{"id":53546,"date":"2025-07-01T09:11:17","date_gmt":"2025-07-01T17:11:17","guid":{"rendered":"https:\/\/www.sumologic.com\/blog\/hoeren-sie-auf-alberne-ki-sicherheitsrichtlinien-zu-schreiben-setzen-sie-stattdessen-auf-threat-models-bedrohungsmodelle-nicht-auf-angst"},"modified":"2026-02-25T04:25:53","modified_gmt":"2026-02-25T12:25:53","slug":"ai-security-policies","status":"publish","type":"blog","link":"https:\/\/www.sumologic.com\/de\/blog\/ai-security-policies","title":{"rendered":"H\u00f6ren Sie auf, alberne KI-Sicherheitsrichtlinien zu schreiben \u2013 setzen Sie stattdessen auf Bedrohungsmodelle, nicht auf Angst"},"content":{"rendered":"\n<section class=\"e-stn e-stn-0d652506f82b000a392973813b918ee25d5b4211 e-stn--glossary-inner-content e-stn--table-of-content\"><div class=\"container\">\n<div class=\"wp-block-b3rg-row e-row row\">\n<div class=\"wp-block-b3rg-column e-col e-col-1f7b3997080fc292474d26ff00c905d99d3520fa e-col--content-wrapper  col-sm-12 col-lg-12 col-xl-12\">\n<div class=\"e-div e-div-a1b32f66e1749758df41d5aea14f647cd10e362c e-div--card-btn-link\">\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"293\" src=\"https:\/\/www.sumologic.com\/wp-content\/uploads\/\/AI-security_Blog_header_700x200-1024x293.jpg\" alt=\"Bew&#xE4;hrte Verfahren f&#xFC;r KI-Sicherheitsrichtlinien\" class=\"wp-image-27948\" title=\"\" srcset=\"https:\/\/www.sumologic.com\/wp-content\/uploads\/AI-security_Blog_header_700x200-1024x293.jpg 1024w, https:\/\/www.sumologic.com\/wp-content\/uploads\/AI-security_Blog_header_700x200-300x86.jpg 300w, https:\/\/www.sumologic.com\/wp-content\/uploads\/AI-security_Blog_header_700x200-768x219.jpg 768w, https:\/\/www.sumologic.com\/wp-content\/uploads\/AI-security_Blog_header_700x200-575x164.jpg 575w, https:\/\/www.sumologic.com\/wp-content\/uploads\/AI-security_Blog_header_700x200.jpg 1400w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<p>Jedes Mal, wenn mich jemand fragt, wie man eine <a href=\"https:\/\/www.sumologic.com\/de\/blog\/machine-learning-deep-learning\">KI<\/a>-Richtlinie aufbaut, sterbe ich innerlich ein kleines St\u00fcck. Nicht, weil es eine schlechte Frage ist, sondern weil meine Antwort immer dieselbe bleibt: \u201eK\u00f6nnen wir sie zur Abwechslung mal nicht auf reiner Angst aufbauen?\u201c Die meisten Menschen verstehen nicht, wie eine KI-Architektur funktioniert \u2013 deshalb ist ihr erster Instinkt: Panik.   <\/p>\n\n\n\n<p>Und wir haben diesen Film schon einmal gesehen: Cloud, Mobile, Bring Your Own Device (BYOD). In der Sekunde, in der etwas Neues auftaucht, verwandelt sich die <a href=\"https:\/\/www.sumologic.com\/de\/solutions\/security\">Security<\/a>-Abteilung in die \u201eNein-Abteilung\u201c und erkl\u00e4rt den Teams: \u201eIhr d\u00fcrft ChatGPT nicht benutzen. Ihr k\u00f6nntet sensible Daten leaken.\u201c\u00a0<\/p>\n\n\n\n<p>In der Zwischenzeit hat dieselbe Person gerade eine Kunden-ID in ein \u00f6ffentliches GitHub-Issue eingef\u00fcgt. Gutes Gespr\u00e4ch.<\/p>\n\n\n<style><\/style><style><\/style>\n<section class=\"e-stn e-stn-56e7d4c8a7de949ca8e7ef6e847c233907af1c86 e-pt-40 e-pb-40\"><style>@media only screen and (max-width: 9999px) {\n\t\t\t\t\t\t\t\t\t.e-stn.e-stn-56e7d4c8a7de949ca8e7ef6e847c233907af1c86 { \n\t\t\t\t\t\t\t\t\t\tbackground-color: #f8f8f8; \n\t\t\t\t\t\t\t\t\t}\n\t\t\t\t\t\t\t\t}@media only screen and (max-width: 1200px) {\n\t\t\t\t\t\t\t\t\t.e-stn.e-stn-56e7d4c8a7de949ca8e7ef6e847c233907af1c86 { \n\t\t\t\t\t\t\t\t\t\tbackground-color: #f8f8f8; \n\t\t\t\t\t\t\t\t\t}\n\t\t\t\t\t\t\t\t}<\/style><div class=\"container\">\n<div class=\"wp-block-b3rg-row e-row row justify-content-center\">\n<div class=\"wp-block-b3rg-column e-col e-col-aa7dff73b9f028db5f3d310beef8385bc537c675  col-sm-10\">\n<h3 class=\"wp-block-heading has-text-align-center\" id=\"respond-faster-with-sumo-logic-dojo-ai-1\">Respond faster with Sumo Logic Dojo AI<\/h3>\n\n\n\n<p class=\"has-text-align-center\">Cut through the noise, detect threats faster, and resolve issues before they disrupt your operations.<\/p>\n\n\n\n<div class=\"wp-block-group is-content-justification-center is-nowrap is-layout-flex wp-container-core-group-is-layout-fffd27ee wp-block-group-is-layout-flex\" style=\"padding-top:0;padding-bottom:var(--wp--preset--spacing--60)\"><div class=\"e-btn e-btn--underline-black-common-link-with-arrow\"><a class=\"e-btn__link\"href=\"https:\/\/www.sumologic.com\/solutions\/dojo-ai\" target=\"_self\">\n<p class=\"title\">Explore Dojo AI<\/p>\n<\/a><\/div><\/div>\n\n\n\n<div id=\"wistia-block_1ecf529a1737f97da6797e7ffe0e9e2b\" class=\"wistia-video-block\" data-wistia-video=\"wistia_471zkno1sb\">\n\n    <script src=\"https:\/\/fast.wistia.com\/player.js\" async><\/script>\n    <script src=\"https:\/\/fast.wistia.com\/embed\/471zkno1sb.js\" async type=\"module\"><\/script>\n\n    <style>\n        wistia-player[media-id='471zkno1sb']:not(:defined) {\n            background: center \/ contain no-repeat url('https:\/\/fast.wistia.com\/embed\/medias\/471zkno1sb\/swatch');\n            display: block;\n            filter: blur(5px);\n            padding-top: 56.25%;\n        }\n    <\/style>\n\n    <wistia-player\n        media-id=\"471zkno1sb\"\n        aspect=\"1.7777777777777777\">\n    <\/wistia-player>\n\n<\/div>\n\n<style>\n    div[data-wistia-video=\"wistia_471zkno1sb\"] {\n        position: relative;\n        width: 100%;\n        padding-top: 56.25%;\n        background: center \/ cover no-repeat url('https:\/\/fast.wistia.com\/embed\/medias\/471zkno1sb\/swatch');\n    }\n\n    div[data-wistia-video=\"wistia_471zkno1sb\"] wistia-player {\n        position: absolute;\n        top: 0;\n        left: 0;\n        width: 100%;\n        height: 100%;\n        filter: none;\n    }\n<\/style>\n<\/div>\n<\/div>\n<\/div><\/section>\n\n\n\n<style>\n a.e-btn__link { text-decoration: none !important; }\n\n.e-stn--glossary-inner-content .e-col--content-wrapper h3, .e-stn--glossary-inner-content .e-col--content-wrapper .h3 { padding: 0 !important; }\n\n@media (min-width: 992px) {\n    .e-stn--glossary-inner-content .e-col--content-wrapper h3, .e-stn--glossary-inner-content .e-col--content-wrapper .h3 { padding: 0 !important; }\n}\n<\/style>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"the-fear-reflex-doesn-t-scale\">Der Angstreflex skaliert nicht<\/h2>\n\n\n\n<p>Furcht ist keine Strategie. Die Aussage \u201eKI verboten\u201c verringert das Risiko nicht. Sie garantiert nur:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Schatten-IT (die Mitarbeiter werden sie sowieso benutzen)<br\/><\/li>\n\n\n\n<li>Inkonsistenz (Microsoft Copilot erlaubt, aber ChatGPT verboten?)<br\/><\/li>\n\n\n\n<li>Verlust des Vertrauens in die Sicherheit (der wichtigste Teil Ihrer Arbeit)<br\/><\/li>\n<\/ul>\n\n\n\n<p>Wenn wir den sicheren und vern\u00fcnftigen Einsatz der KI in unseren Unternehmen erm\u00f6glichen wollen, m\u00fcssen wir von un\u00fcberlegten Einschr\u00e4nkungen zu bedrohungsbasierten Entscheidungen \u00fcbergehen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"policies-without-threat-models-are-just-paranoia\">Eine Richtlinie ohne Bedrohungsmodelle ist nur Paranoia<\/h2>\n\n\n\n<p>Eine echte Sicherheitsrichtlinie sollte folgende Fragen beantworten:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Was sch\u00fctzen wir?<br\/><\/li>\n\n\n\n<li>Vor wem?<br\/><\/li>\n\n\n\n<li>Und wie kann es scheitern?<br\/><\/li>\n<\/ul>\n\n\n\n<p>Das ist Threat Modeling (Bedrohungsmodellierung). Und es funktioniert auch bestens im Zusammenhang mit der KI.<\/p>\n\n\n\n<p>Angenommen,<strong> <\/strong> das Entwicklungsteam m\u00f6chte ChatGPT f\u00fcr die Zusammenfassung von Supportf\u00e4llen verwenden.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Asset:<\/strong> Interne Support-Dokumente<br\/><\/li>\n\n\n\n<li><strong>Bedrohung:<\/strong> Prompt-Injection, Datenverluste, Halluzinationen<br\/><\/li>\n\n\n\n<li><strong>Auswirkungen:<\/strong> Geleakter Workflow, schlechte Kundenberatung<br\/><\/li>\n\n\n\n<li><strong>Steuerelemente:<\/strong> Vorlagen, keine personenbezogenen Daten, Audit-Protokolle<br\/><\/li>\n<\/ul>\n\n\n\n<p>Sie haben jetzt einen Grund, \u201eJa \u2013 mit Leitplanken\u201c zu sagen, anstatt \u201eNein \u2013 kein gutes Gef\u00fchl\u201c.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"a-simple-framework-that-doesn-t-suck\">Ein einfaches Framework, das nicht nervt<\/h2>\n\n\n\n<p>Um die sichere Nutzung der KI in Ihrem Unternehmen zu gew\u00e4hrleisten, sollten Sie zun\u00e4chst folgende Ma\u00dfnahmen ergreifen:\u00a0<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Inventarisierung und Erkennung<\/strong>: Finden Sie alle KI-Nutzungen (Schatten oder nicht). Entwickler, Marketing, HR, Rechtsabteilung &#8211; glauben Sie mir, es ist \u00fcberall.<br\/><\/li>\n\n\n\n<li><strong>Datenklassifizierung<\/strong>: Wissen, was sensibel ist. PII? Quellcode? Strategie-Dokumente?<br\/><\/li>\n\n\n\n<li><strong>Zonen zulassen\/\u00fcberwachen\/verweigern<\/strong>: Nicht alles muss verboten werden. Verwenden Sie ein abgestuftes Modell, um Risiko und Produktivit\u00e4t auszugleichen.<br\/><\/li>\n\n\n\n<li><strong>Leitplanken und Protokollierung<\/strong>: Prompt-Filter, Ausgabevalidierung, Sitzungsaufzeichnung. Es gibt KI-Gateways \u2013 nutzen Sie sie.<br\/><\/li>\n\n\n\n<li><strong>Erm\u00f6glichen, nicht behindern<\/strong>: Mit Teams arbeiten. \u201eNein\u201c ist keine langfristige Richtlinie.<br\/><\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"five-policy-areas-you-re-probably-ignoring\">F\u00fcnf Richtlinienbereiche, die Sie wahrscheinlich ignorieren<\/h2>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Schatten-Feinabstimmung<\/strong>: Jeder kann jetzt ein LLaMA-Modell anhand interner Daten feinabstimmen. Viel Gl\u00fcck dabei, das wieder r\u00fcckg\u00e4ngig zu machen.<br\/><\/li>\n\n\n\n<li><strong>Abfluss von geistigem Eigentum durch Prompts:<\/strong>: Ihr Prompt ist Ihr Gesch\u00e4ftsgeheimnis. Lassen Sie nicht zu, dass Ihre Techniker sie in Discord-Gruppen teilen.<br\/><\/li>\n\n\n\n<li><strong>Browser-Erweiterungen<\/strong>: Jasper, Rewind, Merlin \u2013 das sind Exfil-Tools mit schickem Branding.<br\/><\/li>\n\n\n\n<li><strong>KI-geschriebene Rechtsdokumente<\/strong>: Hoppla, Sie haben gerade eine Garantieklausel halluziniert.<br\/><\/li>\n\n\n\n<li><strong>Autonome Agenten<\/strong>: Die Zapier+GPT-Einrichtung, die Ihr PM vorgenommen hat, sendet jetzt E-Mails an Kunden. Cool cool cool.<br\/><\/li>\n<\/ol>\n\n\n\n<p>F\u00fcr jeden dieser Punkte sind ein Bedrohungsmodell, eine Risikomatrix und eine Richtlinie erforderlich. Wir haben eine Beispielmatrix f\u00fcr Sie erstellt, falls mathematische Darstellungen das Ganze offizieller wirken lassen.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><tbody><tr><td><strong>Bereich<\/strong><\/td><td><strong>Wahrscheinlichkeiten<\/strong><\/td><td><strong>Auswirkungen<\/strong><\/td><td><strong>Risikostufe<\/strong><\/td><\/tr><tr><td>Schatten-Feinabstimmung<\/td><td>4<\/td><td>5<\/td><td>20<\/td><\/tr><tr><td>Prompt-Engineering-IP<\/td><td>3<\/td><td>4<\/td><td>12<\/td><\/tr><tr><td>KI-Browser-Erweiterungen<\/td><td>5<\/td><td>4<\/td><td>20<\/td><\/tr><tr><td>KI im Bereich Recht\/Compliance<\/td><td>3<\/td><td>5<\/td><td>15<\/td><\/tr><tr><td>Autonome KI-Agenten<\/td><td>4<\/td><td>5<\/td><td>20<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<style>\ntable.has-fixed-layout td {padding: 5px !important;}\n<\/style>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"visualize-or-die-trying\"><strong>Visualisieren oder beim Versuch sterben<\/strong><\/h3>\n\n\n\n<p>Um es ganz einfach zu halten, hier ein allgemeines Threat-Modeling-Modell:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Akteur<br\/><\/li>\n\n\n\n<li>Bedrohung<br\/><\/li>\n\n\n\n<li>Asset<br\/><\/li>\n\n\n\n<li>Auswirkungen<br\/><\/li>\n\n\n\n<li>Kontrollen<br\/><\/li>\n<\/ul>\n\n\n\n<p>Die \u00dcbersetzung\u201eH\u00e4ngen Sie das alles an ein Whiteboard und verbinden Sie die Punkte. Es funktioniert. Bonuspunkte gibt es, wenn Sie Leute au\u00dferhalb der Security-Abteilung dazuholen (Dev, GTM etc.) \u2013 so bauen Sie Br\u00fccken und erhalten eine vielf\u00e4ltigere Sicht auf das Problem.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"final-take\"><strong>Fazit<\/strong><\/h3>\n\n\n\n<p>KI-Richtlinien sind keine Ja\/Nein-Frage.<br\/><\/p>\n\n\n\n<p>Es geht darum, Folgendes herauszufinden:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Was ist der Anwendungsfall?<br\/><\/li>\n\n\n\n<li>Wie hoch ist das Risiko?<br\/><\/li>\n\n\n\n<li>K\u00f6nnen wir Kontrollen einrichten?<br\/><\/li>\n<\/ul>\n\n\n\n<p>Die Sicherheitsabteilung ist nicht dazu da, die Moralpolizei zu spielen. Unsere Aufgabe ist es, das Gesch\u00e4ft sicher zu erm\u00f6glichen.<\/p>\n\n\n\n<p>Verabschieden Sie sich von der Blockade-Haltung und gehen Sie zur Bedrohungsmodellierung \u00fcber. Dann werden die Mitarbeiter ihre KI-Nutzung m\u00f6glicherweise auch nicht mehr verheimlichen.<\/p>\n\n\n\n<p>Die KI-Richtlinie ist nur die halbe Miete. <a href=\"https:\/\/www.sumologic.com\/de\/blog\/ai-data-privacy-risks\">Verstehen Sie die Risikolandschaft hinter dem Datenschutz im Zusammenhang mit der KI.<\/a><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div><\/section>\n","protected":false},"excerpt":{"rendered":"","protected":false},"author":331,"featured_media":47387,"template":"","meta":{"_acf_changed":false,"show_custom_date":false,"custom_date":"","featured":false,"featured_image":0,"learn_more_label":"","image_alt_text":"","learn_more_type":"","show_popup":false,"learn_more_link_file":0,"event_date":false,"event_start_date":"","event_end_date":"","place_holder_image_url":"","post_reading_time":"3","notification_enabled":false,"notification_text":"","notification_logo":"","notification_expiration_time":0,"is_enable_transparent_header":false,"selected_taxonomy_terms":{"blog-category":[257],"blog-tag":[],"translation_priority":[221]},"selected_primary_terms":[],"learn_more_link":[],"featured_page_list":[],"notification_enabled_post_list":[],"_gspb_post_css":"","_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"52702,73095,62709","_relevanssi_noindex_reason":"","inline_featured_image":false,"footnotes":""},"blog-category":[257],"blog-tag":[],"class_list":["post-53546","blog","type-blog","status-publish","has-post-thumbnail","hentry","blog-category-secops-security"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/blog\/53546","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/blog"}],"about":[{"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/types\/blog"}],"author":[{"embeddable":true,"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/users\/331"}],"version-history":[{"count":9,"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/blog\/53546\/revisions"}],"predecessor-version":[{"id":70164,"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/blog\/53546\/revisions\/70164"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/media\/47387"}],"wp:attachment":[{"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/media?parent=53546"}],"wp:term":[{"taxonomy":"blog-category","embeddable":true,"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/blog-category?post=53546"},{"taxonomy":"blog-tag","embeddable":true,"href":"https:\/\/www.sumologic.com\/de\/wp-json\/wp\/v2\/blog-tag?post=53546"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}