DORA: KI-Bedrohungen treffen auf verschärfte EU-Regulierung

Mit nur noch 30 Tagen bis zum Start der EU-Verordnung DORA am 17. Januar 2026 steuert die Cybersicherheit auf eine Zeitenwende zu. Die letzten 72 Stunden offenbaren eine doppelte Herausforderung für Vorstände: einen verschärften europäischen Regulierungsrahmen und neuartige KI-getriebene Angriffe auf Maschinenidentitäten.

Während Unternehmen ihre Compliance-Maßnahmen finalisieren, zeigen neue Daten, dass traditionelle Sicherheitsarchitekturen mit der Explosion von KI-generiertem Code nicht Schritt halten können.

Österreich zeigt, wie DORA durchgesetzt wird

Die Deadline war lange bekannt, doch die Vollzugsmaschinerie wurde diese Woche konkret. Die österreichische Finanzmarktaufsicht (FMA) verkündete am 16. Dezember eine wegweisende Kooperation. Sie unterzeichnete eine Vereinbarung mit dem Innenministerium und der Nationalbank, die als Blaupause für die EU-weite Durchsetzung von DORA und der NIS2-Richtlinie dienen könnte.

„Die Vereinbarung ist weit mehr als nur ein formaler Akt“, betonte FMA-Vorstand Mariana Kühnel. „Sie ist ein klares Bekenntnis zu einer engeren Zusammenarbeit mit dem Ziel, die Cyber-Resilienz des gesamten Finanzmarktes nachhaltig zu stärken.“

Passend zum Thema KI-Regulierung und operativer Resilienz: Die EU-KI-Verordnung gilt seit dem 1. August 2024 und bringt umfassende Pflichten zu Kennzeichnung, Risikoklassen und Dokumentation – Anforderungen, die jetzt mit DORA und NIS2 zusammenspielen. Der kostenlose Umsetzungsleitfaden erklärt praxisnah, welche Schritte Entwickler, Anbieter und Anwender von KI-Systemen jetzt umsetzen müssen, um Bußgelder und Haftungsrisiken zu vermeiden. EU-KI-Umsetzungsleitfaden kostenlos herunterladen

Für das Management bedeutet dies das Ende fragmentierter Aufsicht. Die Vereinbarung verknüpft die NIS-Behörde im Innenministerium direkt mit den Finanzregulierern – eine einheitliche Front für Compliance-Prüfungen. Compliance-Lücken zwischen Behörden schließen sich damit just zum Start des DORA-Strafregimes.

KI-generierter Code öffnet neue Einfallstore

Parallel zum regulatorischen Druck verändert sich die technologische Bedrohungslage grundlegend. Zwei Reports dieser Woche identifizieren KI-generierten Code und nicht-menschliche Identitäten als größte Cyber-Risiken für 2026.

Das Wirtschaftsmagazin Fortune analysierte am 15. Dezember den Boom von KI-Coding-Tools. Die erste Welle von Sicherheitslücken, die diese Tools ausnutzen, ist bereits im Anrollen. Das fatale Blindspot: Unternehmen adoptieren KI-„Copilots“ für ihre Entwickler, sichern aber den von diesen Bots generierten Code kaum.

Diese Erkenntnis deckt sich mit dem Trend Micro Defenders Survey Report 2025. Laut der Umfrage unter 3.000 Cybersicherheitsexperten sind Cloud-Assets und nicht-menschliche Identitäten die am schwersten zu sichernden Elemente. Fast 20 Prozent der Befragten gaben an, Cloud-Umgebungen kaum inventarisieren zu können – beschleunigt durch KI-Tools, die eigenständig neue Instanzen hochfahren.

Das Kernproblem ist das „Internet der Maschinen“. Daten des Sicherheitsanbieters Radware zeigen: Automatisierter Traffic und Bot-Interaktionen übersteigen in vielen Unternehmensnetzwerken bereits den menschlichen Datenverkehr bei Weitem. Herkömmliche Security Operations Center (SOCs) kommen gegen dieses Rauschen ohne eigene KI-Abwehr nicht mehr an.

Identität wird zur neuen Firewall

Die architektonische Antwort auf diese Bedrohungen ist ein radikaler Wechsel. Die Sicherheitsstrategie für 2026 verlässt das netzwerkzentrierte Denken und setzt voll auf Identität als neuen Perimeter.

Eine Analyse von SecurityWeek vom 17. Dezember beschreibt den „Kollaps der Perimeter-Denkweise“. Bis 2026 werde „Identität das Netzwerk vollständig als primäre Angriffsfläche ersetzen“. Der Grund: Angriffe zielen heute nicht mehr darauf ab, durch eine Firewall „einzudringen“, sondern sich mit kompromittierten Zugangsdaten „einzuloggen“ – oft genug gehören diese Credentials Maschinenkonten oder KI-Agenten.

Das zwingt zu einer Neubewertung von Zero-Trust-Architekturen. Es reicht nicht mehr, menschliche Nutzer zu verifizieren. Unternehmen müssen tausende API-Verbindungen und automatisierte Prozesse im Hintergrund kontinuierlich überwachen. Der Bericht warnt: Organisationen müssen „über reine IAM-Hygiene hinausgehen und in kontinuierliche Identitäts-Bedrohungserkennung investieren“.

Vorstände in der persönlichen Haftung

Die Konvergenz aus verschärfter Regulierung und neuen Bedrohungen stellt Aufsichtsräte und Vorstände in eine prekäre Lage. Unter DORA und NIS2 können Führungsorgane persönlich für grobe Fahrlässigkeit in der Cybersicherheits-Governance haftbar gemacht werden.

Die Verteidigungslinie der „plausiblen Abstreitbarkeit“ – ein Angriff sei zu komplex gewesen, um ihn vorherzusehen – bröckelt. Da Reports wie die von Trend Micro und Radware die Risiken durch KI und Maschinenidentitäten öffentlich benennen, wird von Vorständen erwartet, spezifische Abwehrmaßnahmen gegen diese bekannten Vektoren implementiert zu haben.

Die Anforderungen in Europa unter DORA sind strenger geworden. Es geht nicht mehr nur um die Meldung von Vorfällen, sondern um den Nachweis von operativer Resilienz – also der Fähigkeit, kritische Geschäftsfunktionen auch während eines Angriffs aufrechtzuerhalten.

Ausblick 2026: KI gegen KI

Mit dem Jahreswechsel rückt der 17. Januar in den Fokus. Für das erste Quartal 2026 werden letzte Minute-Offenlegungen und möglicherweise die ersten „Testfälle“ der neuen österreichischen Vollzugs-Kooperation erwartet.

Technologisch wird sich die „KI-gegen-KI“-Dynamik verschärfen. Verteidiger haben „keine andere Wahl, als KI defensiv einzusetzen“, um mit der Geschwindigkeit automatisierter Angriffe Schritt zu halten. Die Ära manueller Incident-Response ist vorbei. Die Sicherheitsarchitektur 2026 wird von autonomen Abwehrsystemen geprägt sein, die gegen autonome Angreifer kämpfen – mit dem Management in der Verantwortung für das Ergebnis.

PS: Vorstände, IT-Leiter und Compliance-Verantwortliche sollten jetzt konkrete Maßnahmen einleiten: Der kostenlose Leitfaden zur EU-KI-Verordnung zeigt mit Checklisten und umsetzbaren Schritten, wie Sie KI-Systeme richtig klassifizieren, notwendige Dokumentation anlegen und Übergangsfristen einhalten – Maßnahmen, die Haftungsrisiken unter DORA und NIS2 deutlich reduzieren. Kurz: konkret, praxisnah und sofort umsetzbar. Jetzt KI-Verordnung-Guide anfordern