Von Stefan Schwarz erlebt in seiner täglichen Arbeit mit mittelständischen Unternehmen immer wieder dasselbe Muster: Die IT läuft scheinbar problemlos, doch Sicherheit, Struktur und klare Regeln fehlen oft komplett. Viele Unternehmen glauben, ihre Systeme seien ausreichend geschützt, solange alles funktioniert. Doch genau dieses falsche Sicherheitsgefühl wird häufig zum größten Risiko. Erst wenn ein Cyberangriff, Datenverlust oder ein Systemausfall eintritt, wird sichtbar, wie verwundbar die eigene IT tatsächlich ist.
Stefan Schwarz erklärt im Interview, warum gerade kleine und mittelständische Unternehmen besonders im Fokus automatisierter Cyberangriffe stehen, wie KI im Mittelstand sinnvoll eingesetzt werden kann und weshalb viele Firmen KI-Tools bereits nutzen, ohne klare Regeln zu haben. Der Geschäftsführer von PC-Mentor, AI-Guys und AZ Datenschutz zeigt, welche drei Schritte Unternehmen jetzt gehen sollten, um IT-Sicherheit, Datenschutz und KI-Produktivität strategisch zusammenzubringen. Ein Gespräch über reale IT-Risiken, pragmatische Lösungen und die Zukunft der Arbeit im Mittelstand.
Interview mit Stefan Schwarz
Was sind die häufigsten IT Risiken bei KMU?
Das größte Risiko ist ein falsches Sicherheitsgefühl. Viele KMU gehen davon aus, dass schon alles passt – ohne es jemals geprüft zu haben. Es läuft ja, also wird es schon stimmen. Aber „läuft“ heißt nicht „sicher“. Und wenn es dann knallt, stellt man fest, dass niemand sich je Gedanken über Backups, Zugriffsrechte oder einen Notfallplan gemacht hat.
Im Alltag sehe ich bei PC-Mentor immer wieder die gleichen Baustellen: veraltete Systeme, die keine Sicherheitsupdates mehr bekommen, keine vernünftige Datensicherung und Passwörter, die seit Jahren nicht geändert wurden.
Was viele unterschätzen: Das größte Einfallstor ist nicht die Technik, sondern der Mensch. Eine gut gemachte Phishing-Mail reicht und plötzlich hat jemand Zugriff auf das ganze Netzwerk. Mitarbeiterschulungen und klare Richtlinien kosten wenig, bringen aber enorm viel.
Wo wird KI im Mittelstand sinnvoll eingesetzt?
Überall dort, wo Mitarbeiter heute repetitive Aufgaben erledigen, die Zeit fressen, aber keinen echten Mehrwert bringen. Ich sehe in der Praxis drei Bereiche, die am schnellsten Ergebnisse liefern:
- Die Kommunikation – E-Mails beantworten, Angebote formulieren, Social-Media-Beiträge erstellen.
- Die interne Dokumentation – Protokolle, Berichte, Wissensmanagement.
- Die Automatisierung von Abläufen, zum Beispiel im Recruiting oder in der Buchhaltung.
Bei PC-Mentor entwickeln wir genau solche Lösungen für den Mittelstand. Ein konkretes Beispiel: Wir bauen gerade einen KI-Telefonagenten, der Kundenanrufe entgegennimmt, qualifiziert und weiterleitet.
Das spart pro Tag locker eine Stunde an Unterbrechungen im Unternehmensalltag. Wichtig ist: KI ersetzt keine Mitarbeiter, sie nimmt ihnen die nervigen Aufgaben ab, damit sie sich auf das konzentrieren können, wofür man wirklich einen Menschen braucht.
Ist die Nutzung von KI-Tools wie ChatGPT im Unternehmen DSGVO konform?
Die ehrliche Antwort: Es kommt drauf an, wie man sie nutzt. Grundsätzlich ist die Nutzung von KI-Tools möglich, aber man muss ein paar Dinge beachten.
Das Wichtigste: Keine personenbezogenen Daten in die Prompts eingeben – also keine Kundennamen, keine E-Mail-Adressen, keine Gesundheitsdaten. Sobald personenbezogene Daten an einen externen Dienst übermittelt werden, greift die DSGVO mit voller Wucht.
Viele Anbieter bieten inzwischen Business-Versionen an, bei denen die eingegebenen Daten nicht zum Training der Modelle verwendet werden. Das ist ein Muss. Außerdem braucht man eine Auftragsverarbeitungsvereinbarung mit dem Anbieter und sollte die Nutzung in einer internen Richtlinie regeln.
Wer auf Nummer sicher gehen will: Es gibt inzwischen auch europäische KI-Modelle wie Aleph Alpha oder die Möglichkeit, etablierte Modelle in europäischen Rechenzentren zu betreiben – damit bleiben die Daten in der EU und man hat die volle Kontrolle.
Ich sehe das aus beiden Perspektiven – als IT-Dienstleister bei PC-Mentor und als externer Datenschutzbeauftragter bei AZ Datenschutz. Die Kombination zeigt mir täglich: Die meisten Unternehmen nutzen KI-Tools bereits, aber ohne jede Regelung. Das ist die eigentliche Gefahr.
Stefan Schwarz über KI im Mittelstand
Wie kombiniert man KI-Produktivität mit Datenschutz?
Indem man nicht verbietet, sondern regelt. Verbote führen nur dazu, dass Mitarbeiter die Tools heimlich nutzen – dann erst recht ohne jede Vorsichtsmaßnahme. Der bessere Weg: Klare Leitlinien aufstellen. Welche Tools dürfen genutzt werden? Welche Daten dürfen eingegeben werden? Wofür ist welches Tool geeignet?
Praktisch heißt das: Business-Lizenzen nutzen statt kostenloser Versionen, sensible Daten vorher anonymisieren und die Mitarbeiter schulen. Eine halbe Stunde Einweisung kann verhindern, dass jemand versehentlich eine komplette Kundenliste in ChatGPT kopiert. Und ganz ehrlich:
Wer KI strategisch einsetzt, hat am Ende sogar weniger Datenschutzrisiken, weil Prozesse standardisiert ablaufen statt im Wildwuchs.
Wie real ist die Cyberangriff-Gefahr für kleinere Unternehmen?
Sehr real. Es gibt immer noch diesen Irrglauben: „Wir sind zu klein, uns greift niemand an.“ Die Realität sieht anders aus. Cyberangriffe laufen heute massenhaft automatisiert ab – da sucht sich keine Person ein Opfer aus, sondern ein Bot scannt tausende Systeme und nutzt die erste Lücke, die er findet. KMU sind sogar besonders attraktiv, weil sie oft schlechter geschützt sind als Konzerne.
Wir hatten in den letzten zwei Jahren mehrere Kunden, die von Ransomware betroffen waren. In einem Fall war die komplette Firma drei Tage lahmgelegt – kein Zugriff auf Rechnungen, Kundendaten, E-Mails. Nichts.
Der wirtschaftliche Schaden geht schnell in die Zehntausende. Das Gute: Die wichtigsten Schutzmaßnahmen sind nicht teuer. Regelmäßige Updates, eine gute Firewall, vernünftige Backups und geschulte Mitarbeiter decken schon 80 Prozent der Angriffsvektoren ab.
Welche drei Schritte sollten Unternehmen jetzt gehen, um IT und KI strategisch sauber aufzustellen und wie kann man Sie kontaktieren?
Erstens: Bestandsaufnahme machen. Wo stehen wir? Was haben wir an IT-Infrastruktur, wo sind die Schwachstellen, welche Prozesse fressen die meiste Zeit? Ohne ehrliche Bestandsaufnahme baut man auf Sand.
Zweitens: IT-Sicherheit als Fundament behandeln. Bevor man KI einführt, muss die Basis stimmen. Backup-Strategie, Zugriffsrechte, Mitarbeiterschulungen, Notfallplan. KI auf einer unsicheren IT-Infrastruktur ist wie ein Turbo auf einem Auto ohne Bremsen.
Drittens: KI gezielt einsetzen, nicht überall gleichzeitig. Einen Prozess identifizieren, der viel Zeit frisst und sich gut automatisieren lässt. Dort starten, Erfahrungen sammeln, dann ausweiten. Der größte Fehler ist, alles auf einmal machen zu wollen.
Wer Unterstützung braucht – ob bei IT-Infrastruktur, KI-Einführung oder Datenschutz – erreicht mich und mein Team über
Über Stefan Schwarz
Stefan Schwarz ist Geschäftsführer der PC-Mentor GmbH, einem IT-Systemhaus für kleine Unternehmen in Weiterstadt bei Frankfurt, sowie der KI-Beratung AI-Guys und des Datenschutzdienstleisters AZ Datenschutz. Aus seiner täglichen Arbeit kennt er die IT-Herausforderungen des Mittelstands aus erster Hand und verbindet praktische IT-Erfahrung mit KI-Expertise und Datenschutz-Know-how.
