KI-Sicherheit: Angriffe auf Lieferketten und neue Gesetze fordern Unternehmen heraus

Die globale Cybersicherheitslage wird 2026 von einer Welle an Angriffen auf Software-Lieferketten und immer strengeren Datenschutzgesetzen geprägt. Während Hacker zunehmend Drittanbieter ins Visier nehmen, um an sensible Unternehmensdaten zu gelangen, verschärfen Regierungen weltweit die Vorgaben. Die Verantwortung für schnelle Reaktionen und den Nachweis von Compliance liegt nun direkt beim Top-Management.

Neue KI-Gesetze und wachsende Cyberrisiken stellen Unternehmen vor massive Herausforderungen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um ihre IT-Sicherheit zukunftssicher aufzustellen. Gratis Cyber Security E-Book herunterladen

KI-Branche im Visier: Angriffe über Drittanbieter-Bibliotheken

Die künstliche Intelligenz steht im Fokus der Angreifer. Am 10. April 2026 gab OpenAI ein Sicherheitsproblem mit der weit verbreiteten Entwicklerbibliothek Axios bekannt. Diese war bereits am 31. März kompromittiert worden. Eine GitHub Actions-Workflow lud daraufhin unwissentlich eine schädliche Version herunter, die Zugriff auf Signaturzertifikate für macOS-Apps ermöglichte.

OpenAI betont, dass keine Nutzerdaten, internen Systeme oder geistiges Eigentum abgeflossen seien. Dennoch zieht das Unternehmen Konsequenzen: Ab dem 8. Mai 2026 werden ältere Versionen seiner macOS-Anwendungen nicht mehr unterstützt. Der Vorfall zeigt, wie Angreifer durch das „Spoofing“ legitimer Softwarekomponenten traditionelle Sicherheitsperimeter umgehen.

OpenAI ist nicht allein. Meta setzte im April seine Partnerschaft mit dem KI-Trainings-Startup Mercor nach einem Datendiebstahl aus. Der Angriff wurde auf das Open-Source-Projekt LiteLLM zurückgeführt. Analysten sehen darin ein Zeichen für die wachsende Abhängigkeit von externen Anbietern in der KI-Entwicklung – und damit für neue Einfallstore.

Ein weiterer schwerwiegender Vorfall betraf die SaaS-Analyseplattform Anodot (gehört zu Glassbox). Anfang April kompromittierte die Gruppe ShinyHunters deren Systeme und stahl Authentifizierungstoken. Mit diesen gelang der Zugriff auf Snowflake-Konten zahlreicher Anodot-Kunden. Snowflake bestätigte den Vorfall am 9. April, betonte aber die Sicherheit der eigenen Kernsysteme. Die Angreifer erpressen nun mehrere Opfer, darunter Rockstar Games, und setzten eine Frist bis zum 14. April.

Finanzbranche und Infrastruktur im Fadenkreuz

Die Schnittstelle von KI und Cybersicherheit alarmiert auch hohe Regierungsvertreter. Am 10. April warnten US-Finanzminister Scott Bessent und Fed-Chef Jerome Powell die CEOs großer Banken wie Goldman Sachs vor den Cyber-Risiken des KI-Modells „Claude Mythos Preview“ von Anthropic. Die Befürchtung: Dessen fortgeschrittene Fähigkeiten könnten für böswillige Zwecke missbraucht werden.

Gleichzeitig bleibt kritische Infrastruktur ein Hauptziel staatlicher Akteure. Seit März 2026 greifen mutmaßlich iranische Hacker internet-exponierte Steuerungen (PLCs) von Rockwell Automation an. Überwachungsberichte listen fast 3.900 gefährdete Geräte in den USA auf – von weltweit etwa 5.200. Die Angriffe verursachten bereits Störungen in Energie-, Wasser- und Öl- und Gassektoren.

Als Reaktion auf die eskalierende Bedrohungslage weitet das US-Finanzministerium im April sein „Project Fortress“ aus. Künftig erhalten qualifizierte Kryptofirmen Zugang zu derselben Cyber-Bedrohungsinformation wie traditionelle Banken. Hintergrund: Kryptounternehmen verloren im letzten Geschäftsjahr über 2 Milliarden Dollar durch Cyberangriffe, oft durch Gruppen wie Nordkoreas Lazarus Group.

Der regulatorische Druck: Globale Fristen bis 2027

Während die technischen Bedrohungen wachsen, zieht der regulatorische Schraubstock zu. In den USA traten zum 1. Januar 2026 verschärfte Regeln des California Consumer Privacy Act (CCPA) in Kraft. Websites müssen nun explizit bestätigen, dass Opt-Out-Anfragen befolgt werden, und dürfen Nutzer sechs Monate lang nicht erneut um Einwilligung bitten. Daten von Nutzern unter 16 Jahren gelten nun als sensible Daten.

In Indien wird der Digital Personal Data Protection (DPDP) Act 2026 voll wirksam, die volle Durchsetzung ist für 2027 geplant. Unternehmen müssen Datenschutzverletzungen binnen 72 Stunden melden. Verstöße können zu Geldstrafen von bis zu 250 Millionen Euro führen.

Europa bereitet ähnliche Schritte vor. Der EU AI Act soll bis August 2026 voll anwendbar sein. In Deutschland soll die Bundesnetzagentur (BNetzA) laut einem Gesetzentwurf vom März 2026 zur zentralen Marktüberwachungsbehörde für KI werden. Zudem treten EU-weite Bargeld-Obergrenzen von 10.000 Euro für Geschäftstransaktionen am 10. Juli 2027 in Kraft.

Mit dem EU AI Act kommen auf Unternehmen, die KI-Systeme einsetzen, weitreichende neue Kennzeichnungs- und Dokumentationspflichten zu. Dieser kostenlose Umsetzungsleitfaden bietet einen kompakten Überblick über alle Risikoklassen, Fristen und Anforderungen für Ihre Compliance. Kostenloses E-Book zum EU AI Act sichern

Datenschutz-Klagen und die Grenzen der KI-Steuerung

Der Konflikt zwischen Unternehmenspraxis und Datenschutz eskalierte heute, am 12. April 2026, mit Sammelklagen gegen LinkedIn in Kalifornien. Die Kläger werfen dem Karrierenetzwerk vor, mit JavaScript heimlich Browser-Erweiterungen in Chrome und Edge zu scannen – auch solche von Wettbewerbern. LinkedIn verteidigt dies als Sicherheitsmaßnahme. Der Streit dreht sich um die Frage, ob die Datenschutzerklärung eine ausreichende Rechtsgrundlage für solch invasive Scans bietet.

Transparenzprobleme gibt es auch bei der Genauigkeit von KI-Systemen. Eine Studie der New York Times und Oumi ergab im April, dass Googles Gemini AI-Suche nur in 91% der Fälle korrekte Informationen liefert. Bei globalem Suchaufkommen bedeutet das: Millionen Fehlinformationen pro Stunde. Zwar eine Verbesserung gegenüber 85% im Jahr 2025, doch ein Beleg für die anhaltenden Schwierigkeiten, automatisierte Informationssysteme zu beherrschen.

Schatten-KI und der Governance-Gap

Die aktuelle Welle von Sicherheitsvorfällen offenbart eine gefährliche Lücke zwischen Technologieeinführung und Unternehmenssteuerung. Studien Ende 2025 zeigen: 70% der Entscheider in Deutschland fühlten sich unter Druck, KI-Projekte trotz Sicherheitsbedenken zu genehmigen. Nur 41% der Unternehmen haben umfassende KI-Richtlinien. Mehr als die Hälfte der Manager gibt zu, nicht zu wissen, wie man ein KI-System im Krisenfall schnell abschaltet.

Dieses „Schatten-KI“-Phänomen – die nicht genehmigte Nutzung öffentlicher KI-Tools durch Mitarbeiter – schafft eine neue Risikokategorie, die traditionelle Sicherheitsarchitekturen oft nicht erfassen können. Angetrieben durch Regulierungen wie NIS-2 und den Digital Operational Resilience Act (DORA) setzen Unternehmen zunehmend auf „Souveränität durch Design“ und Ende-zu-Ende-Verschlüsselung, um die Kontrolle über ihre Datenflüsse zurückzugewinnen.

Die Zeit drängt. Organisationen mit Fortinet-Systemen mussten auf Anweisung der US-Cybersicherheitsbehörde CISA eine kritische Schwachstelle (CVE-2026-35616) bis zum 11. April patchen. Bis zur Frist für den EU AI Act im August 2026 müssen Unternehmen von freiwilligen Leitlinien zu formalen Compliance-Managementsystemen übergehen. Die Zukunft gehört strengen Lieferketten-Prüfungen und einer neuen Ära der unternehmerischen Verantwortung.

de | boerse | 69133193 |