TAllgemein

TOMs (Technische & organisatorische Maßnahmen) bei KI

Sicherheitsmaßnahmen wie Zugriff, Protokolle, Verschlüsselung, Prozesse.

TOMs (Technische & organisatorische Maßnahmen) bei KI sind die konkreten Sicherheits- und Prozessmaßnahmen, mit denen ein Unternehmen den Einsatz von KI-Tools so absichert, dass Daten geschützt werden und Risiken (z. B. Datenabfluss, Fehlentscheidungen, unberechtigter Zugriff) beherrschbar bleiben. Dazu gehören u. a. Zugriffskontrollen, Protokollierung, Verschlüsselung, klare Regeln und Verantwortlichkeiten.

Was bedeutet „technisch“ und „organisatorisch“ bei TOMs?

Technische Maßnahmen sind Einstellungen und Schutzfunktionen in Tools und IT (z. B. Login, Rollen, Verschlüsselung, Geräte- und Netzwerk-Schutz). Organisatorische Maßnahmen sind Regeln, Abläufe und Zuständigkeiten (z. B. wer darf KI wofür nutzen, Freigabeprozesse, Schulungen, Incident-Prozess). Für KMU ohne IT-Abteilung ist wichtig: TOMs müssen praktikabel sein und im Alltag wirklich gelebt werden.

Wie funktionieren TOMs bei KI in der Praxis? (einfacher Ablauf)

  • 1) Daten einordnen: Welche Informationen dürfen in ein KI-Tool? (z. B. öffentlich, intern, vertraulich, personenbezogen).
  • 2) Tool-Auswahl absichern: Nur Tools nutzen, die passende Sicherheitsoptionen bieten (z. B. Admin-Konsole, Logging, Datenaufbewahrung).
  • 3) Zugriffe begrenzen: Rollen & Rechte definieren (wer darf was), idealerweise mit MFA/2FA.
  • 4) Nutzung steuern: Klare Regeln, Vorlagen und Freigaben (z. B. für Angebote, Rechts- oder HR-Texte).
  • 5) Kontrollieren & verbessern: Stichproben, Protokolle, Feedback aus dem Team, Anpassung der Regeln.

Typische TOMs bei KI (mit Beispielen für KMU)

  • Zugriff & Identitäten: Mitarbeiterkonten statt geteilte Logins, Rollen (z. B. „Nutzer“/„Admin“), MFA, Offboarding-Prozess (Zugänge sofort sperren, wenn jemand geht).
  • Protokollierung (Logging): Nachvollziehen, wer welches KI-Tool genutzt hat, welche Workflows liefen und welche Datenquellen angebunden waren (wichtig z. B. bei Reklamationen oder Sicherheitsvorfällen). Siehe auch Prompt-Response Logging (LLM-Logging).
  • Verschlüsselung & sichere Übertragung: Datenübertragung per TLS, verschlüsselte Speicherung dort, wo möglich; keine sensiblen Daten unverschlüsselt per E-Mail oder in offenen Ablagen.
  • Datenminimierung: Nur die Informationen in die KI geben, die wirklich nötig sind (z. B. Kundennummer statt Klarnamen). Siehe Data Minimization (Datenminimierung).
  • Schutz vor Datenabfluss: Regeln gegen das Einfügen von Passwörtern, Verträgen, Gesundheitsdaten; ggf. PII Redaction (PII-Schwärzung) oder Data Loss Prevention (DLP) für KI.
  • Prompt- & Tool-Sicherheit: Schutz vor Manipulationen wie Prompt Injection (z. B. wenn Inhalte aus E-Mails/Docs die KI „umprogrammieren“). Bei KI-Agenten zusätzlich eingeschränkte Tool-Rechte und Sandbox-Ansatz, siehe Agent Sandbox (Tool-Sandboxing).
  • Qualitätssicherung (Human-in-the-Loop): Kritische Ausgaben (z. B. rechtliche Aussagen, Preise, Zusagen an Kunden) müssen von Menschen geprüft werden. Siehe Human-in-the-Loop (HITL).
  • Verträge & Datenschutz: Auftragsverarbeitung/AVV, Datenaufbewahrung, Standort der Verarbeitung, Löschfristen. Siehe Data Processing Agreement (DPA/AVV) und Datenschutz (DSGVO/GDPR) & KI.

Warum sind TOMs bei KI wichtig?

KI macht Prozesse schneller – aber auch Fehler und Datenpannen können schneller passieren. TOMs helfen, Vertraulichkeit (keine Datenlecks), Integrität (keine unbemerkten Manipulationen) und Verfügbarkeit (Tools funktionieren zuverlässig) sicherzustellen. Zusätzlich unterstützen sie bei Compliance-Anforderungen, z. B. durch AI Governance oder Vorgaben aus dem EU AI Act.

Was kostet die Umsetzung von TOMs bei KI?

Viele TOMs kosten vor allem Zeit und Disziplin (Richtlinie, Rollen, Schulung, Freigaben). Technische Kosten hängen davon ab, ob Sie Business-/Enterprise-Tarife mit Admin-Funktionen, Logging oder „Zero Data Retention“ benötigen. Typisch sind „ab“-Mehrkosten pro Nutzer/Monat für bessere Kontrollen – oft günstiger als das Risiko einer Datenpanne oder falscher Kundenkommunikation.