Die digitale Achillesferse

Warum Cybersicherheit zur Kernkompetenz im modernen Controlling wird

News
Kristoffer Ditz
Kristoffer Ditz
 Trainer, Berater und Autor, Hanseatic Business School
Online-Seminar Cybersicherheit Finance & Controlling
Bild: Haufe Online Redaktion

Künstliche Intelligenz revolutioniert das Controlling – und öffnet zugleich neue Einfallstore für Cyberrisiken. Wer Datenintegrität sichern und rechtliche Fallstricke vermeiden will, muss Cybersicherheit zur Kernkompetenz machen und klare Schutzmechanismen etablieren. Kristoffer Ditz erläutert die drei Kernprinzipien der Cybersicherheit und stellt einen 10-Punkte-Plan mit konkreten Schutzmaßnahmen vor.

Wenn Daten zum Risiko werden

Die rasante Entwicklung der Künstlichen Intelligenz (KI) transformiert nahezu jeden Geschäftsbereich und das Controlling bildet hier keine Ausnahme. Tools zur automatisierten Datenanalyse, Prognoseerstellung und zum Reporting versprechen enorme Effizienzgewinne. Doch mit den neuen Möglichkeiten wächst auch die digitale ­Gefahrenzone. KI-Systeme verarbeiten oft sensible Unternehmens-, Finanz- und Kundendaten oder strategische Informationen. Damit werden sie zum attraktiven Ziel für Cyberkriminelle.

Für den Controller, dessen Kernaufgabe die Sicherstellung der Datenintegrität und die Steuerung des Unternehmens auf Basis valider Kennzahlen ist, wird Cybersicherheit daher zur zentralen Kompetenz. Es geht nicht nur darum, die Zahlen richtig zu interpretieren, sondern auch zu gewährleisten, dass sie vor Manipulation, Verlust oder unbefugtem Zugriff geschützt sind.

Die neue Gefahrenlage: Typische Risiken im KI-Kontext

Der Einsatz von KI-Tools birgt spezifische Risiken, die über klassische Cyber-Angriffe hinausgehen. Unternehmen, die sich dieser Gefahren nicht bewusst sind, agieren blind und setzen ihre Dateninfrastruktur aufs Spiel.

  • Prompt Injection: Angreifer manipulieren die Eingaben (Prompts), um die KI-Modelle dazu zu bringen, sensible interne Daten freizugeben oder unerwünschte Aktionen auszuführen. Ein Angreifer könnte beispielsweise versuchen, die KI mit einem versteckten Befehl zu überschreiben, der alle in den letzten 24 Stunden verarbeiteten Daten zusammenfasst und als Text ausgibt.
  • Datenlecks und Datenverluste: KI-Tools, insbesondere Cloud-basierte, speichern oft Eingaben zur Verbesserung ihrer Modelle. Wenn Mitarbeiter ohne entsprechende Freigabe vertrauliche Finanzpläne, Vertragsentwürfe oder personenbezogene Daten hochladen, kann dies zu unkontrollierten Datenabflüssen führen. Prominente Beispiele wie der temporäre Datenabfluss bei ChatGPT oder die unautorisierte Weitergabe von Eingabedaten bei Microsoft 365 Copilot haben gezeigt, dass auch große Anbieter nicht immun gegen solche Zwischenfälle sind.
  • Shadow IT und unsichere Tools: Häufig nutzen Mitarbeiter aus Zeitdruck oder Unwissenheit nicht freigegebene, kostenlose KI-Tools. Diese „Schatten-IT“ umgeht die Sicherheitsrichtlinien der IT-Abteilung und öffnet Einfallstore für Malware und Datendiebstahl, da die Sicherheit und der Datenschutz dieser Tools nicht geprüft sind.
  • Manipulierte Ergebnisse und fehlende Datenintegrität: Angreifer können die Trainingsdaten von KI-Modellen manipulieren, um deren Ausgaben zu verfälschen. Ein Controller, der seine Prognosen auf Grundlage solch manipulierter Daten erstellt, könnte zu falschen Entscheidungen kommen, die weitreichende finanzielle Konsequenzen haben.

Das Fundament der Sicherheit: Die CIA-Trias im Controlling

Um diesen Risiken systematisch zu begegnen, ist es essenziell, die drei Kernprinzipien der Cybersicherheit zu verstehen und sie auf die tägliche Arbeit des Controllers zu übertragen:

  1. Vertraulichkeit (Confidentiality): Dies bedeutet, dass Daten nur für autorisierte Personen zugänglich sind. Für Controller heißt das: sensible Finanzdaten, Budgetpläne oder Gehaltsinformationen müssen vor unbefugtem Zugriff geschützt werden. Wer darf welche KI-generierten Berichte sehen? Wer hat Zugriff auf die zugrundeliegenden Daten? Der Einsatz von rollenbasierter Zugriffskontrolle ist hierfür eine Grundvoraussetzung.
  2. Integrität (Integrity): Daten müssen korrekt, vollständig und unverfälscht sein. Dies ist für den Controller das wohl wichtigste Prinzip. Ein Fehler in den Finanzdaten, ob absichtlich oder unabsichtlich, kann zu falschen Schlussfolgerungen und strategischen Fehlentscheidungen führen. Es muss sichergestellt sein, dass die in der KI verarbeiteten und von ihr generierten Daten nicht manipuliert wurden.
  3. Verfügbarkeit (Availability): Daten und Systeme müssen für berechtigte Nutzer jederzeit zugänglich sein. Wenn ein Systemausfall oder eine Cyber-Attacke den Zugriff auf Finanzdaten, Dashboards oder Reporting-Tools verhindert, kann der Controller seine Aufgaben nicht wahrnehmen. Dies kann zu Verzögerungen in der Berichterstattung, Liquiditätsengpässen oder rechtlichen Konsequenzen führen.

Konkrete Schutzmaßnahmen: Ein 10-Punkte-Plan für Controller

  1. Arbeiten Sie nur mit freigegebenen KI-Tools: Klären Sie mit der IT-Abteilung, welche KI-Systeme den Sicherheits- und Compliance-Anforderungen des Unternehmens entsprechen. Vermeiden Sie die Nutzung kostenloser, öffentlicher Dienste für unternehmensrelevante Aufgaben.
  2. Prüfen Sie Eingaben und Ergebnisse: Geben Sie keine vertraulichen oder personenbezogenen Daten in KI-Tools ein, es sei denn, es handelt sich um ein zertifiziertes Enterprise-Tool. Führen Sie nach jeder KI-gestützten Analyse einen Faktencheck durch. Hinterfragen Sie die Ergebnisse kritisch, bevor Sie sie zur Grundlage Ihrer Entscheidungen machen.
  3. Dokumentieren Sie die Datenbasis: Es muss jederzeit nachvollziehbar sein, welche Daten für eine KI-Analyse verwendet wurden. Dies sichert die Nachvollziehbarkeit und ermöglicht im Zweifel eine forensische Analyse bei einem Datenleck.
  4. Sichern Sie Ergebnisse zentral und sicher: KI-generierte Berichte, Prognosen oder Analysen sollten nicht nur auf lokalen Festplatten, sondern in einer zentralen, gesicherten und verschlüsselten Ablage gespeichert werden, die mit Zugriffsrechten versehen ist.
  5. Definieren Sie klare Verantwortlichkeiten: Wer ist für die Plausibilitätsprüfung der KI-Ergebnisse zuständig? Wer verantwortet die Weiterverarbeitung und Frei­gabe? Klare Zuständigkeiten verhindern Fehler und erhöhen die Sicherheit.
  6. Etablieren Sie einen Review-Prozess: Führen Sie regelmäßige Reviews der KI-Nutzung durch. Werden die internen Richtlinien eingehalten? Wo gibt es neue Risiken? Dieser Prozess sollte alle relevanten Stakeholder einbeziehen.
  7. Sorgen Sie für Backups: Sorgen Sie dafür, dass Backups der generierten Daten und Analysen verfügbar sind. Im Falle eines Cyber-Angriffs oder eines Systemausfalls sind diese essenziell, um den Geschäftsbetrieb schnell wieder aufnehmen zu können.
  8. Nutzen Sie sichere Netzwerke: KI-Tools sollten idealerweise nur über sichere, interne Netzwerke oder VPN-Verbindungen genutzt werden. Öffentliche WLANs stellen ein hohes Risiko für die Datenübertragung dar.
  9. Verschlüsseln Sie Daten: Daten sollten sowohl während der Übertragung (z. B. mit TLS/SSL) als auch bei der Speicherung in der Cloud oder lokal verschlüsselt werden.
  10. Schulen Sie Ihre Mitarbeiter: Das stärkste Glied in der Sicherheitskette ist der informierte Mitarbeiter. Regelmäßige Schulungen zum sicheren Umgang mit KI, zum Erkennen von Social Engineering und zur Sensibilisierung für Datenschutzfragen sind unerlässlich.

Rechtliche Rahmenbedingungen und die Rolle des Controllers

Die Risiken sind nicht nur operativer, sondern auch rechtlicher Natur. Die Datenschutz-Grundverordnung (DSGVO) sieht hohe Strafen bei Verstößen vor, und das betrifft auch den ungesicherten Umgang mit KI.

Besonders relevant ist die neue NIS2-Richtlinie, die seit Oktober 2024 in Deutschland aktiv ist. Sie weitet die Pflichten zur Cybersicherheit auf wesentlich mehr Unternehmen aus (ab 50 Mitarbeitern oder 10 Mio € Umsatz). Verstöße können mit Bußgeldern von bis zu 10 Mio € oder 2 % des weltweiten Jahresumsatzes geahndet werden. Ein Risiko, das direkt die Bilanz trifft und damit in den Fokus des Controllers rückt.

Der Controller kann und muss in diesem Kontext eine proaktive Rolle einnehmen. Eine Risikoanalyse mittels gezielter Prompts ist hierfür ein hervorragendes Werkzeug. Fragen wie „Welche Arten sensibler Daten werden in der KI genutzt?“ oder „Welche Verschlüsselungsmethoden werden verwendet?“ helfen, Schwachstellen systematisch zu identifizieren. Der Controller kann diese Analyse leiten, die relevanten Stakeholder (IT, Fachabteilungen) zusammenbringen und die Ergebnisse in einer Risikolandkarte visualisieren, um die Unternehmensleitung auf die finanzielle Relevanz aufmerksam zu machen.

Cybersicherheit als Teil des Wertschöpfungsmanagements

Cybersicherheit im Zeitalter der KI ist kein vorübergehender Trend, sondern eine dauerhafte Herausforderung und eine Chance für das Controlling. Sie ist nicht nur ein Kostenfaktor, sondern ein Werttreiber, der die finanzielle Integrität, das Vertrauen der Kunden und die Wettbewerbsfähigkeit des Unternehmens sichert.

Controller, die ein tiefes Verständnis für die digitalen Risiken entwickeln und proaktive Maßnahmen ergreifen, sichern nicht nur die finanzielle Berichterstattung, sondern positionieren sich als strategische Partner in der digitalen Transformation. Sie werden zu Wächtern der Datenintegrität und tragen maßgeblich dazu bei, dass die Potenziale der KI voll ausgeschöpft werden können, ohne die Existenz des Unternehmens zu gefährden. Ziel ist es, die Balance zwischen Innovationsfreude und Sicherheitsbewusstsein zu finden. Ein Balanceakt, den nur informierte und handlungsbereite Controller meistern können.

Der Beitrag erschien erstmals im Controller Magazin, Ausgabe Mai 2026.

Veranstaltungshinweis in eigener Sache

Haufe Online Days - Jahresforum Controlling

Agenda 2027: KI, Data Intelligence, Strategie und Transformation

Führende Expert:innen liefern einen Überblick über aktuelle Themen und Entwicklungen im Controlling. Kristoffer Ditz informiert im Vortrag „Cyber-Sicherheit & KI im Controlling“ über Risiken und sofort umsetzbare Sicherheitskonzepte.

Wann: 16.-17. September 2026 | 12:30 - 17:00 Uhr

Weitere Informationen zu Speakern und zur Anmeldung finden Sie hier.

Schlagworte zum Thema:  Künstliche Intelligenz (KI) , Strategisches Controlling , Cybersicherheit
Meistgelesene Beiträge
Neueste Beiträge
0 Kommentare
Das Eingabefeld enthält noch keinen Text oder nicht erlaubte Sonderzeichen. Bitte überprüfen Sie Ihre Eingabe, um den Kommentar veröffentlichen zu können.
Noch keine Kommentare - teilen Sie Ihre Sicht und starten Sie die Diskussion
Zum Haufe Shop
Zum Thema Controllerpraxis
Finanzdaten bei der KI-Nutzung sicher schützen: Kostenloses Online-Seminar Cybersicherheit
Online-Seminar Cybersicherheit Finance & Controlling

Lernen Sie im Online-Seminar am 30. Juni von 10-11 Uhr, wie Sie Sicherheitsrisiken im Controlling-Alltag frühzeitig identifizieren. Der praxiserprobte 10-Schritte-Plan hilft Ihnen, sensible Daten bei der Nutzung von KI-Anwendungen wirksam zu schützen. Jetzt zum Seminar anmelden!
Verstehen und anwenden: KI und Data Science im Controlling
Künstliche Intelligenz und Data Science verstehen und anwenden

Revolutionieren Sie Ihr Controlling mit KI und Data Science! Lernen Sie, wie Sie Tools wie Excel, Python & KNIME nutzen, KI-Agents in Forecasting und Reporting einsetzen und datengetriebene Methoden erfolgreich integrieren. Mit Best Practices zur sicheren Anwendung.
Seminar: Intensivtraining Controlling
Aka_Controlling_Empfehlung_5662

Sie erhalten einen systematischen und praxisnahen Überblick über die Basics eines zeitgemäßen Controllings, lernen souverän mit den einschlägigen Tools umzugehen und erfahren Sie, wie Sie schrittweise ein Controllingsystem auf- und ausbauen.
Die Zukunft des Controllings : Agile Konzepte im Controlling
Agile Konzepte im Controlling

Durch Digitalisierung, KI, ESG & Co. sind agile Methoden, schnelle Prozesse, automatisierte Daten und interdisziplinäre Zusammenarbeit entscheidende Erfolgsfaktoren. Das Buch zeigt, wie Agilität Controlling revolutioniert und bietet praxisnahe Ansätze für die Transformation.
Übersichtlich und vergleichbar: Software-Anbieter aus dem Bereich Controlling & BI.
Softwarevergleich HR

Sie wollen frischen Wind in Sachen Software-Anbieter? Auf softwarevergleich.de können Sie schnell und einfach führende Software-Anbieter vergleichen. Mit unserem Softwarevergleich-Newsletter erhalten Sie exklusive News direkt in Ihr Postfach. Jetzt anmelden unter softwarevergleich.de/newsletter
Bleiben Sie immer Up-to-date mit dem Controlling Newsletter - kostenlos und unverbindlich