KI-Agenten öffnen Tür für neue Sicherheitslücken

Neue Marktanalysen und regulatorische Entwicklungen Mitte April 2026 zeigen eine wachsende Kluft zwischen ambitionierten KI-Projekten und den nötigen Schutzmaßnahmen.

Jedes vierte KI-Projekt wird zum Sicherheitsrisiko

Eine Prognose des Marktforschungsunternehmens Gartner vom 15. April zeichnet ein alarmierendes Bild: Bis 2028 soll jedes vierte unternehmensweite KI-System jährlich mindestens fünf kleinere Sicherheitsvorfälle erleben. Das wäre ein deutlicher Anstieg gegenüber der Quote von 9 Prozent aus dem Jahr 2025. Bis 2029, so die Prognose weiter, werde zudem jedes siebte Unternehmen von einem schwerwiegenden KI-bedingten Sicherheitsbruch betroffen sein.

Die neuen EU-Regeln für künstliche Intelligenz stellen Unternehmen vor komplexe Herausforderungen bei der Risikobewertung und Dokumentation. Dieser kostenlose Umsetzungsleitfaden hilft Ihnen, die verschiedenen Risikoklassen des AI Acts zu verstehen und rechtzeitig zu handeln. EU AI Act in 5 Schritten verstehen

Die Haupttreiber dieser Risiken sind sogenannte agentische KI und das Model Context Protocol (MCP). Diese Technologien erhöhen die Autonomie der Systeme, schaffen aber auch neue Angriffsflächen für Datenlecks und unrechtmäßige Zugriffserweiterungen. Bereits heute, zeigen Daten vom März, birgt etwa jeder 28. Befehl an eine generative KI das Risiko, sensible Informationen preiszugeben. Rund 91 Prozent der nutzenden Organisationen sind von diesem Problem betroffen.

Dabei hatten die allgemeinen Cyberangriffe in Deutschland zu Jahresbeginn eigentlich um 12 Prozent abgenommen. Die Komplexität der KI-bedingten Schwachstellen bleibt jedoch besorgniserregend. Viele Firmen verlassen sich noch auf unzureichende Maßnahmen wie ungeprüfte Backups oder einmalige Schulungen – ein stumpfes Schwert gegen die ausgeklügelten Angriffsmethoden der neuen KI-Ära.

Europa sucht den regulatorischen Rahmen

Als Reaktion auf diese Entwicklungen legte die EU-Kommission am 15. April einen Digital-Omnibus-Vorschlag vor. Dieser will den Data-Governance-Act und die Open-Data-Richtlinie in einem einheitlichen Data-Act-Rahmen zusammenführen. Doch digitale Bürgerrechtsorganisationen kritisieren den Plan scharf: Die Zusammenlegung könne bestehende Schutzvorkehrungen schwächen und durch eine Verwässerung der DSGVO Rechtsunsicherheit schaffen.

Parallel dazu versucht der Europäische Datenschutzausschuss (EDPB), praktische Hilfestellung zu geben. Am selben Tag stellte er eine standardisierte Vorlage für Datenschutz-Folgenabschätzungen (DSFA) vor. Obwohl nicht verpflichtend, soll sie Unternehmen durch die Risikobewertung bei hochriskanten Datenverarbeitungen führen. Eine öffentliche Konsultation dazu läuft bis zum 9. Juni.

Besonders bei hochriskanten Datenverarbeitungen, wie sie moderne KI-Systeme oft darstellen, kann eine fehlende Datenschutz-Folgenabschätzung empfindliche Bußgelder nach sich ziehen. Nutzen Sie dieses kostenlose E-Book inklusive Muster-Vorlagen, um Ihre DSFA rechtssicher und effizient zu erstellen. Rechtssichere Muster-DSFA kostenlos herunterladen

In Deutschland verschärft sich das Umfeld ebenfalls. Nach der Verabschiedung des Data-Act-Durchführungsgesetzes (DADG) durch den Bundestag am 26. März ist nun die Bundesnetzagentur die primäre Aufsichtsbehörde. Sie kann Bußgelder von bis zu fünf Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes verhängen. Für die datenschutzrechtlichen Details bleibt der Bundesbeauftragte für den Datenschutz (BfDI) zuständig.

Die Cloud verliert an Glanz – die Reise geht zurück ins Rechenzentrum

Sorgen um Datensouveränität und die Sicherheit von KI-Workloads verändern die Cloud-Strategien der Unternehmen grundlegend. Eine Studie vom 15. April zeigt: 89 Prozent der befragten Firmen planen, ihre On-Premises-Infrastruktur in den nächsten zwei Jahren auszubauen. Drei Viertel haben bestimmte Workloads bereits in den letzten 24 Monaten aus der Public Cloud zurückgeholt.

Die Gründe sind vielfältig: Für 82 Prozent ist die Kontrolle über die Daten der Hauptantrieb, 84 Prozent nennen explodierende Cloud-Kosten und 85 Prozent die speziellen Anforderungen von KI-Arbeitslasten. Immerhin 59 Prozent der Teilnehmer äußerten zudem Bedenken vor unrechtmäßigem Datenzugriff durch die Cloud-Anbieter selbst.

Dieser trend geht einher mit dem Ruf nach einer „Privacy-Led UX“ – einer Benutzererfahrung, die Privatsphäre von Grund auf mitdenkt. Ein Bericht des MIT Technology Review Insights betonte diese Woche, dass für den Erfolg agentischer KI einfache Cookie-Banner nicht mehr ausreichen. Nötig sei eine Infrastruktur, die die Einwilligung der Nutzer als fortlaufende Beziehung behandelt. Nur so ließen sich die hochwertigen First-Party-Daten für KI-Personalisierung gewinnen, ohne das Nutzervertrauen zu verspielen.

Brüssels Druck auf Tech-Giganten wächst

Die Aufsichtsbehörden zeigen zunehmend Entschlossenheit. Am 16. April forderte die EU-Kommission in vorläufigen Feststellungen Google auf, Suchdaten mit Wettbewerbern zu teilen, um dem Digital Markets Act (DMA) zu genügen. Google hat bis zum 1. Mai Zeit zur Stellungnahme, eine verbindliche Entscheidung wird für den 27. Juli erwartet.

Der Druck auf andere Tech-Riesen ist ähnlich hoch. Die Kommission drohte Meta bereits mit einstweiligen Maßnahmen wegen der Integration des hauseigenen KI-Assistenten in WhatsApp. Vorläufige Untersuchungen, die Ende 2025 begannen, deuten auf Verstöße gegen Wettbewerbsrecht hin, indem Dritt-Anbieter ausgeschlossen werden. Zudem prüft Brüssel, OpenAI als „sehr große Suchmaschine“ nach dem Digital Services Act (DSA) einzustufen. Das würde den Entwickler von ChatGPT zu deutlich strengeren Transparenz- und Risikomanagement-Pflichten verpflichten.

Während die Regulierer die großen KI-Firmen im Visier haben, hinkt die allgemeine digitale Compliance hinterher. Eine Analyse von über 5.000 deutschen Websites vom 15. April offenbarte ein „Barrierefreiheits-Desaster“: Neun Monate nach Inkrafttreten des Barrierefreiheitsstärkungsgesetzes (BFSG) erreichte keine einzige seite volle Konformität. Besonders Branchen wie E-Commerce und Gesundheitswesen liegen deutlich zurück.

Ausblick: Ein heißer Frühling für Compliance-Verantwortliche

Das regulatorische Umfeld wird sich im Frühjahr 2026 weiter dynamisch entwickeln. In den USA treten am 22. April verschärfte COPPA-Regeln zum Kinderschutz in Kraft, die die US-Handelsaufsicht FTC rigoros durchsetzen will. Eine neue Richtlinie erlaubt Datenerhebung zur Altersverifizierung nur unter strengsten Auflagen.

Im technischen Bereich warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 14. April vor mehreren Hochrisiko-Schwachstellen im Linux-Kernel. Die Sicherheitslücken, darunter CVE-2025-71238 und eine Serie von CVEs bis CVE-2026-23238, könnten zu Speicherkorruption oder Denial-of-Service-Angriffen führen und Plattformen von Amazon Linux bis Microsoft Azure betreffen.

Auf dem Weg in das Jahr 2027 werden Tools für strukturierte Zugriffskontrolle und automatisierte Risikoanalysen für Unternehmen unverzichtbar. Experten raten, kontinuierliche Schwachstellentests und Multi-Faktor-Authentifizierung zu priorisieren. Nur so lasse sich die Lücke zwischen den ehrgeizigen KI-Zielen und der aktuellen Realität digitaler Unsicherheit schließen.

de | boerse | 69175929 |