Newsletter #9 KI und Sicherheit. Was wir täglich vergessen, während wir tippen

Wann habt ihr das letzte Mal eine KI genutzt? Und wann habt ihr das letzte Mal nachgedacht, was sie dabei über euch gelernt hat?

Wir stellen KI-Assistenten täglich unsere intimsten Fragen — über Gesundheit, Geld, Beziehungen, Ängste. Was damit passiert, bleibt für die meisten von uns im Dunkeln. In dieser Episode gehen Joana und Bettina das Thema KI und Sicherheit in sieben Themenblöcken durch — nicht als abstraktes Tech-Problem, sondern als etwas, das uns alle schon heute betrifft.

Hier findet ihr die aktuelle Folge als Videocast (Opens in a new window).

Deine Daten: Was wirklich passiert

Das erste Problem ist strukturell. KI-Tools sind beim Thema Datenverwertung oft intransparent — sie gelten deshalb als "Black Boxes". Wer eine kostenlose KI-App nutzt, hat in der Regel per Klick auf "Akzeptieren" zugestimmt, dass seine Gespräche für das Training verwendet werden. Unternehmen müssen aktiv Opt-out wählen und dies dokumentieren — als Privatperson hat man das oft ohne es zu wissen bereits abgenickt (Datenschutzbehörden EU / DSGVO Artikel 22). Das betrifft nicht nur harmlose Anfragen: Menschen schildern KI-Assistenten ihre psychischen Probleme, ihre Finanzsituation, ihre Familienkonflikte. Alles davon kann in Modellen weiter bestehen.

Wer glaubt, er könne seine Daten einfach löschen lassen, wird enttäuscht. Aktuelle Machine-Unlearning-Verfahren sind nicht ausreichend entwickelt, um eine verlässliche und vollständige Löschung sicherzustellen (EDPS, Machine Unlearning). Dazu kommt das sogenannte Memorisierungsproblem: Es besteht das Risiko, dass ein Modell im Training enthaltene personenbezogene Daten im Output reproduziert. Was du der KI erzählt hast, könnte theoretisch einem anderen User als Antwort ausgespuckt werden.

Und eine dritte Dimension: automatisierte Entscheidungen auf Basis von Daten, die du nie bewusst "abgegeben" hast. Wenn aus Daten automatisierte Entscheidungen mit erheblicher Wirkung erfolgen — etwa die Ablehnung eines Kredits — greift DSGVO Artikel 22. In der Praxis passiert genau das täglich, ohne dass User es merken.

Das alles wäre schon für sich genommen Grund zur Wachsamkeit. Doch die Bedrohung bleibt nicht beim passiven Datenproblem — KI wird aktiv als Werkzeug eingesetzt, um Menschen zu manipulieren.

KI als Angriffswerkzeug: Die neue Bedrohungslage

KI hat die Eintrittsbarriere für Angreifer auf nahezu null gesenkt. Das bekannteste Beispiel des vergangenen Jahres: das britische Ingenieurbüro Arup verlor im Februar 2024 rund 25 Millionen Dollar. Ein Mitarbeiter in Hongkong wurde per Videokonferenz kontaktiert — von scheinbaren Kollegen, darunter dem CFO. Alle waren KI-Fälschungen (CNN, 4. Februar 2024). Er überwies das Geld in mehreren Transaktionen (Trend Micro, 7. Februar 2024).

Und es bleibt nicht bei Unternehmensangriffen. Das FBI warnte 2025, dass böswillige Akteure leitende US-Regierungsbeamte per KI-generierter Sprachnachricht imitieren (FBI, 15. Mai 2025). Der Einsatz von KI-basiertem Stimmklonen stieg zwischen der ersten und zweiten Hälfte 2024 um 442% (CrowdStrike Global Threat Report, 2025).

Was diese Bedrohung so schwer greifbar macht: Sie trifft nicht nur Unternehmen. Dieselbe Technologie, mit der ein CFO gefälscht wird, klont auch die Stimme der eigenen Tochter.

Der digitale Klon: Wenn die Stimme deiner Tochter nicht ihre Stimme ist

Im Juli 2025 erhielt Sharon Brightwell aus Dover, Florida, einen Anruf ihrer "Tochter": weinend, verzweifelt, mit der Nachricht von einem Autounfall, einem verlorenen Kind und rechtlichen Schwierigkeiten. Brightwell überwies 15.000 Dollar in bar — und sprach nie mit ihrer echten Tochter (American Bar Association, September 2025).

Solche Fälle sind keine Einzelfälle mehr. Im Jahr 2024 verloren Amerikaner über 60 Jahre fast 4,9 Milliarden Dollar durch Cyberkriminalität — ein Anstieg von 43% gegenüber dem Vorjahr. KI-Stimmklonen stellt dabei eine beunruhigende Weiterentwicklung des klassischen Ältestenbetrugs dar (FBI Cybercrime Report 2024, zitiert nach Kathie Brown Roberts P.C., November 2025). Was die Manipulation so effektiv macht: "Der emotionale Realismus einer geklonten Stimme beseitigt die mentale Barriere zur Skepsis. Wenn es sich wie dein Angehöriger anhört, neigen deine rationalen Abwehrmechanismen dazu, abzuschalten." (American Bar Association, September 2025).

Das Erschreckende: All diese Angriffe brauchen keinen menschlichen Angreifer mehr, der aktiv am Steuer sitzt. Die nächste Stufe sind Systeme, die das völlig autonom übernehmen.

Autonome Agenten: Wenn KI das Drehbuch verlässt

KI-Agenten sind kein Science-Fiction mehr. Sie handeln eigenständig, treffen Entscheidungen und führen Aufgaben über viele Schritte hinweg aus. Das Kernproblem dabei ist strukturell: Agenten sind nicht darauf ausgelegt, Regeln zu befolgen — sie sind darauf ausgelegt, Ziele zu erreichen.

Angreifer könnten versteckte Befehle in Webseiten einbetten — für das menschliche Auge unsichtbar, für eine KI legitim — die einen Agenten dazu bringen, E-Mails zu teilen oder ein Bankkonto zu leeren (Fortune, 23. Dezember 2025). Browser, die Webseiten zusammenfassen, wurden dazu gebracht, Zugangsdaten zu leaken. Copilots haben Aktionen auf Basis vergifteter E-Mails ausgeführt (Lakera AI, 2025).

2025 wurde das konkret: EchoLeak, ein Exploit in Microsoft 365 Copilot, ermöglichte eine Datenexfiltration per einzelner manipulierter E-Mail — ohne Authentifizierung und unter Umgehung von Microsofts eigener Sicherheitsklassifizierung (Medium / Jonathan Capriola, CVE-2025-32711). OpenAI räumte ein, dass Prompt-Injection-Angriffe möglicherweise nie vollständig lösbar sein werden (Fortune, 23. Dezember 2025).

Diese Entwicklung passiert nicht im Vakuum. Sie ist Teil eines größeren Wettrüstens — in dem Angreifer und Verteidiger exakt dieselben Werkzeuge nutzen.