KI-Regulierung und Cyberkriminalität: Doppelbelastung für Unternehmen

Während die EU die ersten großen KI-Regeln durchsetzt, explodieren gleichzeitig KI-gestützte Cyberangriffe und Betrugssummen. Für Unternehmen bedeutet das eine doppelte Herausforderung: neue Gesetze einhalten und sich gegen raffinierte Kriminelle wehren.

Die neuen Anforderungen des EU AI Acts und die wachsende Zahl an Cyberbedrohungen stellen Unternehmen vor massive Compliance-Hürden. Dieser kostenlose Leitfaden zeigt Ihnen in 5 Schritten, wie Sie die gesetzlichen Fristen und Risikoklassen der KI-Verordnung sicher meistern. EU AI Act Umsetzungsleitfaden jetzt kostenlos herunterladen

KRITIS-Gesetz verschärft Sicherheitspflichten

Die Regeln für kritische Infrastrukturen wurden massiv verschärft. Der Bundesrat stimmte am 6. März 2026 dem KRITIS-Dachgesetz endgültig zu. Es setzt die EU-Richtlinie für kritische Infrastrukturen (CER) in nationales Recht um.

Betreiber in mindestens zehn Sektoren – von Energie über Transport bis zum Gesundheitswesen – müssen nun strenge Resilienz-Vorgaben erfüllen. Das gilt besonders für Organisationen, die mehr als 500.000 Menschen versorgen. Sie müssen sich bei Behörden registrieren, regelmäßige Risikobewertungen durchführen und umfassende physische Schutzpläne erstellen. Die Bußgelder für Verstöße wurden kürzlich verdoppelt und können bis zu eine Million Euro betragen.

Merz fordert Lockerung für Industrie-KI

Parallel zur verschärften Infrastruktur-Sicherheit entbrennt ein politischer Streit um die Regulierung künstlicher Intelligenz in der Industrie. Bundeskanzler Friedrich Merz forderte zur Eröffnung der Hannover Messe am 20. April 2026 eine deutliche Lockerung der EU-Vorgaben für industrielle KI-Anwendungen.

Er argumentiert, der vor Jahren entworfene Rahmen belaste den produzierenden Sektor unnötig und behindere Produktivitätsgewinne. Siemens-Chef Roland Busch unterstützte diese Forderung. Er deutete an, dass eine geplante Investition von einer Milliarde Euro in industrielle KI notfalls in die USA verlagert werden könnte, sollten die europäischen Regeln zu restriktiv bleiben. Verbände wie BDI und ZVEI schlossen sich an und fordern eine Sonderbehandlung für Industrie-KI, um die globale Wettbewerbsfähigkeit zu erhalten.

Ransomware und KI-Betrug erreichen neue Dimensionen

Die Dringlichkeit robuster Abwehrmaßnahmen wird durch die explosive Verbreitung der Ransomware-Gruppe „The Gentlemen“ unterstrichen. Berichten vom 20. April zufolge hat die Gruppe allein in diesem Jahr bereits 240 Angriffe auf Branchen wie Fertigung, Technologie und Gesundheitswesen durchgeführt. Sicherheitsforscher identifizierten eine Kommando-Infrastruktur, die darauf hindeutet, dass über 1.500 Unternehmen bereits kompromittiert sein könnten.

Das Wachstum der Gruppe wird durch ein aggressives Umsatzbeteiligungsmodell von 90/10 mit ihren Partnern befeuert – deutlich mehr als der bisherige Branchenstandard.

Doch nicht nur Erpressungssoftware, auch finanzieller Betrug mit KI erreicht historische Ausmaße. US-Behörden klagten kürzlich die frühere Führung des Unternehmens iLearning wegen eines Betrugssystems in Höhe von rund 400 Millionen Euro an. Die Staatsanwaltschaft behauptet, das gesamte KI-basierte Geschäftsmodell und die Kundenbasis seien erfunden.

Dieser Fall spiegelt einen breiteren Trend wider. Das FBI verzeichnete im Vorjahr über 22.000 Beschwerden zu KI-bezogenem Betrug mit einem Schaden von fast 820 Millionen Euro. Die öffentliche Wahrnehmung der Gefahr wächst: Eine AXA-Studie vom 20. April 2026 ergab, dass 87 Prozent der Schweizer Bevölkerung einen Anstieg von KI-gesteuertem Cyberbetrug erwarten. Die große Mehrheit fordert eine verpflichtende Kennzeichnung aller KI-generierten Inhalte.

Angesichts der rasanten Zunahme von KI-gesteuertem Cyberbetrug und Ransomware müssen Firmen ihre Sicherheitsstrategie grundlegend überdenken. Das kostenlose E-Book liefert Ihnen wertvolle Einblicke in aktuelle Bedrohungstrends und zeigt praxisnahe Schutzmaßnahmen für KMU auf. Gratis Cyber-Security E-Book sichern

Europol schlägt zurück – doch die Angriffe werden raffinierter

Die Strafverfolgungsbehörden reagieren mit koordinierten Schlägen gegen die Cyberkriminalität. In der Woche ab dem 13. April 2026 zerschlug Europols Operation PowerOFF 53 Domains, die mit DDoS-„Mietdiensten“ verbunden waren. Die Aktion führte zu vier Festnahmen und der Beschlagnahme von Daten aus drei Millionen kriminellen Nutzerkonten.

Doch selbst große Technologieanbieter sind nicht immun. Im April 2026 bestätigte die Cloud-Plattform Vercel einen Sicherheitsvorfall, der auf ein kompromittiertes Mitarbeiterkonto bei einem Drittanbieter für KI zurückging. Die Angreifer gelangten an nicht-sensitive Umgebungsvariablen und Mitarbeiterdaten.

Als Gegenmaßnahme setzen einige Firmen auf autonome Lösungen. Eine Partnerschaft zwischen CrowdStrike und NVIDIA soll „Always-on“-KI-Agenten entwickeln, die Rechenzentren und Cloud-Umgebungen durch kontinuierliches Lernen und autonome Abwehr schützen.

Komplexes Regelwerk: EU-KI-Gesetz trifft auf nationale Vorgaben

Die Überschneidung von EU-KI-Gesetz und nationalen Gesetzen wie dem KRITIS-Dachgesetz schafft 2026 ein komplexes Umfeld für Compliance.

Ab dem 2. August 2026 gilt in der EU eine Transparenzpflicht für synthetische Inhalte und Deepfakes. Bis zum 2. November 2026 müssen Anbieter generativer KI maschinenlesbare Wasserzeichen, wie den von OpenAI und Google übernommenen C2PA-Standard, implementieren. Verstöße können mit bis zu 7,5 Millionen Euro oder einem Prozent des weltweiten Umsatzes geahndet werden.

Rechtsexperten weisen darauf hin, dass die größte Compliance-Gefahr für interne Unternehmenskommunikation weiterhin die DSGVO bleibt. Die meisten KI-Anwendungen für interne Zusammenfassungen fallen unter die „minimales Risiko“-Kategorie des KI-Gesetzes. Hochrisiko-Anwendungen wie automatische Bewerberauswahl oder verbotene Praktiken wie Emotionserkennung am Arbeitsplatz unterliegen jedoch viel strengeren Auflagen.

Ein Urteil des Landgerichts München Ende 2025 hat zudem klargestellt, dass das Einlernen urheberrechtlich geschützter Werke durch KI-Modelle eine Urheberrechtsverletzung darstellen kann – eine weitere rechtliche Hürde für Entwickler.

Ausblick: Wettlauf gegen die Zeit und die Kriminellen

Mit den Fristen des EU-KI-Gesetzes im August und November 2026 müssen Unternehmen den Übergang zu transparenten KI-Systemen beschleunigen. Der Fokus wird sich voraussichtlich auf „Shadow AI“ verlagern – die nicht genehmigte Nutzung von KI-Tools durch Mitarbeiter. Ab August 2026 haften Führungskräfte persönlich stärker für Compliance-Verstöße.

Gleichzeitig verändert sich die technische Bedrohungslage. Da das US-amerikanische NIST seine Schwachstellen-Datenbank am 15. April 2026 aktualisierte, um nur noch die kritischsten Bedrohungen zu priorisieren, müssen Unternehmen sich stärker auf private Intelligenz und automatisiertes Patchen verlassen.

Die Forderung nach einem „Carve-out“ für Industrie-KI bleibt ungewiss. Hält die EU-Kommission an ihrem Kurs fest, wird die zweite Jahreshälfte 2026 von Zertifizierungs- und Kennzeichnungsaktivitäten geprägt sein. Strafverfolgungsbehörden werden ihr Augenmerk weiter auf das RaaS-Ökosystem richten, während Gruppen wie „The Gentlemen“ die anhaltende Profitabilität hochautomatisierter Angriffe demonstrieren.

Für die Wirtschaft wird das restliche Jahr 2026 von der doppelten Herausforderung geprägt sein: neue regulatorische Standards zu erfüllen und sich gleichzeitig gegen eine zunehmend automatisierte und KI-gestützte Bedrohungslandschaft zu verteidigen.

de | boerse | 69226898 |