[datensicherheit.de, 27.04.2026] Red Hat hat am 17. April 2026 eine neue Studie, von Censuswide im Zeitraum vom 20. bis 25. März 2026 zum Thema „souveräne Künstliche Intelligenz (KI)“ durchgeführt, veröffentlicht. Befragt wurden demnach jeweils 100 IT-Entscheider aus Deutschland, Frankreich, Großbritannien, Italien und den Niederlanden. Deutlich werde dabei eine Lücke zwischen den vorhandenen Strategien und den tatsächlichen Fähigkeiten, den Geschäftsbetrieb im Ernstfall aufrechtzuerhalten: Nur 57 Prozent der deutschen Teilnehmer gäben an, über eine definierte Exit-Strategie zu verfügen, falls ihr primärer KI-Anbieter den Zugang zu seinen Diensten plötzlich einschränkt. Gleichzeitig erwarten 37 Prozent dieser Unternehmen, dass ein Wechsel moderate bis erhebliche Auswirkungen auf ihre Geschäftskontinuität hätte. Die Ergebnisse dieser Studie deuteten aber auch darauf hin, dass die meisten Unternehmen die Notwendigkeit echter KI-Souveränität erkannt hätten und sowohl die Kontrolle über Daten und Infrastruktur als auch die Verwaltung von externen Anbietern inzwischen als operative Priorität ansähen.

KI-„Governance“ hinkt noch hinterher​

Ein deutlicher Nachholbedarf bestehe in Deutschland auch im Bereich „Governance“: Nur 30 Prozent der deutschen Befragten gäben an, über entsprechend ausgereifte Strukturen für ihre „Agentic AI“-Lösungen zu verfügen.

• 29 Prozent berichteten von vorhandenen, aber lückenhaften Regelwerken und weitere 27 Prozent gäben an, dass ihre „Governance“ lediglich die Grundlagen abdecke.

Länderübergreifend verfügten 64 Prozent der Unternehmen über zumindest teilweise oder umfassende Strukturen. Die Gesamtheit der Antworten aller Teilnehmer zeige indes deutlich, dass die „Governance“-Reife mit der schnellen Verbreitung von „Agentic AI“ noch nicht Schritt halten könne.

Im Fokus: KI-Souveränität und „Open Source“

Mit der zunehmenden Integration von KI in zentrale Geschäftsprozesse steige auch die Bedeutung der Transparenz weiter an. So gäben ganze 51 Prozent der deutschen Unternehmen an, vollständig nachvollziehen zu können, wo ihre Daten gespeichert, verarbeitet und potenziell zugänglich sind.

• Gleichzeitig räumten damit aber auch 46 Prozent ein, keinen vollständigen Überblick zu haben, lediglich bei drei Prozent bestünden erhebliche Lücken. Die Zahl der deutschen Entscheider, die sich eine vollständige oder zumindest teilweise Transparenz zuschreiben, liege damit bei 97 Prozent.

Mit diesem starken Wert rangiere Deutschland im direkten Vergleich an erster Stelle vor anderen europäischen Ländern, etwa den Niederlanden oder Italien mit jeweils 90 Prozent.

Mehr Kontrolle darüber, wie KI entwickelt wird und wo sie läuft

Um die weiterhin vorhandenen Lücken in Sachen Transparenz und Kontrolle zu schließen, sähen 69 Prozent der IT-Entscheidungsträger in „Open Source“ den entscheidenden Hebel.

• Dieser Ansatz bietet ihrer Meinung nach mehr Kontrolle darüber, wie KI entwickelt wird und wo sie läuft – wichtige Voraussetzungen dafür, Abhängigkeiten zu vermeiden und die Souveränität zu stärken.

Für die kommenden drei Jahre erwarteten die Befragten die größten Beiträge von „Open Source“ zu einem wachsenden Vertrauen in KI-Lösungen durch mehr Kontrolle über die Entwicklung und den Betrieb von KI (69%), eine größere Anpassbarkeit an geschäftliche und regulatorische Anforderungen (68%) sowie mehr Transparenz und eine bessere Prüfbarkeit (68%).

Deutsche Unternehmen offen für politisch gesetzte Standards für vertrauenswürdige, souveräne KI

Deutsche Unternehmen zeigten sich zudem offen für politisch gesetzte Standards für vertrauenswürdige, souveräne KI: 72 Prozent der Befragten sprächen sich dafür aus, dass der Gesetzgeber „Open Source“-Prinzipien wie Transparenz, Prüfbarkeit und entsprechende Lizenzmodelle vorgeben sollte, um Unternehmen beim Erreichen von KI-Souveränität zu unterstützen.

Zentrale Erkenntnisse aus der aktuellen KI-Umfrage von Red Hat auf einen Blick:

• Nur 57 Prozent der deutschen Unternehmen hätten eine Exit-Strategie, falls ihr primärer KI-Anbieter den Zugang einschränkt. Gleichzeitig sagten 37 Prozent dieser Unternehmen, dass ein Wechsel moderate bis erhebliche Auswirkungen auf die Geschäftskontinuität hätte.
• 46 Prozent hätten nur teilweise Einblick, wo ihre Daten gespeichert, verarbeitet und potenziell zugänglich sind.
• Nur 30 Prozent verfügten über eine ausgeprägte „Governance“ im Bereich „Agentic AI“.
• 72 Prozent sprächen sich dafür aus, dass die Politik „Open Source“-Prinzipien zur Unterstützung der KI-Souveränität verpflichtend verankert.

Foto: Red Hat

Gregor von Jagow: KI ist in den Unternehmen angekommen, aber Kontrolle und Steuerbarkeit halten nicht im gleichen Tempo Schritt

KI-Souveränität: Fähigkeit, sie kontrolliert zu orchestrieren und auch zu wechseln

Gregor von Jagow, „Senior Director & Country Manager Deutschland“ bei Red Hat kommentiert: „Die Ergebnisse zeigen eine deutliche Kluft. KI ist in den Unternehmen angekommen, aber Kontrolle und Steuerbarkeit halten nicht im gleichen Tempo Schritt.“

• Hier werde „Open Source“ entscheidend, weil offene Ansätze die Unternehmen dazu befähigten, Abhängigkeiten zu reduzieren und gleichzeitig die Flexibilität zu behalten, unterschiedliche KI-Modelle und Infrastrukturen zu kombinieren.

„KI-Souveränität entsteht nicht durch den Einsatz einzelner Technologien, sondern durch die Fähigkeit, sie kontrolliert zu orchestrieren und im Zweifel auch zu wechseln!“, so von Jagow.

Foto: Red Hat

Hans Roth unterstreicht die Bedeutung regulatorischer Rahmenbedingungen, welche Transparenz und Prüfbarkeit fest in KI-Systemen verankern

KI muss so einsetzbar sein, dass sie Anforderungen an Souveränität, Sicherheit und Regulierung erfüllt

Hans Roth, „Senior Vice President & General Manager EMEA“, bei Red Hat, ergänzt: „In der gesamten EMEA-Region haben sich die Diskussionen auf Vorstandsebene weiterentwickelt. Statt um erste Experimente geht es heute darum, wie sich KI so einsetzen lässt, dass sie Anforderungen an Souveränität, Sicherheit und Regulierung erfüllt.“

• Die Ergebnisse ihrer Studie zeigten hierbei eine klare Unterstützung für „Open Source“-Prinzipien sowie für eindeutige regulatorische Rahmenbedingungen, welche Transparenz und Prüfbarkeit fest in KI-Systemen verankerten.

Roth gibt abschließend zu bedenken: „Diese Antworten machen auch deutlich, dass Unternehmen keine weiteren geschlossenen Einheitslösungen suchen, sondern die Freiheit, unterschiedliche Modelle, Beschleuniger und ,Cloud’-Umgebungen zu kombinieren – und dabei die Kontrolle zu behalten.“

Weitere Informationen zum Thema:

Red Hat
Unser Unternehmen: Entwicklung verbesserter Technologie – nach dem Open Source-Prinzip

Red Hat
Gregor von Jagow – Senior Director und Country Manager Germany bei Red Hat

Red Hat
Hans Roth – Senior vice president and general manager, EMEA, Red Hat

Red Hat, 02.03.2026
Red Hat and Telenor AI Factory Bring Scale, Sovereignty and Control to Production AI / Telenor AI Factory, built on Red Hat OpenShift AI, addresses data residency demands while powering large-scale AI model training and inference

Red Hat, 06.11.2025
Red Hat Introduces Confirmed Sovereign Support for European Union / Dedicated, EU-citizen-driven support delivers localized operational control and resilience for digital sovereignty

datensicherheit.de, 19.04.2026
Produktive Erfolge bleiben häufig aus: 95 Prozent der KI-Projekte scheitern / DXC Technology benennt vier Bedingungen für Unternehmen, um KI-Projekte zum Erfolg zu führen

datensicherheit.de, 15.04.2026
Januskopf KI: Förderer und Zerstörer der IT-Sicherheit / „Assume a breach“ – d.h. grundsätzlich vom Eintritt eines schädlichen Vorfalls auszugehen – ist eine nützliche Denkweise in der IT-Sicherheit zur Prävention, Früherkennung und Reaktion

datensicherheit.de, 23.02.2026
Regionale Datensouveränität im Zeitalter der KI: Spannungsfeld zwischen Freiheit und Regulierung mit maximalem Mehrwert / Während sich Künstliche Intelligenz rasant beschleunigt und Datenvolumina exponentiell wachsen, müssen Unternehmen in nie dagewesener Geschwindigkeit innovieren im Rahmenzunehmend strenger regulatorischer, geopolitischer und Souveränitäts-bezogener Rahmenbedingungen. 

[datensicherheit.de, 08.04.2026] Genetec versteht sich als „der weltweit führende Anbieter von Software für die physische Sicherheit in Unternehmen“ – laut einer aktuellen Stellungnahme wird auf eine Diskrepanz zwischen gängigen Modellen zur Einführung der „Cloud“ im Bereich physischer Sicherheit sowie den „Governance“- und Betriebsanforderungen großer Unternehmen hingewiesen. Diese müssen demnach beim Einstieg in die „Cloud Governance“ Risikomanagement und betriebliche Anforderungen mitdenken. Viele Umgebungen erstreckten sich über zahlreiche Standorte, unterlägen strengen Anforderungen an Regulatorik und Cybersicherheit und stützten sich auf eine Infrastruktur, welche über Jahre hinweg betriebsbereit bleiben müsse. „Wer die Einführung der ,Cloud’ als einfachen Wechsel darstellt, blendet häufig die betriebliche Praxis großer Unternehmen aus, mit Folgen für die Flexibilität und langfristige Ausfallsicherheit.“

Unternehmen mit parallelem Betrieb von „Cloud“-, „On-Prem“- und Hybridumgebungen

„Die physische Sicherheit in Unternehmen basiert selten auf nur einer Art der Bereitstellung. Dieser Tatsache müssen ,Cloud’-Strategien gerecht werden!“, erläutert Francis Lachance, „Senior Director, Product“ bei Genetec. Er führt weiter aus: „Unternehmen betreiben ,Cloud’-, ,On-Prem’- und Hybridumgebungen parallel. Ihre Systeme müssen dabei nahtlos ineinandergreifen. So sichern sie ,Governance’, Transparenz und Kontrolle über langfristig ausgelegte Betriebsumgebungen.”

Laut dem aktuellen Report zur Lage der physischen Sicherheit 2026, für den laut Genetec mehr als 7.300 Fachleute befragt wurden, ist die Einführung der Hybrid-„Cloud“ eine strategische Entscheidung, die von langfristigen betrieblichen Anforderungen bestimmt wird:

• 39 Prozent der Befragten würden Skalierbarkeit als einen der Hauptgründe für die Einführung von Hybrid-„Cloud“-Umgebungen nennen.
• Für 38 Prozent sei Redundanz ein zentraler Treiber für Hybrid-„Cloud“-Umgebungen – dies unterstreiche die Bedeutung langfristiger Ausfallsicherheit und Geschäftskontinuität.

Unternehmen müssen „Governance“ und Kontinuität langfristig gewährleisten

„Für Unternehmen ist die ,Cloud’ ein Modell, das den ständigen Herausforderungen an Betrieb, Regulatorik und Sicherheitsbedrohungen standhalten muss“, ergänzt Lachance. Das Ziel bestehe nicht darin, vollständig auf die „Cloud“ umzusteigen, sondern diese so zu nutzen, „dass ,Governance’ und Kontinuität langfristig gewährleistet sind“.

Um eine sichere und widerstandsfähige „Cloud“-Einführung zu unterstützen, empfiehlt Genetec vier Handlungsschritte:

1. „Governance“ ins Zentrum aller Entscheidungen zum Thema Cloud stellen!
   In Unternehmen sollte die Einführung der „Cloud“ stärker von Verantwortlichkeit als Komfort geleitet sein. Anforderungen an Cybersicherheit, „Compliance“ und Aufsicht seien von Beginn an zu berücksichtigen und sollten nicht erst nachträglich ergänzt werden.
2. Auf hybride Umgebungen setzen!
   Die Einführung der „Cloud“ erfolge in Unternehmen selten in einem Schritt. Stattdessen betrieben sie „Cloud“-, „On-Prem“- und „Edge“-Systeme parallel, oft über längere Zeiträume hinweg. Hybride Ansätze ermöglichten es, die Modernisierung im eigenen Tempo voranzutreiben und zugleich die Kontrolle über kritische Infrastrukturen und sensible Daten zu wahren.
3. Die „Cloud“ als Betriebsmodell verstehen, nicht als Endzustand!
   „Cloud“-Implementierungen sollten Transparenz und Kontrolle über physische Sicherheitssysteme hinweg stärken, statt bestehende Infrastrukturen vollständig zu ersetzen. Im Fokus stehe die Integration von „Cloud“-Funktionen in umfassendere Umgebungen – nicht die Durchsetzung einheitlicher Bereitstellungsmodelle.
4. Auf langfristige Ausfallsicherheit achten!
   Physische Sicherheitsinfrastrukturen müssten über Jahre hinweg zuverlässig funktionieren – auch bei Netzwerkstörungen, Service-Ausfällen oder veränderten wirtschaftlichen Rahmenbedingungen. Architekturen, welche den autonomen Betrieb und eine kontrollierte Leistungsreduzierung über „Cloud“-, „On-Prem“- und „Edge“-Systeme hinweg ermöglichen, unterstützten Unternehmen dabei, den Betrieb aufrecht zu erhalten, regulatorische Anforderungen zu erfüllen und auf veränderte Risiken ohne Unterbrechungen zu reagieren.

Weitere Informationen zum Thema:

Genetec
Den Alltag schützen: Die tägliche Aufgabe, Personen und Orte zu schützen, ändert sich fortlaufend. Mit unseren Lösungen für die physische Sicherheit bleiben Sie einen Schritt voraus.

Genetec
Report zur Lage der physischen Sicherheit 2026: Wir haben über 7.000 Endnutzer physischer Sicherheitslösungen, Vertriebspartner und Planer befragt, um mehr über die neuen Technologien und die damit verbundenen Herausforderungen zu erfahren. Der Bericht zeigt, in welche Technologien Unternehmen investieren und wie sich Technologien zum Schutz von Menschen und Vermögenswerten weiterentwickeln.

Genetec
Security Center SaaS: Software-as-a-Service für vereinheitlichte physische Sicherheit

Genetec
Den Alltag schützen: Die tägliche Aufgabe, Personen und Orte zu schützen, ändert sich fortlaufend. Mit unseren Lösungen für die physische Sicherheit bleiben Sie einen Schritt voraus.

sourcesecurity.com
Francis Lachance – Director of Product Management, Genetec, Inc.

datensicherheit.de, 08.03.2021
Multi-Technologie-Zutrittskontrolle: 2N stellt Access Unit M vor / Das Unternehmen präsentiert eine neue, intelligente Zutrittskontrolleinheit für mehr Geschwindigkeit, Zuverlässigkeit und Sicherheit beim Zutritt zu Gebäuden mit einer Bluetooth-basierten mobilen Technologie

datensicherheit.de, 09.07.2018
Zutritt 5.0: Zeitenwende bei der Zutrittskontrolle / Viele Unternehmen setzen bereits elektro­nische Ausweise für die ­Zutrittskontrolle, Zeiterfassung und weitere Anwendungen ein

[datensicherheit.de, 27.03.2026] Auf Künstlicher Intelligenz (KI) beruhende Technologie wird nach aktuellen ISACA-Erkenntnissen in europäischen Unternehmen in rasantem Tempo eingeführt – aber viele hätten sie ohne die passende „Governance“- und Sicherheitsinfrastruktur implementiert. Dies geht demnach aus einer neuen ISACA-Studie hervor: Die Ergebnisse basierten auf einer Vorabveröffentlichung der „ISACA AI Pulse Poll 2026“, wofür Fachleute für digitales Vertrauen in Europa befragt worden seien. Diese verdeutlichten eine signifikante und wachsende Kluft zwischen der schnellen KI-Einführung und der organisatorischen Bereitschaft, die damit verbundenen Risiken zu managen.

Foto: ISACA

Chris Dimitriadis: Die Kluft zwischen Implementierung und „Governance“ schließt sich nicht, sie wird größer. Unternehmen müssen schnell handeln!

Kontrollproblem: Bei der Mehrheit der Unternehmen könnte ein kompromittiertes bzw. fehlerhaftes KI-System länger als eine halbe Stunde unkontrolliert weiterarbeiten

Auf die Frage, wie schnell ihr Unternehmen ein KI-System im Falle eines Sicherheitsvorfalls stoppen könnte, hätten fast drei Fünftel (59%) der Befragten angegeben, dies nicht zu wissen. Nur ein Fünftel (21%) habe gesagt, sie könnten dies innerhalb einer halben Stunde tun.

• Dies deute darauf hin, dass bei der Mehrheit der Unternehmen ein kompromittiertes oder fehlerhaftes KI-System länger als eine halbe Stunde unkontrolliert weiterarbeiten könnte.

Angesichts der zunehmenden Integration von KI-Systemen in zentrale Geschäftsprozesse stellten diese Ergebnisse die operative Vorbereitung infrage. Das Fehlen klarer Reaktionsverfahren habe direkte Auswirkungen auf das regulatorische Risiko, den Ruf des Unternehmens und die Kontinuität der Prozesse sowie jene diese Systeme unterstützenden Dienstleistungen.

Verständnisproblem: Unternehmen oft nicht in der Lage zu verstehen und zu erklären, was vorgefallen ist

Die Studie decke noch eine weitere Lücke auf: „Unternehmen können nicht nur ein KI-System im Notfall kaum stoppen, sie sind oft auch nicht in der Lage, danach zu verstehen und zu erklären, was vorgefallen ist.“ Weniger als die Hälfte (42%) der Befragten äußerten Vertrauen in die Fähigkeit ihres Unternehmens, einen schwerwiegenden KI-Vorfall zu untersuchen und der Führungsebene oder den Aufsichtsbehörden zu erklären, und nur elf Prozent seien vollkommen zuversichtlich.

• Dies sei besonders bedeutsam, da die Regulierung nun in Kraft trete: Das sich nun in der Durchsetzungsphase befindliche EU-KI-Gesetz stell explizite Anforderungen an Erklärbarkeit und Rechenschaftspflicht.

Diese Verpflichtungen erforderten nicht nur technische Kontrollen, sondern auch „Governance“-Strukturen, Audit-Pfade und – was am wichtigsten ist – Fachleute mit den Fähigkeiten, das Verhalten von KI-Systemen zu interpretieren und zu kommunizieren. „Die ISACA-Befragung legt nahe, dass diese Fähigkeiten noch nicht in großem Umfang vorhanden sind.“

KI-„Governance“ muss stets Schritt mit der Entwicklung der -Anwendung halten

Die vorliegenden Ergebnisse deuteten auf ein tieferliegendes strukturelles Problem hin. In einem Drittel der Unternehmen (33%) müssten Mitarbeiter nicht offenlegen, wann sie KI für ihre Arbeit nutzen. Dies führe zu erheblichen Transparenzlücken, da unklar bleibe, wo und wie KI tatsächlich eingesetzt wird.

• Weitere 20 Prozent der Befragten wüssten nicht, wer zur Rechenschaft gezogen würde, wenn ein KI-System Schaden verursacht. Nur 38 Prozent identifizierten dafür den Vorstand oder eine Führungskraft. Diese Erkenntnis stehe im Widerspruch zur Ausrichtung der Regulierung, die weitgehend darauf abziele, die Rechenschaftspflicht bei der obersten Führungsebene anzusiedeln.

Auf den ersten Blick scheine die Lage bei der Aufsicht durchaus beruhigend. 40 Prozent der Befragten gäben an, dass die meisten KI-generierten Aktionen vor der Ausführung durch Menschen genehmigt würden. Weitere 26 Prozent überprüften Entscheidungen im Nachhinein. Ohne die unterstützende breitere „Governance“-Infrastruktur könnte die menschliche Aufsicht allein jedoch nicht ausreichen, um Probleme zu erkennen oder zu beheben, bevor sie eskalieren.

Werkzeuge zur verantwortungsvollen KI-Steuerung existieren bereits

Die Daten deuteten jedoch darauf hin, dass viele Unternehmen das KI-Risiko weiterhin als ein technologisches Problem und eben nicht als eine unternehmensweite „Governance“-Herausforderung betrachteten. Dies sei nicht nachhaltig – insbesondere in einer Zeit, in der KI zunehmend Entscheidungen, Ergebnisse und Kundeninteraktionen in allen Unternehmensbereichen präge.

• Chris Dimitriadis, „Chief Global Strategy Officer“ bei ISACA, kommentiert: „Die Studie spiegelt wider, dass unser Innovationsdrang nicht von unserem Willen begleitet wird, den Wandel zu steuern. Das setzt uns kritischen Risiken aus. Die Werkzeuge zur verantwortungsvollen Steuerung von KI existieren bereits. Risikomanagement, präventive Kontrollen, Erkennungsmechanismen, Reaktion auf Vorfälle und Wiederherstellungsstrategien sind die Grundlagen guter Cybersicherheitspraktiken.“

Diese Werkzeuge müssten indes mit der gleichen Strenge und Dringlichkeit auf KI angewendet werden. „Die Kluft zwischen Implementierung und ,Governance’ schließt sich nicht, sie wird größer. Unternehmen müssen schnell handeln!“

Es gilt, eine Kultur der sinnvollen Aufsicht zu fördern

Dimitriadis führt hierzu aus: „Das beginnt damit, festzulegen, wer rechenschaftspflichtig ist, die Fähigkeit zur Reaktion auf Vorfälle aufzubauen und durch Audits die nötige Transparenz über die KI-Nutzung zu schaffen, um eine Kultur der sinnvollen Aufsicht zu fördern.“

• Aber die Lücke wirklich zu schließen, könne nicht allein durch Prozessänderungen erreicht werden. „Vielmehr erfordert es Fachleute, die das Fachwissen haben, KI-Risiken rigoros zu bewerten, die Aufsicht über den gesamten Lebenszyklus zu verankern und dies in Entscheidungen umzusetzen, die vor dem Vorstand und den Aufsichtsbehörden bestehen.“

Abschließend legt Dimitriadis nahe: „Die Unternehmen, die dies richtig machen, sind diejenigen, die sich auf das Vertrauen der Kundinnen, Kunden und aller Stakeholder konzentrieren und die durch nachhaltige Innovationen führen werden.“

Weitere Informationen zum Thema:

ISACA
The principles behind our purpose / Our mission and vision reflect the core values that drive everything we do

ISACA
Meet ISACA’s Leadership Team / Chris Dimitriadis – Chief Global Strategy Officer

datensicherheit.de, 08.11.2025
Einsatz von KI-Agenten: Lückenlose Governance für Unternehmen mittlerweile unerlässlich / Unternehmen vertrauen KI-Agenten immer mehr sensible Aufgaben an – von Genehmigungen für Investitionen bis zum Managen von Sicherheitsrisiken

datensicherheit.de, 19.08.2025
KI-Agenten breiten sich aus – aber Governance-Lücken gefährden Vertrauen der Verbraucher / Laut Genesys-Studie wünschen sich vier von fünf Verbrauchern eine klare „Governance“ für KI-Interaktionen – indes verfügt weniger als ein Drittel der Unternehmen über umfassende Richtlinien

datensicherheit.de, 04.07.2025
Intensive KI-Nutzung in Unternehmen – Entwicklung von Richtlinien und Governance fällt zurück / Nicht einmal ein Drittel der Unternehmen verfügt über eine formelle, umfassende KI-Richtlinie

datensicherheit.de, 24.02.2025
Responsible AI: Vertrauen, Security und Governance sind Voraussetzungen / Immer mehr Unternehmen setzen auf die Implementierung von KI als Kernbestandteil ihrer Geschäftsstrategie

[datensicherheit.de, 26.03.2026] TrendAI, ein Geschäftsbereich von Trend Micro, veröffentlicht neue Forschungsergebnisse, die zeigen, dass Unternehmen weltweit den Einsatz von künstlicher Intelligenz vorantreiben, obwohl bekannte Sicherheits- und Compliance-Risiken bestehen.

Eine neue globale Befragung von 3.700 Business- und IT-Entscheidern, davon 200 in Deutschland, ergab, dass 70 Prozent der Entscheider in Deutschland (67 Prozent weltweit) bereits unter Druck standen, KI-Projekte trotz Sicherheitsbedenken zu genehmigen. 17 Prozent von ihnen (14 Prozent global) bezeichneten diese Bedenken sogar als „extrem“, wurden aber dennoch übergangen, um mit Wettbewerbern und internen Anforderungen Schritt zu halten.

Der Druck zu einer schnellen KI-Einführung wird außerdem durch uneinheitliche Governance-Strukturen und unklare Verantwortlichkeiten für KI-Risiken verstärkt. Cybersecurity-Verantwortliche können häufig nur noch auf Entscheidungen zur KI-Einführung reagieren, die von der Unternehmensführung getroffen werden. Das führt oftmals zu Behelfslösungen und einer verstärkten Nutzung nicht genehmigter, sogenannter „Schatten-KI“-Tools.

KI-Einführung überholt Sicherheitsmaßnahmen

Unternehmen implementieren KI schneller, als sie die damit verbundenen Risiken verwalten können. Dadurch entsteht eine wachsende Lücke zwischen Ambitionen und Kontrolle. 56 Prozent der deutschen Befragten (57 Prozent weltweit) geben an, dass sich KI schneller entwickelt, als sie sie absichern können. Gleichzeitig äußern 46 Prozent (64 Prozent weltweit), dass sie nur geringes bis mittleres Vertrauen in ihre Kenntnisse der rechtlichen Rahmenbedingungen für den Einsatz von KI im Unternehmen haben.

Auch die Reife von Governance-Strukturen bleibt niedrig. Nur 41 Prozent der deutschen Unternehmen verfügen bereits über umfassende KI-Richtlinien; 56 Prozent befinden sich noch in der Ausarbeitung entsprechender Vorgaben oder haben gerade erst damit begonnen. Rund ein Drittel der deutschen Befragten nennt zudem unklare regulatorische oder Compliance-Anforderungen als Hindernis für eine sichere KI-Nutzung. In der Praxis bedeutet dies, dass KI bereits im operativen Geschäft ausgerollt wird, bevor die Regeln für ihren Einsatz vollständig festgelegt sind.

Richard Werner, Security Advisor bei TrendAI, Foto: TrendAI

„Unternehmen fehlt es nicht am Bewusstsein für Risiken, sondern an den Voraussetzungen, um diese wirksam zu managen“, sagt Richard Werner, Security Advisor bei TrendAI. „Wenn die Einführung von KI eher durch Wettbewerbsdruck als durch reife Governance-Strukturen getrieben wird, entsteht eine Situation, in der KI in kritische Systeme integriert wird, ohne dass die notwendigen Kontrollen vorhanden sind. Wir müssen Unternehmen deshalb dabei unterstützen, mit KI solide Ergebnisse zu erzielen und gleichzeitig ihre Geschäftsrisiken im Griff zu behalten.“

Sicherheitsbedenken – Vertrauen in autonome KI bleibt begrenzt

Das Vertrauen in fortschrittliche, autonome KI-Systeme befindet sich weiterhin in einer Reifungsphase. Lediglich 36 Prozent der deutschen Entscheider sind der Ansicht, dass agentische KI die Cyberabwehr kurzfristig deutlich verbessern wird. Damit sind die Deutschen skeptischer als die weltweiten Befragten, von denen immerhin 44 Prozent diese Hoffnung hegen. Zudem bestehen weiterhin Bedenken beim KI-Einsatz: Mehr als ein Drittel der Befragten hierzulande (36 Prozent) sehen den Zugriff von KI-Agenten auf sensible Daten als größtes Risiko. 39 Prozent von ihnen warnen davor, dass manipulierte Prompts die Sicherheit gefährden könnten, während ein Viertel (26 Prozent) eine zusätzliche Angriffsfläche für Cyberkriminelle sieht. Ein ähnlich großer Anteil (28 Prozent) befürchtet den Missbrauch des Vertrauensstatus von KI-Systemen sowie Risiken durch autonome Codebereitstellung (25 Prozent).

Gleichzeitig gibt knapp ein Drittel der deutschen Unternehmen (31 Prozent) an, dass ihnen die notwendige Transparenz oder Auditierbarkeit dieser Systeme fehlt. Das wirft grundlegende Fragen darüber auf, wie Unternehmen eingreifen oder Kontrolle ausüben können, sobald autonome Agenten im Einsatz sind. 35 Prozent der deutschen Befragten unterstützen die Einführung von „Kill-Switch“-Mechanismen für KI, mit denen Systeme im Fall von Fehlfunktionen oder Missbrauch abgeschaltet werden können. Etwa die Hälfte (49 Prozent) ist sich hierzu noch unsicher. Hier zeigt sich ein grundlegendes Problem: Unternehmen bewegen sich in Richtung autonomer KI, ohne sich darüber einig zu sein, wie Kontrolle in kritischen Situationen gewährleistet werden soll.

Rachel Jin, Chief Platform and Business Officer und Head of TrendAI, Bild: TrendAI

„Agentic AI bringt Unternehmen eine neue Kategorie von Risiken“, ergänzt Rachel Jin, Chief Platform and Business Officer und Head of TrendAI. „Unsere Studie zeigt, dass die zentralen Bedenken bereits klar sind – von der Offenlegung sensibler Daten bis hin zum Verlust von Kontrolle. Ohne Transparenz und Kontrollmechanismen setzen Unternehmen Systeme ein, die sie nicht vollständig verstehen oder steuern können. Dieses Risiko wird weiter zunehmen, wenn sie keine Gegenmaßnahmen ergreifen.“

Über die Studie

TrendAI beauftragte SAPIO Research mit der Befragung von 3.700 IT- und Business-Entscheidern in 23 Ländern, die in Unternehmen mit mehr als 250 Mitarbeitern tätig sind. An der Befragung im Februar 2026 nahmen 200 Geschäfts- und IT-Entscheider aus Deutschland sowie je 100 aus Österreich und der Schweiz teil.

Weitere Informationen zum Thema:

TrendAI
Securing the AI-Powered Enterprise

datensicherheit.de, 26.03.2026
Mandiant veröffentlicht M-Trends Report 2026: Mittels KI konnten Angreifer Operationen ausweiten

Von unserem Gastautor Fino Scholl, Managing Director, Swiss GRC Germany

[datensicherheit.de, 25.03.2026] Künstliche Intelligenz verändert den Cybersecuritymarkt stärker als viele andere Innovationen der letzten Jahre. Geprüfte Studien zeigen: Die Identifikation von Schwachstellen in Software sowie die Entwicklung potenziell schädlicher Codes gelingt durch KI schneller, präziser und skalierbarer als je zuvor.

Diese Entwicklung verändert die Regeln. Für Verteidiger und Angreifer gleichermaßen. Denn KI wird zum Beschleuniger für beide Seiten. Die entscheidende Frage lautet daher nicht mehr, ob KI eingesetzt wird, sondern wie sie gesteuert wird. Was bedeutet das konkret für CTOs, CISOs und CSOs 2026?

Cybersecurity bleibt Herausforderung im deutschen Mittelstand

In vielen Unternehmen wird KI noch immer primär als Technologieprojekt verstanden. Zuständig ist die IT-Abteilung, bewertet werden Effizienzgewinne oder Automatisierungspotenziale. Diese Sichtweise greift deutlich zu kurz.

KI entwickelt sich zunehmend zu einem entscheidungsrelevanten Faktor mit unmittelbaren Auswirkungen auf Risikoexposition, Haftung und regulatorische Anforderungen. Systeme treffen automatisierte Entscheidungen, priorisieren Risiken, analysieren Anomalien oder steuern Prozesse in Echtzeit. Damit berühren sie nicht nur technische, sondern auch organisatorische und strategische Fragestellungen.

Gerade im deutschen Mittelstand fehlt häufig eine klare Governance-Perspektive. Es fehlt branchenunabhängig an Awareness, Expertise, Ressourcen und Infrastrukturen in diesem Bereich. Langfristig entsteht daraus ein erhebliches Risiko. Aus technologischer Hinsicht. Aber auch aus wirtschaftlicher. Denn schon 2025 entstand in Deutschland ein wirtschaftlicher Schaden von 202,4 Milliarden Euro durch IT-Angriffe. 2024 waren es noch 178,6 Mrd. Euro

Wer KI ausschließlich als praktikables Tool für Routinemaßnahmen betrachtet, unterschätzt ihre strukturelle Wirkung. Denn mit jedem KI-gestützten Prozess entstehen neue Abhängigkeiten, neue Angriffsflächen und neue Verantwortlichkeiten.

Effizienzgewinn vs. Sicherheitsrisiko

Unbestritten ist: KI kann Cyberabwehr deutlich stärken. Automatisierte Log-Analysen, Anomalieerkennung, prädiktive Risikoanalysen oder intelligente Zugriffskontrollen erhöhen die Reaktionsgeschwindigkeit erheblich. Sicherheitsvorfälle lassen sich früher identifizieren und priorisieren.

Gleichzeitig steigt jedoch die Komplexität. KI-Systeme basieren häufig auf externen Modellen, Cloud-Infrastrukturen oder Drittanbieter-Services. Trainingsdaten stammen aus unterschiedlichen Quellen, Algorithmen sind nicht immer vollständig nachvollziehbar.

Damit entstehen neue Risikodimensionen:

• Transparenzdefizite: Black-Box-Modelle erschweren Nachvollziehbarkeit und Auditierbarkeit.
• Drittanbieter-Abhängigkeiten: Externe KI-Services erweitern die Lieferkette und erhöhen Third-Party-Risiken.
• Neue Angriffsformen: Prompt Injection, Model Poisoning oder manipulierte Trainingsdaten eröffnen zusätzliche Angriffsszenarien.

KI wird so selbst zum Risikofaktor. Insbesondere dann, wenn sie unstrukturiert eingeführt wird.

Regulatorische Anforderungen erhöhen den Handlungsdruck

Parallel zur technologischen Dynamik steigt der regulatorische Druck. Mit NIS-2, DORA und dem Cyber Resilience Act rückt die Steuerung digitaler Risiken auf Management-Ebene. KI-Anwendungen fallen damit nicht mehr ausschließlich in den Verantwortungsbereich der IT, sondern werden Teil des unternehmensweiten Governance-, Risk- und Compliance-Frameworks.

Die regulatorische Logik ist eindeutig: Digitale Resilienz ist eine Führungsaufgabe. Risiken müssen identifiziert, bewertet, dokumentiert und kontinuierlich überwacht werden. Das gilt auch und insbesondere für KI-gestützte Prozesse.

Relevante EU-Maßnahmen im Zusammenhang mit KI und Cybersecurity, Bild: Swiss GRC Germany

Unternehmen stehen somit vor einer doppelten Herausforderung: Sie müssen KI nutzen, um wettbewerbsfähig und resilient zu bleiben. Gleichzeitig müssen sie sicherstellen, dass deren Einsatz kontrollierbar, prüfbar und regelkonform erfolgt.

Unterschätzte Risiken im KI-Einsatz

In der Praxis zeigen sich immer wieder miteinander vergleichbare Schwachstellen. Häufig werden KI-Tools dezentral eingeführt, etwa durch Fachabteilungen, die Effizienzpotenziale heben wollen. Governance-Strukturen hinken hinterher.

Typische Problemfelder sind:

1. Fehlende Risikoklassifizierung: Nicht jede KI-Anwendung ist gleich kritisch. Ohne strukturierte Bewertung fehlt die Priorisierung.
2. Unklare Verantwortlichkeiten: Wer haftet bei Fehlentscheidungen eines Systems?
3. Mangelnde Dokumentation: Ohne transparente Prozesse sind Prüfungen kaum möglich.
4. Unzureichendes Monitoring: KI-Modelle können sich durch Updates, neue Trainingsdaten oder Modellanpassungen verändern. Ohne kontinuierliche Kontrolle entstehen blinde Flecken.

Gerade regulierte Branchen in Deutschland, zum Beispiel der Finanzsektor, Versicherungen oder kritische Infrastrukturen, können sich solche Lücken nicht leisten. Hier wirken technologische Defizite unmittelbar auf Haftung, Reputationsrisiken und Geschäftsmodellstabilität.

Governance, Risk & Compliance (GRC) als strukturierender Rahmen

Die zentrale Frage lautet daher: Wie lassen sich Chancen und Risiken von KI systematisch steuern? Hier kommt Governance, Risk & Compliance (GRC) ins Spiel. GRC ist kein bürokratisches Add-on, sondern der strukturierende Rahmen, um technologische Innovation kontrollierbar zu machen.

Ein wirksames GRC-Framework, Bild: Swiss GRC Germany

Erst durch die Einbettung in diesen Rahmen wird KI somit zu einem steuerbaren Bestandteil der Unternehmensarchitektur.

KI verstärkt bestehende Stärken und Schwächen

Ein häufiger Irrtum besteht darin, KI als Ersatz für Sicherheitsstrategien zu betrachten. Tatsächlich wirkt sie wie ein Verstärker. In Organisationen mit klaren Prozessen, definierten Zuständigkeiten und etabliertem Risikomanagement erhöht sie Effizienz und Transparenz.

In Unternehmen mit fragmentierten Strukturen verstärkt sie hingegen Intransparenz und Kontrollverlust. Cybersecurity 2026 wird daher nicht allein durch Technologie entschieden, sondern durch Governance-Qualität. Wer KI ohne strukturiertes Risikomanagement implementiert, verschiebt Probleme lediglich. Oft in Bereiche, die erst bei einem Audit oder Sicherheitsvorfall sichtbar werden.

Digitale Resilienz braucht Steuerbarkeit

• Die Ambivalenz von KI ist Realität: Sie ermöglicht präzisere Angriffe und gleichzeitig effektivere Verteidigung. Unternehmen können sich dieser Dynamik nicht entziehen.
  Entscheidend ist, KI nicht isoliert als IT-Instrument zu betrachten, sondern als strategischen Faktor innerhalb der Unternehmenssteuerung. Digitale Resilienz entsteht dort, wo Innovation und Kontrolle zusammengedacht werden.
• Für Entscheider bedeutet das: KI gehört auf die Agenda von Vorstand, Geschäftsführung und Risikokomitees. Nicht als technisches Detail, sondern als integraler Bestandteil von Governance, Risk & Compliance.
  Denn ohne KI wird Cybersecurity 2026 nicht funktionieren. Aber ohne wirksames GRC wird KI zum unkalkulierbaren Risiko.

Fino Scholl, Managing Director, Swiss GRC Germany, Bild: Swiss GRC Germany

Fino Scholl ist Managing Director der Swiss GRC Germany GmbH und verantwortet den Ausbau des Deutschlandgeschäfts sowie die Weiterentwicklung der Marktaktivitäten des Unternehmens. Zuvor war er in leitenden Funktionen bei der IAV im Risiko- und Kontrollumfeld sowie in der industriellen Forschung tätig. Scholl promovierte im Maschinenbau an der Universidad de Valladolid und hält einen Masterabschluss der Karlsruhe University of Applied Sciences.

Weitere Informationen zum Thema:

datensicherheit.de, 08.11.2025
Einsatz von KI-Agenten: Lückenlose Governance für Unternehmen mittlerweile unerlässlich

datensicherheit.de, 04.07.2025
Intensive KI-Nutzung in Unternehmen – Entwicklung von Richtlinien und Governance fällt zurück

[datensicherheit.de, 08.11.2025] KI-Agenten gewinnen offensichtlich immer mehr an Bedeutung: Unternehmen vertrauten diesen immer sensiblere Aufgaben an, von Genehmigungen von Investitionen bis zum Managen von Sicherheitsrisiken – ihr Potenzial, Unternehmen zu transformieren, sei enorm. Doch darin steckt nach Ansicht von Markus Müller, „Global Field CTO API Management“ bei Boomi auch eine Gefahr, stelle doch eine unkontrollierte Autonomie von KI-Agenten für jedes Unternehmen ein erhebliches Risiko dar. Er erörtert in seiner aktuellen Stellungnahme die Frage „Wer kontrolliert also diese KI-Agenten eigentlich?“. Für diese neue Art digitaler Mitarbeiter eine sei eine neue „Governance“ unerlässlich.

Foto: Boomi

Laut Markus Müller ist eine universelle „Governance“ von KI-Agenten für Datensicherheit und zur Verbesserung der Unternehmensleistung zwingend

KI-Agenten als größte Veränderung für Unternehmen in den letzten fünf Jahren

„KI-Agenten sind zweifellos auf dem Vormarsch. Ihr Potenzial, Unternehmen zu transformieren, ist enorm. Davon sind Experten weltweit überzeugt.“, berichtet Müller.

• In einer repräsentativen Studie habe Boomi 300 Führungskräfte aus Wirtschaft und Technologie befragt – „darunter auch welche aus Deutschland“. Fast drei Viertel (73%) glaubten, dass KI-Agenten die größte Veränderung für ihr Unternehmen in den letzten fünf Jahren darstellen würden.

Doch diese Studie zeige auch: Nur zwei Prozent der derzeit eingesetzten KI-Agenten seien vollständig für ihre Handlungen verantwortlich und unterlägen einer kontinuierlichen, konsistenten „Governance“.

98 Prozent der Unternehmen ohne ausreichende ,Governance’-Regeln für KI-Agenten

Müller kommentiert: „Was im Umkehrschluss bedeutet, dass 98 Prozent keine oder zumindest keine ausreichenden ,Governance’-Regeln besitzen! Und genau hier liegt die Gefahr für Unternehmen, denn ohne Kontrolle kann die Leistungsfähigkeit von KI-Agenten nicht richtig kanalisiert werden.“

• War noch bis vor Kurzem die Meinung vorherrschend, dass kritische Unternehmensbereiche wie das Managen von Sicherheitsrisiken oder die Genehmigung von Investitionen und Budgets allein menschliche Expertise benötigten, so habe sich das mit der raschen Weiterentwicklung von KI-Agenten gewandelt. Führungskräfte seien nun in immer größerem Maße bereit, auch diese Bereiche einem KI-Agenten zumindest teilweise anzuvertrauen.

„Welch enorme Verantwortung damit auf dieser Technologie liegt, ist ersichtlich“, so Müller. Führungskräfte und IT-Teams seien nicht mehr über alle Arten der Nutzung sensibler Daten durch die Technologie informiert – und dies könne zu potenziellen Verstößen gegen Sicherheits- oder „Compliance“-Vorschriften führen. Für jedes Unternehmen sei die unkontrollierte Autonomie von KI-Agenten ein „inakzeptables Risiko“.

Background-Check: KI-Agenten im Kontext der Sicherheit ebenso wie menschliche Mitarbeiter zu behandeln

Doch die aktuellen Standards für die „Governance“ von KI-Agenten seien unzureichend. Oft würden bereits die Mindestanforderungen an eine „Governance“-Strategie für KI-Agenten nicht erfüllt. So verfüge weniger als ein Drittel über ein „Governance“-Framework für KI-Agenten, und nur 29 Prozent böten regelmäßige Schulungen für Mitarbeiter und Führungskräfte zum verantwortungsvollen Umgang mit KI-Agenten an.

• Müller führt aus: „Und wenn es um spezifische Prozesse wie Protokolle zur Bewertung von ,Bias’ oder die Planung von Maßnahmen bei Ausfällen von KI-Agenten geht, sind noch weniger Unternehmen vorbereitet (jeweils nur rund ein Viertel).“

Unternehmen müssten daher damit beginnen, ihre „digitale Mitarbeiter“, also die KI-Agenten, im Kontext der Sicherheit ebenso wie menschliche Mitarbeiter zu behandeln. „Bei diesen ist es gang und gäbe, ihre Fähigkeiten und ihre Vergangenheit auf ethische Verstöße hin zu überprüfen.“ KI-Agenten müssten somit nach denselben Standards behandelt werden und beispielsweise dahingehend überprüft werden, ob sie eine Vorgeschichte mit Voreingenommenheit oder Halluzinationen hätten.

Universelle „Governance“ für KI-Agenten unerlässlich

Die universelle „Governance“ von KI-Agenten sei nicht nur ein „nettes Extra“. Sie sei für die Datensicherheit und die Verbesserung der Unternehmensleistung unerlässlich.

• Unternehmen mit einer fortschrittlichen „Governance“ schnitten in einer Vielzahl wichtiger Geschäftskennzahlen besser ab als Unternehmen, welche nur über ein grundlegendes Niveau verfügten.

Zudem sicherten sie sich vor „Compliance“-Verstößen, Reputationsschäden und letztlich auch vor einem durch nicht geprüfte KI-Agenten ausgelösten Sicherheitsvorfall mit erheblichem finanziellen Schaden. „Denn im aktuellen Wettbewerbsumfeld kann selbst ein kleiner Vorsprung den Unterschied zwischen Führungsposition und Rückstand ausmachen!“, gibt Müller abschließend zu bedenken.

Weitere Informationen zum Thema:

boomi
Nahtlose Integration für das moderne Unternehmen / Boomi hilft Organisationen, die Komplexität von Unternehmenssoftware radikal zu vereinfachen

Linkedin
Markus Müller

CLOUDCOMPUTING INSIDER, Barbara Gribl, 27.08.2025
Schnittstellen, Daten und Automatisierung im Fokus / Mehr Tempo, mehr Umsatz: Was Boomi mit AI Agents erreichen will

datensicherheit.de, 19.08.2025
Mit Agentischer KI als Schlüsseltechnologie werden neue Sicherheits- und Infrastrukturkonzepte unverzichtbar / Von automatisierten Geschäftsprozessen über smarte Datenanalyse bis hin zu intelligenten „Cloud’“-Diensten halten autonome, miteinander kommunizierende KI-Agenten überall Einzug

datensicherheit.de, 19.08.2025
KI-Agenten breiten sich aus – aber Governance-Lücken gefährden Vertrauen der Verbraucher / Laut Genesys-Studie wünschen sich vier von fünf Verbrauchern eine klare „Governance“ für KI-Interaktionen – indes verfügt weniger als ein Drittel der Unternehmen über umfassende Richtlinien

datensicherheit.de, 24.05.2025
Agenten-KI und die Wechselwirkungen mit der Cybersicherheit / Marco Eggerling stellt eine strategische Betrachtung für Führungskräfte an – Agenten-KI als Wendepunkt der Informationssicherheit

datensicherheit.de, 22.05.2025
7. DSGVO-Jahrestag: KI-Agenten als neue Herausforderung / Wie sensible Daten geschützt werden können, wenn nicht mehr allein Menschen, sondern auch KI-Agenten auf Informationen zugreifen, reflektiert Steve Bradford in seinem Kommentar

[datensicherheit.de, 19.08.2025] Genesys hat die Ergebnisse seiner aktuellen Umfrage veröffentlicht: Diese deckt demnach eine kritische Diskrepanz auf – zwischen der Art und Weise, wie Unternehmen Künstliche Intelligenz (KI) regeln, und den Anforderungen der Verbraucher für eine sichere Nutzung (insbesondere in der Ausprägung als KI-Agenten). Während vier von fünf Befragten eine klare „Governance“ für KI-Interaktionen wünschten, gäben weniger als ein Drittel der Führungskräfte an, „dass ihr Unternehmen über umfassende, unternehmensweite KI-Richtlinien und -Kontrollen verfügt“. Genesys hat nach eigenen Angaben im Juni 2025 in Zusammenarbeit mit einem unabhängigen Forschungsunternehmen 4.000 Verbraucher und 1.600 Entscheidungsträger für „Customer Experience“ (CX) und IT in mehr als zehn Ländern befragt. „Knapp 350 Befragte kamen aus Deutschland – unter den befragten Unternehmen waren folgende Branchen vertreten: Fluggesellschaften, Automobilindustrie, Banken, Behörden, Gesundheitswesen, Versicherungen, Fertigung, Medien und Unterhaltung, professionelle Dienstleistungen, Einzelhandel, Reise und Gastronomiegewerbe, Technologie, Telekommunikation und Versorgungsunternehmen.“

Foto: Genesys

Olivier Jouve stellt klar: Da Agentenbasierte KI immer mehr Verantwortung übernimmt, ist es unerlässlich, dass Unternehmen bei ihrer Nutzung transparent und rechenschaftspflichtig bleiben!

Agentenbasierte KI findet in CX-Strategien der Unternehmen immer mehr Verbreitung

Agentenbasierte KI (Agentic AI) – „autonome Systeme, die selbstständig denken, handeln und Entscheidungen treffen können“ – finde in den Strategien für Kundenerlebnisse (CX) von Unternehmen immer mehr Verbreitung. So meinten 91 Prozent der befragten CX-Führungskräfte, „dass ihr Unternehmen damit einen schnelleren, effektiveren und personalisierten Service anbieten können wird“.

• Die Daten zeigten jedoch eine komplexe Realität: Während die Begeisterung für den transformativen Wert Agentenbasierter KI groß sei, „hinken ,Governance’-Strukturen hinterher“. Dies bringe Risiken für das Verbrauchervertrauen, den Ruf der Marke und die Einhaltung gesetzlicher Vorschriften mit sich.

„,Agentic AI’ eröffnet Unternehmen spannende Möglichkeiten, ihre Kunden zu bedienen. Das Vertrauen der Verbraucher zu verdienen, muss jedoch mit diesem Fortschritt Schritt halten“, betont Olivier Jouve, „Chief Product Officer“ bei Genesys. Er erläutert hierzu: „Da diese Systeme immer mehr Verantwortung übernehmen, ist es unerlässlich, dass Unternehmen bei ihrer Nutzung transparent und rechenschaftspflichtig bleiben. Sind die richtigen Leitplanken von Anfang an gesetzt, können Unternehmen dauerhaftes Vertrauen aufbauen, indem sie verantwortungsbewusst Kundenerlebnis-Innovationen treiben für ein neues Maß an Personalisierung und Effektivität.“

Hauptanliegen der Befragten: Klarheit darüber, wie KI personenbezogenen Daten verwendet

Mehr als 90 Prozent der befragten CX-Führungskräfte seien sich einig, dass eine starke „Governance“ entscheidend sei, um den Ruf der Marke zu schützen (91%), langfristiges Vertrauen und Loyalität bei den Kunden aufzubauen (91%) und das Wohlbefinden der Verbraucher im Umgang mit autonomen Systemen zu steigern (90%).

• Dennoch seien viele Unternehmen noch nicht vorbereitet: „Über ein Drittel der CX-Führungskräfte (35%) geben zu, dass sie über wenig bis gar keine formellen ,Governance’-Richtlinien verfügen.“ Noch besorgniserregender sei, dass 28 Prozent derjenigen vollkommen ohne Richtlinien dennoch glaubten, dass ihr Unternehmen bereit sei für Agentenbasierte KI.

Diese „Governance“-Lücke werde noch problematischer, „wenn man sie im Zusammenhang mit den Bedenken der Verbraucher betrachtet“. Viele blieben skeptisch, weil ihnen Transparenz bei der Verwendung ihrer Daten und klare Kontrollen fehlten. „Tatsächlich war die Klarheit darüber, wie KI ihre personenbezogenen Daten verwendet, das Hauptanliegen der Befragten.“

KI-„Halluzinationen“ ernsthaftes Risiko für Kundenbindung

Hinzu komme, dass 37 Prozent der Verbraucher glaubten, KI „halluziniere” oder erfinde Informationen – eine Ansicht, die von 59 Prozent der CX-Führungskräfte geteilt werde. Sie meinten, dass „Halluzinationen“ ernsthafte Risiken für die Kundenbindung, Rechtsstreitigkeiten und den Ruf der Marke darstellten.

• Diese wahrgenommene Unzuverlässigkeit untergrabe das Vertrauen weiter und zeige, „wie notwendig Vorkehrungen sind, die Genauigkeit und Verantwortlichkeit bei KI-gesteuerten Kundenerfahrungen gewährleisten“.

Die Lücke zwischen dem, was Führungskräfte für notwendig halten, und dem, was Unternehmen umgesetzt haben, sei besonders besorgniserregend – vor allem angesichts der klaren Forderung der Verbraucher nach Transparenz und Kontrolle. So sei es für Unternehmen von entscheidender Bedeutung, diese Lücke zu schließen – „bevor sie Agentenbasierte KI in großem Umfang einsetzen“.

Vertrauen der Verbraucher in Agentenbasierte KI bleibt fragil

Während 81 Prozent der CX-Führungskräfte Agentenbasierter KI sensible Kundendaten anvertrauten, täten dies nur 36 Prozent der Verbraucher. Diese Diskrepanz sei in Situationen mit höheren Risiken noch ausgeprägter – beispielsweise beim Einsatz Agentenbasierter KI für kritische Kundenfunktionen: „74 Prozent der Unternehmen geben an, dass sie diese Technologie ohne Bedenken für Rechnungsstellung, Finanztransaktionen und Kontosicherheit einsetzen.“

• Verbraucher seien jedoch viel zurückhaltender: Nur 35 Prozent fühlten sich wohl dabei, wenn Agentenbasierte KI Geldtransfers abwickelt, 49 Prozent bei der Lösung von Rechnungsproblemen und 50 Prozent bei der Aktualisierung persönlicher Daten.

Diese Daten zeigten eine wichtige Chance auf: „Mehr als die Hälfte der Verbraucher (58%) gibt an, dass es für sie egal ist, ob ihr Problem von einem Menschen oder einer KI gelöst wird, solange es schnell und vollständig bearbeitet wird.“ Dies weise darauf hin, dass Effizienz und Effektivität im Kundenerlebnis Skepsis überwinden könnten – jedoch nur in Verbindung mit Transparenz und Verantwortlichkeit. „Um die Vertrauenslücke zu schließen und verantwortungsbewusst innovativ zu sein, müssen Unternehmen auf verbraucherorientierte Weise skalieren!“

Weitere Informationen zum Thema:

GENESYS
Einführung in Genesys Cloud Agentic AI

GENESYS
The agentic AI trust gap: Why forward-thinking companies should build guardrails

GENESYS
Olivier Jouve – Chief Product Officer / “Only the cloud offers the flexibility, scalability and computing power to analyze in real time the vast data resulting from customer interactions today across every channel.”

datensicherheit.de, 19.08.2025
Mit Agentische KI als Schlüsseltechnologie werden neue Sicherheits- und Infrastrukturkonzepte unverzichtbar / Von automatisierten Geschäftsprozessen über smarte Datenanalyse bis hin zu intelligenten „Cloud’“-Diensten halten autonome, miteinander kommunizierende KI-Agenten überall Einzug

datensicherheit.de, 24.05.2025
Agenten-KI und die Wechselwirkungen mit der Cybersicherheit / Marco Eggerling stellt eine strategische Betrachtung für Führungskräfte an – Agenten-KI als Wendepunkt der Informationssicherheit

datensicherheit.de, 22.05.2025
7. DSGVO-Jahrestag: KI-Agenten als neue Herausforderung / Wie sensible Daten geschützt werden können, wenn nicht mehr allein Menschen, sondern auch KI-Agenten auf Informationen zugreifen, reflektiert Steve Bradford in seinem Kommentar

[datensicherheit.de, 23.05.2025] Mittels Generativer Künstlicher Intelligenz (GenAI) erhalten Unternehmen die Möglichkeit, sich deutlich effizienter als bisher aufzustellen – doch neben möglichen Effizienzgewinnen birgt deren kontinuierliche und rasante Weiterentwicklung auch Sicherheitsrisiken. Deshalb sollten Unternehmen einen ganzheitlichen Ansatz verfolgen, um bereits im Vorfeld Gefahren durch sogenannte Schatten-KI oder Sicherheitslücken zu vermeiden. Andreas Müller, „Vice President Enterprise Sales Central and Eastern Europe“ bei Delinea, erläutert in seiner aktuellen Stellungnahme, welche drei Maßnahmen Unternehmen für eine zukunftsfähige und sichere GenAI-Integration ergreifen sollten.

Foto: Delinea

Andreas Müller: Mit einem ganzheitlichen Sicherheitsansatz, der „Governance“, technische Kontrollen und Datenmanagement zusammenführt, können Unternehmen ihre Risiken deutlich minimieren

Unternehmen benötigen ganzheitlichen Ansatz, um „Governance“, Technologie und adaptive Sicherheitslösungen zu vereinen

„Die Geschwindigkeit, mit der sich GenAI heute entwickelt, birgt großes Potenzial für Unternehmen – aber auch Risiken. Wer Sicherheitslücken, Datenschutzverstöße und Schatten-IT vermeiden will, braucht einen ganzheitlichen Ansatz.“

• Müller gibt zu bedenken: „Die rasante Entwicklung von ,Generative AI’ (GenAI) verändert Branchen und Geschäftsprozesse tiefgreifend. Das Innovationspotenzial ist enorm – doch die schnelle Entwicklung birgt auch Risiken. Sicherheits- und Datenschutzverletzungen oder ,Compliance’-Verstöße können schnell entstehen, wenn die Technologie unkontrolliert eingesetzt wird.“

Um das volle Potenzial sicher, verantwortungsvoll und ethisch auszuschöpfen, brauchten Unternehmen einen ganzheitlichen Ansatz, welcher „Governance“, Technologie und adaptive Sicherheitslösungen vereint. Nachfolgend benennt Müller die drei erforderlichen Schritte:

1. Schritt für Unternehmen: „Governance – klare Regeln und Verantwortung!“

Ein verantwortungsvoller Einsatz von GenAI beginne mit klaren Strukturen und Zuständigkeiten. Unternehmen sollten hierfür ein bereichsübergreifendes Team zusammenstellen, um Sicherheits-, Rechts-, „Compliance“- und IT-Perspektiven zu verbinden. Müller erklärt: „Dieses Team sollte die Verantwortung für den Einsatz von GenAI-Lösungen im Unternehmen sowie die Einhaltung globaler Richtlinien – wie etwa der ,EU AI Act’ oder die OECD-Leitlinien – tragen.“

• Ebenso wichtig sei ein klar definiertes ethisches Leitbild: „Entscheidungen, die mithilfe von Künstlicher Intelligenz (KI) getroffen werden, müssen nachvollziehbar sein und stets überprüft werden. Das ist wichtig, um zum Beispiel algorithmischen ,Bias’ zu erkennen – insbesondere in Bereichen wie ,Recruiting’, Finanzen oder im Gesundheitswesen. Zudem sollten Unternehmen regelmäßig prüfen, wie sich der eigene KI-Einsatz auf die Organisation, die Wirtschaft und Gesellschaft auswirkt.“

Entscheidend sei zudem, dass auch Mitarbeiter kontinuierlich und auf allen Ebenen im Umgang mit KI geschult werden. „So müssen Entwickler verstehen, wie sie KI-Systeme sicher und fair gestalten, während Anwender lernen müssen, kritisch mit Ergebnissen umzugehen.“

2. Schritt für Unternehmen: „Technologiekontrollen – Modelle, Daten und Systeme gezielt absichern!“

Um GenAI-Systeme wirksam zu schützen, müssten Unternehmen von Anfang an geeignete Sicherheitsmaßnahmen implementieren. „Sie sollten alle Interaktionen mit KI sowie ihre Ergebnisse genau protokollieren, um verdächtiges Verhalten schnell zu erkennen und im Ernstfall gezielt eingreifen zu können.“

• Lösungen wie z.B. „Identity Threat Detection and Response“ (ITDR) könnten dabei helfen, Angriffsversuche in Echtzeit aufzudecken. Gleichzeitig gelte es, Zugriffe auf Modelle und Trainingsdaten konsequent zu beschränken. „Durch regelmäßige Audits, den Einsatz von Hashing-Verfahren und klar geregelte Zugriffsrechte behalten Unternehmen Kontrolle über die Integrität ihrer Daten.“

Auch sogenannte Schatten-IT, also unautorisierte KI-Anwendungen im Unternehmen, erfordere aktives Handeln. Mit gezielten Endpoint- und Browser-Kontrollen sowie automatischer Tool-Erkennung könnten IT-Teams solche Anwendungen aufspüren und zentral kontrollieren, bevor Risiken entstehen.

3. Schritt für Unternehmen: „Datenzugang und Datenkontrolle stärken!“

GenAI sei nur so sicher wie die Daten, mit denen sie arbeitet. „Unternehmen sollten den Zugang daher konsequent absichern!“ Hierfür eigneten sich beispielsweise zeitlich begrenzte Zugriffsrechte (Just-in-time) nach dem Least-Privilege-Prinzip, Privileged-Access-Management-Lösungen (PAM) zur Kontrolle besonders sensibler Berechtigungen und Multi-Faktor-Authentifizierung (MFA) – sowohl für menschliche als auch maschinelle Identitäten.

• Trainingsdaten müssten besonders geschützt werden: „Vertrauliche oder persönliche Informationen sollten entfernt oder pseudonymisiert werden. Mit einer einheitlichen Klassifizierung lassen sich Zugriffsrechte besser steuern.“ Verschlüsselung schütze die Daten zusätzlich beim Speichern oder Übertragen vor unbefugtem Zugriff.

Zudem sollten Unternehmen auch die Ein- und Ausgabedaten von GenAI-Systemen kontrollieren. Mithilfe von Echtzeitüberwachung ließen sich kritische oder regelwidrige Inhalte frühzeitig erkennen – zum Beispiel im Hinblick auf Datenschutz oder ethische Vorgaben. Gleichzeitig müssten auch die von der KI erzeugten Inhalte verschlüsselt, kategorisiert und nachvollziehbar dokumentiert werden.

Unternehmen müssen sicherstellen, GenAI kontrolliert und verantwortungsvoll einzusetzen

Müllers Fazit: „GenAI bietet heute enormes Potenzial – aber Unternehmen müssen sicherstellen, dass sie die Technologie kontrolliert und verantwortungsvoll einsetzen!“

• Mit einem ganzheitlichen Sicherheitsansatz, der „Governance“, technische Kontrollen und Datenmanagement zusammenführt, ließen sich Risiken deutlich minimieren.

So schafften Unternehmen die nötige Vertrauensbasis, um ihren Umgang mit GenAI sicher, regelkonform und ethisch zu gestalten.

Weitere Informationen zum Thema:

datensicherheit.de, 03.07.2024
Generative KI gewinnt im Alltag an Bedeutung und definiert Prinzipien der Datensicherheit neu / Joseph Regensburger kommentiert private und berufliche Herausforderungen der KI-Fortentwicklung hinsichtlich der Datensicherheit

datensicherheit.de, 25.04.2024
Generative KI: Jüngste Erkenntnisse von Check Point Research zur Gefahr für die Wahlen 2024 / CPR hat Wahlen welweit beobachtet, um den Einsatz generativer Künstlicher Intelligenz (KI) zu analysieren

Ein Kommentar von unserem Gastautor Martin Kuhlmann, VP Global Presales bei Omada

[datensicherheit.de, 16.11.2023] Der Grund für den Hype um das „Metaversum“ liegt sicherlich vor allem in der Emotionalität rund um die Themen „Virtual Reality“ und „Augmented Reality“. Wie auch immer die damit verbundenen Vorstellungen letztlich Realität werden, kennzeichnet die „Metaversum“-Diskussion den klaren weiteren Trend, dass die Art und Weise, wie wir mit anderen interagieren, sich verändert, und dass unser individueller digitaler Fußabdruck sich vergrößert. Prognosen zufolge wird das „Metaversum“ in seinen unterschiedlichen Facetten bis zum Jahr 2030 ein Marktvolumen von über 1,6 Billionen US-Dollar erreichen – viele Unternehmen wollen an dieser Entwicklung mitwirken.

Martin Kuhlmann, VP Global Presales bei Omada, Bild: Omada

Dies wird auch weitere Auswirkungen auf die Nutzung digitaler Identitäten haben. Es wird viel über die Auswirkungen auf die digitale Identität und das Konzept, dem Einzelnen mehr Eigenverantwortung in Form einer universellen digitalen Identität zu geben, diskutiert. Während sich die meisten Diskussionen über das „Metaversum“ und digitale Identitäten auf die Business-to-Consumer-Seite konzentrieren, müssen sich Unternehmen auch darüber im Klaren sein, wie sich das Metaversum auf ihre Strategie in Bezug auf digitale Identitäten von Mitarbeitern, Auftragnehmern und Geschäftspartnern auswirken wird.

Die Situation entwickelt sich rasant und erfordert ein umfassendes Identitätsmanagement-Programm, um potenzielle Datensicherheitsprobleme zu lösen.

Digitale Identitäten erweitern

Verbraucher legen ständig neue digitale Identitäten an und verwenden zahlreiche Login-Informationen. Auch wenn die Verbreitung von Identitätsdaten technisch kein Problem ist, weil die gängigen Standards entsprechende Funktionen wie zum Beispiel „Consent Management“ bieten, erheben und sammeln Unternehmen in der Praxis alle möglichen Daten über ihre Nutzer.

Unternehmen erstellen und pflegen in der Regel eigene Identitäten für ihre Mitarbeiter und nach wie vor oft auch für ihre Geschäftspartner. Teilweise vertrauen sie Dritten, wie etwa bei der Nutzung von Gästekonten in Microsoft Entra ID (früher Azure AD) im Rahmen der B2B-Zusammenarbeit, oder bei föderierten Ansätzen im Rahmen von landesweit einheitlichen „Edu-IDs“ für Studenten in einigen Ländern. Jedoch müssen viele Unternehmen ihre Governance-Strategie noch an die Tatsache anpassen, dass insbesondere die Anzahl der externen Identitäten steigt.

In der Vision vom „Metaversum“ verläuft der Wechsel zwischen digitalen Plattformen viel nahtloser als heute. Das erfordert eine bessere Portabilität von Identitäten und Authentifizierungen, wie von der Analystenfirma Gartner in ihrer Beschreibung der „Identity Trust Fabric“ (ITF) dargelegt. Für den Einzelnen wird es eine Herausforderung sein, seinen „digitalen Zwilling“ und die damit verbundenen Informationen zu kontrollieren und zu schützen.

Für Unternehmen stellt sich hier die Frage nach dem geeigneten Governance-Konzept:

• In welchem Maße und unter welchen Bedingungen werden „universelle“ oder externe Identitäten als vertrauenswürdig eingestuft?
• Wie weit vertraut ein Unternehmen Dritten, zum Beispiel Identity Providern, personenbezogene Informationen vertraulich zu halten, und wie kann das ggf. sichergestellt werden?
• Welche Governance-Aspekte für Identitäten müssen innerhalb einer Organisation für die Verwaltung von Identitäten neu überdacht werden? Dazu gehören die Risiken, die durch „externe“ Authentifizierung entstehen, Risiken durch Informationen, die Dritten zugänglich sind, und Risiken bezogen auf Zugriffsrechte innerhalb der Organisation.
• Wie kann ein Gesamtrisikoprofil für eine Identität erstellt und gepflegt werden und worin bestehen mögliche Datenschutzkonflikte?

Wenn Unternehmen ihren Mitarbeitern erlauben, in hohem Maße Plattformen von Drittanbietern zu nutzen, muss sichergestellt werden, dass der Austausch von Nutzerdaten – oder die Möglichkeit, das Nutzerverhalten zu verfolgen – nicht gegen den Datenschutz verstößt oder vertrauliche Unternehmensinformationen preisgegeben werden.

Identitätsstrategie solide und langfristig anlegen

Heutzutage steht die Identität im Mittelpunkt der Sicherheitsstrategie vieler Unternehmen – und das aus gutem Grund. Die von der Identity Defined Security Alliance durchgeführte Studie 2022 Trends in Securing Digital Identities zeigt, dass 79 Prozent der Befragten in den letzten zwei Jahren mit Sicherheitsvorfällen konfrontiert waren, bei denen digitale Identitäten eine Rolle spielten. Der Imageschaden und die finanziellen Folgen solcher Vorfälle können hoch sein. Der Studie zufolge gaben 78 Prozent der Befragten, die einen identitätsbezogenen Sicherheitsvorfall erlebt haben, an, dass dieser eine direkte Auswirkung auf das Unternehmen hatte.

Um die Sicherheit zu gewährleisten und Vorschriften einzuhalten, benötigen Unternehmen vollständige Transparenz darüber, wer auf ihre Anwendungen, Infrastruktur und Daten zugreift. Informationen über Identitäten müssen zuverlässig und korrekt sein. Es muss klar sein, wer warum und wann Zugriff benötigt und wie dieser genutzt wird. Dies sind die wesentlichen Komponenten einer Strategie für Identity Governance und Administration von Zugriffsrechten (IGA).

Mit der steigenden Anzahl von Identitäten und deren Nutzung wird Identity Governance zukünftig noch wichtiger werden. Unternehmen müssen in der Lage sein, nachzuweisen, dass jede Identität innerhalb der Organisation nur über die notwendigen Zugriffsrechte verfügt und dass der Zugriff gesichert ist – ohne die normalen Geschäftsaktivitäten zu beeinträchtigen. IGA stellt sicher, dass Personen immer den richtigen Zugang haben, den sie benötigen: Zur richtigen Zeit, aus den richtigen Gründen und nur so lange, wie sie ihn benötigen.

Identity Governance zukunftssicher gestalten

Viele Unternehmen haben immer noch keine richtige IGA-Strategie – und selbst wenn sie eine Strategie haben, ist es wichtig, diese zukunftsfähig zu gestalten. Teil dieser Strategie ist eine Automatisierung der Goverance-Aktivitäten.

Ein integrierter IGA-Ansatz für unternehmensinterne und B2B-Aktivitäten ist die Grundlage, um auf Entwicklungen wie das Metaversum und ein „Identity Trust Fabric“ reagieren zu können. Dazu braucht man dann auch die entsprechenden Werkzeuge, um Identitäten aus den verschiedenen Quellen im Griff zu behalten. Wenn sich neue Trust-Architekturen herausbilden, sollten man darauf vorbereitet sein.

Ein konkretes Beispiel für Identity Governance ist die Durchführung von Rezertifizierungen, also die regelmäßige Überprüfung der Zugriffsrechte in Systemen. Viele Unternehmen sind aus Gründen der Compliance und des Sicherheitsrisikomanagements bereits dazu verpflichtet. Aber auch neue Fragen müssen geklärt werden: Unternehmen müssen festlegen, wie sicher sie eine Identität einschätzen, wie vertrauenswürdig die von Dritten erhaltenen Identitätsinformationen sind, und inwieweit das „digitale Verhalten“ der Identität den Sicherheitsbedürfnissen des Unternehmens entspricht – ohne die Freiheit des Einzelnen zu beeinträchtigen.

Blick in die Zukunft

Das Metaversum eröffnet spannende Möglichkeiten für Unternehmen und stellt gleichzeitig eine Herausforderung für Sicherheit und Identitätsverwaltung dar. Das Identitätsmanagement wird immer komplexer, je mehr digitale Identitäten für unterschiedlichste Zwecke genutzt werden. Dadurch können Unternehmenswerte gefährdet werden. Identitätsmanager benötigen eine umfassende Strategie, um sicherzustellen, dass alle Personen und Geräte, die Zugang zum Netzwerk benötigen, die sind, für die sie sich ausgeben. Wer die genannten Herausforderungen und Risiken im Blick hat, ist gut aufgestellt für eine zukunftssichere Identitätsstrategie, die sich mit dem Metaversum gemeinsam entwickelt.

Weitere Informationen zum Thema:

datensicherheit.de, 10.03.2023
Identity Lifecycle Management – das A und O der IT-Sicherheit