Hornetsecurity AI-Security-Report 2026 KI-Sicherheit scheitert an der Umsetzung, nicht an der Technik

Ein Gastbeitrag von Dr. Yvonne Bernard 6 min Lesedauer

Anbieter zum Thema

Deutsche Unternehmen erkennen die Risiken KI-gestützter Angriffe, priorisieren ihre Absicherung aber kaum. Besonders in Microsoft-365-Umgebungen zeigt sich allerdings, dass Angreifer heute in Zugriffspfaden und Identitäten denken, während Unternehmen ihre Risiken oft nur an sichtbaren Stellen wie E-Mails verorten.

Unternehmen erkennen KI-Risiken, verankern sie aber selten systematisch in ihrer Sicherheitsarchitektur. Besonders in Microsoft 365 entscheiden Zugriffspfade und Identitäten über die tatsächliche Sicherheit.(Bild: ©  ภาคภูมิ ปัจจังคะตา - stock.adobe.com)
Unternehmen erkennen KI-Risiken, verankern sie aber selten systematisch in ihrer Sicherheitsarchitektur. Besonders in Microsoft 365 entscheiden Zugriffspfade und Identitäten über die tatsächliche Sicherheit.
(Bild: © ภาคภูมิ ปัจจังคะตา - stock.adobe.com)

Die Herausforderung Künstlicher Intelligenz (KI) in der Cybersicherheit liegt längst nicht mehr im Erkennen der Bedrohung. Viele Unternehmen in Deutschland haben die Risiken verstanden und nutzen KI bereits in ersten Sicherheitsbereichen. Das geht aus dem aktuellen AI-Security-Report 2026 von Hornetsecurity by Proofpoint hervor, der auf einer YouGov-Umfrage unter deutschen Entscheidern basiert. Was jedoch häufig fehlt, ist der nächste Schritt: die kon­se­quen­te Integration von KI-gestützten Funktionen in die Sicherheitsarchitektur. Statt einer systematischen Verankerung bleibt es in vielen Fällen bei punktuellen Lösungen, etwa in der Phishing-Erkennung – mit entsprechend begrenzter Wirkung.

Bildergalerie

Am meisten sorgen sich Entscheider vor KI-gestützten Phishing-Angriffen, Deepfakes und Angriffen auf die E-Mail-Kommunikation. Dies zeigt, dass der durch die neuen Technologien verschärfte Ernst der Bedrohungslage in vielen Organisationen angekommen ist. Sichtbar wird das etwa beim Einsatz von KI in operativen Anwendungsfällen – etwa in der E-Mail-Filterung oder der Erkennung von Phishing-Angriffen. Doch nach wie vor nutzen Unternehmen KI nur punktuell, sind aber noch nicht so weit, sie systematisch in bestehende Sicherheitsstrukturen einzubetten.

So hat sich der Einsatz KI-gestützter Cybersicherheit im Vergleich zu 2024 bislang insgesamt nur langsam weiterentwickelt. Auch mit Blick auf die kommenden beiden Jahre bleibt KI für viele Entscheider in Deutschland eher ein Thema mittlerer Priorität: Nur knapp jede fünfte Führungskraft misst Investitionen in KI-gestützter Cybersicherheit in den kommenden zwei Jahren höchste Priorität bei. Ein Großteil der Unternehmen sieht es als Thema mit mittlerer Priorität oder kann es noch nicht klar einordnen. Die zentrale Herausforderung scheint damit weniger in der Technologie selbst zu liegen als in ihrer konsequenten Verankerung in Sicherheitsarchitektur, Prozessen und Arbeitsalltag.

Warum sich diese Lücke gerade in Microsoft-365-Umgebungen zeigt

Besonders sichtbar werden diese Herausforderungen dort, wo unterschiedliche Anwendungen, Identitäten und Sicherheitsmechanismen eng miteinander verzahnt sind – etwa in Microsoft-365-Umgebungen. Hier laufen Kommunikation, Kollaboration, Datenzugriff und Identitäten in einer gemeinsamen Umgebung zusammen. Mit dieser Integration entstehen jedoch nicht nur Effizienzvorteile, sondern auch zusätzliche sicherheitstechnische Abhängigkeiten.

Die Studie zeigt dabei ein auffälliges Muster: Risiken werden häufig vor allem dort erkannt, wo sie im Arbeitsalltag unmittelbar sichtbar sind – etwa in E-Mails oder im Umgang mit schädlichen Inhalten. Weniger sichtbare Bereiche wie Identitäten, Berechtigungsstrukturen oder Zugriffspfade geraten dagegen leichter aus dem Fokus. Gerade diese Bereiche bestimmen jedoch häufig, wie sich Sicherheitsvorfälle innerhalb einer Umgebung entwickeln können.

Wenn Risikowahrnehmung und Angriffslogik nicht übereinstimmen

Während Unternehmen die Risiken also häufig aus ihrer Nutzungsperspektive entlang konkreter Anwendungen und Arbeitsabläufe betrachten, orientieren sich die Angreifer an Zugriffspfaden, Berechtigungen und Systemzusammenhängen. Sie nutzen kompromittierte Konten als initiale Einstiegspunkte, um über Teams-Chats schädliche Links zu verbreiten oder über zu weit gefasste Freigaben und Berechtigungen weitere Bereiche innerhalb der Umgebung zu erreichen. Damit verschiebt sich der Fokus von einzelnen Angriffen auf die Beziehungen zwischen Identitäten, Rechten und Kommunikationswegen.

Werden die neue Angriffslogik und die am Arbeitsalltag orientierte Risikowahrnehmung vieler Unternehmen nicht in einer übergreifenden Sicherheitsstrategie zusammengeführt, kann es passieren, dass Risiken zwar erkannt werden, ihre Auswirkungen innerhalb einer Umgebung jedoch unvollständig bewertet bleiben.

Moderne KI-gestützte Sicherheitsansätze versuchen deshalb, zusätzliche Signale einzubeziehen – etwa Nutzerverhalten, Kommunikationsmuster, Beziehungen zwischen Identitäten oder Hinweise aus unterschiedlichen Sicherheitsereignissen. Ziel ist nicht allein die Erkennung eines Vorfalls, sondern dessen schnellere Einordnung, Priorisierung und Bewertung.

Management und Mitarbeitende sehen Handlungsbedarf bei Handlungssicherheit

Der AI Security Report 2026 zeigt zudem, dass es in den Unternehmen aktuell weniger klassische Awareness-Lücken gibt als vielmehr einen Widerspruch zwischen genereller Risikowahrnehmung und Handlungssicherheit im konkreten Arbeitsalltag. Risiken werden erkannt – Unsicherheit entsteht häufig bei ihrer Einordnung und beim Umgang mit konkreten Vorfällen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Auffällig ist, dass Mitarbeitende ihre eigene Sicherheit im Umgang mit Vorfällen tendenziell kritischer einschätzen als das Management. Die Ergebnisse deuten auf eine strukturelle Wahrnehmungslücke hin. Während Cyberrisiken je nach Rolle und Verantwortungsbereich unterschiedlich wahrgenommen werden können, fühlen sich viele Mitarbeitende im Umgang mit konkreten Bedrohungssituationen unsicher. Dies verweist auf eine zentrale Herausforderung: Im Arbeitsalltag müssen Mitarbeitende fortlaufend praktische Entscheidungen treffen – etwa ob eine Nachricht vertrauenswürdig ist, wie ein Vorfall einzuordnen ist und wo er gemeldet werden sollte. Sind Zuständigkeiten oder Meldeprozesse unklar, verlangsamt sich die Reaktion. Gerade in dynamischen Angriffsszenarien kann dies darüber entscheiden, ob sich Schäden wirksam begrenzen lassen.

Was Unternehmen jetzt priorisieren sollten:

  • 1. Transparenz über den KI-Einsatz schaffen
    Unternehmen sollten zunächst Transparenz darüber schaffen, welche KI-gestützten Funktionen bereits im Einsatz sind und wie diese in bestehende Sicherheitsprozesse eingebunden sind. Ohne diesen Überblick bleibt häufig unklar, wo KI isoliert eingesetzt wird und wo eine stärkere Verzahnung mit bestehenden Sicherheitsmechanismen sinnvoll wäre.
  • 2. Sicherheitsumgebungen ganzheitlich betrachten
    Microsoft 365 zeigt exemplarisch, wie eng Kommunikation, Identitäten, Datenzugriffe und Berechtigungen heute miteinander verknüpft sind. Sicherheitsumgebungen sollten daher nicht als Sammlung einzelner Anwendungen verstanden werden, sondern als zusammenhängende Systeme mit wechselseitigen Abhängigkeiten.
  • 3. Risiken entlang tatsächlicher Angriffspfade analysieren
    Unternehmen sollten Sicherheitsbewertungen stärker entlang möglicher Angriffs- und Bewegungspfade durchführen – etwa durch die Analyse von Identitäten, Berechtigungen, Freigaben und Kommunikationswegen. Ziel ist es, nicht nur den ersten Angriffspunkt zu erkennen, sondern auch nachvollziehen zu können, wie sich ein Vorfall innerhalb einer Umgebung weiterentwickeln könnte.
  • 4. KI dort einsetzen, wo sie Sicherheitskontext schafft
    Je stärker Anwendungen, Identitäten und Kommunikationswege miteinander verzahnt sind, desto schwieriger wird es, potenzielle Angriffs- und Bewegungspfade manuell nachzuvollziehen. KI sollte deshalb nicht nur Ereignisse erkennen, sondern Informationen aus unterschiedlichen Quellen zusammenführen, Nutzerverhalten, Kommunikationsmuster und Auffälligkeiten einordnen sowie Vorfälle kontextbezogen priorisieren.
  • 5. Mitarbeitende von Awareness zu Handlungssicherheit führen
    Awareness-Trainings sind zwar notwendig und müssen kontinuierlich stattfinden, reichen allein jedoch nicht aus. Mitarbeitende benötigen darüber hinaus klare Orientierung im Umgang mit Vorfällen – inklusive verständlicher Prozesse, konkreter Meldewege und praxisnaher Unterstützung im Arbeitsalltag. Ziel sollte nicht nur die Sensibilisierung sein, sondern konkrete Handlungssicherheit im Ernstfall.
  • 6. Sicherheitsarchitektur konsolidieren und integrieren
    Historisch gewachsene Einzellösungen erschweren Transparenz und Reaktionsfähigkeit. Sicherheitsmechanismen sollten deshalb stärker integriert und zu einem konsistenten Gesamtkonzept weiterentwickelt werden, damit Informationen, Prozesse und Reaktionen besser ineinandergreifen.

KI-Sicherheit entscheidet sich im Zusammenspiel

Die Erkenntnisse aus dem AI-Security-Report 2026 zeigen ein konsistentes Bild: Unternehmen in Deutschland erkennen die Risiken KI-gestützter Angriffe und setzen KI bereits in ersten Sicherheitsbereichen ein. Die eigentliche Herausforderung besteht jedoch darin, diese Ansätze nicht isoliert zu betrachten, sondern sie mit Sicherheitsarchitektur, Prozessen und Arbeitsalltag zu verbinden. Denn je komplexer digitale Arbeitsumgebungen werden, desto schwieriger wird es, Zusammenhänge manuell zu erfassen und konsistent zu steuern. Gefragt sind daher Sicherheitsansätze, die Informationen, Prozesse und Reaktionen zusammenführen. Denn der eigentliche Mehrwert von KI entsteht nicht durch isolierte Funktionen, sondern durch die Fähigkeit, Zusammenhänge in einem sich kontinuierlich entwickelnden Kontext zu erkennen – und Verbindungen sowie Auffälligkeiten sichtbar zu machen.

Über die Autorin: Dr. Yvonne Bernard ist Chief Technology Officer bei Hornetsecurity by Proofpoint, wo sie die technologische Vision und Innovationsstrategie für die Hornetsecurity-Produkte verantwortet. Mit einem Doktortitel in Informatik verfügt Dr. Bernard über tiefgehende Expertise in den Bereichen System- und Agentenarchitekturen, Cloud- und SaaS-Umgebungen, künstliche Intelligenz sowie Verschlüsselung. Sie verbindet ausgeprägte technische Führungsstärke mit Erfahrung in Technologie-Due-Diligence und strategischer Innovation und treibt die Entwicklung skalierbarer, widerstandsfähiger Sicherheitsplattformen voran, die Unternehmen dabei unterstützen, sich in einer zunehmend komplexen Cybersicherheitslandschaft zurechtzufinden.

(ID:50890551)