EU-Kommission legt Leitlinien für Hochrisiko-KI vor

Mai umfassende Entwürfe veröffentlicht, die klären sollen, welche KI-Systeme künftig unter die strengste Aufsicht des EU AI Acts fallen. Die neuen Leitlinien kommen zu einem Zeitpunkt, an dem KI-gesteuerte Angriffe immer raffinierter werden und Sicherheitslücken erstmals Passwortdiebstahl als häufigste Einfallstore für Datenpannen abgelöst haben.

Bis zum 23. Juni können Unternehmen und Verbände zu den Vorschlägen Stellung nehmen. Im Kern geht es um eine strukturierte Methodik zur Klassifizierung autonomer Systeme und solcher, die in bestehende Produkte eingebettet sind. Die Brüsseler Behörde verspricht sich davon Planungssicherheit für europäische Unternehmen in einem Jahr, das von einem zweistelligen Anstieg der Cyberangriffe geprägt ist.

Angesichts der neuen EU-Vorgaben stehen viele Firmen vor der Herausforderung, ihre KI-Systeme rechtssicher zu gestalten. Dieser kostenlose Leitfaden bietet Ihnen einen kompakten Überblick über alle Fristen, Risikoklassen und Pflichten des EU AI Acts. EU AI Act in 5 Schritten verstehen

Neue Verbote und verschärfte Fristen

Der Zeitplan für den EU AI Act hat sich nach einer vorläufigen Einigung über den „Digital Omnibus on AI" vom 7. Mai verschoben. Die formelle Verabschiedung steht im Juni an. Eigenständige Hochrisiko-KI-Systeme müssen nun erst bis zum 2. Dezember 2027 konform sein. Systeme, die als Komponenten in Produkte eingebettet sind, haben bis zum 2. August 2028 Zeit.

Brüssel zieht jedoch bei bestimmten Verboten das Tempo an. Ein Verbot von „Nudification"-Apps – Werkzeuge zur Erstellung nicht-einvernehmlicher intimer Bilder – tritt bereits am 2. Dezember 2026 in Kraft. Auslöser war ein Vorfall im Mai 2026, bei dem KI-generierte intime Bilder der italienischen Ministerpräsidentin Giorgia Meloni die Runde machten. Unternehmen drohen bei Verstößen Geldstrafen von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes.

Ab dem 2. August 2026 müssen alle KI-generierten Inhalte – Texte, Bilder und Videos – klar gekennzeichnet sein. Versteckte Hashtags oder Metadaten reichen nicht, so die Regulierungsbehörden. Stattdessen sind sichtbare Markierungen wie „Dieses Bild wurde mit KI erstellt" Pflicht.

Sicherheitslücken überholen Passwortdiebstahl

Während die Politik die rechtlichen Grenzen der KI justiert, verändert sich die Bedrohungslage grundlegend. Der Verizon Data Breach Investigations Report vom 21. Mai zeigt: Die Ausnutzung ungepatchter Sicherheitslücken ist binnen eines Jahres um 55 Prozent gestiegen. Mit 31 Prozent aller initialen Angriffsvektoren haben Exploits den Passwortdiebstahl als häufigste Einstiegsmethode überholt.

Das offenbart ein kritisches Problem: Nur 26 Prozent der kritischen Schwachstellen, die die US-Cybersicherheitsbehörde CISA identifizierte, wurden 2025 vollständig gepatcht. Diesen „Security Debt" – das kumulierte Risiko aus alter Software und ungepatchten Systemen – adressiert nun ein neuer Index. Der Security Debt Index (SDI), vorgestellt am 21. Mai, misst das Risiko anhand der Schwere, Dauer und Geschwindigkeit der angehäuften technischen Schwachstellen.

Die KI-Revolution hat auch das Social Engineering verändert. Eine Welle von Phishing-Kampagnen nutzt legitime E-Mail-Protokolle, um traditionelle Filter zu umgehen. Die Angreifer geben sich häufig als Amazon, Google oder Apple aus – etwa mit gefälschten Produktrückrufen oder iCloud-Speicherwarnungen. Signal reagiert mit orangefarbenen Warnhinweisen für unbestätigte Profile. Rund 86 Prozent aller Phishing-Kampagnen sind inzwischen KI-gestützt.

Souveräne Cloud und nationale Sicherheit

Die Abhängigkeit von ausländischer Digitaltechnik bleibt hoch – in einigen europäischen Sektoren liegt sie bei 70 Prozent. Nationale Regierungen forcieren daher die digitale Souveränität. Thales und Google Cloud gaben im Mai eine strategische Partnerschaft für eine souveräne Cloud-Plattform für Deutschland bekannt. Das Projekt soll bis Ende 2026 marktreif sein und von einer neuen deutschen Gesellschaft unter Thales-Kontrolle betrieben werden – mit deutschem Personal, um DSGVO und US Cloud Act zu erfüllen.

Auch im Sicherheitssektor wird konsolidiert. CrowdStrike und SVA System Vertrieb Alexander GmbH kündigten am 20. Mai eine Partnerschaft an, um KI-native Sicherheitsplattformen in deutschen Behörden und Mittelstandsunternehmen zu etablieren. Ziel ist die Reduzierung der Komplexität von Sicherheitslösungen.

Da immer mehr Unternehmen Opfer von hochprofessionellen Cyberangriffen werden, ist eine proaktive Absicherung unverzichtbar. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Sicherheitslücken schließen und Ihre IT-Infrastruktur ohne hohe Investitionen schützen. IT-Sicherheit jetzt proaktiv stärken

Eine Studie von Armis zeigt, dass deutsche Sicherheitsteams besonders belastet sind: 66 Prozent der hiesigen Unternehmen haben keine vollständige Kontrolle über ihre vernetzten Geräte – der höchste Wort weltweit. Nur sechs Prozent haben eine Zero-Trust-Architektur vollständig implementiert, verglichen mit einem globalen Durchschnitt von 25 Prozent.

Wirtschaftliche Schäden in Milliardenhöhe

Die finanziellen Folgen der Cyberkriminalität sind enorm. Laut einer Studie von TÜV SÜD und Bitkom vom 21. Mai verursachen Cyberangriffe jährlich rund 200 Milliarden Euro Schaden in der deutschen Wirtschaft. In Österreich berichtet ein Viertel der von KPMG befragten Unternehmen von einer Zunahme der Angriffshäufigkeit – jeder achte Angriff führt zu einem erfolgreichen Einbruch.

Ransomware findet sich in 48 Prozent aller Sicherheitsverletzungen. Doch ein Trend zeichnet sich ab: 69 Prozent der Opfer zahlen kein Lösegeld mehr. Die Unternehmen zeigen härtere Haltung gegenüber organisierter Kriminalität, die für die Hälfte aller erfolgreichen Angriffe verantwortlich gemacht wird.

Die Investitionen in KI-gestützte Abwehr steigen rasant. ESET kündigte auf seiner „ESET World 2026" in Berlin an, 40 Millionen Euro in die Initiative „AI Security" zu stecken. Seit März hat das Unternehmen rund 800.000 „AI Skills" analysiert und über 25.000 als verdächtig eingestuft.

Ausblick: Compliance und Resilienz

Mit Blick auf die Fristen 2027 und 2028 für Hochrisiko-KI empfehlen Regulierungsbehörden wie die BaFin eine „proaktive Implementierung". Branchenexperten raten zur Integration von NIS2 und anderen EU-Regularien in ein konsolidiertes Informationssicherheits-Managementsystem (ISMS).

Der Abschied von veralteten Authentifizierungsmethoden beschleunigt sich. Microsoft und Google drängen auf Passkeys als Ersatz für Passwörter und SMS-Codes. Doch selbst fortschrittliche Sicherheitstools erfordern ständige Wachsamkeit – wie eine kritische Schwachstelle in Microsoft Authenticator (CVE-2026-41615) zeigt.

Die laufende Konsultation der EU-Kommission zur Hochrisiko-KI-Klassifizierung wird die operativen Grenzen der Tech-Branche für das nächste Jahrzehnt definieren. Für Unternehmen bleibt die Herausforderung, KI für Wettbewerbsvorteile zu nutzen und gleichzeitig „Shadow AI" zu kontrollieren – 67 Prozent der Mitarbeiter nutzen private KI-Konten auf Firmengeräten.

de | wirtschaft | 69398403 |