Cloud-Sicherheit: 51-Prozent-Lücke zwischen Regeln und Umsetzung

Die Integration generativer KI in Unternehmen schreitet rasant voran – doch die Sicherheitsinfrastruktur kommt nicht mit. Eine aktuelle Studie zeigt eine alarmierende Lücke zwischen Sicherheitsrichtlinien und deren technischer Umsetzung.

Die 51-Prozent-Lücke: Wenn Regeln nur auf dem Papier stehen

Der Check Point Cloud Security Report 2026, veröffentlicht am 26. Mai, offenbart ein ernüchterndes Bild: 77 Prozent der Unternehmen haben ihre Cloud-Sicherheitsstrategien als Reaktion auf KI überarbeitet. Doch nur 26 Prozent können diese Richtlinien tatsächlich durchsetzen. Diese 51-Prozent-Diskrepanz ist mehr als eine Zahl – sie ist ein Sicherheitsrisiko mit Ansage.

Angesichts der rasanten Entwicklung von KI-Modellen müssen Unternehmen ihre Sicherheitsstrategien dringend an die neuen rechtlichen Rahmenbedingungen anpassen. Dieser kostenlose Leitfaden zum EU AI Act hilft Ihnen, Risikoklassen und Pflichten frühzeitig zu verstehen. EU AI Act in 5 Schritten verstehen

88 Prozent der befragten Organisationen berichten von einer zunehmenden Komplexität durch KI-Workloads. 78 Prozent haben bereits sicherheitsrelevante Vorfälle im Zusammenhang mit KI erlebt. Besonders brisant: 52 Prozent der KI-Operationen laufen inzwischen in hybriden Umgebungen. 64 Prozent der Unternehmen glauben, dass ihre aktuellen Cloud-Architekturen komplett neu gestaltet werden müssen.

„Die Bedrohung durch nicht-menschliche Identitäten wird von 48 Prozent der Sicherheitsexperten als eines der größten Risiken eingestuft", heißt es in dem Bericht. 24 Prozent der Organisationen haben bis heute keine KI-spezifischen Zugriffskontrollen implementiert. Nur 16 Prozent wenden konsistente Sicherheitsmaßnahmen über ihren gesamten KI-Stack an.

Mythos-Modell: Wenn KI selbst zur Waffe wird

Ein neues KI-Modell namens Claude Mythos sorgt für Unruhe in der Finanzwelt. Das System, entwickelt von Anthropic, demonstriert eine beispiellose Fähigkeit, Sicherheitslücken zu identifizieren und auszunutzen. Daten von Project Glasswing, einer Initiative mit rund 50 Organisationen, zeigen: Mythos identifizierte innerhalb eines Monats 23.019 Schwachstellen in über 1.000 Open-Source-Projekten. Davon wurden 6.202 als hochkritisch eingestuft – bei einer Trefferquote von 90,6 Prozent.

In 83 Prozent der Tests war das Modell in der Lage, voll funktionsfähige Zero-Day-Exploits zu generieren. Diese Entwicklung veranlasste die Europäische Zentralbank (EZB) zu einem Krisentreffen mit 111 Großbanken am 26. Mai. Frank Elderson von der EZB forderte die Institute auf, Sicherheitsupdates zu beschleunigen. „KI-Modelle können Patches analysieren und zugrunde liegende Schwachstellen in nur 30 Minuten identifizieren", warnte er.

Während US-Banken das Modell bereits testen, haben europäische Institute bislang kaum Zugang. Anthropic signalisierte, dass eine öffentliche Veröffentlichung bevorstehen könnte – warnte aber, dass der kurzfristige Vorteil derzeit bei Angreifern liege.

Erster KI-entwickelter Zero-Day-Exploit dokumentiert

Am 25. Mai meldete Google Threat Intelligence einen historischen Fall: Ein KI-Modell identifizierte erfolgreich einen semantischen Logikfehler in einem weit verbreiteten Server-Management-Tool. Der daraus entwickelte Exploit umging die Zwei-Faktor-Authentifizierung (2FA) – einen Grundpfeiler moderner Identitätssicherung.

Staatlich unterstützte Gruppen aus China und Nordkorea nutzen KI bereits für Schwachstellenforschung in industriellem Maßstab. Eine nordkoreanische Gruppe reichte Tausende von Abfragen ein, um bekannte Sicherheitslücken auf mögliche Ausbeutung zu analysieren. Russische Hacker-Gruppen setzen KI ein, um „selbstumschreibende" Malware zu entwickeln, die ihren eigenen Code verändert und so traditionelle Erkennungsmechanismen umgeht.

Seit April 2026 wird die Plattform Kali365 als Phishing-as-a-Service für 200 bis 2.000 Euro vermarktet. Sie spezialisiert sich auf die Umgehung der Multi-Faktor-Authentifizierung über OAuth-Gerätecode-Flows. Die Gruppe Storm-2949 schafft es, Daten aus Azure Key Vaults in nur vier Minuten zu exfiltrieren.

Shadow AI: 99 Prozent der europäischen Firmen nutzen KI – oft unkontrolliert

Der Netskope Threat Labs Report Europe 2026 vom 26. Mai zeigt: 99 Prozent der europäischen Unternehmen setzen GenAI-Tools ein. Die aktive Nutzung unter Mitarbeitern hat sich im letzten Jahr von 35 auf 65 Prozent verdoppelt. Doch während die Nutzung verwalteter Unternehmens-KI-Lösungen auf 72 Prozent stieg, nutzen 43 Prozent der Mitarbeiter weiterhin persönliche Konten für geschäftliche KI-Aufgaben.

Dieser „Shadow AI"-Trend birgt erhebliche Datenschutzrisiken. 59 Prozent aller GenAI-Richtlinienverstöße betreffen regulierte Daten. 95 Prozent der Mitarbeiter nutzen Standard-Geschäftsanwendungen mit eingebetteten KI-Funktionen – oft ohne klare Aufsicht. Sogar alltägliche Cloud-Plattformen wie GitHub und OneDrive werden für Malware-Verteilung missbraucht, jeweils 10 Prozent der befragten Unternehmen betreffend.

Regulierungsdruck steigt: Indien setzt 12-Stunden-Frist

Die Regulierungsbehörden reagieren. Am 25. Mai veröffentlichte Indiens CERT-In einen neuen Rahmen, der eine 12-stündige Patch-Frist für bekannte ausgenutzte Schwachstellen in internetexponierten Systemen vorschreibt. In Europa dominieren der Digital Operational Resilience Act (DORA) und die NIS2-Richtlinie die Regulierungslandschaft.

Seit DORA im Dezember 2025 startete, wurden allein bei der deutschen Bafin über 600 schwerwiegende Vorfälle gemeldet. Die Vorschrift verlangt die Meldung schwerwiegender Incidents innerhalb von 24 Stunden – eine Anforderung, die viele Unternehmen noch immer überfordert.

Sicherheitslage: Schwachstellen-Ausbeutung überholt gestohlene Zugangsdaten

Der 2026 Verizon Data Breach Investigations Report (DBIR) zeigt einen fundamentalen Wandel: Die Ausbeutung von Schwachstellen hat gestohlene Zugangsdaten als häufigste Einstiegsmethode für Angreifer überholt – 31 Prozent der Vorfälle entfallen darauf. Ransomware bleibt mit 48 Prozent aller Datenlecks ein dominierender Faktor.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte im April 2026 seine C5:2026-Kriterien mit 168 Anforderungen in 17 Themenbereichen. Diese Standards werden für Cloud-Anbieter ab dem 1. Juni 2027 verpflichtend.

Die Kosten der Compliance bleiben eine Belastung. Eine Bitkom-Studie vom 22. Mai zeigt: 97 Prozent der Unternehmen empfinden den Aufwand für die DSGVO-Einhaltung als hoch. Die kumulierten DSGVO-Strafen belaufen sich auf 6,11 Milliarden Euro bei fast 2.900 Fällen. Trotz dieser Risiken beträgt die durchschnittliche Zeit zur Wiederherstellung nach einem schweren Cyberangriff rund 24 Tage.

Die Einhaltung der DSGVO-Pflichten stellt viele Unternehmen vor enorme administrative Hürden, bietet aber auch Schutz vor empfindlichen Bußgeldern. Mit diesem kostenlosen PDF-Ratgeber und der zugehörigen Checkliste haken Sie alle notwendigen Schritte schnell und rechtssicher ab. Kostenlosen DSGVO-Leitfaden jetzt herunterladen

Ausblick: Automatisierte Patch-Verwaltung als neue Priorität

Die Ära theoretischer Risiken ist vorbei – 54 Prozent der Organisationen haben bereits einen KI-bezogenen Sicherheitsvorfall bestätigt. Der Fokus wird sich von einfachen Richtlinien-Updates auf architektonische Widerstandsfähigkeit verlagern. Automatisierte Patch-Verwaltung wird zur Überlebensfrage, um das 30-minütige Schwachstellen-Analysefenster von Modellen wie Mythos zu kontern.

Microsoft hat bereits Schritte unternommen und die SMS-basierte Verifizierung für persönliche Konten abgeschafft. Doch breitere Industrieumstellungen auf phishing-resistente Authentifizierung sind nötig. Unternehmen, die die 51-Prozent-Durchsetzungslücke in ihrer Cloud-Sicherheit nicht schließen, werden zunehmend verwundbar für selbstumschreibende Malware und automatisierte Zero-Day-Exploits, die traditionelle Verteidigungsperimeter umgehen.

de | wirtschaft | 69427061 |