Blog

    Teil 3: Technologie im Fokus – 4 Cybersicherheitsrisiken im KI-getriebenen Einkauf

    Teil 3: Technologie im Fokus – 4 Cybersicherheitsrisiken im KI-getriebenen Einkauf

    Dies ist Teil 3 unserer Artikelserie über die Auswirkungen von KI im Einkauf der Fertigungsindustrie. Im Mittelpunkt stehen diesmal die technologischen Herausforderungen – also alles, was IT-Sicherheit, Systemarchitektur und neue Angriffsflächen betrifft.

    1. Erweiterte Angriffsflächen & Lieferkettensicherheit

    Durch den zunehmenden Einsatz digitaler Tools und KI im Einkauf vergrößert sich die Angriffsfläche für Cyberbedrohungen. Beschaffungsprozesse sind heute eng mit Lieferantennetzwerken, Online-Plattformen und Cloud-Systemen verflochten – jedes neue Interface und jede Vernetzung kann ein potenzielles Einfallstor für Angreifer sein. Unternehmen stehen vor der doppelten Aufgabe, sowohl die Versorgungssicherheit als auch die Daten- und IT-Sicherheit ihrer Lieferketten zu gewährleisten. Die Realität zeigt, dass die Lieferkette immer häufiger im Fokus von Angreifern steht”. Beispiele reichen von kompromittierten Bestellportalen bis hin zu Schadsoftware, die über infizierte Lieferanten-E-Mails ins Firmennetz gelangt. 

    Gerade in der vernetzten Fertigungsindustrie wird Lieferketten-Cybersicherheit zur Gemeinschaftsaufgabe. “Es reicht nicht aus, nur das eigene Unternehmen zu schützen: Cybersecurity in der Lieferkette ist die Herausforderung, der wir uns alle gemeinsam stellen müssen”, mahnt der VDMA. Allerdings hinken viele Firmen hinterher – das Bundesamt für Verfassungsschutz stellte 2024 fest, dass Angreifer die gesamte Supply Chain ins Visier nehmen, während Unternehmen diese oft vernachlässigen. Nur 13 % der deutschen Unternehmen wissen überhaupt, ob ihre Zulieferer in den letzten 12 Monaten Opfer von Cybervorfällen wurden. 

    Durch KI können sich diese Risiken weiter verschärfen: Autonome Beschaffungsagenten könnten z. B. unwissentlich mit einem kompromittierten Lieferantensystem interagieren. Außerdem verlangen KI-Anwendungen häufig Echtzeitanbindungen an externe Datenquellen – wird dort ein Man-in-the-Middle-Angriff platziert, fließen manipulierte Informationen ins Unternehmen. Die Herausforderung besteht darin, ein Cybersecurity by Design”-Prinzip zu verfolgen. Sicherheit muss von Anfang an bei allen neuen digitalen Procurement-Prozessen mitgedacht werden. Praktische Maßnahmen umfassen u. a. strenge Zugriffskontrollen, Lieferanten-Audits auf IT-Sicherheit (z. B. Zertifizierungen wie TISAX in der Automobilindustrie) und Monitoring der digitalen Lieferkette auf Anomalien. Angesichts steigender Angriffe – 81 % der deutschen Unternehmen waren 2024 von Datendiebstahl, Spionage oder Sabotage betroffen –  gilt es, Einkauf und Security eng zu verzahnen, um die Resilienz der Supply Chain zu erhöhen. 

     

    2. Systemkomplexität und neue Schwachstellen durch KI

    Künstliche Intelligenz bringt der IT-Landschaft nicht nur neue Funktionen, sondern auch neue Schwachstellen. KI-Systeme – insbesondere solche auf Basis von Machine Learning – sind oft hochkomplex (Stichwort: neuronale Netze). Diese Komplexität erschwert die klassische Sicherheitsprüfung, da KI-Modelle anders reagieren können als deterministische Programme. Gleichzeitig entstehen Angriffsvektoren, die speziell KI ausnutzen: Angreifer können z. B. adversarial attacks durchführen, bei denen sie minimale Änderungen an Eingabedaten vornehmen, um falsche Outputs zu provozieren. In einer Studie der North Carolina State University wurde festgestellt, dass überraschend viele KI-Systeme “Sicherheitslücken aufweisen, die eine Manipulation der Daten ermöglichen”. Wenn also eine Schwachstelle bekannt wird, können Angreifer durch gezielte Fehldaten die KI zu manipulativen oder fehlerhaften Entscheidungen bringen – im Einkauf könnten z. B. Preise oder Risikobewertungen durch manipulierte Input-Daten verzerrt werden. 

    Zudem gibt es Schnittstellen-Schwachstellen an der Nahtstelle von KI und klassischer IT. Kaspersky weist darauf hin, dass die Verknüpfung probabilistischer KI-Systeme mit traditionellen deterministischen Systemen neuartige, komplexe Verwundbarkeiten schafft. Beispielsweise könnte ein KI-Bestellassistent in eine ERP-Software eingebunden sein – wenn die KI falsche Inhalte generiert, diese aber vom ERP nicht validiert werden, entsteht eine Lücke. Auch fehlende Updates bei KI-Modellen (die „Modellalterung“) können zum Problem werden, wenn Bedrohungsänderungen nicht mehr erkannt werden. 

    Die Herausforderung ist, KI-Systeme ebenso robust abzusichern wie andere kritische IT-Systeme. Dafür müssen Security-Teams neues Know-how aufbauen, um KI-Modelle zu testen und zu härten. Verfahren wie „Red-Teaming“ für KI (gezieltes Angreifen der eigenen KI, um Schwachstellen aufzudecken) gewinnen an Bedeutung. Ebenso sollten Unternehmen Richtlinien aufstellen, was zu tun ist, wenn ein KI-System unerwartete Ergebnisse liefert oder kompromittiert wird – z. B. Fallback auf manuelle Freigaben. Letztlich erhöht KI die Systemkomplexität, was proaktiv gemanagt werden muss, damit nicht Komplexität selbst zur Feindin der Sicherheit wird. 

     

    3. Bias, Fehler und Intransparenz in KI-Entscheidungen (Technology)

    KI-Algorithmen können beeindruckende Ergebnisse liefern, aber sie sind nicht unfehlbar. Fehlerhafte oder verzerrte KI-Entscheidungen stellen eine ernstzunehmende Herausforderung dar – gerade im Einkauf, wo es um finanzielle und strategische Entscheidungen geht. Ein KI-System könnte z. B. aufgrund von Verzerrungen (Bias) stets denselben Lieferanten bevorzugen oder Unternehmen mit bestimmter Region ausschließen, ohne dass dies sachlich gerechtfertigt ist. Solche Algorithmic Biases können aus historischen Daten übernommen werden (wenn diese z. B. Vorurteile enthalten) oder durch ungeeignete Modellierung entstehen. Führungskräfte sorgen sich daher um mangelnde Transparenz und Fairness der KI-Entscheidungen. In Umfragen nennen rund 30 % moralische Bedenken als Herausforderung, insbesondere “Diskriminierung durch Algorithmen und die Verbreitung von Falschaussagen” hays.de. Mit anderen Worten: Entscheider fürchten, dass KI unbeabsichtigt ungerechte oder falsche Ergebnisse liefert, die man nicht leicht erklären oder rechtfertigen kann. 

    Neben Bias sind auch plakative Fehler (sogenannte hallucinations bei generativen KI-Modellen) ein Thema. Ein generatives KI-System könnte einen überzeugend klingenden, aber sachlich falschen Bericht über einen Lieferanten erstellen, wenn es mit falschen oder unzureichenden Daten arbeitet. Intransparenz („Black Box“) erschwert es dem Einkauf zudem, Entscheidungen nachzuvollziehen – was wichtig wäre, um sie intern und gegenüber Audits oder Regulatoren zu begründen. 

    Die Herausforderung besteht darin, Vertrauen in KI-Entscheidungen aufzubauen, ohne blind zu vertrauen. Methoden zur Erhöhung der Erklärbarkeit (Explainable AI) gewinnen an Bedeutung, sodass KI-Empfehlungen für Menschen nachvollziehbar werden. Außerdem sollten Kontrollmechanismen eingebaut werden: etwa dass KI-Vorschläge für Lieferantenwechsel oder Vertragsänderungen stets von einem Menschen geprüft werden (Vier-Augen-Prinzip), zumindest bis die Zuverlässigkeit erwiesen ist. Unternehmen sollten KPI für KI-Qualität einführen (z. B. Abweichungsraten oder Qualitätschecks der KI-Ausgaben) und Bias-Tests durchführen. Letztlich darf KI im Einkauf nicht völlig autonom und unüberwacht agieren – “Transparenz, menschliche Kontrolle und interne Weiterbildung sind essenziell” jaggaer.com, wie Experten betonen. So wird sichergestellt, dass Fehler oder Verzerrungen rechtzeitig erkannt und behoben werden, bevor sie geschäftsschädigende Auswirkungen haben. 

     

    4. KI-gestützte Cyberangriffe und Betrugsmaschen  

    KI ist ein zweischneidiges Schwert: Sie hilft Unternehmen – aber auch Cyberkriminelle nutzen KI, um Angriffe raffinierter und gefährlicher zu machen. In jüngster Zeit mehren sich Vorfälle, bei denen Deepfakes und KI-generierte Kommunikation für Betrug im geschäftlichen Umfeld eingesetzt werden. Ein bekanntes Beispiel ist CEO-Fraud per Deepfake-Stimme: Angreifer imitieren per KI die Stimme eines Geschäftsführers am Telefon und verleiten Mitarbeitende zu Überweisungen oder Herausgabe vertraulicher Informationen. Im Einkauf wäre ein Szenario denkbar, in dem eine KI-generierte E-Mail vorgibt, von einem vertrauten Lieferanten zu stammen, um z. B. geänderte Bankdaten für Zahlungen durchzugeben (eine Variante des Lieferanten-Betrugs). KI ermöglicht es Angreifern, Phishing-Mails und Social-Engineering-Attacken massiv zu skalieren und zu personalisieren. Laut Industrieanzeiger können dank KI automatisiert Profile von Zielunternehmen erstellt werden, um Phishing genau auf deren Schwachstellen zuzuschneiden.  Die deutsche Finanzaufsicht BaFin warnt explizit, dass KI “Cyberkriminellen die Arbeit erheblich erleichtern” könnte. 

    Die Herausforderung für den Einkauf besteht darin, wachsam gegenüber KI-basierten Bedrohungen zu sein. Traditionelle Sicherheitsmechanismen erkennen diese oft nicht ohne Weiteres – eine perfekt gefälschte Stimme oder täuschend echte Chatbot-Konversation lässt sich von Mitarbeitern kaum als Betrug identifizieren. Unternehmen müssen daher Awareness schärfen: Schulungen zum Erkennen von Deepfake-Anzeichen, strikt prüfende Prozesse bei ungewöhnlichen Anfragen (z. B. Rückruf beim bekannten Ansprechpartner, wenn eine verdächtige Mail eines Lieferanten kommt) und den Einsatz von technischen Lösungen, die KI-Fälschungen entlarven. Ebenso sollten Sicherheitsabteilungen KI-gestützte Abwehrmechanismen nutzen, um Anomalien zu erkennen (z. B. ungewöhnliche Kommunikationsmuster). Die Bitkom-Studie Wirtschaftsschutz 2024 zeigt, dass 83 % der Unternehmen erwarten, dass KI die generelle Bedrohungslage verschärft, und 70 % meinen, KI mache Cyberangriffe noch leichter – gleichzeitig glauben aber 61 %, dass KI auch die Abwehr verbessern kann. Diese zweischneidige Situation erfordert vom Management zweierlei: Zum einen das Risiko durch KI-Bedrohungen aktiv managen (Prozesse und Tools anpassen), zum anderen KI selbst zur Verteidigung einsetzen, um der wachsenden Professionalisierung der Angreifer gewachsen zu sein. 

    In der DACH-Region sensibilisieren Behörden und Verbände bereits für diese neuen Betrugsmaschen. So berichtet das österreichische Innenministerium über Fälle von Deepfake-Erpressung und Identitätsdiebstahl durch KI. Für Einkaufsleiter heißt das: ”Zero Trust” Prinzipien noch konsequenter anwenden und bei ungewöhnlichen Vorgängen immer einen Sicherheitsverdacht mitdenken. Der Faktor Mensch bleibt hier zugleich Schwachstelle und Schutzbollwerk – regelmäßige Security-Awareness-Trainings im Einkauf sind unabdingbar, um KI-gestützten Betrügern nicht auf den Leim zu gehen. 

     

    Fazit 

    Die zunehmende Durchdringung von Einkauf und Supply Chain Management mit KI – insbesondere in der fortschrittlichen Fertigungsindustrie der DACH-Region – führt unweigerlich zu neuen Herausforderungen. Entscheidend ist eine ganzheitliche Herangehensweise: 

    •  People-Aspekte wie Qualifizierung und Kulturwandel,  
    • Process-Themen wie Integration und Governance sowie  
    • Technology-Fragen der IT-Security müssen gleichzeitig adressiert werden.  

    Die zehn identifizierten Herausforderungen – vom Fachkräftemangel bis zur Abwehr von KI-gestützten Cyberangriffen – machen deutlich, dass Procurement und Cybersecurity zusammenwachsen. CPOs und Sicherheitsverantwortliche sollten strategisch an einem Strang ziehen, um KI sicher und erfolgreich einzusetzen. 

    Trotz aller Risiken bietet KI im Einkauf enorme Chancen – von effizienteren Abläufen bis zu besseren Beschaffungsentscheidungen. Wer diese Chancen nutzen will, muss jedoch die genannten Hürden proaktiv managen. Die Führungsriege ist gefordert, Klarsicht und Vorsorge walten zu lassen: durch Investitionen in Menschen und Technik, durch klare Regeln und durch Kooperation mit Partnern entlang der Lieferkette. Dann wird KI nicht zum unkalkulierbaren Risiko, sondern – gerade in der innovativen DACH-Industrie – zum Wettbewerbsvorteil, der sicher und verantwortungsvoll ausgeschöpft werden kann. 

    Quellen: Die Ausführungen stützen sich auf aktuelle Studien und Praxisberichte, u. a. aus dem Bitkom-Wirtschaftsschutzreport, Fachartikel von Industrieanzeiger und Beschaffung aktuell, sowie Leitfäden und Marktforschungen (Hays HR-Report, Iron Mountain/FT Studie).  

    Sie haben die anderen beiden Teile verpasst?
    Teil 1: Mensch im Mittelpunkt – 3 Herausforderungen für den Einkauf im KI-Zeitalter
    Teil 2: Prozesse im Wandel – 3 strukturelle Herausforderungen für den KI-Einkauf 
     

    Additional Resources