{"id":1051,"date":"2026-02-23T13:56:13","date_gmt":"2026-02-23T12:56:13","guid":{"rendered":"https:\/\/www.g-lorenzen.de\/?p=1051"},"modified":"2026-02-23T13:56:13","modified_gmt":"2026-02-23T12:56:13","slug":"das-schwaechste-glied-der-fall-openai-und-mixpanel","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2026\/02\/23\/das-schwaechste-glied-der-fall-openai-und-mixpanel\/","title":{"rendered":"Das schw\u00e4chste Glied: Der Fall OpenAI und Mixpanel"},"content":{"rendered":"<p>Bei der Nutzung von KI-Systemen lauern oft Gefahren, die nicht direkt beim KI-Anbieter selbst, sondern in dessen <strong>Lieferkette (Supply Chain)<\/strong> liegen. Ein pr\u00e4gnantes Beispiel aus den Quellen verdeutlicht diese \u201eFalle\u201c:<\/p>\n<h3><strong>Das schw\u00e4chste Glied: Der Fall OpenAI und Mixpanel<\/strong><\/h3>\n<p>Selbst Marktf\u00fchrer wie <strong>OpenAI<\/strong> sind vor den Sicherheitsl\u00fccken ihrer externen Dienstleister nicht gefeit. Ein aktueller Vorfall zeigt, wie ein Webdatenanalyse-Dienstleister namens <strong>Mixpanel<\/strong> zum Ziel einer <strong>Smishing-Attacke<\/strong> (SMS-Phishing) wurde . Durch diesen Angriff flossen begrenzte Analysedaten von API-Kunden ab, darunter <strong>Namen, E-Mail-Adressen, Benutzer-IDs<\/strong> sowie Informationen \u00fcber Betriebssysteme, Browser und grobe Standortdaten . Dies verdeutlicht, dass das Schutzniveau der eigenen Daten immer nur so stark ist wie das des schw\u00e4chsten Sub-Dienstleisters in der Kette.<\/p>\n<h3><strong>Die rechtliche Zwickm\u00fchle: AVV und Sub-Unternehmer<\/strong><\/h3>\n<p>Ein weiteres Risiko besteht in der vertraglichen Gestaltung. Unternehmen sind gem\u00e4\u00df DSGVO verpflichtet, mit ihren Dienstleistern <strong>Auftragsverarbeitungsvertr\u00e4ge (AVV)<\/strong> zu schlie\u00dfen, die auch den Einsatz von Sub-Unternehmern regeln .<\/p>\n<ul>\n<li><strong>Die Falle:<\/strong> Oft sind Sub-Dienstleister fest im AVV verankert. Tritt bei einem dieser Partner ein Problem auf, kann der Hauptanbieter nicht ohne Weiteres zu einem sichereren Mitbewerber wechseln, da hierf\u00fcr oft langwierige Vorank\u00fcndigungsfristen oder Zustimmungen des Kunden n\u00f6tig sind .<\/li>\n<li><strong>Konflikt mit SLAs:<\/strong> W\u00e4hrend der AVV den Dienstleisterwechsel bremst, verlangen <strong>Service-Level-Agreements (SLA)<\/strong> oft eine sofortige Wiederherstellung der Dienste . Unternehmen riskieren so entweder einen Vertragsbruch oder die Fortf\u00fchrung einer unsicheren Datenverarbeitung .<\/li>\n<\/ul>\n<h3><strong>Internationaler Zugriff: Der US Cloud Act<\/strong><\/h3>\n<p>Bei externen Dienstleistern, die ihren Hauptsitz in den USA haben (wie die meisten gro\u00dfen KI-Anbieter), besteht zudem die Gefahr durch den <strong>US Cloud Act<\/strong> . Dieser erlaubt es US-Beh\u00f6rden, Zugriff auf Daten zu verlangen, selbst wenn diese auf Servern innerhalb der EU oder der Schweiz gespeichert sind . Schweizer Datenschutzbeauftragte empfehlen daher, besonders sch\u00fctzenswerte Daten nur dann in solchen Clouds zu verarbeiten, wenn sie so <strong>verschl\u00fcsselt<\/strong> sind, dass der Anbieter selbst keinen Zugriff auf den Schl\u00fcssel hat .<\/p>\n<p><strong>Fazit f\u00fcr die Praxis:<\/strong> Verlassen Sie sich nicht allein auf die Bekanntheit eines KI-Anbieters. Pr\u00fcfen Sie die gesamte Kette der beteiligten Drittanbieter, stellen Sie sicher, dass Ihre <strong>AVVs gen\u00fcgend Flexibilit\u00e4t f\u00fcr Notf\u00e4lle<\/strong> bieten, und seien Sie sich der Risiken durch internationale Gesetzgebungen wie den Cloud Act bewusst.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Bei der Nutzung von KI-Systemen lauern oft Gefahren, die nicht direkt beim KI-Anbieter selbst, sondern&hellip;<\/p>\n","protected":false},"author":1,"featured_media":859,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-1051","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1051","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=1051"}],"version-history":[{"count":1,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1051\/revisions"}],"predecessor-version":[{"id":1052,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1051\/revisions\/1052"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/859"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=1051"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=1051"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=1051"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}