Schatten-KI macht Deutschland verwundbar: Studie zeigt Schutzlücke in Behörden

Redaktion Redaktion  |
  • Künstliche Intelligenz, Öffentliche Verwaltung, Schatten-KI
  • Einsteiger
Schatten-KI macht Deutschland verwundbar: Microsoft-Studie zeigt Schutzlücke in Behörden

Schatten-KI macht Deutschland verwundbar: Microsoft-Studie zeigt Schutzlücke in Behörden.

Künstliche Intelligenz kann Arbeitsprozesse vereinfachen und den Alltag erleichtern; sie dient allerdings Cyberkriminellen nicht nur als digitale Brechstange, sondern kann auch vertrauliche Daten preisgeben, wenn unsichere KI-Modelle und Schatten-KI genutzt und Schutzmaßnahmen vernachlässigt werden. 

Zusammenfassung (TL; DR):

  • Fast die Hälfte der Mitarbeitenden in der Verwaltung auf Bundesebene nutzen nicht freigegebene KI-Tools auf der Arbeit
  • Vier von fünf glauben, dass die deutsche Infrastruktur nicht ausreichend gegen Cyberangriffe geschützt ist
  • Sechs von zehn ergreifen keine Schutzmaßnahmen, wenn sie neue KI-Tools nutzen

Schatten-KI ist eindeutig ein Problem in Deutschlands öffentlichem Sektor, wo nicht freigegebene KI-Tools – sogenannte Schatten-KI – längst zum Alltag gehören. In Politik und Verwaltung auf Bundesebene nutzt fast jeder zweite (45 Prozent) KI-Tools, die nicht von ihrer Organisation geprüft und als sicher eingestuft wurden. Zu diesem Ergebnis kommt eine von Microsoft in Auftrag gegebene repräsentative Umfrage, die von Civey durchgeführt wurde. Auf Landesebene sind es 19 Prozent, auf Kommunalebene sind es 36 Prozent.

Die aktuelle Bedrohungslage schätzen Entscheider in Politik und Verwaltung – von der kommunalpolitischen bis zur Bundesebene – nach wie vor größtenteils als hoch ein (insgesamt 63 Prozent) – in der gleichen Umfrage vor einem Jahr waren es 62 Prozent. Eine spannende Änderung: 2024 sahen 57 Prozent der Entscheider auf Bundesebene eine hohe Bedrohungslage, 2025 sind es 80 Prozent.

Auch die allgemeine Bevölkerung in Deutschland schätzt die Bedrohungslage sehr hoch ein: Knapp 88 Prozent sprechen von einer hohen Bedrohung, lediglich sieben Prozent stufen sie als gering ein. Im vergangenen Jahr waren es 89 bzw. acht Prozent. Ebenso glauben 78 Prozent der Befragten, dass die kritische Infrastruktur Deutschlands nicht ausreichend vor Cyberangriffen geschützt wird; nur zwei Prozent glauben, dass genug getan wird.

Schatten-KI: Hohes Gefahrenbewusstsein bei KI-Sicherheit

Wenn es um die KI-Sicherheit geht, ist in der Bundesrepublik das Gefahrenbewusstsein ebenfalls sehr hoch; mehr als zwei Drittel (67 Prozent) der Gesamtbevölkerung sehen Missbrauch von KI und Schatten-KI für Cyberangriffe als das größte Sicherheitsproblem. Allerdings ist das Verantwortungsbewusstsein trotzdem gering: Nur 43 Prozent nehmen überhaupt KI-Schutzmaßnahmen vor, wie etwa den Anbieter einer KI und deren Herkunftsland zu überprüfen, oder auch nur um Nutzerbewertungen zu lesen. Hinzu kommt ein klares Informationsdefizit: 73 Prozent der Befragten fühlen sich unzureichend über die Funktionsweisen von KI informiert, während 69 Prozent den unzureichenden Schutz ihrer persönlichen Daten im Umgang mit KI-Anwendungen kritisch sehen.

Die Studie zeigt hier eine starke generationsübergreifende Kluft: 82 Prozent der Über-65-Jährigen geben an, sich nicht ausreichend mit KI auszukennen, bei den Unter-30-Jährigen sind es „nur“ 55 Prozent.

„Künstliche Intelligenz ist einerseits Innovationsmotor, bietet aber andererseits eine potenzielle Angriffsfläche. Geprüfte, unternehmensweite Lösungen, die durch klare Richtlinien, starken Identitätsschutz und automatisierte Abwehrmechanismen gestützt werden, können hier helfen“, sagt Ralf Wigand, National Security Officer bei Microsoft Deutschland. „KI ist zudem aus der Cyberverteidigung nicht mehr wegzudenken. Moderne, KI-gestützte Sicherheitssystem machen es möglich, auf Attacken in Minuten, statt in Stunden zu reagieren.“

Cyberlage in Deutschland: Geringe Vorbereitung – dazu Kluft beim Schutz von Daten

In der Gesamtbevölkerung ist die Sorge vor Attacken aus dem Ausland auf kritische Infrastruktur in Deutschland besonders groß – ein Thema, das 87 Prozent der Entscheider in Politik und Verwaltung beschäftigt.

Wie der im Oktober veröffentlichte „Microsoft Digital Defense Report 2025” zeigte: Behörden zählen neben IT-Unternehmen zu den am meisten von Cyberangriffen betroffenen Zielgruppen. Besonders häufig im Visier der Angreifer sind digitale Identitäten und sensible Daten. Eine Lösung: Die Nutzung von Multi-Faktor-Authentifizierung (MFA) gilt als wirksamer Schutz gegen Phishing-Attacken. MFA etabliert sich daher zunehmend als neuer Sicherheitsstandard.

Ralf Wigand: „Heutzutage kann in weniger als einer Minute aus einem kleinen Cyber-Zwischenfall eine schlagzeilenträchtige Datenkatastrophe werden; das lässt sich nur durch extrem schnelles Handeln oder eine sehr gute Policy verhindern. Wer Identitäten schützt, MFA erzwingt, Schatten-KI sichtbar macht und KI-gestützte Abwehr aktiviert, reduziert das Risiko signifikant.“

10 Tipps zum Schutz vor Cyberangriffen

  •  Multifaktor-Authentifizierung aktivieren: Schützen Sie Ihre Online-Konten mit Netz und doppeltem Boden, und schalten Sie in ihren Konten die Multifaktor-Authentifizierung an. Wenn dann Leute von fremden Geräten auf Ihre Konten zugreifen wollen, brauchen Sie mehr als das Passwort. Die Multifaktor-Authentifizierung verlangt einen Code von einer App, auf den nur Sie Zugriff haben. Das schützt vor sogenannten Phishing-Angriffen und blockiert unautorisierte Zugriffsversuche.
  • Starke und einzigartige Passwörter verwenden: „123456“, „Passwort“ oder Ihren Sportverein als Passwort? Lieber nicht! Die meisten erfolgreichen Cyberangriffe passieren, wenn Kriminelle ihre Passwörter erraten – weil sie entweder zu einfach sind oder mehrfach für viele verschiedene Konten verwendet werden. Nutzen Sie Passwortmanager, um sichere Kombinationen zu erstellen und zu speichern.
  • Regelmäßig Software-Updates installieren: Ja, Updates können lästig sein, aber: Egal welches Betriebssystem oder Gerät Sie nutzen, halten Sie Betriebssysteme, Apps und Programme stets auf dem neuesten Stand, denn nur dann werden gefährliche Sicherheitslücken geschlossen.
  • Vorsicht bei E-Mails und Links: Klicken Sie nicht blind auf Anhänge oder Links – auch wenn es ganz dringend oder vertrauenswürdig aussieht. Lieber einmal mehr nachfragen. Cyberkriminelle nutzen dieses Phishing, um an Ihre Daten zu gelangen.
  • Keine Befehle aus unbekannten Quellen ausführen: Wenn Ihnen jemand sagt, Sie sollen etwas in die Eingabeaufforderung kopieren – Finger weg! Das kann Schadsoftware sein.
  • Zugriffsrechte checken: Wer darf was auf Ihrem Gerät oder in Ihren Apps? Kontrollieren Sie regelmäßig, ob alle Zugriffsrechte noch benötigt werden – und schalten Sie Unnötiges ab.
  • Backups machen und testen: Sichern Sie Ihre Daten regelmäßig – auf externen Speichern und auch in der Cloud – und prüfen Sie, ob Sie sie im Notfall auch wirklich alles wiederherstellen können.
  • KI-Fakes erkennen lernen: Deepfakes und gefälschte Profile werden immer besser. Bleiben Sie skeptisch – besonders bei Videos, Stimmen oder Social-Media-Kontakten, die sich als jemand Besonderes ausgeben.
  • Öffentliche WLANs meiden oder VPN nutzen: In Cafés oder Bahnhöfen lieber kein Online-Banking. Wenn’s sein muss, nutzen Sie ein VPN-Netzwerk für zusätzliche Sicherheit. Deaktivieren Sie die Funktion “Verbindung automatisch wiederherstellen” für öffentliche WLANs.
  • Wissen teilen, wachsam bleiben: Sprechen Sie mit Familie und Freunden über Cybergefahren und Erfahrungen. Gemeinsam erkennt man Bedrohungen schneller – und schützt sich besser.
Zurück zu allen News

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung