KI und Cybersecurity – ein Balanceakt zwischen Effizienz und Rechtsgrenzen
Künstliche Intelligenz steigert die Effizienz in der Cybersicherheit erheblich. Doch strenge Datenschutzvorgaben, Transparenzpflichten und ungelöste Rechtsfragen zu KI-generierten Attacken setzen ihrem Einsatz in der Schweiz klare Grenzen.
Künstliche Intelligenz revolutioniert auch den Cybersecurity-Bereich: KI analysiert Datenströme, erkennt Angriffe proaktiv und automatisiert Schutzmechanismen. Doch gerade in diesem Bereich steht der Einsatz von KI im schweizerischen Rechtsrahmen vor Herausforderungen.
Schranken für automatisierte Datenauswertungen
Das Schweizer Datenschutzgesetz (DSG) setzt enge Vorgaben für KI-Systeme, die personenbezogene Daten verarbeiten. Und auch der Eidgenössische Datenschutzbeauftragte betonte im Mai 2025, dass das DSG auf KI direkt anwendbar sei. Zwar erlaubt das DSG die Bearbeitung solcher Daten zu Sicherheitszwecken, fordert aber strikte Verhältnismässigkeit und klare Zweckbindung. So kann ein systematisches, KI-gestütztes Analysieren sämtlicher Netzwerkaktivitäten, zum Beispiel im Betriebsumfeld, problematisch sein – etwa wenn aus Daten Persönlichkeitsprofile entstehen oder Mitarbeitende lückenlos überwacht werden. Ein solcher Fall könnte datenschutzrechtlich eine Verletzung des Persönlichkeitsrechts darstellen. Daher muss jede Massnahme datenschutzrechtlich begründet, technisch abgesichert und dokumentiert werden.
Automatisierte Entscheidungen
Bei der Cyberabwehr kann KI bereits heute selbstständig entscheiden: Das KI-System sperrt verdächtige Nutzeraccounts oder blockiert Transaktionen. Solche automatisierten Entscheide unterliegen dem Prinzip der Transparenz und Kontrolle. Betroffene haben das Recht, über KI-basierte Entscheide informiert zu werden und eine menschliche Überprüfung zu verlangen. Bei einer automatisierten Entscheidungsfindung, die für den Betroffenen mit einer Rechtsfolge verbunden ist, sind die Vorgaben des Art. 21 DSG einzuhalten.
Sind KI-generierte Cyberattacken straffrei?
Bereits heute sind Szenarien möglich, in denen KI-Systeme Websites angreifen oder kompromittieren, Software-Schwachstellen suchen oder mittels Social Engineering Cyberattacken vornehmen. Erfolgen diese mittels (mehrerer) KI-Agenten selbsttätig, besteht wie auch jetzt die Thematik, dass die Angreifer oftmals aus dem Ausland agieren und für Schweizer Strafverfolgungsbehörden nicht feststell- oder fassbar sind. Zudem bedarf die Erfüllung eines Straftatbestands eines Täters, also einer natürlichen Person – was ein KI-Agent offensichtlich nicht ist.
Weitergehende Pflichten und künftige Regulierung
Ob nach der Auslegeordnung des Bundesrates sektorspezifische KI-Regulierungen erfolgen und in welchem Umfang, bleibt abzuwarten. Wer im europäischen Kontext tätig ist, unterliegt ohnedies den EU-Regulierungen. Künstliche Intelligenz bietet Schweizer Unternehmen eine Chance, Cyberbedrohungen schneller zu erkennen und abzuwehren und Arbeitsabläufe zu effektivieren. Die rechtlichen Vorgaben im Bereich Datenschutz, je nach Einsatzbereich auch Vorgaben aus dem Banken-, Fernmelde- und Urheberrecht sowie dem Arbeitsrecht, können diesem Potenzial aber klare Schranken weisen. Unternehmen sollten KI-Lösungen daher nicht ohne rechtliche Kontrolle und Erstellung notwendiger Reglements einführen.
Update: xAI verklagt Apple und OpenAI im Streit um KI-Wettbewerb
Information Protection & Governance (IPG) im Zeitalter der künstlichen Intelligenz
Zu viele Provider? Zeit für Konsolidierung.
Cyberkriminelle nutzen Messaging-Protokolle für neue Betrugsmasche
Umfrage zeigt Trend: Schweizer Unternehmen wollen europäische IT-Sicherheit
Wie KI die Sicherheitspolitik beeinflusst
Schlüsselkriterien für die Skalierung von KI
Mehr Sicherheit durch Standardisierung und Automatisierung
Der Kreislauf des Goldes
