KI-Sicherheit: Zwei Drittel der CIOs verlieren die Kontrolle

Während KI-Agenten und automatisierte Prozesse massiv Einzug halten, fehlt es an Kontrolle. Die Folge: mehr Sicherheitsvorfälle, ungetesteter Code und drastisch verkürzte Reaktionszeiten bei Angriffen.

Die rasanten technologischen Entwicklungen und neuen EU-Regeln stellen viele Unternehmen vor enorme Herausforderungen bei der Compliance. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt im Blick behalten müssen. Neue KI-Gesetze und Cyberrisiken verstehen

Führungsetagen überfordert

Eine IBM-Studie vom 8. Juni zeigt das Ausmaß. Zwei Drittel der befragten CIOs und CTOs geben zu, ihre KI-Systeme nicht vollständig kontrollieren zu können. Rund 70 Prozent der Verantwortlichen beobachten, dass Fachabteilungen neue Technologien schneller einführen, als die IT sie absichern kann.

Die mangelnde Steuerung hat messbare Konsequenzen. Gartner prognostiziert, dass bis 2027 rund 40 Prozent der Unternehmen ihre autonomen KI-Agenten zurückstufen oder abschalten werden. Hauptgrund: Es fehlt eine abgestufte Governance, die zwischen Beobachtung und vollständiger Autonomie unterscheidet.

Die IBM-Untersuchung belegt zudem: Unternehmen verzeichnen durchschnittlich 54 KI-bezogene Sicherheitsvorfälle pro Jahr. Davon gelten 17 Prozent als schwerwiegend, vor allem Datenlecks und Systemausfälle. Dennoch planen viele Betriebe, den KI-Budgetanteil von 15 auf 25 Prozent zu steigern – obwohl 84 Prozent kein vollständiges Finanzmanagement für diese Ausgaben haben.

Angreifer nutzen KI hocheffektiv

Während Unternehmen intern kämpfen, sind Angreifer bereits einen Schritt voraus. Ein Test des KI-Entwicklers Anthropic vom 9. Juni zeigt: Spezialisierte Modelle wie Claude Mythos Preview können Sicherheitslücken in Browsern oder Betriebssystemkernen innerhalb einer Stunde ausnutzen. Das herkömmliche Patch-Fenster von mehreren Tagen schrumpft damit drastisch.

Sicherheitsforscher von Sophos entdeckten Anfang Juni einen KI-gestützten Ransomware-Baukasten in einer aktiven Kundenumgebung. Ein KI-Modell koordinierte verschiedene Agenten, um automatisch Schadsoftware-Module zu generieren und gegen gängige Sicherheitslösungen zu testen. Die finalen Varianten umgingen nahezu alle Erkennungsmethoden.

Konkrete Lücken in der Infrastruktur

Meta meldete am 8. Juni eine Schwachstelle in einem KI-gestützten Support-Tool. Zwischen Mitte April und Ende Mai 2026 ermöglichte sie die Übernahme von über 20.000 Instagram-Profilen. Durch gezielte Befehlseingaben (Prompt Injection) umgingen Angreifer sogar die Zwei-Faktor-Authentifizierung.

Die allgemeine Softwarequalität leidet ebenfalls. Ein Branchenbericht von Tricentis zeigt: In Deutschland geben rund 70 Prozent der Unternehmen ungetesteten Code in die Produktion. Hauptgründe sind Management-Druck und das schiere Volumen an KI-generiertem Code.

EU-Vorgaben erhöhen den Druck

Für Betreiber kritischer Infrastrukturen (KRITIS) wird die Lage durch rechtliche Anforderungen noch komplexer. Die EU-Agentur für Cybersicherheit (ENISA) wies auf eine Dreifachpflicht hin: Neben sektoralen Regeln und der NIS-2-Richtlinie müssen Unternehmen auch den EU AI Act erfüllen.

Der neue EU AI Act bringt weitreichende Pflichten für die Dokumentation und das Risikomanagement von KI-Systemen mit sich. Dieser kostenlose Umsetzungsleitfaden verschafft Ihrer Rechts- und IT-Abteilung jetzt den notwendigen Überblick über alle Fristen und Risikoklassen. EU AI Act Umsetzungsleitfaden kostenlos sichern

Ab Ende 2027 gelten strenge Vorgaben für Hochrisiko-KI in der Netzsteuerung – etwa beim Risikomanagement, der Datenqualität und der menschlichen Aufsicht. Bei Verstößen drohen Bußgelder von bis zu 15 Millionen Euro oder drei Prozent des weltweiten Umsatzes. Experten empfehlen daher mehrschichtige Sicherheitskonzepte und eine kontinuierliche Überwachung aller KI-Aktivitäten.

de | wirtschaft | 69511210 |