher stiefmütterlich behandelt wurde, muss die Integration von Künstlicher Intelligenz jetzt Priorität haben.“ Durch KI-Einsatz könnten Bürokratie-Lasten abgebaut und erhebliche Effizienzgewinne erzielt werden.

Effektive Digitalisierungsstrategie erfordert Nutzung bestehender Synergien

„Für eine effektive Digitalisierungsstrategie ist es unerlässlich, sollten die Bundesländer nicht in Silos denken, sondern bestehende Synergien nutzen, die durch eine Zusammenarbeit mit etablierten nationalen Akteuren entstehen.“ Die Bundesländer müssten die national verfügbaren Digital-Ressourcen nutzen, um eine robuste, sichere und zukunftsfähige Digitalstrategie zu entwickeln.

Fliehes Fazit: „Dies wird nicht nur die Effizienz staatlicher Dienstleistungen verbessern, sondern auch die internationale Wettbewerbsfähigkeit Deutschlands stärken.“

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 19.04.2024
Digitalministerkonferenz: BSI-Präsidentin Claudia Plattner informierte über Chancen und Risiken von KI

D16 DIGITAL MINISTER TREFFEN BERLIN BRANDNEBURG 2023-2024, 09.11.2023
Konzeptpapier / Die Digitalministerkonferenz (DMK) / Selbstverständnis – Orga

TÜV VERBAND
Digitalisierung