KI-Kriminalität: EU-Regulierer warnen vor wachsender Cyberbedrohung

Die Kluft zwischen rasanter KI-Entwicklung und unzureichendem Datenschutz wird für europäische Unternehmen zur existenziellen Gefahr. Während die EU-Kommission unter Zeitdruck steht, ihre KI-Regulierung abzuschließen, mehren sich die Warnungen von Behörden und Tech-Konzernen vor immer professionelleren Cyberangriffen mit künstlicher Intelligenz.

Die neuen EU-KI-Pflichten gelten bereits seit August 2024, doch viele Firmen unterschätzen die komplexen Anforderungen des AI Acts massiv. Dieser kostenlose Leitfaden zeigt Ihnen, was jetzt zu tun ist, um rechtlich auf der sicheren Seite zu bleiben. EU AI Act Umsetzungsleitfaden jetzt kostenlos herunterladen

AI-gestützte Angriffswellen und die Illusion anonymer Daten

Die Bedrohungslage hat sich dramatisch verschärft. Der aktuelle Europol-IOCTA-Bericht dokumentiert über 120 aktive Ransomware-Gruppen im vergangenen Jahr – viele setzen inzwischen KI-gestützte Kampagnen ein, um ihre Betrugsmethoden zu perfektionieren. Besonders spektakulär: Die Gruppe „ShinyHunters" attackierte gleich mehrere Großplattformen, darunter Vimeo, Medtronic und Udemy – allein bei letzterer wurden 1,4 Millionen Datensätze erbeutet.

In Frankreich sorgte ein besonders brisanter Fall für Aufsehen: Behörden nahmen einen 15-Jährigen fest, der für einen Datenleck bei France Titres mit 11,7 Millionen betroffenen Konten verantwortlich sein soll. Der Fall zeigt, wie leicht zugänglich hochentwickelte Angriffswerkzeuge inzwischen selbst für Jugendliche sind.

Doch nicht nur klassische Hackerangriffe bereiten Sorgen. Ein leitender Google-Wissenschaftler warnte heute bei einem Treffen mit EU-Beamten vor einem Vorschlag des Digital Markets Act (DMA). Die Kommission erwägt, Suchdaten mit Konkurrenten wie OpenAI teilen zu müssen. Googles interne Simulationen zeigen: Nutzer in angeblich anonymisierten Suchdatensätzen lassen sich in weniger als zwei Stunden wieder identifizieren. Die EU-Kommission muss bis zum 27. Juli 2026 eine endgültige Entscheidung treffen – bei Verstößen drohen Strafen von bis zu zehn Prozent des globalen Jahresumsatzes.

Biometrische Risiken: Datenschutzbeauftragte schlagen Alarm

Die deutsche Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider übte heute scharfe Kritik an Gesichtserkennungstechnologien. Sie bezeichnete die Verfahren als „fehleranfällig und datenschutzrechtlich höchst bedenklich". Ihre Forderung: datensparsamere Alternativen für Identitäts- und Altersverifikationen entwickeln.

EU-KI-Gesetz: Zeitdruck nach gescheiterten Verhandlungen

Der regulatorische Rahmen stockt. Am 28. April 2026 endete der zweite politische Trilog zum „Digital Omnibus on AI" nach zwölf Stunden ohne Einigung. Hauptstreitpunkt: die Konformitätsbewertung für KI in regulierten Produkten wie Maschinen und Medizingeräten.

Zwar zeichnete sich eine vorläufige Einigung ab, die Fristen für bestimmte Hochrisiko-KI-Systeme auf Dezember 2027 beziehungsweise August 2028 zu verschieben. Doch das Scheitern des Omnibus bedeutet: Der Basis-Termin 2. August 2026 bleibt für viele Hochrisiko-KI-Systeme in Kraft.

Rechtsexperten warnen: Unternehmen, die ihre Compliance-Vorbereitungen in Erwartung einer Verschiebung pausiert haben, müssen jetzt massiv beschleunigen. Das EU-KI-Gesetz, seit August 2025 in Kraft, droht bei schweren Verstößen – etwa ungezieltem Scraping von Gesichtsbildern – mit Strafen bis zu 35 Millionen Euro oder sieben Prozent des Jahresumsatzes.

Multi-Standard-Compliance: IT-Abteilungen am Limit

Die regulatorische Flut überfordert many Unternehmen. Eine Sophos-Studie mit 5.000 IT-Leitern aus 17 Ländern zeigt: Der Median-Betrieb muss heute fünf verschiedene Compliance-Standards gleichzeitig erfüllen. IT-Teams verbringen 39 Prozent ihrer Arbeitszeit allein mit Compliance-Aufgaben.

Trotz dieses Aufwands sind 82 Prozent der Organisationen besorgt, ob sie vollständige Compliance erreichen können. 79 Prozent nennen die ständig wechselnden Anforderungen als größte Herausforderung. Die häufigsten Standards:

• ISO 27001/2: 51,2 Prozent der Unternehmen
• DSGVO: 40,4 Prozent
• NIS2: 16,1 Prozent

Besonders die NIS2-Richtlinie fordert Unternehmen: Sie erweitert die Cybersicherheitsverantwortung auf die gesamte Lieferkette. In einem Webinar heute betonten Experten, dass Cybersicherheit nicht länger eine lokale Aufgabe sei, sondern jeden Lieferanten betreffe. Bei Verstößen drohen nicht nur hohe Geldstrafen, sondern auch persönliche Haftung für das Management.

Die Bundesregierung reagierte gestern mit dem Start des Programms „CyberGovSecure" – einem ressortübergreifenden Rahmen zur Stärkung der Cybersicherheit und Umsetzung der NIS2-Anforderungen.

Angesichts immer komplexerer Bedrohungen und neuer Gesetze müssen Unternehmer ihre IT-Sicherheit stärken, oft ohne das Budget massiv zu erhöhen. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen proaktiv erfüllen. IT-Sicherheit ohne teure Investitionen stärken

Gefährliche Diskrepanz zwischen Wahrnehmung und Realität

Der Beazley Risk & Resilience Report vom Januar 2026 offenbart eine besorgniserregende Kluft: 80 Prozent der deutschen Führungskräfte fühlen sich gut auf Cyberrisiken vorbereitet, 75 Prozent glauben an eine vollständige finanzielle Erholung nach einem Angriff. Doch die Realität sieht anders aus: 32 Prozent der EU-Unternehmen erlebten 2025 tatsächlich einen Daten-Souveränitätsvorfall.

Branchenbeobachter sehen die Hauptursache in strukturellen Schwächen der technischen Architekturen – nicht in mangelndem Bewusstsein. Zwar investieren 58 Prozent der Unternehmen jährlich über eine Million Euro in Datensicherheit, doch fast die Hälfte nennt die Garantien von Cloud-Anbietern als größtes Hindernis für echte Souveränität.

Auf den BvD-Verbandstagen in Berlin gestern kritisierten Datenschutzbeauftragte den geplanten EU-Digital-Omnibus scharf: Er ignoriere aktuelle Rechtsprechung und gefährde durch Deregulierung etablierte Schutzstandards.

Ausblick: Entscheidende Wochen für die KI-Regulierung

Die kommenden Monate werden richtungsweisend. Ein neuer Trilog zum Digital Omnibus ist für Mitte Mai 2026 geplant. Gelingt keine Einigung, müssen Unternehmen ab dem 2. August 2026 ihre KI-Systeme als konform nachweisen – oder mit drastischen Strafen rechnen.

In Kanada erwartet die Branche heute die endgültige Entscheidung des Datenschutzbeauftragten zu OpenAIs ChatGPT – ein möglicher Präzedenzfall für Nordamerika. In den USA hat das Center for AI Standards and Innovation (CAISI) Vereinbarungen mit Google DeepMind, Microsoft und xAI getroffen: Unveröffentlichte Modelle werden vor dem Markteintritt auf Cybersicherheitsrisiken geprüft.

Für Unternehmen gilt: „Compliance-by-Design" ist längst kein lästiges Regulierungsthema mehr, sondern wird zum entscheidenden Wettbewerbsvorteil in einem Markt, der zunehmend KI-getriebene Sicherheitslücken fürchtet.

de | wirtschaft | 69286247 |