59% der Digital-Trust-Fachleute weltweit rechnen damit, dass KI-gesteuerte Cyberbedrohungen 2026 ihr größtes Sicherheitsproblem werden. Gleichzeitig sagen nur 13%, dass ihre Organisation sehr gut auf diese Risiken vorbereitet ist. Diese 46-Punkte-Lücke zwischen Problembewusstsein und tatsächlicher Vorbereitung, dokumentiert in ISACAs Umfrage unter knapp 3.000 Fachleuten, ist die zentrale Kennzahl für die Unternehmenssicherheit im DACH-Raum.
Das Problem ist nicht fehlendes Bewusstsein. Jeder CISO weiß, dass Agentic AI neue Angriffsflächen schafft. Das Problem: Die meisten Sicherheitsteams versuchen, autonome KI-Systeme mit Kontrollen zu steuern, die für Menschen an Bildschirmen konzipiert wurden. Dieser Ansatz hat eine Haltbarkeit von Monaten, nicht Jahren.
Was knapp 3.000 Sicherheitsexperten tatsächlich gesagt haben
ISACAs 2026 Tech Trends and Priorities Pulse Poll befragte zwischen August und September 2025 Fachleute aus IT-Audit, Risikomanagement, Governance und Cybersicherheit. Die Ergebnisse zeigen eine Branche, die die Bedrohung klar sieht, aber nicht schnell genug reagieren kann.
Die wichtigsten Ergebnisse:
- 63% identifizieren KI-gesteuertes Social Engineering als die bedeutendste Cyberbedrohung, vor Ransomware mit 54%
- 82% fühlen sich nur “etwas,” “wenig” oder “gar nicht” auf KI-bezogene Risiken vorbereitet
- Weniger als 44% sind sehr zuversichtlich, dass ihre Organisation einen Ransomware-Angriff überstehen würde
- 66% bewerten Regulatory Compliance als sehr wichtig für 2026
- 79% der IT-Fachkräfte berichten von Burnout-Symptomen
Chris Dimitriadis, ISACAs Chief Global Strategy Officer, brachte es auf den Punkt: “KI repräsentiert sowohl die größte Chance als auch die größte Bedrohung unserer Zeit.”
Was diese Umfrage von herstellerfinanzierten Angststudien unterscheidet, ist die Zielgruppe. ISACAs Mitglieder sind praktizierende Fachleute, die täglich Governance- und Audit-Kontrollen implementieren. Wenn 82% von ihnen sagen, sie seien nicht sehr gut vorbereitet, ist das ein operatives Signal, keine Marketing-Statistik.
Der Burnout-Faktor, über den niemand spricht
Die 79% Burnout-Zahl verdient besondere Beachtung. Der Splunk 2026 CISO Report, der 650 CISOs weltweit befragte, bestätigt den Trend: 98% nennen hohe Alert-Volumina als Stressfaktor, 94% berichten von problematischen Fehlalarmen, und zwei Drittel der Sicherheitsteams erleben moderate bis starke Burnout-Symptome. Man kann Agentic AI nicht mit einer Belegschaft steuern, die bereits am Limit arbeitet.
Agentic AI erzeugt Bedrohungen, die klassische Sicherheit nicht erkennt
Klassische Cybersicherheit basiert auf der Annahme, dass ein Mensch am Rechner sitzt. Zugriffskontrollen steuern menschliche Entscheidungen. Audit-Logs protokollieren menschliche Handlungen. Incident Response geht von Angriffsketten in menschlicher Geschwindigkeit aus.
Agentic AI bricht alle drei Annahmen gleichzeitig.
Ein KI-Agent kann gültige Credentials besitzen, innerhalb genehmigter Tools arbeiten und trotzdem durch autonome Entscheidungen, die kein Mensch geprüft hat, katastrophalen Schaden anrichten. Wenn Gartner prognostiziert, dass bis 2028 25% der Unternehmensbreaches auf KI-Agent-Missbrauch zurückzuführen sein werden, beschreiben sie eine Breach-Kategorie, die aktuelle Sicherheitsstacks nicht erkennen können.
Die OWASP Top 10 für Agentic Applications, veröffentlicht im Dezember 2025, zieht die entscheidende Grenze: “Die LLM Top 10 fokussieren auf Risiken der Inhaltsgenerierung. Die Agentic Top 10 adressieren die weitaus größeren Risiken autonomer Handlungen.” Das höchste Risiko, Agent Behavior Hijacking (ASI01), beschreibt Szenarien, in denen ein Angreifer einen Agenten dazu manipuliert, Aktionen durchzuführen, die technisch innerhalb seiner Berechtigungen liegen, aber den Zielen des Angreifers dienen.
Reale Vorfälle statt Theorie
Das ist keine Theorie. Anfang 2026 wurde eine kritische Schwachstelle (CVE-2026-25253, CVSS 8.8) in einem Open-Source-Agent-Framework mit über 135.000 GitHub-Sternen entdeckt. Sicherheitsforscher fanden 820 von 10.700 Marketplace-Skills als bösartig, und über 30.000 Instanzen waren offen im Internet erreichbar. In einem separaten Vorfall verlor das Ingenieurbüro Arup 25 Millionen Dollar durch einen Deepfake-Betrug, bei dem Angreifer eine komplette Videokonferenz mit KI-generierten Teilnehmern besetzten.
Organisationen, die KI und Automatisierung umfassend in ihren Sicherheitsbetrieb integrieren, reduzieren Breach-Kosten um durchschnittlich 2,2 Millionen Dollar. Wer darauf verzichtet, zahlt den vollen Preis: Ein durchschnittlicher Breach kostet global 4,44 Millionen Dollar, und Shadow-AI-Breaches kosten zusätzlich 670.000 Dollar.
Der Fünf-Schichten-Governance-Stack für Agentic AI
Governance ist kein einzelnes Dokument oder eine Policy. Für Agentic AI braucht wirksame Governance Kontrollen auf fünf verschiedenen Ebenen. Gustavo Frega, Senior Manager bei ISACA, formulierte das Kernprinzip in einem Beitrag für CSO Online: Governance by Design, nicht Governance als bürokratische Bremse.
Schicht 1: Use-Case-Freigabe. Definieren Sie, welche Anwendungsfälle genehmigt sind, auf welche Daten Agenten zugreifen dürfen und welche Aktionen menschliche Bestätigung erfordern. Nicht jede Aufgabe sollte autonom sein. Die 86% der CISOs in Splunks Umfrage, die befürchten, dass Agentic AI die Social-Engineering-Sophistikation steigert, haben Recht, bei Hochrisiko-Entscheidungen auf Human-in-the-Loop zu bestehen.
Schicht 2: Identität und Zugriff. KI-Agenten brauchen eine eigene Identitätsebene, getrennt vom menschlichen IAM. Die Cloud Security Alliance stellte fest, dass nur 18% der Sicherheitsverantwortlichen ihren aktuellen IAM-Systemen zutrauen, KI-Agenten zu verwalten. Agenten brauchen scoped Credentials mit automatischem Ablauf, keine gemeinsam genutzten Service-Accounts.
Schicht 3: Runtime-Monitoring. Klassisches Logging protokolliert, was passiert ist. Agentic-AI-Governance erfordert die Nachverfolgung, warum etwas passiert ist. Ciscos neue AI Defense-Plattform, angekündigt auf der Cisco Live EMEA, enthält Echtzeit-Guardrails für Agenten und intentionsbewusste Inspektion agentischer Nachrichten. Das ist die Art von Tooling, die den Unterschied zwischen “etwas vorbereitet” und “sehr gut vorbereitet” ausmacht.
Schicht 4: Kill Switches und Grenzen. OWASPs Empfehlung ist unmissverständlich: Etablieren Sie “starre operationale Grenzen, Guardrails und Kill Switches”, bevor Sie agentische Systeme deployen. Jeder Agent braucht harte Limits für Ausgaben, Systemzugriffe und Datenabfluss. Gartner erwartet, dass 40% der CIOs bis 2028 Guardian Agents fordern werden, die andere KI-Agenten überwachen.
Schicht 5: Kontinuierliche Bewertung. Statische Risikobewertungen im Vorfeld reichen für agentische Systeme nicht aus, weil sich das Verhalten von Agenten während des Betriebs verändert. Organisationen mit formalen Governance-Policies reduzieren Datenleck-Vorfälle um 46%, aber nur, wenn diese Policies kontinuierlich gegen das tatsächliche Agentenverhalten validiert werden.
Frameworks, die einen Vorsprung verschaffen
Drei Frameworks bieten konkrete, umsetzbare Anleitungen für Agentic-AI-Governance.
NIST AI Agent Standards Initiative (angekündigt Februar 2026): NIST baut Standards in drei Säulen auf: branchengeführte Agent-Standards, Open-Source-Protokollentwicklung und Forschung zu KI-Agent-Sicherheit und -Identität. Das Request for Information zu AI Agent Security endete am 9. März 2026. Wer NISTsCoutput hier nicht verfolgt, ist bereits im Rückstand.
OWASP Top 10 für Agentic Applications: Entwickelt von über 100 Sicherheitsforschern, deckt dieses Framework Agent Behavior Hijacking, Prompt Injection, Tool Misuse und sieben weitere kritische Risiken ab. Nutzen Sie es als Checkliste für jedes Agent-Deployment. Wer LLM-Risiken abgedeckt hat, aber nicht agentische Risiken, hat Inhaltsgenerierung adressiert, aber nicht autonome Handlungen.
ISO 42001: Der weltweit erste zertifizierbare Standard für KI-Managementsysteme, veröffentlicht 2023, bietet einen Governance-Rahmen, der sich gut auf die Anforderungen des EU AI Act abbilden lässt: Risikomanagementsysteme, menschliche Aufsicht, technische Dokumentation. Für DACH-Unternehmen ist die ISO-42001-Zertifizierung ein konkreter Schritt, um Compliance-Bereitschaft nachzuweisen.
Die August-2026-Frist, auf die niemand vorbereitet ist
Die Hochrisiko-Pflichten des EU AI Act treten im August 2026 vollständig in Kraft. Für Organisationen, die KI-Agenten im Personalwesen, bei der Kreditvergabe, in essenziellen Dienstleistungen oder anderen Hochrisiko-Kategorien einsetzen, läuft die Uhr bereits.
Nur 11% der europäischen Befragten in ISACAs Umfrage fühlen sich vollständig bereit für den EU AI Act. Die Bereitschaft für NIS2 und DORA liegt mit 18% nur geringfügig höher, was ebenfalls desolat ist. Jeder EU-Mitgliedsstaat muss bis zum 2. August 2026 mindestens eine KI-Regulierungs-Sandbox einrichten, aber Organisationen können nicht auf Sandboxes warten, um ihre Governance-Haltung zu klären.
Für deutsche Unternehmen kommt hinzu: Die DSGVO-Anforderungen an automatisierte Einzelentscheidungen nach Art. 22 gelten bereits heute und werden durch agentische Systeme, die eigenständig Entscheidungen über Personen treffen, besonders relevant. Wer Agentic AI ohne dokumentierte Governance einsetzt, riskiert nicht nur Bußgelder nach dem AI Act, sondern auch DSGVO-Verstöße.
Gartners Prognose, dass über 40% der Agentic-AI-Projekte bis Ende 2027 eingestellt werden, sollte die Dringlichkeit schärfen. Die Projekte, die überleben, werden diejenigen sein, bei denen Governance in die Architektur eingebaut wurde, nicht nachträglich nach dem ersten Vorfall.
Häufig gestellte Fragen
Was hat die ISACA-Umfrage 2026 über KI-Cyberbedrohungen ergeben?
ISACA befragte knapp 3.000 globale Digital-Trust-Fachleute. 59% erwarten, dass KI-gesteuerte Cyberbedrohungen 2026 dominieren. Allerdings bezeichnen nur 13% ihre Organisation als sehr gut vorbereitet, was eine 46-Punkte-Bereitschaftslücke ergibt.
Wie unterscheidet sich Agentic-AI-Sicherheit von LLM-Sicherheit?
LLM-Sicherheit konzentriert sich auf Risiken der Inhaltsgenerierung wie Halluzinationen und Datenabfluss. Agentic-AI-Sicherheit adressiert die weitaus größeren Risiken autonomer Handlungen, einschließlich Agent Behavior Hijacking, Tool Misuse und Multi-Agent-Kaskadenfehlern, bei denen Agenten innerhalb ihrer Berechtigungen handeln, aber unbeabsichtigten Schaden verursachen.
Welche Frameworks gibt es für Agentic-AI-Governance?
Drei zentrale Frameworks sind verfügbar: NISTsAI Agent Standards Initiative (zu Sicherheit, Identität und Interoperabilität), die OWASP Top 10 für Agentic Applications (zu Agent Behavior Hijacking, Prompt Injection und Tool Misuse) und ISO 42001 (der erste zertifizierbare KI-Managementsystem-Standard). Die Hochrisiko-Pflichten des EU AI Act treten zudem im August 2026 in Kraft.
Was sind die größten KI-gesteuerten Cyberbedrohungen 2026?
Laut ISACAs Umfrage nennen 63% der Fachleute KI-gesteuertes Social Engineering als größte Bedrohung, gefolgt von Ransomware mit 54%. Deepfakes, Agent-Supply-Chain-Angriffe und autonome Exploit-Ketten sind ebenfalls aufkommende Hauptbedrohungen. Gartner prognostiziert, dass bis 2028 25% der Unternehmensbreaches auf KI-Agent-Missbrauch zurückzuführen sein werden.
Wann betrifft der EU AI Act Agentic-AI-Deployments?
Die Hochrisiko-Pflichten des EU AI Act treten im August 2026 vollständig in Kraft. Organisationen, die KI-Agenten im Personalwesen, bei der Kreditvergabe, in essenziellen Dienstleistungen oder anderen Hochrisiko-Kategorien einsetzen, müssen Anforderungen an Risikomanagementsysteme, menschliche Aufsicht, technische Dokumentation, automatisches Logging und Cybersicherheitsmaßnahmen erfüllen. Nur 11% der europäischen IT-Fachleute fühlen sich vollständig bereit.