---

Fast neun von zehn Organisationen weltweit stufen KI-bedingte Schwachstellen als das am schnellsten wachsende Cyber-Risiko ein. So steht es im Global Cybersecurity Outlook 2026 des World Economic Forum. 94 Prozent der befragten Führungskräfte betrachten Künstliche Intelligenz als den wichtigsten Treiber für Cybersecurity im laufenden Jahr. Das klingt nach breitem Konsens. Doch wer genauer hinsieht, stellt fest: Die Mehrheit schaut in die falsche Richtung. Während Vorstände und Sicherheitsverantwortliche sich auf externe Bedrohungen durch KI-gestützte Angreifer vorbereiten, entsteht die größte Gefahr dort, wo sie kaum jemand vermutet – in den eigenen Workflows, den eigenen Abteilungen, den eigenen Prompts.

Die Verschiebung, die kaum jemand bemerkt

Noch 2025 dominierte das Schreckbild der sogenannten adversarial AI die Sicherheitsdebatte: KI-gestützte Phishing-Kampagnen, autonome Malware, Deepfake-basierter CEO-Fraud. Die externe Bedrohung stand im Zentrum aller Risikoanalysen. Zwölf Monate später hat sich das Bild gedreht. Laut den aktuellen WEF-Daten nennen 34 Prozent der Befragten Datenleaks durch generative KI als ihre größte Sorge – gegenüber 29 Prozent, die adversarial AI als Hauptbedrohung identifizieren. Das ist eine bemerkenswerte Kehrtwende, die in vielen Unternehmen noch nicht angekommen ist.

Der Grund für diese Verschiebung ist weniger spektakulär, als es die Deepfake-Schlagzeilen vermuten lassen. Er liegt in der massenhaften Adoption von GenAI-Werkzeugen durch Mitarbeitende, die keinerlei böse Absicht haben. Studien verschiedener Anbieter kommen übereinstimmend zu dem Befund, dass mehr als die Hälfte aller Beschäftigten private GenAI-Accounts für berufliche Zwecke nutzt. Ein erheblicher Anteil davon gibt dabei regelmäßig sensible Unternehmensdaten ein – Kundenlisten, Vertragsentwürfe, Quellcode, strategische Planungen. Nicht aus Nachlässigkeit, sondern aus Produktivitätsdruck. Die Schatten-KI ist längst Realität, und sie ist der Haupttreiber des Risikos.

Agentic AI als blinder Fleck im Sicherheitskonzept

Die nächste Eskalationsstufe ist bereits da, wird aber von den meisten Sicherheitsorganisationen noch nicht adressiert. Agentic AI – also autonome KI-Agenten, die eigenständig Entscheidungen treffen, Workflows anstoßen und Aktionen über mehrere Systeme hinweg ausführen – verbreitet sich rasant. No-Code- und Low-Code-Plattformen ermöglichen es inzwischen praktisch jedem Fachanwender, solche Agenten zu erstellen. Ein Vertriebsmitarbeiter baut sich einen Agenten, der automatisch CRM-Daten abfragt, E-Mails verfasst und Termine koordiniert. Eine Controllerin lässt einen Agenten Finanzberichte zusammenfassen und an einen definierten Verteiler senden. Das klingt harmlos. Es ist es nicht.

Diese KI-Agenten operieren mit Zugriffsrechten, die ihnen über die Benutzerkonten ihrer Ersteller vererbt werden – oft weit über das hinaus, was für die jeweilige Aufgabe nötig wäre. Sie haben aber keine eigene Identität im Identity & Access Management. Sie tauchen in keinem Berechtigungskonzept auf. Sie werden in keinem Audit erfasst. Gartner warnt in seinen Cybersecurity-Trendanalysen für 2026 ausdrücklich: Bestehende IAM-Sicherheitsmechanismen reichen für nicht-menschliche Identitäten nicht aus. Das betrifft nicht nur KI-Agenten, sondern auch Bots, automatisierte Workflows und API-Integrationen, die GenAI-Dienste anbinden.

Das Problem verschärft sich durch die Architektur moderner Agentic-AI-Systeme. Ein autonomer Agent, der über eine Toolchain mit mehreren Unternehmensanwendungen verbunden ist, kann bei einer Prompt-Injection-Attacke dazu gebracht werden, Aktionen auszuführen, die sein Ersteller nie beabsichtigt hat. Die Angriffsfläche wächst mit jeder neuen Integration, jeder neuen Automatisierung – und sie wächst dort, wo die klassische Perimetersicherheit blind ist.

Die Zahlen, die CISOs ihrem Vorstand zeigen sollten

Der Cyber Security Report 2026 von Check Point Software liefert Daten, die das Ausmaß des Problems quantifizieren. Demnach hatten 89 Prozent der untersuchten Organisationen innerhalb eines Dreimonatszeitraums mindestens einen als riskant eingestuften KI-Prompt. Das ist kein Randphänomen und kein Laborbefund – das sind Produktivsysteme in realen Unternehmensumgebungen.

Im Durchschnitt ist einer von 41 Prompts als hochriskant klassifiziert. Hochriskant bedeutet in diesem Kontext: potenzielle Datenexfiltration, Missbrauch erweiterter Berechtigungen oder gezielte Prompt-Injection, die Sicherheitsmechanismen umgeht.

Für CISOs, die ihrem Vorstand erklären müssen, warum GenAI-Governance kein Innovationshemmnis, sondern eine operative Notwendigkeit ist, bieten diese Zahlen eine belastbare Argumentationsgrundlage. Bei einem Unternehmen mit tausend aktiven GenAI-Nutzern, die jeweils zehn Prompts pro Arbeitstag absetzen, ergeben sich rechnerisch rund 240 hochriskante Interaktionen pro Tag. Jede einzelne ist ein potenzieller Sicherheitsvorfall, den keine klassische DLP-Lösung und kein herkömmliches SIEM erkennen würde, weil die Daten das Unternehmen nicht über einen überwachten Kanal verlassen, sondern über eine als produktiv eingestufte Anwendung.

Was CISOs jetzt tun sollten

Die gute Nachricht: Die Maßnahmen, die jetzt nötig sind, erfordern keine dreijährigen Transformationsprojekte. Sie erfordern Klarheit, Entschlossenheit und eine realistische Einschätzung dessen, was bereits im eigenen Netz passiert.

AI Usage Policy mit technischer Durchsetzung: Eine interne Richtlinie, die Mitarbeitende bittet, kein ChatGPT für vertrauliche Daten zu nutzen, ist wirkungslos. Wirksam sind technisch erzwungene Kontrollen: Approved-Lists für GenAI-Dienste über den Unternehmens-Proxy, Pflicht zur Nutzung unternehmenseigener GenAI-Instanzen mit Data-Loss-Prevention-Integration und automatisches Blocking von Uploads, die als vertraulich klassifizierte Inhalte enthalten.

Shadow-AI-Audit durchführen: Die meisten CISOs wissen nicht, welche GenAI-Tools in ihrem Unternehmen tatsächlich genutzt werden. Ein systematisches Audit über Netzwerk-Traffic-Analyse, Endpunkt-Telemetrie und Cloud-Access-Security-Broker-Logs schafft die Faktengrundlage für jede weitere Maßnahme. Erfahrungsgemäß fördert ein solches Audit eine zweistellige Zahl bisher unbekannter GenAI-Dienste zutage.

IAM auf nicht-menschliche Identitäten erweitern: Jeder KI-Agent, jeder Bot, jede Automatisierung, die auf Unternehmensdaten zugreift, braucht eine eigene, verwaltete Identität mit eigenem Berechtigungsprofil, eigener Protokollierung und eigenem Lifecycle-Management. Das Prinzip des Least Privilege, das für menschliche Nutzer selbstverständlich sein sollte, muss für maschinelle Akteure erst noch implementiert werden.

Prompt-Monitoring etablieren: DLP-Systeme, die bisher E-Mail, Cloud-Storage und Endpunkte überwachen, müssen um GenAI-Schnittstellen erweitert werden. Das umfasst sowohl die Überwachung ausgehender Prompts als auch die Analyse eingehender Antworten auf potenzielle Datenrückflüsse.

Rahmenwerke als Rückendeckung

CISOs, die diese Maßnahmen intern durchsetzen wollen, finden in den aktuellen Veröffentlichungen starke Unterstützung. Der WEF Global Cybersecurity Outlook 2026 liefert die strategische Einordnung auf Vorstandsniveau. Die Gartner Top Cybersecurity Trends for 2026 bieten die operative Detailtiefe für die Maßnahmenplanung. Beide Rahmenwerke betonen übereinstimmend, dass die Absicherung der eigenen KI-Nutzung mindestens so dringlich ist wie die Abwehr KI-gestützter externer Angriffe.

Die eigentliche Botschaft dieser Verschiebung ist unbequem, aber klar: Die Bedrohung, die 2026 die meisten Sicherheitsvorfälle verursachen wird, kommt nicht von hochentwickelten staatlichen Akteuren mit KI-Waffen. Sie kommt von einem Produktmanager, der einen Vertragsentwurf in ein GenAI-Tool kopiert. Von einem KI-Agenten, der mit vererbten Admin-Rechten auf eine Kundendatenbank zugreift. Von einer Automatisierung, die niemand im Sicherheitsteam auf dem Schirm hat. Wer als CISO jetzt nicht handelt, verteidigt die Festung nach außen – während die Tore nach innen weit offen stehen.

 

Quelle des Titelbildes: Unsplash / Philipp Katzenberger