KI-Governance: 44% deutscher Unternehmen erleiden Sicherheitsverletzungen

Angesichts steigender Sicherheitsbedenken und strengerer Regularien bringen Technologiekonzerne und Sicherheitsanbieter diese Woche neue Rahmenwerke und Werkzeuge zur Steuerung von KI-Risiken auf den Markt. Während die globalen Ausgaben für Künstliche Intelligenz 2026 voraussichtlich 2,5 Billionen Euro erreichen werden, rückt die Standardisierung von Governance und die Automatisierung der KI-Absicherung in den Fokus der Industrie.

EC-Council launcht „Adopt Defend Govern"-Rahmenwerk

Am 29. Mai 2026 stellte das EC-Council das Adopt. Defend. Govern. (ADG) KI-Framework vor – gemeinsam mit einem kostenlosen Selbstbewertungstool zur Messung der KI-Reife. Entwickelt wurde es in Zusammenarbeit mit Experten von Microsoft, JPMorgan Chase, Citi, KPMG, Deloitte und Salesforce. Das Rahmenwerk ist auf den EU AI Act, ISO/IEC 42001 und das NIST AI Risk Management Framework abgestimmt.

Die rechtlichen Anforderungen an Künstliche Intelligenz wachsen rasant, doch viele Unternehmen haben die neuen Vorgaben des EU AI Act noch nicht vollständig im Blick. Dieser kostenlose Umsetzungsleitfaden bietet Ihrer IT- und Rechtsabteilung die nötige Orientierung zu Risikoklassen und Fristen. EU AI Act in 5 Schritten verstehen

Das ADG-Framework basiert auf drei zentralen Säulen und umfasst zwölf Mindestkontrollen sowie neun Governance-Bereiche. Hintergrund der Veröffentlichung: eine eklatante Lücke in der Unternehmensvorbereitung. Trotz steigender Investitionen betrachten nur ein Prozent der Führungskräfte ihre KI-Governance als ausgereift. Hinzu kommt: 78 Prozent der Manager bezweifeln, einen formalen KI-Governance-Audit zu bestehen. Um die Umsetzung zu unterstützen, führte das EC-Council drei neue Zertifizierungen ein: Certified AI Product Manager (CAIPM), Certified Open AI Security Professional (COASP) und Certified Risk Specialist for AI & Generative Entities (CRAGE).

Automatisierung und finanzielle Risikobewertung

CrowdStrike kündigte am 28. Mai die nächste Stufe seiner Project QuiltWorks-Initiative an. Ursprünglich auf die Absicherung von Frontier-KI-Risiken ausgerichtet, wurde das Framework nun um finanzielle Expositionsbewertungen erweitert. Das aktualisierte Projekt integriert versicherungsmathematische Intelligenz von Partnern wie Liberty Mutual, Marsh und Coalition. Ziel: Schwachstellen nach ihrem finanziellen Risiko priorisieren. Das System nutzt KI-gestützte Analysen von OpenAI und Anthropic, um Bedrohungen in ihren Kontext einzuordnen.

Parallel dazu gab Tenable auf einer Konferenz in Boston die allgemeine Verfügbarkeit von Hexa AI bekannt. Diese agentische KI-Engine automatisiert komplexe Sicherheitsworkflows – von der Risikoerkennung bis zur automatischen Behebung inklusive Ticket- und Berichtserstellung – in Echtzeit. Ebenfalls am 28. Mai: Zscaler übernimmt Symmetry Systems. Die Akquisition soll Identitäts- und Datenzugriffstechnologie in Zscalers Zero-Trust-Plattform integrieren, um die Kommunikation zwischen autonomen KI-Agenten abzusichern.

Compliance-Lücken und neue Schwachstellen

Trotz der neuen Governance-Werkzeuge zeigen aktuelle Studien erhebliche Hürden auf. Eine Untersuchung von Okta ergab: 44 Prozent der deutschen Unternehmen haben bereits Sicherheitsverletzungen im Zusammenhang mit KI-Tools erlitten – der höchste Wert weltweit. 52 Prozent der Beschäftigten in Deutschland nutzen nicht autorisierte KI-Anwendungen. Nur 34 Prozent der Unternehmen wenden auf KI-Agenten dieselben Sicherheitskontrollen an wie auf menschliche Nutzer.

Mit dem Vormarsch von KI-Systemen entstehen neue rechtliche Pflichten, deren Missachtung empfindliche Strafen nach sich ziehen kann. Sichern Sie Ihr Unternehmen ab und nutzen Sie diesen praxisnahen Report, um alle relevanten Übergangsfristen der EU-KI-Verordnung einzuhalten. Kostenlosen Umsetzungsleitfaden zum EU AI Act herunterladen

Die rechtliche Compliance bleibt eine enorme Herausforderung. Eine studie von Aithos untersuchte mit dem Testtool LARA über 3.000 Fälle und stellte fest: Kein getestetes KI-Modell erfüllt vollständig europäisches Recht. Claude Opus 4.7 erreichte eine Compliance-Rate von 54 Prozent, andere Modelle wiesen in bis zu 90 Prozent der Tests Verstöße auf. Forscher beobachteten zudem, dass Sicherheitsmaßnahmen oft gegen iterative Angriffe versagen. In einer Studie stieg die Erfolgsrate mehrstufiger Angriffe gegen ein führendes Modell von rund 18 auf über 73 Prozent.

Ausweitung von Monitoring und Infrastrukturstandards

Um diese Sichtbarkeitslücken zu schließen, brachte SailPoint am 28. Mai einen neuen Connector für die Claude Enterprise Compliance API auf den Markt. Die Integration ermöglicht Unternehmen, Nutzer zentral zu verwalten und Aktivitätslogs in Echtzeit in Claude-Umgebungen zu überwachen. Die API, seit dem 21. Mai verfügbar, wird von 28 Partnern unterstützt, darunter Microsoft Purview und Okta.

Anthropic erweiterte zudem seine Sicherheitsinfrastruktur: Self-hosted Sandboxes für Managed Agents wurden in die öffentliche Beta überführt. Bereits im ersten Testmonat seines Project Glasswing-Modells namens Mythos identifizierte das Unternehmen über 10.000 hochriskante oder kritische Schwachstellen. Diese technischen Entwicklungen kommen zu einem Zeitpunkt, an dem europäische Regulierungsbehörden eine Einigung zum Digital Omnibus erzielt haben. Dieser richtet eine zentrale Meldebehörde bei der ENISA ein und verlängert die Frist zur Meldung von Datenschutzverletzungen gemäß DSGVO auf 96 Stunden.

de | wirtschaft | 69444801 |