Eine aktuelle Analyse zeigt, dass deutsche und französische Unternehmen bei der technischen Sicherheit von KI-Systemen hinter den weltweiten Standards zurückbleiben, obwohl die EU strenge Regulierungsvorgaben etabliert hat.

Defizite in der technischen KI-Sicherheit

Obwohl Europa mit dem KI-Gesetz (AI Act) als Vorreiter in der Regulierungslandschaft gilt, veranschaulicht ein neuer Branchenreport von Kiteworks gravierende Lücken in der praktischen Umsetzung von KI-Sicherheitsmaßnahmen. Die Studie hebt hervor, dass deutsche und französische Unternehmen in entscheidenden Bereichen der technischen Absicherung ihrer KI-Anwendungen unter dem globalen Durchschnitt liegen. Insbesondere bei der Anomalie-Erkennung, die es ermöglicht, unerwartetes Verhalten von KI-Modellen zu identifizieren, zeigen die Unternehmen Schwächen. Nur 35 Prozent der deutschen und 32 Prozent der französischen Organisationen verfügen über angemessene Systeme zur Erkennung solcher Anomalien. Im Vergleich dazu erreicht das Vereinigte Königreich mit 37 Prozent eine marginale Verbesserung, bleibt aber dennoch unter dem globalen Benchmark von 40 Prozent.

Unternehmen, die versäumen, robuste Anomalie-Erkennungssysteme zu implementieren, laufen Gefahr, Sicherheitsvorfälle nicht rechtzeitig zu erkennen, was unmittelbar bedrohlich für die Integrität ihrer Daten und Systeme ist. Diese Defizite sind umso kritischer, da die EU die Einführung strenger regulatorischer Maßnahmen vorangetrieben hat. Fehlende technische Kontrollen können für Unternehmen zu erheblichen Bußgeldern führen. Um den aktuellen Anforderungen gerecht zu werden, ist eine proaktive Auseinandersetzung mit der Klassifizierung und Dokumentation von KI-Systemen unerlässlich. Unternehmen haben die Möglichkeit, sich mit kostenlosen Leitfäden zu informieren, die Praxischecklisten und klare Schritte zur Einhaltung der Vorgaben beinhalten.

Das Governance-Sicherheits-Paradox

Der Bericht spricht von einem sogenannten „Governance-Sicherheits-Paradox“. Während Europa als regulatorische Supermacht gilt, spiegelt sich diese Stärke nicht in der technischen Widerstandsfähigkeit der Unternehmen wider. Wouter Klinkhamer, General Manager bei Kiteworks, weist darauf hin, dass Governance ohne angemessene technische Sicherheitsmaßnahmen eine unvollständige Verteidigungsstrategie darstellt. Besonders bemerkenswert ist die unzureichende Transparenz innerhalb der Software-Lieferkette. Nur 20 bis 25 Prozent der europäischen Firmen haben Einblick in die Qualität der verwendeten Software, während führende Regionen weltweit über 45 Prozent erreichen. Diese mangelnde Transparenz birgt enorme Risiken, da Schwachstellen in externen KI-Modellen nicht rechtzeitig identifiziert werden können, was die gesamte Infrastruktur anfällig für Angriffe macht.

Eingeschränkte Reaktionsfähigkeit auf Vorfälle

Die Fähigkeit, auf Vorfälle im Zusammenhang mit KI effizient zu reagieren, bleibt ebenfalls unzureichend. Ein zentrales Element in diesem Kontext ist die sogenannte „Training-Data-Recovery“ – diese bezeichnet die Fähigkeit, auf Grundlage der Analyse der Trainingsdaten Fehler im KI-Modell zu diagnostizieren. Hier liegen europäische Unternehmen mit einer Akzeptanzrate von lediglich 40 bis 45 Prozent unter dem globalen Durchschnitt von 47 Prozent. Die Konsequenz ist, dass Unternehmen bei sogenannten Data-Poisoning-Angriffen, bei denen schädliche Manipulationen an den Trainingsdaten vorgenommen werden, handlungsunfähig sind. Diese Angriffe stellen ein ernsthaftes Risiko dar, da Unternehmen nicht schnell genug auf das korrupte Verhalten ihrer KI-Modelle reagieren können, was zu weiteren Schäden führt. Zusätzlich verstärkt sich die Problematik durch drohende hohe regulatorische Bußgelder, die Unternehmen ohne nachweisbare technische Kontrollen erwarten.

Steigende Bedrohungen und der Druck auf Unternehmen

Die Herausforderungen im Bereich der KI-Sicherheit haben weitreichende Folgen, die auch die Versicherungsbranche betreffen. Versicherer sind zunehmend daran interessiert, die tatsächlichen technischen Kontrollmechanismen von Unternehmen zu prüfen. Ein manuell handhabter Ansatz zur Nachweiserbringung kann zum Risiko werden, da er möglicherweise nicht den Anforderungen an die Compliance genügt. Höhere Prämien oder der Verlust des Versicherungsschutzes könnten die Folgen sein. Zudem nehmen Risiken durch KI-gestützte Angriffsmethoden zu. Kriminelle nutzen generative KI, um Phishing- und Social-Engineering-Angriffe in bisher unerreichter Größenordnung durchzuführen. Infolgedessen schwindet der Zeitraum zur Erkennung von Anomalien, sodass europäische Firmen mit ihren eingeschränkten automatisierten Erkennungssystemen Gefahr laufen, hinter diesen dynamisch wachsenden Bedrohungen zurückzufallen.

Fazit: Dringender Handlungsbedarf bis 2026

Der Report prognostiziert für das Jahr 2026 eine entscheidende Wende. Unternehmen, die die Kluft zwischen den regulatorischen Vorgaben und der praktischen Sicherheit überbrücken möchten, sind gefordert, in Schlüsselbereiche zu investieren. Dazu gehören Anomalie-Erkennung, Training-Data-Recovery, Transparenz in der Lieferkette und koordinierte Reaktionen auf Vorfälle. Bis Ende 2026 könnte sich der Markt erheblich auseinanderdividieren. Firmen, die Sicherheitsmaßnahmen direkt in ihre KI-Governance integrieren, werden in der Lage sein, sowohl regulatorische Anforderungen zu erfüllen als auch operationale Resilienz zu gewährleisten. Im Gegensatz dazu könnten Unternehmen, die Sicherheit weiterhin nur als Teil von Compliance-Dokumentationen betrachten, signifikante Störungen erleben. Die vollständige Verschärfung des AI Act wird als Katalysator wirken, um den Fokus von theoretischen Governance-Anforderungen auf die praktische Verbesserung der technischen Sicherheitsinfrastruktur zu verschieben.