Künstliche Intelligenz ist innerhalb weniger Jahre von Experimenten in einzelnen Fachbereichen zu einem kritischen Bestandteil der Unternehmens-IT geworden. Gleichzeitig bleibt die Sicherheit dieser KI-Systeme deutlich hinter ihrem Einsatztempo zurück. Der AI and Adversarial Testing Benchmark Report 2026 von Pentera, basierend auf einer Befragung von 300 CISOs in den USA, zeigt: Die meisten Sicherheitsverantwortlichen schützen KI mit Werkzeugen, die nie für die spezifischen Risiken von AI entwickelt wurden.
Begrenzte Transparenz: Unternehmen wissen kaum, wo KI wirklich läuft
Moderne KI-Lösungen sind tief in bestehende Infrastrukturen eingebettet: Cloud-Plattformen, Identity- und Access-Management (IAM), Business-Anwendungen, Datenpipelines und Analytics-Systeme. Verantwortung und Betrieb liegen verteilt bei Entwicklung, IT-Betrieb, Fachbereichen und Security. Ein zentrales KI-Lagebild existiert in vielen Organisationen nicht.
Der Pentera-Report zeigt, dass 67 % der befragten CISOs nur ein begrenztes Verständnis davon haben, wie KI in ihrem Unternehmen eingesetzt wird. Keine der befragten Organisationen verfügt über vollständige Transparenz. Fast alle bestätigen das Vorhandensein von „Shadow AI“ – also nicht autorisierte oder nur unzureichend kontrollierte Nutzung von KI-Diensten durch Fachabteilungen, etwa über öffentliche LLM-APIs oder SaaS-KI-Tools.
Ohne systematische Inventarisierung von KI-Assets bleiben zentrale Fragen unbeantwortet: Welche Accounts und Tokens verwenden KI-Services? Auf welche Daten greifen sie zu? Welche Aktionen können sie in angebundenen Systemen ausführen? Wer ist für Patches, Monitoring und Incident Response verantwortlich? In dieser Lage existieren zwar oft formale KI-Richtlinien, decken aber einen erheblichen Teil der realen Nutzungsszenarien nicht ab.
Kompetenzlücke in der KI-Sicherheit wichtiger als Budgetfragen
Anders als bei vielen klassischen Security-Initiativen ist fehlendes Budget laut Studie nicht das Hauptproblem. Nur 17 % der CISOs nennen mangelnde Finanzierung als größten Engpass. Weit häufiger werden fehlende Fachkompetenz und unreife Methoden zur spezifischen Risikoanalyse von KI-Systemen genannt.
KI bringt neue Verhaltensmuster und Angriffsvektoren in die Infrastruktur ein, die mit traditionellen Checklisten schwer zu bewerten sind. Dazu gehören unter anderem:
- Autonome Aktionen durch Agenten, die im Namen von Nutzern oder Services Entscheidungen treffen und Operationen ausführen.
- Indirekte Datenzugriffe über komplexe Integrationsketten, Plugins und Workflows, bei denen der eigentliche Datenfluss nur schwer nachvollziehbar ist.
- Hochprivilegierte Interaktionen zwischen Systemen, etwa LLM-Agenten mit Zugriff auf Quellcode-Repositories, Ticket-Systeme und Dokumentenablagen.
- Spezifische KI-Bedrohungen wie Data Poisoning (gezielte Manipulation von Trainingsdaten), Modell-Diebstahl, Modell-Inversion oder Prompt-Injection.
Internationale Rahmenwerke wie das NIST AI Risk Management Framework (NIST AI RMF) und die Norm ISO/IEC 42001:2023 bieten erste Orientierung für das Management von KI-Risiken. In vielen Unternehmen sind diese Ansätze jedoch noch nicht fest im Secure-Development-Lifecycle (SDLC) und in den Betriebsprozessen verankert.
Warum klassische Sicherheitswerkzeuge KI-Risiken nur teilweise abdecken
Laut Pentera schützen 75 % der CISOs ihre KI-Landschaft primär mit bestehenden Security-Tools – etwa Endpoint Detection and Response (EDR), klassischen Application-Security-Lösungen, Cloud-Security-Plattformen oder API-Schutz. Nur 11 % nutzen spezialisierte KI-Security-Lösungen.
Dieses Muster ist typisch für technologische Umbrüche: Zunächst wird der bestehende Sicherheitsperimeter ausgeweitet, spezialisierte Kontrollen folgen später. Für KI greift dieser Ansatz jedoch zu kurz. Herkömmliche Werkzeuge
- erkennen kaum logische Schwachstellen im Modellverhalten (z. B. unerwartete Ausgabe sensibler Informationen),
- überwachen Anfragen an LLMs nur begrenzt auf Prompt-Injection, Jailbreaks oder Datenabfluss über Modellantworten,
- bilden kombinierte Angriffsketten schlecht ab, bei denen KI-Komponenten als „Sprungbrett“ zu anderen Systemen missbraucht werden.
Was KI-Infrastrukturen von klassischer IT-Sicherheit unterscheidet
Während klassische Cybersecurity vor allem auf Schwachstellen in Host, Netzwerk und Anwendung zielt, muss KI-Sicherheit das dynamische Verhalten von Modellen in der realen Umgebung adressieren. Ein und dieselbe KI-Anwendung kann bei strikt begrenzten Berechtigungen unkritisch sein, aber erhebliche Risiken erzeugen, sobald sie weitreichende Zugriffsrechte auf Daten und Systeme erhält.
Weitere Komplexität entsteht durch externe KI-Services wie öffentliche LLM-APIs oder vortrainierte SaaS-Modelle. Hier verlagern sich Risiken auf den Provider: Datenschutz, Modellintegrität, Schutz der Trainingsdaten und Sicherheit der Lieferkette (Third-Party-Bibliotheken, Frameworks). Ohne fundierte Third-Party-Risk-Analysen und vertraglich fixierte Sicherheitsanforderungen bleibt die Organisation verwundbar.
Konkrete Maßnahmen für mehr Sicherheit von KI-Systemen
Die Ergebnisse des Pentera-Reports lassen sich auf eine zentrale Erkenntnis verdichten: Der Engpass ist weniger der Wille zur Absicherung, sondern das Fehlen von Transparenz, Expertise und systematischem adversarialen Testen. Unternehmen können mit folgenden Schritten ihre KI-Sicherheit deutlich verbessern:
- Inventarisierung aller KI-Assets: Aufbau eines Registers sämtlicher Modelle, KI-Services, Agenten und Integrationen – inklusive externer Dienste und „Shadow AI“ in Fachbereichen.
- Klare Verantwortlichkeiten: Für jede KI-Lösung sollten Produktverantwortliche, technische Owner und Security-Owner benannt werden, inklusive definierter KPIs und Reporting-Linien.
- Strikte Zugriffs- und Nutzungspolicies: Umsetzung des Prinzips der minimalen Rechte für KI-Systeme, standardisierte Vorgaben für die Nutzung externer KI-Dienste und verbindliche Vorgaben für Trainingsdaten.
- Adversariales Testen und Red Teaming für KI: Regelmäßige Prüfungen auf Prompt-Injection, Umgehung von Sicherheits- und Business-Logik, Datenabfluss und Missbrauch von Agentenfunktionen – idealerweise automatisiert und kontinuierlich.
- Gezieltes Upskilling der Teams: Schulungen für Entwickler, Data Engineers, MLOps- und Security-Teams zu KI-spezifischen Risiken, Best Practices und relevanten Standards (NIST AI RMF, ISO/IEC 42001, ENISA-Leitlinien).
Da KI zunehmend zur „Nervenzentrale“ digitaler Geschäftsprozesse wird, ist ein Nebenbei-Ansatz in der Sicherheit nicht mehr tragfähig. Organisationen, die jetzt in Sichtbarkeit, spezialisierte Testverfahren und KI-spezifische Governance investieren, senken nicht nur ihr Cyberrisiko, sondern verschaffen sich einen strategischen Vorteil: Sie können neue KI-Szenarien schneller, kontrollierter und mit höherem Vertrauen in Sicherheit und Compliance ausrollen als Wettbewerber, die KI weiterhin mit klassischen Werkzeugen und begrenzter Transparenz betreiben.
