Trügerische KI-Sicherheit laut KI-Sicherheitsreport in Deutschland: Höchste Regeltreue, aber weltweit die meisten Sicherheitsvorfälle.
Der neue KI-Sicherheitsreport „AI Agents at Work 2026“-Report von Okta deckt ein hochspannendes „Compliance-Paradoxon“ für den deutschen Markt auf. Die Daten zeigen, dass die größte Gefahr für Unternehmensnetzwerke derzeit nicht von heimlicher Schatten-KI ausgeht, sondern von offiziell genehmigten, aber unzureichend abgesicherten Systemen.
Zusammenfassung (TL; DR):
- Weltweite Spitze bei Schadensfällen: 44 Prozent der deutschen Unternehmen erlitten eine tatsächliche Sicherheitsverletzung durch KI-Tools.
- Überraschende Regeltreue der Belegschaft: Nur 32 Prozent der Befragten in Deutschland nutzen ungenehmigte Schatten-KI am Arbeitsplatz.
- Effizienz schlägt Sicherheit: Für 36 Prozent der deutschen Wissensarbeiter hat die reine Effizienz bei der KI-Nutzung oberste Priorität, was weltweit den höchsten Wert darstellt.
Okta, Partner für Identity-Lösungen, veröffentlicht die Ergebnisse der aktuellen Studie AI Agents at Work 2026. Der KI-Sicherheitsreport verdeutlicht eine tiefe Kluft zwischen dem ausgeprägten Vertrauen des Managements und den tatsächlichen Gewohnheiten der Belegschaft, wodurch kritische Sicherheitslücken entstehen.
Zentrale Ergebnisse des KI-Sicherheitsreport
- Schatten-KI ist weit verbreitet: Obwohl 90 Prozent der Führungskräfte auf die Transparenz ihrer KI-Infrastruktur vertrauen, nutzt mehr als die Hälfte der Angestellten (52 Prozent) ungenehmigte Anwendungen, oft über private Konten.
- Governance-Lücken führen zu handfesten Konsequenzen: Mehr als die Hälfte der Unternehmen (58 Prozent) verzeichneten im vergangenen Jahr einen KI-bezogenen Sicherheitsvorfall oder einen Beinaheunfall.
- Mitarbeiter teilen bereitwillig vertrauliche Daten und Zugriffe: Fast ein Drittel (29 Prozent) gibt vertrauliche Firmendokumente an KI-Tools weiter und 16 Prozent teilen Passwörter oder Anmeldedaten. Zudem gewähren viele den Systemen direkten Zugriff auf interne Systeme, wie CRM-Datenbanken oder Tools für die Zusammenarbeit.
- Übermäßiges Vertrauen des Managements: 95 Prozent der Führungskräfte vertrauen darauf, dass ihre Mitarbeiter verantwortungsvoll mit KI umgehen, was jedoch die Nutzung von nicht genehmigten und ungesicherten Tools völlig übersieht.
- KI-Richtlinien sind unklar kommuniziert: Während 65 Prozent der Manager die internen Richtlinien für sehr klar halten, widerspricht mehr als die Hälfte der Wissensarbeiter (57 Prozent) dieser Einschätzung und findet sie unklar, schwer zu finden oder nicht existent.
- Inkonsistente Identitätskontrollen (IAM): Nur 34 Prozent der Unternehmen wenden für ihre digitale und KI-Agenten-Belegschaft dieselben strengen Sicherheitskontrollen an wie für menschliche Angestellte.
Das deutsche „Compliance-Paradoxon“: Regeltreue garantiert keine Sicherheit
Ein genauerer Blick auf die länderspezifischen Daten für Deutschland offenbart eine paradoxe und höchst gefährliche Situation: Auf der einen Seite zeichnen sich deutsche Angestellte durch ein hohes Maß an Regeltreue aus. Laut Report nutzen nur 32 Prozent der Befragten ungenehmigte Schatten-KI am Arbeitsplatz (14 Prozent regelmäßig, 18 Prozent gelegentlich), was global der zweitniedrigste Wert ist. Auch beim Teilen hochsensibler Daten sind deutsche Mitarbeiter extrem zurückhaltend: Lediglich 14 Prozent gaben an, vertrauliche Dokumente an KI-Tools zu übermitteln.
Trotz dieser scheinbaren Musterschüler-Rolle steht Deutschland laut KI-Sicherheitsreport bei den tatsächlichen Schadensfällen an der Weltspitze: Über zwei Drittel der deutschen Unternehmen (68 Prozent) sahen sich im letzten Jahr mit KI-Sicherheitsproblemen konfrontiert. Schlimmer noch: 44 Prozent erlitten eine tatsächliche Sicherheitsverletzung – die höchste Quote im globalen Vergleich. Dieses „Compliance-Paradoxon“ legt nahe, dass die größten Sicherheitsrisiken in Deutschland nicht primär durch heimliche Schatten-KI verursacht werden, sondern von den offiziell genehmigten KI-Tools und deren unzureichender Absicherung ausgehen.
Diskrepanzen in der Wahrnehmung: Effizienzdrang schlägt Sicherheitsbedenken
Die Ursachen für diese Sicherheitslücken liegen auch in einer tiefen Wahrnehmungskluft zwischen Management und Belegschaft. Deutsche Führungskräfte wiegen sich in großer Sicherheit: 64 Prozent von ihnen sind fest davon überzeugt, dass ihre Mitarbeiter die Künstliche Intelligenz (KI) absolut verantwortungsvoll nutzen, was weltweit einen Spitzenwert darstellt.
Diese Zuversicht deckt sich jedoch nicht mit den Strukturen im Unternehmen. So gibt es erhebliche Defizite bei der Transparenz von Richtlinien: Während 52 Prozent der deutschen Manager die internen KI-Nutzungsvorgaben als klar verständlich und gut kommuniziert betrachten, stimmen dem nur 40 Prozent der Arbeitnehmer zu.
Gleichzeitig verschieben sich in den deutschen Teams die Prioritäten stark in Richtung der Produktivität. Für 36 Prozent der deutschen Wissensarbeiter hat die reine Effizienz bei der Nutzung von KI oberste Priorität – das ist der höchste Wert weltweit. Im Gegenzug ist das Bewusstsein für potenzielle Gefahren alarmierend gering: Nur 28 Prozent der deutschen Angestellten äußerten konkrete Sicherheitsbedenken im Umgang mit KI, was im internationalen Vergleich den letzten Platz bedeutet. Da zudem global im Durchschnitt nur 34 Prozent der Unternehmen dieselben strengen Sicherheitskontrollen auf ihre digitalen Identitäten und KI-Agenten anwenden, wie auf menschliche Mitarbeiter, entsteht ein immens gefährlicher Angriffsvektor.
Ein dringender Weckruf für die deutsche Wirtschaft
„Das deutsche Compliance-Paradoxon ist ein deutlicher und dringender Weckruf für die gesamte Wirtschaft“, erklärt Thomas Heinz, Senior Manager Solutions Engineering bei Okta. Weiter: „Es reicht bei weitem nicht mehr aus, sich auf die traditionelle Regeltreue der Belegschaft zu verlassen. Wenn 44 Prozent unserer Unternehmen trotz der weltweit zweitniedrigsten Schatten-KI-Nutzung echte Sicherheitsverletzungen erleiden, liegt das Problem im System. Gepaart mit der Tatsache, dass der Effizienzgedanke in deutschen Teams dominiert und die Sicherheitsbedenken mit nur 28 Prozent global am geringsten ausgeprägt sind, werden offiziell freigegebene KI-Tools ohne strikte Absicherung zu einer unkontrollierbaren Gefahr. Wir müssen daher umdenken: Autonome KI-Agenten dürfen nicht länger als reine Software-Werkzeuge betrachtet werden. Sie agieren eigenständig und müssen zwingend wie privilegierte, vollwertige digitale Identitäten behandelt werden – inklusive derselben strengen Zugriffsrechte, IAM-Kontrollen und Überwachungsmechanismen, die wir für menschliche Mitarbeiter seit Jahren voraussetzen.“
Wie Unternehmen die Governance-Lücke schließen können
Oktas Report macht unmissverständlich klar, dass Unternehmen nicht auf eine Krise warten dürfen, um eine KI-Governance-Strategie zu definieren. Entscheidungsträger müssen davon ausgehen, dass unregulierte KI-Prozesse in ihren Netzwerken bereits stattfinden und deshalb die lückenlose Aufdeckung dieser Vorgänge, sowie deren künftige Überwachung, zur Priorität machen. Aus diesem Grund empfiehlt der SaaS-Anbieter, dass jeder KI-Agent als eigenständige Identität mit einem definierten Lebenszyklus und granularen Berechtigungen betrachtet und verwaltet werden sollte. So lässt sich das volle Potenzial von KI ohne unkalkulierbare Risiken ausschöpfen und in einen Wettbewerbsvorteil verwandeln.
Methodologie: Im Auftrag von Okta rekrutierte das Marktforschungsunternehmen Apprize360 für den KI-Sicherheitsreport insgesamt 292 C-Level-Führungskräfte und Vizepräsidenten mit Verantwortung für IT, Sicherheit, Daten und Engineering sowie 492 Wissensarbeiter für eine weltweite, doppelblinde Online-Umfrage. Die Datenerhebung fand im März 2026 statt. Die Befragten stammen aus den USA (23 %), Großbritannien (22 %), Australien (12 %), Kanada (12 %), Japan (11 %), Frankreich (10 %) und Deutschland (10 %). Volle 100 Prozent der teilnehmenden Wissensarbeiter gaben an, in den drei Monaten vor der Umfrage aktiv mit KI-Technologien gearbeitet zu haben.
