Neue ISACA-Studie: Ein Drittel der europäischen Unternehmen weiß nicht, ob es von einem KI-gestützten Cyberangriff betroffen war.
Ein Drittel (35 Prozent) der europäischen Unternehmen kann nicht sagen, ob es von einem KI-gestützten Cyberangriff betroffen war. Das geht aus der neuesten AI Pulse Poll-Studie von ISACA hervor, dem führenden globalen Verband für Fachleute im Bereich des digitalen Vertrauens. Die Ergebnisse deuten auf eine wachsende Kluft zwischen dem Tempo KI-gesteuerter Bedrohungen und der Fähigkeit von Unternehmen hin, die damit verbundenen Risiken zu erkennen und zu bewältigen.
Zusammenfassung (TL; DR):
- Laut einer ISACA-Studie wissen 35 Prozent der europäischen Unternehmen nicht, ob sie bereits Opfer KI-gestützter Cyberangriffe wurden.
- Trotz der weiten Verbreitung von KI am Arbeitsplatz verfügen nur 42 Prozent der Unternehmen über umfassende Richtlinien, was die Erkennung moderner Bedrohungen erschwert.
- Experten fordern daher eine dringende Verbesserung der Governance und Weiterbildungsmaßnahmen, um die Sicherheitslücke zu schließen. Die Studie unterstreicht die Notwendigkeit, Fachwissen aufzubauen, um KI-Risiken effektiv zu steuern.
KI-gestützte Cyberbedrohungen eskalieren – und bleiben unentdeckt
Über zwei Drittel (71 Prozent) der Fachleute berichten, dass KI-gestützte Phishing- und Social-Engineering-Angriffe heute schwerer zu erkennen sind. 58 Prozent geben an, dass KI die Authentifizierung digitaler Informationen erheblich erschwert hat, und 38 Prozent sagen, dass ihr Vertrauen in traditionelle Methoden zur Bedrohungserkennung infolgedessen gesunken ist.
Als größtes KI-Risiko nennen die Fachleute außerdem Fehlinformationen und Desinformation (87 Prozent), gefolgt von Datenschutzverletzungen (75 Prozent) und Social Engineering (60 Prozent). Die Teams können nicht managen, was sie nicht sehen, und die Werkzeuge, auf die sie sich bisher verlassen haben, veralten angesichts von KI-gestützten Angriffen schnell.
Die Auswirkungen von KI auf die Cybersicherheit sind jedoch nicht gänzlich einseitig und erweisen sich als wertvolles Verteidigungsinstrument. 43 Prozent geben an, dass KI die Fähigkeit ihres Unternehmens, Cyberbedrohungen zu erkennen und darauf zu reagieren, verbessert hat; 34 Prozent setzen sie bereits gezielt zur Stärkung der Cybersicherheit ein.
Die Realisierung dieses Verteidigungspotenzials hängt jedoch davon ab, ob das Fachwissen und die Governance vorhanden sind, um es effektiv einzusetzen – und beides ist bei zu vielen Unternehmen nach wie vor begrenzt.
KI wird am Arbeitsplatz ohne angemessene Aufsicht eingeführt
Besorgniserregend ist, dass sich diese Bedrohungen parallel zur weiten Verbreitung von KI am europäischen Arbeitsplatz entwickeln. Die formale Genehmigung ist inzwischen die Regel: 82 Prozent der Unternehmen erlauben die Nutzung von KI ausdrücklich und 74 Prozent gestatten speziell die Nutzung von generativer KI.
KI wird in zentrale operative Aufgaben eingebettet: Die beliebtesten Einsatzgebiete sind das Erstellen von schriftlichen Inhalten (69 Prozent), die Steigerung der Produktivität (63 Prozent), die Automatisierung wiederkehrender Aufgaben (54 Prozent) und die Analyse großer Datenmengen (52 Prozent). Die berichteten Vorteile sind greifbar, da 77 Prozent Zeitersparnisse und 40 Prozent eine erhöhte Kapazität ohne zusätzlichen Personalaufwand anführen.
Doch die schnelle Einführung wurde nicht von der notwendigen Governance begleitet, die überwacht, wo und wie KI eingesetzt wird. Nur 42 Prozent der Unternehmen verfügen über eine formelle, umfassende KI-Richtlinie. 33 Prozent verlangen von ihren Mitarbeitenden nicht, offenzulegen, wenn KI zu Arbeitsergebnissen beigetragen hat, was zu erheblichen blinden Flecken im gesamten Unternehmen führt.
Daher ist es nicht überraschend, dass 87 Prozent der Fachleute Bedenken äußern, dass Mitarbeitende KI unbefugt nutzen; 26 Prozent sagen, ihre größte Herausforderung bei der Arbeit mit KI sei das mangelnde Vertrauen in den angemessenen Schutz von geistigem Eigentum und sensiblen Informationen.
Chris Dimitriadis, Chief Global Strategy Officer bei ISACA, sagt: „KI hat die Bedrohungslandschaft grundlegend verändert. Angreifer können ihre Absichten nun unmittelbar in die Tat umsetzen und zu viele Unternehmen wissen nicht einmal, ob sie bereits betroffen waren. Die Tatsache, dass so viele Unternehmen ohne die Governance agieren, die ihnen aufzeigt, wo und wie KI genutzt wird, verschärft dieses Risiko erheblich. Eine unregulierte KI schafft nicht nur ein operatives Risiko. Sie spielt aktiv denen in die Hände, die Schaden anrichten wollen. Die Schließung dieser Lücke beginnt mit beruflicher Weiterbildung und der Förderung des Fachwissens, das für den Aufbau und die Verankerung einer KI-Governance, die auch unter Druck standhält, erforderlich ist. Dies zu tun, ist heute eine zwingende Sicherheitsnotwendigkeit.“
Aufbau von Fachwissen, das der Bedrohung gewachsen ist
Es ist die Aufgabe von Fachleuten, diese Governance-Lücke zu schließen, doch viele fühlen sich dafür nicht gerüstet. Über die Hälfte (54 Prozent) gibt an, sich innerhalb der nächsten sechs Monate weiterbilden zu müssen, um ihren Arbeitsplatz zu behalten oder ihre Karriere voranzutreiben; 79 Prozent sagen dies für den Zeitraum innerhalb eines Jahres. 41 Prozent nennen die wachsende Qualifikationslücke als eines der größten Risiken, das von KI ausgeht. Dennoch bietet ein Fünftel (21 Prozent) der Unternehmen immer noch keinerlei formale KI-Schulungen an.
Das regulatorische Umfeld sorgt für zusätzliche Dringlichkeit. Der EU AI Act ist mit 45 Prozent das am häufigsten genannte Governance-Rahmenwerk in der Umfrage, vor dem des NIST (26 Prozent). Doch über ein Viertel (26 Prozent) der Unternehmen folgt noch überhaupt keinem Rahmenwerk – was eine Lücke zwischen regulatorischem Bewusstsein und tatsächlichem Handeln zeigt.
Dimitriadis fügt hinzu: „Die Grundlagen eines guten Risikomanagements haben sich nicht geändert. Verändert haben sich jedoch die Komplexität und die Geschwindigkeit dessen, was Fachleute heute steuern müssen. KI-Risiken erfordern Experten, die Risiken bewerten, die Aufsicht über den gesamten Lebenszyklus verankern und Best Practices für die Einhaltung von Vorschriften empfehlen können. Die Unternehmen, die jetzt in diese Fähigkeiten investieren, werden nicht nur besser geschützt sein, sondern auch besser positioniert, um die Vorteile der KI voll auszuschöpfen. Das ist der Wandel, den Qualifikationen wie die ‚Advanced in AI Risk‘-Zertifizierung von ISACA bewirken sollen.“
