Utimaco-Umfrage: Legacy-Daten-Lecks für 78 Prozent der US-Unternehmen größtes Risiko bei generativer KI

(Auszug aus der Pressemitteilung)

Utimaco, ein weltweit führender Anbieter von IT-Sicherheitslösungen, hat im Vorfeld der RSAC eine Umfrage unter 250 großen US-amerikanischen Unternehmen in Auftrag gegeben. Die Umfrage zeigt eine Diskrepanz zwischen Risikowahrnehmung und Vorsorge im Bereich der generativen KI auf: 78 Prozent der befragten Unternehmen geben an, dass Datenlecks das größte Risiko im Zusammenhang mit generativer KI darstellen, das in den nächsten 12 Monaten angegangen werden muss. Dennoch hat mehr als die Hälfte (57 Prozent) noch keine Gegenmaßnahmen ergriffen.

Was Quantencomputing betrifft, nehmen die befragten Unternehmen die Bedrohungen sehr ernst – 72 Prozent der Teilnehmer identifizieren Angriffe auf Altdaten als das größte Quantensicherheitsrisiko, doch drei Viertel (75 Prozent) haben noch keine entsprechende Lösung zur Bekämpfung dieser Bedrohung implementiert.

KI: allgegenwärtig, aber oft nicht abgesichert

Die Umfrageteilnehmer gaben an, dass KI in großem Umfang eingesetzt wird. Mehr als 90 Prozent aller Befragten gaben an, dass KI im täglichen Produktionsbetrieb zum Einsatz kommt, wobei 12 Prozent der Befragten angaben, dass ihre Unternehmen eine Transformation durchlaufen haben. Die zugrunde liegenden Technologie-Stacks sind nach wie vor heterogen: Fast zwei Drittel (63 Prozent) geben an, eine hybride IT-Infrastruktur mit strategischen Public-Cloud-Workloads zu nutzen.

Da KI-Modelle und -Anwendungen potenziell sensible und vertrauliche Daten nutzen, ist es wichtig zu verstehen, was diese Umgebungen beinhalten und welche Sicherheitsaspekte zu berücksichtigen sind. Laut OWASP AI Top 10 gehören zu den wichtigsten: Prompt Injection, Offenlegung sensibler Informationen sowie Schwachstellen bei Vektoren und Einbettung.

In diesen Fällen müssen sensible Daten während des gesamten KI-Lebenszyklus geschützt werden. Öffentliche LLMs geben keine Datenschutzgarantie dafür, dass Eingabeaufforderungen oder deren Inhalte nicht für das Training oder die Modellverbesserung verwendet werden. Darüber hinaus müssen sensible Inhalte in abgerufenen Daten oder Trainingsdatensätzen geschützt werden. Schließlich sollten sensible Inhalte in der Ausgabe nicht offengelegt werden.

Es überrascht nicht, dass Datenschutzverletzungen und Diebstahl geistigen Eigentums laut den Befragten die beiden größten Sicherheitsrisiken im Bereich GenAI darstellen. In der Auswertung geben 78 Prozent an, dass Datenschutzverletzungen das größte Problem seien, gefolgt von 77 Prozent, die sich Sorgen um den Diebstahl geistigen Eigentums machen.

Quantensicherheits-Lücke

Die Gefährdung aktuell vorhandener Daten wird als wichtigstes Problem im Zusammenhang mit Bedrohungen durch Quantencomputer genannt; 75 Prozent gaben an, dass Angriffe nach dem Prinzip „Harvest Now, Decrypt Later“ (HNDL) am dringendsten bekämpft werden müssen. Heutzutage wird das Sammeln von derzeit verschlüsselten Daten nicht einmal unbedingt als Datenverletzung angesehen. Praktisch der gesamte Web- und Internetverkehr wird klassisch mit Algorithmen wie RSA verschlüsselt. Doch RSA ist anfällig für Quantenangriffe. Netzwerke im Internet verfügen über Peering- und Mirroring-Vereinbarungen, und das Abfangen von verschlüsseltem Datenverkehr ist trivial und praktisch nicht nachweisbar. Trotz der Bedenken hinsichtlich HNDL hinken Unternehmen bei der Einführung von Gegenmaßnahmen hinterher: Nur 23 Prozent haben eine Lösung implementiert.

Hier besteht Handlungsbedarf und Unternehmen sollten schnellstmöglich krypto-agil werden. Krypto-Agilität bezeichnet die Flexibilität, PQC-Algorithmen hinzuzufügen, zu ändern oder außer Kraft zu setzen, damit Daten weiterhin vor Quantenbedrohungen geschützt bleiben. Diese Flexibilität ist besonders wichtig, um die Kompatibilität mit der bestehenden Infrastruktur aufrechtzuerhalten.

Datensouveränität wird in verteilten KI-Umgebungen Priorität

Mit zunehmender Leistungsfähigkeit der Modelle wird der KI-Lebenszyklus immer verteilter, wobei lokale, Edge-, Cloud- und private Rechenzentrumsumgebungen an Bedeutung gewinnen. Der Schutz von Daten an all diesen Orten erfordert während des gesamten Lebenszyklus skalierbare Kryptografie und Datensicherheit. Angesichts des verteilten Lebenszyklus gewinnen auch andere Faktoren, wie Datensouveränität, an Bedeutung. Der Schutz sensibler Kundendaten hat sich als das Hauptanliegen im Zusammenhang mit der Datensouveränität herausgestellt: 80 Prozent der Befragten stuften ihn als „sehr“ oder „äußerst“ wichtig ein. Auch wenn es in den Vereinigten Staaten kein nationales Datenschutzgesetz gibt, das Datenverschlüsselung oder eine Betriebspräsenz vorschreibt, wie es die DSGVO in der EU tut, ist es doch auffällig, dass Datensouveränität zu einem Anliegen von Unternehmen auf der ganzen Welt geworden ist.

„Angesichts der neuen Risiken durch Technologien wie KI und Quantencomputing erfordern Datenschutz und Datensicherheit strategische Maßnahmen. Agentische Prozesse verschieben die Grenzen für Daten, und diese erfordern in jedem Schritt innerhalb verschiedener Datenpipelines, Modelle, Datensätze und Ausführungsumgebungen starke Kryptografie. Die Entwicklung eines langfristigen Verschlüsselungskonzepts bietet die nötige Flexibilität, um aktuelle Datenschutzbedrohungen für KI und zukünftige Risiken durch Quantencomputing zu bewältigen“, sagt Tina Stewart, CMO bei Utimaco.

Der Utimaco Digital Trust Report 2026 zeigt deutlich die Spannung zwischen Risiken für Unternehmen und der Bereitschaft, diesen zu begegnen. Vier von fünf Befragten gaben an, dass Datenschutzverletzungen das größte Sicherheitsrisiko im Zusammenhang mit GenAI darstellten, doch drei von fünf hatten noch keine Lösungen zur Bewältigung dieses Risikos implementiert oder befanden sich erst in der Planungsphase. Ähnlich verhält es sich bei PQC: Drei von vier Befragten nannten die Gefährdung von Altdaten durch Quantensicherheitsrisiken, während drei von vier ebenfalls noch keine Lösung zur Bewältigung dieses Risikos implementiert hatten.

„Das Spannungsverhältnis zwischen Unternehmensrisiko und Bereitschaft ist real“, sagt Justin Lam, Industry Analyst bei 451 Research.