Schatten-KI bedroht Unternehmen: Nur 11% schließen kritische Lücken rechtzeitig

Statt in schicke Benutzeroberflächen investieren Unternehmen jetzt massiv in Daten-Infrastruktur.

Gefährliche Kluft zwischen Chef-Etage und IT-Realität

Eine aktuelle Studie mit 750 IT-Sicherheitsexperten aus Europa und den USA offenbart ein alarmierendes Missverhältnis. Stolze 93 Prozent der Führungskräfte halten ihre Sicherheitsmaßnahmen für ausreichend. Die Realität sieht anders aus: Nur 30 Prozent der Organisationen testen ihre Systeme nach dem Einspielen von Sicherheitspatches überhaupt gründlich. Gerade einmal 12 Prozent der befragten Firmen hatten ihre Endgeräte-Überwachung (EDR) in den letzten drei Monaten auf Wirksamkeit geprüft.

Achtung: Diese EU-KI-Pflichten gelten bereits seit August 2024 – ist Ihr Unternehmen vorbereitet? Viele Firmen unterschätzen die neuen Anforderungen des AI Acts – ein kostenloser Leitfaden zeigt, was jetzt zu tun ist. Umsetzungsleitfaden zum EU AI Act kostenlos herunterladen

Besonders brisant wird diese „gefühlte Sicherheit" durch den Trend zur Schatten-KI – dem Einsatz von KI-Tools ohne Wissen der IT-Abteilung. Nur 11 Prozent der Unternehmen schließen kritische Sicherheitslücken innerhalb von 24 Stunden nach einer Warnung von Behörden wie dem BSI oder der ENISA. „Mitarbeiter geben hochsensible Firmendaten in ungeprüfte KI-Plattformen ein – und das Management merkt es nicht einmal", warnt ein beteiligter Sicherheitsexperte.

Investitionswende: Weg von der Oberfläche, hin zum Fundament

Die Erkenntnis, dass schlechte Datenqualität Innovationen ausbremst, sorgt für eine grundlegende Neuausrichtung der IT-Budgets. Rund 73 Prozent der CIOs in Deutschland, Österreich und der Schweiz planen für dieses Jahr höhere Investitionen in Data Governance. Der Grund: Schon 2025 scheiterten 68 Prozent aller KI-Pilotprojekte, weil die zugrundeliegenden Daten unbrauchbar waren.

Im Durchschnitt kämpfen Unternehmen mit etwa 14 isolierten Datensystemen – regelrechten „Silos", die eine umfassende KI-Überwachung unmöglich machen. Die Konsequenz: Geld fließt von schicken KI-Oberflächen in die unsichtbare, aber essentielle Daten-Infrastruktur wie Data Meshes und Datenkataloge. Analysten rechnen vor: Firmen mit sauberen Datenstrukturen werden bis 2027 zwei- bis dreimal höhere Produktivitätsgewinne durch KI erzielen als der Rest.

EU AI Act: Die Zeit läuft ab

Der rechtliche Druck steigt rasant. Der EU AI Act ist zwar bereits seit August 2024 in Kraft, die meisten Vorschriften werden aber erst am 2. August 2026 vollständig anwendbar. Dann müssen „Hochrisiko-Systeme" strenge Auflagen zu Risikomanagement, Datenqualität und menschlicher Aufsicht erfüllen.

Einige Regeln gelten schon heute: Seit dem 2. Februar 2025 sind alle EU-Arbeitgeber gesetzlich verpflichtet, ihre Belegschaft in KI-Kompetenz zu schulen. Wer gegen den AI Act verstößt, riskiert Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Zusammen mit möglichen GDPR-Strafen (bis zu 20 Millionen Euro oder 4 Prozent des Umsatzes) wird die Nicht-Einhaltung schnell existenzbedrohend.

Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun? Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf. EU AI Act in 5 Schritten verstehen

In Deutschland hat die Bundesnetzagentur die Aufsicht übernommen. Experten betonen: Der erste Schritt zur Compliance ist die Identifizierung von Schatten-KI – denn was man nicht kennt, kann man nicht kontrollieren.

Sieben Schritte zur KI-Kontrolle

Für kleine und mittlere Unternehmen empfehlen Compliance-Experten einen strukturierten Sieben-Stufen-Plan. An erster Stelle steht die Erstellung eines umfassenden KI-Registers: eine inventur aller eingesetzten Software, um Schatten-KI aufzuspüren. Danach folgt eine Lückenanalyse, welche Tools nicht den gesetzlichen oder internen Standards entsprechen.

Hilfreich ist die Orientierung an internationalen Standards wie ISO 42001, die einen Rahmen für verantwortungsvolles KI-Management bieten. Neue Richtlinien zur NIS-2-Umsetzung vom Mai 2026 machen zudem die physische Sicherheit von Rechenzentren – Zugangskontrolle und Brandschutz – zur Pflicht für jedes Unternehmen mit mehr als 50 Mitarbeitern oder 10 Millionen Euro Umsatz.

Dass die Risiken real sind, zeigen aktuelle Fälle: Die Berliner Datenschutzbeauftragte rügte die BVG nach einem Cyberangriff auf einen Dienstleister im Jahr 2025. Rund 180.000 Kunden waren betroffen – wegen versäumter Löschfristen und verspäteter Meldung. In Nordrhein-Westfalen stiegen die Datenschutzbeschwerden 2025 um 67 Prozent auf über 12.000 Fälle.

Digitale Souveränität als Wettbewerbsvorteil

Die zweite Jahreshälfte 2026 wird den Trend zur digitalen Souveränität weiter verstärken. Immer mehr europäische Unternehmen suchen Alternativen zu US-Cloud-Diensten – aus Sorge vor dem US CLOUD Act, der US-Behörden den Zugriff auf Daten von amerikanischen Firmen erlaubt, selbst wenn die Server in Europa stehen. Regionale Anbieter verzeichnen steigende Nachfrage nach „souveränen" Arbeitsplatzlösungen mit lokaler Datenspeicherung und Ende-zu-Ende-Verschlüsselung.

Der Wandel von unkontrollierter KI-Nutzung zu strukturierter Governance ist längst mehr als eine regulatorische Pflicht – er wird zum entscheidenden Wettbewerbsfaktor. Bis 2027 wird sich die Schere zwischen Unternehmen mit intakter Daten-Infrastruktur und denen mit fragmentierten Systemen dramatisch öffnen. Die zentrale Herausforderung des Jahres 2026 lautet daher nicht, ob Unternehmen KI einsetzen, sondern ob sie die Kontrolle darüber behalten.

de | wirtschaft | 69278053 |