it-sa 2025: KI-Governance für den Mittelstand – Erkenntnisse und Handlungsempfehlungen

Wenn gefühlt halb Deutschland über NIS2 reden will

Nürnberg, Anfang Oktober 2025. Die Gänge der it-sa sind voll, die Gespräche intensiv, der Kaffee stark. Unser Team war mit vollem Einsatz vor Ort – und eines wurde schnell klar: Die digitale Zeitenwende ist im Mittelstand angekommen.

Was uns besonders beeindruckt hat? Nicht die großen Keynotes oder die neuesten Tech-Gadgets. Sondern die Gespräche zwischen Kaffee und Currywurst. Die ehrlichen Fragen von IT-Entscheidern, Geschäftsführern und Compliance-Verantwortlichen, die alle dasselbe umtreibt: Wie kriegen wir Compliance hin, ohne dass es uns ausbremst?

Von der 50-Personen-Firma bis zum etablierten Mittelständler – NIS2, KI-Risiken und digitale Souveränität waren die Dauerbrenner-Themen. Und genau darüber wollen wir in diesem Beitrag sprechen.

Digitale Souveränität: Der heimliche Star der Messe

Alexander Ingelheim, CEO und Mitgründer von Proliance, brachte es im Interview auf den Punkt:

‍"Jeder Stand, der sich mit Made in Europe oder Made in Germany gekennzeichnet hatte, war doppelt so gut besucht wie die anderen."

Das ist kein Zufall. Es ist ein klares Signal, wohin die Reise in der digitalen Sicherheit geht. Unternehmen wollen nicht nur compliant sein – sie wollen Kontrolle über ihre Daten, ihre Prozesse und ihre Risiken. Und sie wollen Partner, die das verstehen.

Besonders spannend: Das Thema betrifft längst nicht mehr nur die "üblichen Verdächtigen" aus der IT- oder Finanzbranche. Wir haben mit Unternehmen aus Pflege, Produktion, Logistik und Handel gesprochen – und alle stellen sich die gleichen Fragen:

• Wie schützen wir unsere kritischen Daten vor ausländischen Cloud-Anbietern?

• Welche Risiken bringt KI wirklich mit sich?

• Wie werden wir NIS2-konform, ohne die IT-Abteilung zu überlasten?

Panel-Diskussion: "Risk Exposure – Was ändert KI wirklich?"

Am zweiten Messetag stand Florian Müller, Head of Product & Technology bei Proliance, gemeinsam mit Martin J. Kraemer (KnowBe4) und Dominic Haussmann (Cloudflare) auf der Bühne. Das Thema: "Risk Exposure: Was ändert KI wirklich?"

Die zentrale Erkenntnis vorweg: KI ist Freund UND Feind. Sie hilft bei der Erkennung von Bedrohungen, der Automatisierung von Sicherheitsprozessen und der Analyse riesiger Datenmengen. Gleichzeitig schaffen Tools wie FraudGPT neue Angriffsvektoren, und sich häufende Hacks bei ChatGPT, Gemini & Co. zeigen: Auch KI-Systeme sind verwundbar.

Die drei wichtigsten Erkenntnisse aus dem Panel:

1. Governance entscheidet über Erfolg oder Scheitern

Viele Unternehmen setzen KI ein, ohne klare Regeln zu definieren: Wer darf was? Welche Daten dürfen verarbeitet werden? Wie werden KI-Entscheidungen dokumentiert? Ohne eine solide KI-Governance-Struktur wird aus Innovation schnell ein Haftungsrisiko.

2. Der Mittelstand braucht pragmatische Lösungen

Die meisten KMU haben weder die Ressourcen noch die Expertise, um komplexe KI-Sicherheitskonzepte selbst zu entwickeln. Was zählt: Praktische Antworten statt komplizierte Theorie. Unternehmen wollen wissen: Was muss ich konkret tun? Welche Maßnahmen sind wirklich notwendig?

3. KI-Security ist kein IT-Thema – es ist ein Unternehmensthema

Von Legal über HR bis Operations: KI betrifft alle Abteilungen. Deshalb muss auch die Sicherheitsstrategie abteilungsübergreifend gedacht werden. Informationssicherheit muss in die DNA des Unternehmens integriert werden – nicht als lästige Pflicht, sondern als strategischer Wettbewerbsvorteil.

Was der Mittelstand jetzt wissen muss: FAQ zu KI-Governance und NIS2

Was ist KI-Governance und warum ist sie wichtig?

KI-Governance umfasst alle Regeln, Prozesse und Kontrollen, die den Einsatz von künstlicher Intelligenz im Unternehmen steuern. Sie definiert:

• Welche KI-Tools eingesetzt werden dürfen

• Wie sensible Daten geschützt werden

• Wer für KI-Entscheidungen verantwortlich ist

• Wie Risiken erkannt und minimiert werden

Ohne klare Governance steigt das Risiko für Datenschutzverletzungen, Compliance-Verstöße und Reputationsschäden erheblich.

Wie hängen NIS2 und KI-Security zusammen?

Die NIS2-Richtlinie verpflichtet Unternehmen aus kritischen Sektoren zu umfassenden Cybersicherheitsmaßnahmen. KI-Systeme müssen dabei besonders geschützt werden, da sie:

• Häufig mit sensiblen oder personenbezogenen Daten arbeiten

• Neue Angriffsflächen schaffen (z.B. durch Prompt Injection)

• Bei Ausfall kritische Geschäftsprozesse lahmlegen können

NIS2 fordert konkret: Risikomanagement, Incident Response, Supply Chain Security und regelmäßige Sicherheitsüberprüfungen – alles Bereiche, in denen KI eine zentrale Rolle spielt.

Was sind die größten KI-Risiken für KMU?

• Datenschutzverletzungen: KI-Tools verarbeiten oft ungewollt personenbezogene oder vertrauliche Daten

• Shadow AI: Mitarbeitende nutzen KI-Tools ohne Wissen der IT-Abteilung

• Abhängigkeit von Drittanbietern: Externe KI-Dienste können Sicherheitslücken haben oder ausfallen

• Fehlende Nachvollziehbarkeit: "Black Box"-Entscheidungen lassen sich nicht erklären oder auditieren

• Angriffe durch KI: Kriminelle nutzen KI für Phishing, Deepfakes oder automatisierte Cyberangriffe

Konkrete Handlungsempfehlungen: 5 Schritte zu sicherer KI-Governance

1. Bestandsaufnahme: Welche KI-Tools werden genutzt?

Erfassen Sie systematisch, welche KI-Anwendungen in Ihrem Unternehmen im Einsatz sind – auch jene, die Mitarbeitende privat nutzen. Erstellen Sie ein KI-Inventar mit Informationen zu Anbieter, Datenfluss und Schutzbedarf.

2. Risikoanalyse durchführen

Bewerten Sie für jedes KI-Tool:

• Welche Daten werden verarbeitet?

• Wo liegen die Daten (Serverstandort)?

• Wie hoch ist das Risiko bei einem Ausfall oder Datenleck?

• Gibt es Alternativen mit besserer Sicherheit?

3. Klare Nutzungsrichtlinien etablieren

Definieren Sie verbindliche Regeln:

• Welche KI-Tools sind erlaubt, welche verboten?

• Welche Daten dürfen NICHT in KI-Systeme eingegeben werden?

• Wie werden KI-Entscheidungen dokumentiert?

• Wer ist verantwortlich?

4. Mitarbeitende schulen

Sensibilisieren Sie Ihr Team für KI-Risiken durch:

• Regelmäßige Awareness-Trainings

• Praxisnahe Beispiele (z.B. Phishing mit KI)

• Klare Dos and Don'ts im Arbeitsalltag

5. Externe Expertise nutzen

Der Mittelstand hat oft nicht die Ressourcen für eigene KI-Security-Experten. Holen Sie sich professionelle Unterstützung – sei es durch externe Datenschutzbeauftragte, Informationssicherheits-Berater oder spezialisierte Plattformen.

Unser Fazit von der it-sa 2025

Die it-sa 2025 hat gezeigt: Das Thema Informationssicherheit ist im Mittelstand angekommen. Nicht als theoretisches Konzept, sondern als drängende, praktische Herausforderung.

Unternehmen suchen nicht nach der perfekten Lösung – sie suchen nach einer Lösung, die funktioniert. Einer Lösung, die sie nicht ausbremst, sondern befähigt. Einer Lösung, die ihnen Sicherheit gibt, ohne sie zu überfordern.

Genau deshalb haben wir Proliance 360 InfoSec entwickelt: Eine zentrale Plattform für den Mittelstand, die Informationssicherheit greifbar macht – auch ohne tiefes internes Know-how. Von NIS2 über ISO 27001 bis zur KI-Governance: Alles aus einer Hand, kombiniert mit der Expertise zertifizierter Berater.

Denn am Ende geht es nicht darum, Compliance abzuhaken. Es geht darum, Ihr Unternehmen zukunftssicher zu machen – in einer Welt, in der KI, Cyberrisiken und regulatorische Anforderungen rasant zunehmen.