Deutsche Unternehmen erkennen die Risiken KI-gestützter Angriffe, priorisieren ihre Absicherung aber kaum. Besonders in Microsoft-365-Umgebungen zeigt sich allerdings, dass Angreifer heute in Zugriffspfaden und Identitäten denken, während Unternehmen ihre Risiken oft nur an sichtbaren Stellen wie E-Mails verorten.
Unternehmen erkennen KI-Risiken, verankern sie aber selten systematisch in ihrer Sicherheitsarchitektur. Besonders in Microsoft 365 entscheiden Zugriffspfade und Identitäten über die tatsächliche Sicherheit.
Die Herausforderung Künstlicher Intelligenz (KI) in der Cybersicherheit liegt längst nicht mehr im Erkennen der Bedrohung. Viele Unternehmen in Deutschland haben die Risiken verstanden und nutzen KI bereits in ersten Sicherheitsbereichen. Das geht aus dem aktuellen AI-Security-Report 2026 von Hornetsecurity by Proofpoint hervor, der auf einer YouGov-Umfrage unter deutschen Entscheidern basiert. Was jedoch häufig fehlt, ist der nächste Schritt: die konsequente Integration von KI-gestützten Funktionen in die Sicherheitsarchitektur. Statt einer systematischen Verankerung bleibt es in vielen Fällen bei punktuellen Lösungen, etwa in der Phishing-Erkennung – mit entsprechend begrenzter Wirkung.
Bildergalerie
Am meisten sorgen sich Entscheider vor KI-gestützten Phishing-Angriffen, Deepfakes und Angriffen auf die E-Mail-Kommunikation. Dies zeigt, dass der durch die neuen Technologien verschärfte Ernst der Bedrohungslage in vielen Organisationen angekommen ist. Sichtbar wird das etwa beim Einsatz von KI in operativen Anwendungsfällen – etwa in der E-Mail-Filterung oder der Erkennung von Phishing-Angriffen. Doch nach wie vor nutzen Unternehmen KI nur punktuell, sind aber noch nicht so weit, sie systematisch in bestehende Sicherheitsstrukturen einzubetten.
So hat sich der Einsatz KI-gestützter Cybersicherheit im Vergleich zu 2024 bislang insgesamt nur langsam weiterentwickelt. Auch mit Blick auf die kommenden beiden Jahre bleibt KI für viele Entscheider in Deutschland eher ein Thema mittlerer Priorität: Nur knapp jede fünfte Führungskraft misst Investitionen in KI-gestützter Cybersicherheit in den kommenden zwei Jahren höchste Priorität bei. Ein Großteil der Unternehmen sieht es als Thema mit mittlerer Priorität oder kann es noch nicht klar einordnen. Die zentrale Herausforderung scheint damit weniger in der Technologie selbst zu liegen als in ihrer konsequenten Verankerung in Sicherheitsarchitektur, Prozessen und Arbeitsalltag.
Warum sich diese Lücke gerade in Microsoft-365-Umgebungen zeigt
Besonders sichtbar werden diese Herausforderungen dort, wo unterschiedliche Anwendungen, Identitäten und Sicherheitsmechanismen eng miteinander verzahnt sind – etwa in Microsoft-365-Umgebungen. Hier laufen Kommunikation, Kollaboration, Datenzugriff und Identitäten in einer gemeinsamen Umgebung zusammen. Mit dieser Integration entstehen jedoch nicht nur Effizienzvorteile, sondern auch zusätzliche sicherheitstechnische Abhängigkeiten.
Die Studie zeigt dabei ein auffälliges Muster: Risiken werden häufig vor allem dort erkannt, wo sie im Arbeitsalltag unmittelbar sichtbar sind – etwa in E-Mails oder im Umgang mit schädlichen Inhalten. Weniger sichtbare Bereiche wie Identitäten, Berechtigungsstrukturen oder Zugriffspfade geraten dagegen leichter aus dem Fokus. Gerade diese Bereiche bestimmen jedoch häufig, wie sich Sicherheitsvorfälle innerhalb einer Umgebung entwickeln können.
Wenn Risikowahrnehmung und Angriffslogik nicht übereinstimmen
Während Unternehmen die Risiken also häufig aus ihrer Nutzungsperspektive entlang konkreter Anwendungen und Arbeitsabläufe betrachten, orientieren sich die Angreifer an Zugriffspfaden, Berechtigungen und Systemzusammenhängen. Sie nutzen kompromittierte Konten als initiale Einstiegspunkte, um über Teams-Chats schädliche Links zu verbreiten oder über zu weit gefasste Freigaben und Berechtigungen weitere Bereiche innerhalb der Umgebung zu erreichen. Damit verschiebt sich der Fokus von einzelnen Angriffen auf die Beziehungen zwischen Identitäten, Rechten und Kommunikationswegen.
Werden die neue Angriffslogik und die am Arbeitsalltag orientierte Risikowahrnehmung vieler Unternehmen nicht in einer übergreifenden Sicherheitsstrategie zusammengeführt, kann es passieren, dass Risiken zwar erkannt werden, ihre Auswirkungen innerhalb einer Umgebung jedoch unvollständig bewertet bleiben.
Moderne KI-gestützte Sicherheitsansätze versuchen deshalb, zusätzliche Signale einzubeziehen – etwa Nutzerverhalten, Kommunikationsmuster, Beziehungen zwischen Identitäten oder Hinweise aus unterschiedlichen Sicherheitsereignissen. Ziel ist nicht allein die Erkennung eines Vorfalls, sondern dessen schnellere Einordnung, Priorisierung und Bewertung.
Management und Mitarbeitende sehen Handlungsbedarf bei Handlungssicherheit
Der AI Security Report 2026 zeigt zudem, dass es in den Unternehmen aktuell weniger klassische Awareness-Lücken gibt als vielmehr einen Widerspruch zwischen genereller Risikowahrnehmung und Handlungssicherheit im konkreten Arbeitsalltag. Risiken werden erkannt – Unsicherheit entsteht häufig bei ihrer Einordnung und beim Umgang mit konkreten Vorfällen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Auffällig ist, dass Mitarbeitende ihre eigene Sicherheit im Umgang mit Vorfällen tendenziell kritischer einschätzen als das Management. Die Ergebnisse deuten auf eine strukturelle Wahrnehmungslücke hin. Während Cyberrisiken je nach Rolle und Verantwortungsbereich unterschiedlich wahrgenommen werden können, fühlen sich viele Mitarbeitende im Umgang mit konkreten Bedrohungssituationen unsicher. Dies verweist auf eine zentrale Herausforderung: Im Arbeitsalltag müssen Mitarbeitende fortlaufend praktische Entscheidungen treffen – etwa ob eine Nachricht vertrauenswürdig ist, wie ein Vorfall einzuordnen ist und wo er gemeldet werden sollte. Sind Zuständigkeiten oder Meldeprozesse unklar, verlangsamt sich die Reaktion. Gerade in dynamischen Angriffsszenarien kann dies darüber entscheiden, ob sich Schäden wirksam begrenzen lassen.
Was Unternehmen jetzt priorisieren sollten:
1. Transparenz über den KI-Einsatz schaffen Unternehmen sollten zunächst Transparenz darüber schaffen, welche KI-gestützten Funktionen bereits im Einsatz sind und wie diese in bestehende Sicherheitsprozesse eingebunden sind. Ohne diesen Überblick bleibt häufig unklar, wo KI isoliert eingesetzt wird und wo eine stärkere Verzahnung mit bestehenden Sicherheitsmechanismen sinnvoll wäre.
2. Sicherheitsumgebungen ganzheitlich betrachten Microsoft 365 zeigt exemplarisch, wie eng Kommunikation, Identitäten, Datenzugriffe und Berechtigungen heute miteinander verknüpft sind. Sicherheitsumgebungen sollten daher nicht als Sammlung einzelner Anwendungen verstanden werden, sondern als zusammenhängende Systeme mit wechselseitigen Abhängigkeiten.
3. Risiken entlang tatsächlicher Angriffspfade analysieren Unternehmen sollten Sicherheitsbewertungen stärker entlang möglicher Angriffs- und Bewegungspfade durchführen – etwa durch die Analyse von Identitäten, Berechtigungen, Freigaben und Kommunikationswegen. Ziel ist es, nicht nur den ersten Angriffspunkt zu erkennen, sondern auch nachvollziehen zu können, wie sich ein Vorfall innerhalb einer Umgebung weiterentwickeln könnte.
4. KI dort einsetzen, wo sie Sicherheitskontext schafft Je stärker Anwendungen, Identitäten und Kommunikationswege miteinander verzahnt sind, desto schwieriger wird es, potenzielle Angriffs- und Bewegungspfade manuell nachzuvollziehen. KI sollte deshalb nicht nur Ereignisse erkennen, sondern Informationen aus unterschiedlichen Quellen zusammenführen, Nutzerverhalten, Kommunikationsmuster und Auffälligkeiten einordnen sowie Vorfälle kontextbezogen priorisieren.
5. Mitarbeitende von Awareness zu Handlungssicherheit führen Awareness-Trainings sind zwar notwendig und müssen kontinuierlich stattfinden, reichen allein jedoch nicht aus. Mitarbeitende benötigen darüber hinaus klare Orientierung im Umgang mit Vorfällen – inklusive verständlicher Prozesse, konkreter Meldewege und praxisnaher Unterstützung im Arbeitsalltag. Ziel sollte nicht nur die Sensibilisierung sein, sondern konkrete Handlungssicherheit im Ernstfall.
6. Sicherheitsarchitektur konsolidieren und integrieren Historisch gewachsene Einzellösungen erschweren Transparenz und Reaktionsfähigkeit. Sicherheitsmechanismen sollten deshalb stärker integriert und zu einem konsistenten Gesamtkonzept weiterentwickelt werden, damit Informationen, Prozesse und Reaktionen besser ineinandergreifen.
Die Erkenntnisse aus dem AI-Security-Report 2026 zeigen ein konsistentes Bild: Unternehmen in Deutschland erkennen die Risiken KI-gestützter Angriffe und setzen KI bereits in ersten Sicherheitsbereichen ein. Die eigentliche Herausforderung besteht jedoch darin, diese Ansätze nicht isoliert zu betrachten, sondern sie mit Sicherheitsarchitektur, Prozessen und Arbeitsalltag zu verbinden. Denn je komplexer digitale Arbeitsumgebungen werden, desto schwieriger wird es, Zusammenhänge manuell zu erfassen und konsistent zu steuern. Gefragt sind daher Sicherheitsansätze, die Informationen, Prozesse und Reaktionen zusammenführen. Denn der eigentliche Mehrwert von KI entsteht nicht durch isolierte Funktionen, sondern durch die Fähigkeit, Zusammenhänge in einem sich kontinuierlich entwickelnden Kontext zu erkennen – und Verbindungen sowie Auffälligkeiten sichtbar zu machen.
Über die Autorin: Dr. Yvonne Bernard ist Chief Technology Officer bei Hornetsecurity by Proofpoint, wo sie die technologische Vision und Innovationsstrategie für die Hornetsecurity-Produkte verantwortet. Mit einem Doktortitel in Informatik verfügt Dr. Bernard über tiefgehende Expertise in den Bereichen System- und Agentenarchitekturen, Cloud- und SaaS-Umgebungen, künstliche Intelligenz sowie Verschlüsselung. Sie verbindet ausgeprägte technische Führungsstärke mit Erfahrung in Technologie-Due-Diligence und strategischer Innovation und treibt die Entwicklung skalierbarer, widerstandsfähiger Sicherheitsplattformen voran, die Unternehmen dabei unterstützen, sich in einer zunehmend komplexen Cybersicherheitslandschaft zurechtzufinden.