KI-Sicherheit: Die unsichtbare Gefahr in der Cloud

** Neue Regulierungen und Millionenstrafen zeigen, dass die Sicherheitslücken zwischen künstlicher Intelligenz und IT-Governance immer größer werden.

Schatten-KI: Die unbekannten Mitspieler

In deutschen IT-Landschaften wächst eine unsichtbare Gefahr. Laut einer Studie der Cloud Security Alliance (CSA) operieren in 82 Prozent der Unternehmen unbekannte KI-Agenten – sogenannte Schatten-KI. Die Folgen sind real: 65 Prozent der Organisationen meldeten im vergangenen Jahr Vorfälle mit diesen unkontrollierten Systemen.

Die rasante Verbreitung von Schatten-KI stellt Unternehmen vor völlig neue regulatorische Herausforderungen durch den EU AI Act. Dieser kostenlose Download verschafft Ihnen den Überblick über Fristen und Risikoklassen, den Ihre Rechts- und IT-Abteilung jetzt dringend braucht. EU AI Act in 5 Schritten verstehen

Die Schäden sind erheblich. Bei 61 Prozent der betroffenen Firmen kam es zu Datenlecks. 43 Prozent erlitten Betriebsstörungen und 35 Prozent verzeichneten direkte finanzielle Verluste. Das Problem ist die mangelnde Transparenz.

Eine aktuelle Untersuchung von Cybersecurity Insiders und Saviynt zeigt das Ausmaß. Zwar bestätigen 71 Prozent der Sicherheitschefs (CISOs), dass KI-Tools Zugang zu Kernsystemen wie SAP haben. Doch nur 16 Prozent der Unternehmen glauben, diesen Zugriff effektiv zu steuern.

Die Zahlen sind alarmierend: 92 Prozent haben keine vollständige Übersicht über KI-Identitäten. 95 Prozent der Sicherheitsexperten zweifeln an ihrer Fähigkeit, Missbrauch zu erkennen. Und 86 Prozent haben noch keine speziellen Zugriffsrichtlinien für KI implementiert – obwohl 75 Prozent unautorisierte KI-Tools in ihren Netzen identifiziert haben.

Neue Regeln: BSI verschärft Cloud-Sicherheit

Als Reaktion auf diese Bedrohungen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seine Standards aktualisiert. Am 7. April veröffentlichte die Behörde den überarbeiteten Kriterienkatalog C5:2026.

Die Neufassung war nötig, um Cloud-Sicherheitsanforderungen an die NIS-2-Richtlinie, ISO/IEC 27001:2022 und die CSA Cloud Controls Matrix V4 anzupassen. Der neue Rahmenwerk enthält verschärfte Kriterien für Bedrohungsanalyse, Incident Management und Confidential Computing.

Für Unternehmen gibt es eine Übergangsfrist. Bestehende C5:2020-Bescheinigungen für Typ-1-Berichte bleiben bis zum 1. Juni 2027 gültig. Ab diesem Datum beginnt auch die Beobachtungsphase für Typ-2-Berichte unter dem neuen Standard.

Diese Aktualisierung fällt mit einer regelrechten Regulierungswelle in Europa zusammen. Neue Fachliteratur wie die „Compliance Matrix“ von Dr. Holger Reibold betont die Notwendigkeit, NIS-2, DORA, den Cyber Resilience Act und den EU-KI-Gesetz integriert umzusetzen. Dieser „Single Point of Compliance“-Ansatz soll Doppelarbeit reduzieren und die Audit-Bereitschaft erhöhen.

Neben den neuen EU-Vorgaben rücken auch Cyberkriminelle verstärkt die Cloud-Infrastrukturen kleiner und mittelständischer Unternehmen ins Visier. Das Gratis-E-Book enthüllt, wie Sie aktuelle Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen ohne großes Budget erfüllen. IT-Sicherheit stärken und gesetzliche Pflichten erfüllen

Millionenstrafen zeigen: Datenschutz wird teuer

Während Standards den Weg vorgeben, zeigen aktuelle Strafen die Konsequenzen von Verstößen. Am 20. April verhängte die italienische Datenschutzbehörde eine Geldbuße von über 12,5 Millionen Euro gegen Poste Italiane und Postepay.

Die Untersuchung ergab, dass die mobilen Apps der Unternehmen übermäßige Datenzugriffe als Nutzungsbedingung verlangten. Dies führte zur unrechtmäßigen Verarbeitung personenbezogener Daten von Millionen Nutzern.

Parallel dazu kündigten französische Behörden am selben Tag an, die Plattform X auf mögliche Verstöße gegen die DSGVO und den Digital Services Act (DSA) zu prüfen. Der Fokus liegt auf Transparenz und der Nutzung von Verbraucherdaten für das Training von KI-Systemen.

Eine Studie von webXray vom April 2026 unterstreicht die Herausforderungen. Die Analyse von über 7.000 Websites zeigte weitverbreitete Verstöße gegen das kalifornische Datenschutzgesetz (CCPA). Google-Tracker ignorierten in 86 Prozent der Fälle Privacy-Opt-out-Signale. Bei Meta-Trackern lag die Quote bei 69 Prozent.

Diese Ergebnisse deuten darauf hin, dass viele cloud-basierte Tracking-Systeme weiterhin Daten sammeln – selbst wenn Verbraucher Privatsphäre-Signale senden. Für die Mutterkonzerne könnten dies Milliardenstrafen bedeuten.

Globaler Trend: Der regulatorische Radius wächst

Der regulatorische Druck nimmt weltweit zu. In den USA wurde Alabama im April 2026 der 21. Bundesstaat mit einem umfassenden Datenschutzgesetz. Das „Alabama Personal Data Protection Act“ tritt am 1. Mai 2027 in Kraft und betrifft Unternehmen, die Daten von mehr als 25.000 Verbrauchern verarbeiten.

In Europa genehmigte der Europäische Datenschutzausschuss (EDPB) am 15. April eine bedeutende Erweiterung des Europrivacy-Zertifizierungsschemas. Diese Erweiterung ermöglicht es, die Zertifizierung als Mechanismus für internationale Datenübermittlungen nach Artikel 46 der DSGVO zu nutzen.

Im Vereinigten Königreich bereitet die schrittweise Einführung des Data (Use and Access) Act 2025 (DUAA) 2026 den Weg für „Open Finance“. Die Strafen für Datenschutzverstöße steigen auf bis zu 17,5 Millionen Pfund oder 4 Prozent des globalen Umsatzes.

Diese Entwicklungen zeigen: Cloud-Sicherheit ist kein rein technisches Problem mehr. Sie wird zum Kernbestandteil globaler Geschäftscompliance.

Ausblick: Automatisierung als Rettungsanker

Angesichts wachsender Datenmengen und komplexer KI-Integrationen setzen Unternehmen zunehmend auf Automatisierung. Am 21. April 2026 kündigten mehrere Anbieter neue KI-gestützte Compliance-Lösungen an.

CyberHeed stellte SmartPrep vor – eine Engine, die Compliance-Wissen innerhalb einer Organisation extrahiert und strukturiert, um Audit-Vorbereitungen zu beschleunigen. Parallel dazu lancierte Aravo Aravo AI, das eingebettete KI-Agenten für das Risikomanagement von Drittanbietern nutzt.

Ebenfalls Ende April veröffentlichte Agiloft seine Astra-Plattform. Sie soll KI für Vertragsanalysen demokratisieren, indem sie Risiken in Rechtsdokumenten identifiziert – ohne Kundendaten für das Training von KI-Systemen zu verwenden.

Diese technologischen Fortschritte deuten auf eine Zukunft der „Compliance by Design“ hin. Automatisierte Systeme werden KI-Identitäten kontinuierlich überwachen, Datenzugriffsrechte verifizieren und die Einhaltung sich ständig ändernder globaler Vorschriften sicherstellen.

Für Cloud-Unternehmen ist der Übergang von manueller Überwachung zu automatisierter Governance keine Option mehr. Er ist eine Voraussetzung, um 2026 und darüber hinaus sowohl Sicherheit als auch Marktzugang zu bewahren.

de | boerse | 69232957 |