Zum Inhalt springen
Gesellschaft, Ethik, Recht

KI-Sicherheit Risiken: Was Londons Warnung bedeutet

Die britische Regierung erklärt KI-getriebene Cyberangriffe zum Sicherheitsrisiko des Jahrzehnts. Für Unternehmen ist das kein IT-Thema, sondern eine Governance-Frage.

Lukas GörögLukas Görög4 Min. Lesezeit
KI-Sicherheit Risiken: Was Londons Warnung bedeutet
KI-Sicherheit Risiken: Was Londons Warnung bedeutet

Die britische Regierung zählt KI-Sicherheit Risiken zu den größten Bedrohungen für Unternehmen in diesem Jahrzehnt. Konkret meint sie damit nicht ferne Zukunftsszenarien, sondern KI-gestützte Cyberangriffe, die heute schon Firmen überfordern. Für Unternehmen im DACH-Raum heißt das: KI-Sicherheit gehört auf die Vorstandsagenda, nicht in den IT-Support.

Der Anlass ist eine ungewöhnlich deutliche Warnung aus London. Ministerin Liz Kendall und Sicherheitsminister Dan Jarvis wandten sich Anfang Juli 2026 in einem offenen Brief an Wirtschaftsführer und sprachen von einer Cyberkrise, die Unternehmen überfordert. Die Botschaft ist unbequem: Prävention allein reicht nicht mehr.

Das Muster kennt man von anderen Technikthemen. Auf den ersten Alarm folgt oft Ernüchterung, dann der nüchterne Blick auf das, was real trägt. Diese Warnung ist anders gelagert, weil sie mit konkreten Zahlen aus der Angriffslage unterlegt ist, nicht mit Spekulation über eine mögliche Superintelligenz.

Was genau warnt London und wie belastbar sind die Zahlen?

London beschreibt eine akute Cyberkrise, die durch KI beschleunigt wird. Die britische Regierung nennt konkrete Zahlen: 43 Prozent der Unternehmen hatten binnen eines Jahres einen Vorfall, bei mittelgroßen Firmen 70 Prozent. Die nationale Sicherheitsbehörde NCSC bearbeitet inzwischen rund vier bedeutende Vorfälle pro Woche.

Die zentrale Aussage im Brief betrifft das Tempo. Laut Regierung verdoppeln sich die KI-Fähigkeiten im Cyberangriff etwa alle vier Monate, nach einem Acht-Monats-Zyklus im Vorjahr. Solche Zahlen stammen von der Regierung selbst und sollten als politisch motivierter Richtwert gelesen werden, nicht als unabhängig geprüfte Messung.

Dennoch decken sie sich mit der Einschätzung der NCSC, die von einer dramatischen Zunahme von Sicherheitslücken und Diebstahl von Zugangsdaten durch KI in kriminellen Werkzeugen spricht. Die Richtung ist eindeutig, auch wenn einzelne Faktoren mit Vorsicht zu behandeln sind.

Warum sind KI-Sicherheit Risiken jetzt ein Thema fürs Top-Management?

Weil KI von der Technikabteilung ins Risikoregister rückt. Der Industrieversicherer Allianz Commercial stuft KI in seinem Risikobarometer für 2026 als eines der größten globalen Geschäftsrisiken ein, im selben Spektrum wie klassische Unternehmensrisiken. Damit ist KI ein Thema für Vorstand und Aufsichtsrat, nicht nur für den CISO.

Der Unterschied liegt in der Verantwortung. Ein IT-Vorfall lässt sich delegieren, ein Top-Management-Risiko nicht. Wer KI-Sicherheit auf Vorstandsebene verankert, entscheidet über Budget, Notfallpläne und die Frage, welche Prozesse überhaupt an automatisierte Systeme übergeben werden. Genau diese Delegationsfrage haben wir bereits im Kontext von KI-Agenten im Management beschrieben.

Aus meiner Beratungspraxis sehe ich, dass Sicherheit oft als nachgelagerte Pflicht behandelt wird, wenn eine KI-Anwendung längst produktiv läuft. Das ist die teurere Reihenfolge. Wer die Risikofrage vor dem Rollout stellt, spart sich spätere Nachbesserungen und Haftungsdebatten.

Welche konkreten Maßnahmen leiten sich aus der Warnung ab?

London formuliert einen Strategiewechsel: Unternehmen sollen davon ausgehen, dass ein Einbruch unvermeidbar ist, und Resilienz statt reiner Abwehr aufbauen. Daraus folgen mehrere klar benannte Handlungsfelder, die sich auch außerhalb Großbritanniens übertragen lassen.

  • Zugangssicherheit stärken: Nur rund 40 Prozent der britischen Unternehmen nutzen laut Regierung Zwei-Faktor-AuthentifizierungEin Login wird zusätzlich zum Passwort durch einen zweiten Nachweis abgesichert, etwa einen Code aufs Handy. Erschwert den Zugang mit gestohlenen Passwörtern., obwohl 43 Prozent bereits betroffen waren. Aktualisierte "Cyber Essentials"-Anforderungen machen Multi-Faktor-Authentifizierung für mehr Cloud- und SaaS-Dienste verpflichtend.
  • PhishingBetrügerische Nachrichten, die Empfänger zur Preisgabe von Zugangsdaten oder zum Klick auf schädliche Links verleiten. KI macht solche Nachrichten schwerer erkennbar.-Resilienz aufbauen: 85 Prozent der betroffenen Unternehmen nannten Phishing als Einstiegsmethode, das für 54 Prozent aller cyberbedingten Betrugsfälle verantwortlich ist. KI macht solche Nachrichten überzeugender.
  • Notfall statt Prävention: Incident-ResponseDer geplante Ablauf, wie ein Unternehmen auf einen Sicherheitsvorfall reagiert: erkennen, eindämmen, wiederherstellen, dokumentieren.-Pläne, Backups und geübte Abläufe entscheiden, wie teuer ein Vorfall wird.
  • Frühwarnung nutzen: Die NCSC ruft Unternehmen auf, ihren Frühwarnservice und den Cyber Governance Code of Practice zu übernehmen.

Diese Liste ist kein Novum für gut aufgestellte Sicherheitsabteilungen. Neu ist der politische Nachdruck und die gesetzliche Flankierung durch den Cyber Security and Resilience Bill, der sich im parlamentarischen Verfahren befindet.

Was bedeutet das für Unternehmen im DACH-Raum?

Zunächst betrifft die britische Regelung britische Firmen. Doch die Bedrohungslage kennt keine Grenzen, und der EU AI ActEU-Verordnung, die KI-Anwendungen nach Risiko einordnet und seit 2025 schrittweise Pflichten für Unternehmen einführt, etwa zur KI-Kompetenz der Belegschaft. stellt ohnehin ähnliche Fragen: Woher kommen die Daten, wer haftet, wie transparent ist das System. Wer KI einsetzt, muss die Kompetenz dafür nachweisen können, das schreibt der AI Act seit 2025 schrittweise vor.

Der praktische Einstieg ist weniger technisch, als viele annehmen. Die meisten Vorfälle beginnen mit einem geklickten Link, nicht mit einem raffinierten Zero-Day-Exploit. Wenn in Ihrem Unternehmen die Frage, wer bei einem Sicherheitsvorfall was entscheidet, noch nicht schriftlich geklärt ist, ist genau das der nächste Schritt, nicht die nächste Software.

Wenn Sie die Belegschaft rechtssicher auf den Umgang mit KI und die Pflichten des AI Act vorbereiten wollen, lohnt ein Blick auf eine praxisnahe KI-Kompetenzschulung nach EU AI Act, die Sicherheits- und Compliance-Fragen zusammen behandelt. Das ersetzt keine Sicherheitsarchitektur, deckt aber die menschliche Seite ab, auf die Phishing zielt.

Für Führungskräfte, die KI-Risiken strukturell in ein Managementsystem überführen wollen, ist die Ausbildung zum zertifizierten Manager für KI-Managementsysteme nach ISO 42001 eine Option, die über einzelne Tools hinausgeht. Sie ist aufwendiger und richtet sich an Organisationen, die Governance dauerhaft verankern, nicht an Firmen, die zunächst nur ihre 2FA aktivieren wollen.

Ist die Warnung berechtigt oder Alarmismus?

Berechtigt, aber mit Augenmaß zu lesen. Die Bedrohung ist real und mit Zahlen belegt, doch die Regierung nutzt sie auch, um neue Gesetze zu begründen. Die Verdopplungsrate alle vier Monate ist ein politischer Richtwert, keine unabhängig geprüfte Kennzahl. Die Handlungsempfehlungen bleiben davon unberührt sinnvoll.

Der entscheidende Punkt ist die Umkehr der Grundannahme. Jahrelang galt: Wir halten Angreifer draußen. London sagt jetzt: Rechnen Sie mit dem Einbruch und sorgen Sie dafür, dass er Sie nicht lahmlegt. Dieser Perspektivwechsel kostet wenig und ändert viel, weil er von Prävention auf Wiederherstellung umlenkt.

Zurück zur Ausgangsfrage: Ist KI das größte Sicherheitsrisiko des Jahrzehnts? Als Angriffsverstärker zunehmend ja, weil sie Phishing und den Diebstahl von Zugangsdaten billiger und überzeugender macht. Für Ihr Unternehmen entscheidet sich das Risiko aber nicht an der Schlagzeile aus London, sondern daran, ob Zugangssicherung, Notfallplan und die Zuständigkeiten im Ernstfall geklärt sind. Wer diese drei Punkte vor dem nächsten Vorfall regelt, hat die Warnung verstanden.

Wie besorgt sind Sie über die Sicherheitsrisiken von KI?

Ergebnisse sehen Sie nach Ihrer Stimme.

Häufige Fragen

Was können Unternehmen im DACH-Raum konkret tun, wenn Prävention allein nicht mehr reicht?

Neben klassischer Prävention braucht es Erkennung und Reaktion: Notfallpläne, klare Zuständigkeiten und regelmäßige Übungen für den Ernstfall. Londons Kernbotschaft lautet, dass KI-Sicherheit auf die Vorstandsagenda gehört, nicht in den IT-Support. Entscheidend ist, Verantwortlichkeit auf Führungsebene zu verankern und Angriffe als reales, laufendes Betriebsrisiko zu behandeln.

Wie zuverlässig ist die Zahl, dass sich KI-Angriffsfähigkeiten alle vier Monate verdoppeln?

Diese Zahl stammt von der britischen Regierung selbst und sollte als politisch motivierter Richtwert gelesen werden, nicht als unabhängig geprüfte Messung. Sie deckt sich aber mit der Einschätzung der Sicherheitsbehörde NCSC, die von einer dramatischen Zunahme berichtet. Statt sich auf die exakte Zahl zu fixieren, sollte man den Trend ernst nehmen: Das Angriffstempo steigt spürbar.

Betrifft das auch kleine und mittlere Betriebe oder nur Großkonzerne?

Gerade mittelgroße Firmen sind betroffen: Laut den britischen Zahlen hatten 70 Prozent der mittelgroßen Unternehmen binnen eines Jahres einen Vorfall, gegenüber 43 Prozent über alle Firmen hinweg. KI senkt die Kosten für Angreifer, etwa bei Phishing, wodurch auch kleinere Ziele wirtschaftlich lohnend werden. Größe schützt also nicht.

Was hat der EU AI Act mit diesen Cyberrisiken zu tun?

Der EU AI Act regelt primär den verantwortungsvollen Einsatz von KI, nicht direkt die Abwehr von Angriffen. Für DACH-Unternehmen sind beide Seiten relevant: eigene KI konform betreiben und zugleich gegen KI-gestützte Angriffe wappnen. Der Act verlangt unter anderem KI-Kompetenz bei Mitarbeitenden, was auch das Risikobewusstsein gegenüber Angriffen stärken kann.

Warum wird KI-gestütztes Phishing als besonders gefährlich eingestuft?

KI erlaubt es, überzeugende, fehlerfreie und personalisierte Nachrichten in großer Menge und Geschwindigkeit zu erzeugen. Die früheren Warnzeichen wie holprige Sprache oder generische Anrede fallen weg. Das erhöht die Trefferquote und überfordert Mitarbeitende und Filter. Genau dieser Effizienzgewinn für Angreifer steckt hinter Londons Warnung vor einer beschleunigten Cyberkrise.

Wie fange ich an, KI-Sicherheit strukturiert im Unternehmen zu verankern?

Beginnen Sie mit einer Bestandsaufnahme der Risiken und klaren Verantwortlichkeiten auf Führungsebene. Ein Managementsystem nach ISO 42001 hilft, KI-Einsatz und -Risiken systematisch zu steuern, statt punktuell zu reagieren. Ergänzend sollten Mitarbeitende geschult und Notfallprozesse geübt werden. Wichtig ist, das Thema als fortlaufenden Prozess zu behandeln, nicht als einmaliges Projekt.

Teilen