Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Die KI-Policy-Lücke: 90 % nutzen KI, aber 25 % haben keine Regeln

Die KI-Policy-Lücke: 90 % nutzen KI, aber 25 % haben keine Regeln

von Patrick Spencer updated Mai 28, 2026 Cybersecurity-Risikomanagement
Lesezeit: 8 Minuten

Die ISACA 2026 AI Pulse Poll befragte 3.400 Digital-Trust-Experten aus den Bereichen IT-Audit, Governance, Cybersecurity, Datenschutz und neue Technologien. Drei Zahlen erzählen eine Geschichte, die den meisten Sicherheitsverantwortlichen bekannt ist, aber bisher kaum quantifiziert wurde: 90 % sagen, dass Mitarbeitende KI-Tools nutzen. Nur 38 % verfügen über eine formelle, umfassende KI-Richtlinie. 25 % haben überhaupt keine KI-Richtlinie.

Wie Infosecurity Magazine berichtet, hat diese Lücke ein vorhersehbares Ergebnis: den Aufstieg von Shadow AI, bei dem Mitarbeitende Tools wie LLMs für die tägliche Arbeit nutzen und dabei sensible Unternehmensinformationen unbemerkt durch Systeme schleusen, die niemand aus der IT-Sicherheit genehmigt oder geprüft hat. Die Umfrage zeigt ein noch beunruhigenderes Bild: Nur 38 % der Fachleute sind überzeugt, dass ihr Vorstand die Risiken von KI versteht. Diejenigen, die das Problem normalerweise eskalieren würden, sind sich nicht sicher, ob die Adressaten ihre Warnungen verstehen können.

5 Wichtige Erkenntnisse

1. Die KI-Richtlinienlücke ist jetzt konkret messbar.

Die ISACA 2026 AI Pulse Poll unter 3.400 Digital-Trust-Experten zeigt: 90 % sagen, dass Mitarbeitende KI-Tools nutzen, aber nur 38 % verfügen über eine formelle, umfassende KI-Richtlinie und 25 % haben gar keine Richtlinie. Der Sprung von 28 % im Jahr 2025 auf 38 % wirkt wie ein Fortschritt – bis man ihn mit der Nutzungsrate vergleicht: Die Nutzung von KI wächst schneller als die Richtlinien, die Lücke wird größer. Unternehmen ohne Richtlinie sind keine Ausreißer. Sie machen ein Viertel aus.

2. Eine Richtlinie auf Papier ist keine Durchsetzung auf Datenebene.

Ein schriftliches Dokument zur akzeptablen Nutzung verhindert nicht, dass jemand um 23 Uhr Kundendaten in ein öffentliches LLM kopiert. Kontrollen müssen dort greifen, wo die Daten liegen. Die Kiteworks 2026 Prognose zeigt: 63 % der Unternehmen können keine Zweckbindung für KI-Agents durchsetzen, 60 % können einen fehlverhaltenden Agenten nicht beenden. Das sind Defizite in der Kontroll-Ebene – keine Richtlinienversäumnisse. KI-Governance ohne Durchsetzung zur Laufzeit bleibt Wunschdenken, keine Compliance.

3. Shadow AI ist jetzt der teuerste Insider-Risikofaktor.

Der 2026 Cost of Insider Risks Global Report nennt Shadow AI als Haupttreiber für fahrlässige Vorfälle – diese Kategorie kostet Unternehmen bereits 10,3 Mio. US-Dollar pro Jahr und macht 53 % der gesamten Insider-Risikkosten aus. 92 % der Unternehmen sagen, dass generative KI das Informationsverhalten der Mitarbeitenden verändert hat; nur 13 % haben KI formell in ihre Geschäftsstrategie integriert. Die Lücke von 79 Prozentpunkten zwischen Verhaltensänderung und strategischer Antwort ist die Angriffsfläche für Datenverlust durch Shadow AI.

4. Der Vorstand sieht nicht, was er nicht weiß.

Nur 38 % der Fachleute sind überzeugt, dass ihr Vorstand die KI-Risiken versteht. Die Kiteworks 2026 Prognose zeigt: 54 % der Vorstände sind nicht in die KI-Governance eingebunden, und diese Unternehmen liegen bei allen KI-Reifegradmetriken 26 bis 28 Punkte zurück – die stärkste Korrelation der Umfrage. Das Shadow-AI-Problem ist ein Symptom. Die eigentliche Ursache ist die Governance-Entkopplung an der Spitze, und keine Richtlinie auf Tastaturebene schließt diese Lücke.

5. Die Lösung ist architektonisch, nicht visionär.

Governance auf Datenebene mit attributbasierten Zugriffskontrollen, Inhaltskontrollen und manipulationssicheren Audit-Logs steuert den KI-Zugriff, ohne sich auf das Verhalten der Nutzer zu verlassen. Kann das KI-Tool nicht auf regulierte Inhalte zugreifen, ist das Einfügen irrelevant. Kann der KI-Agent seinen Zweck nicht überschreiten, ist ein böswilliger Prompt wirkungslos. Nur Richtlinien, die auf Datenebene durchgesetzt werden, schließen die 90/38/25-Lücke.

Sie Vertrauen auf die Sicherheit Ihres Unternehmens. Doch Können Sie Es Nachweisen?

Jetzt lesen

Shadow AI ist bereits der teuerste Insider-Risikofaktor

Der 2026 Cost of Insider Risks Global Report von DTEX und Ponemon nennt Shadow AI als Haupttreiber für fahrlässige Insider-Vorfälle – diese Kategorie kostet Unternehmen im Schnitt 10,3 Mio. US-Dollar pro Jahr und macht 53 % der gesamten Insider-Risikkosten aus. Die durchschnittlichen jährlichen Kosten für Insider-Risiken sind auf 19,5 Mio. US-Dollar gestiegen (2024: 17,4 Mio. US-Dollar). 26 % der MFT-Betreiber haben laut Kiteworks 2025 MFT Survey Report bereits Vorfälle mit Datenexponierung durch KI-Tools erlebt.

Die DTEX/Ponemon-Daten zeigen die Ursache klar: Der Haupttreiber sind gutmeinende Mitarbeitende, die aus Effizienzgründen in komplexen Abläufen handeln. Governance-Strategien, die sich primär auf die Erkennung böswilliger Insider konzentrieren, verfehlen die eigentliche Angriffsfläche. Die 92-zu-13-Lücke zwischen Verhaltensänderung und strategischer Antwort ist genau dort, wo das 90/38/25-Triad wirkt.

Eine Richtlinie auf Papier stoppt kein Einfügen um 23 Uhr

Stellen Sie sich die disziplinierteste Acceptable-Use-Policy vor, die Ihre Rechtsabteilung formulieren kann. Und nun stellen Sie sich einen Account Executive am Quartalsende vor, der vor einem 8-Uhr-Board-Call einen 30-seitigen Kundenvertrag zusammenfasst. Die Richtlinie besagt: „Kundendaten dürfen nicht in öffentliche KI-Tools eingefügt werden.“ Der Executive hat neun Stunden, einen Entwurf zu schreiben und ChatGPT im nächsten Tab geöffnet. Die Richtlinie verhindert das Einfügen nicht. Die Richtlinie ist ein Dokument. Das Einfügen ist ein Laufzeitereignis.

Ohne Kontrollen auf Datenebene – also dort, wo der Kundendatensatz tatsächlich liegt – gibt es nichts zwischen Absicht und Exfiltration. Das nennt die Kiteworks 2026 Prognose die Containment Gap. 63 % der Unternehmen können keine Zweckbindung für KI-Agents durchsetzen. 60 % können einen fehlverhaltenden Agenten nicht schnell beenden. 55 % können KI-Systeme nicht vom übrigen Netzwerk isolieren. Das sind Defizite in der Kontroll-Ebene, keine Richtlinienversäumnisse. Schriftliche Richtlinien und Durchsetzung zur Laufzeit sind nicht dasselbe – und Aufsichtsbehörden prüfen zunehmend genau diesen Unterschied.

Der Blind Spot im Vorstand verschärft jede andere Lücke

Die ISACA-Feststellung, dass nur 38 % der Fachleute überzeugt sind, dass ihr Vorstand KI-Risiken versteht, ist keine weiche Statistik – sie ist der stärkste Einzelindikator dafür, wie weit ein Unternehmen tatsächlich zurückliegt. Die Kiteworks 2026 Prognose zeigt: 54 % der Vorstände sind nicht in die KI-Governance eingebunden, und diese Unternehmen liegen bei allen KI-Reifegradmetriken 26 bis 28 Punkte zurück. Das ist die stärkste Korrelation der Umfrage.

Das ist entscheidend, weil KI-Governance ein Treuhandproblem ist, kein Technologieproblem. Das Hauptanwendungsdatum des EU AI Act ist der 2. August 2026. Das NIST AI Risk Management Framework entwickelt sich weiter. Nationale KI-Gesetze nehmen zu. Jedes Framework verlangt nicht nur Richtlinien, sondern auch Nachweise – zeitgestempelte, exportierbare, belastbare Nachweise über das tatsächliche Verhalten von KI-Systemen. Vorstände, die nicht informiert wurden, können das Risiko nicht bewerten. Prüfungsausschüsse, die keine KI-Kontrolllandkarte lesen können, können die 10-K-Formulierung dazu nicht unterschreiben. Die Lücke auf Tastaturebene zu schließen, funktioniert nicht, wenn der Vorstand nicht versteht, was durchgesetzt werden muss, welche Nachweise erforderlich sind und welche Investitionen nötig sind.

Die architektonische Antwort: Governance auf Datenebene statt Hoffnung auf Nutzerverhalten

Die Lösung ist nicht mehr Schulung. Schulungen sind notwendig, aber sie sind die dritte Verteidigungslinie, nicht die erste. Die erste Linie ist die Architektur. Drei Eigenschaften definieren funktionierende Governance.

Attributbasierte Zugriffskontrollen, die bei jeder KI-Anfrage greifen. Die Richtlinienentscheidung berücksichtigt Nutzeridentität, Agentenidentität, Datenklassifizierung, Zweck und Kontext – bei jeder Operation, nicht nur zu Sitzungsbeginn. Kann das KI-Tool nicht auf regulierte Inhalte zugreifen, ist das Einfügen irrelevant.

Inhaltsverschlüsselung, die mit den Daten wandert. Abgeleitete Kopien bleiben kontrolliert, auch wenn sie das Ursprungssystem verlassen. Das „Einfügen um 23 Uhr“-Risiko wird architektonisch ausgeschlossen, nicht durch die Hoffnung, dass Mitarbeitende die Richtlinie lesen.

Unveränderliche Audit-Logs für jede KI-Interaktion mit regulierten Inhalten. Nachweisqualität, manipulationssicher und kompatibel mit bestehender SIEM– und Compliance-Infrastruktur. Richtlinien auf Datenebene werden durchgesetzt – und liefern die Nachweise, die Aufsichtsbehörden zunehmend verlangen.

So schließt Kiteworks die Lücke zwischen Richtlinie und Durchsetzung

Der Kiteworks Secure MCP Server und das AI Data Gateway erzwingen Governance über den KI-Agenten-Zugriff auf Datenebene, nicht auf Modell- oder Prompt-Ebene. Anwendungen mit großen Sprachmodellen interagieren mit Kiteworks unter attribut- und rollenbasierten Zugriffskontrollen, jede Operation wird durch die Data Policy Engine geprüft und jede Interaktion in einem umfassenden Audit-Log dokumentiert. KI-Agents übernehmen den Autorisierungsrahmen des authentifizierten Nutzers – sie können ihn nicht überschreiten. Ein manipulierter Prompt, ein falsch konfigurierter Agent oder das Einfügen durch einen gutmeinenden Mitarbeitenden stoßen auf dieselbe Durchsetzung.

Kiteworks SafeEDIT löst das „Einfügen um 23 Uhr“-Szenario architektonisch: Nutzer – auch externe – bearbeiten ein Dokument innerhalb der sicheren Kiteworks-Umgebung, ohne je die Datei zu besitzen. Der Inhalt kann nicht in ein lokales KI-Tool heruntergeladen, nicht in einen öffentlichen LLM-Prompt kopiert oder außerhalb des Governance-Perimeters transferiert werden. Das Private Data Network von Kiteworks erweitert diese Governance auf E-Mail, Filesharing, Managed File Transfer, SFTP, Web-Formulare und APIs – alles unter einer Policy Engine und einem konsolidierten Audit-Log. So entstehen die Nachweise, die der EU AI Act und das NIST AI RMF verlangen. 33 % der Unternehmen können diese Nachweise laut Kiteworks 2026 Prognose heute nicht liefern.

Was Sie vor dem nächsten Audit-Zyklus tun sollten

Erstens: Führen Sie einen KI-Policy-Reality-Check anhand des ISACA-90/38/25-Standards durch. Dokumentieren Sie die tatsächliche Position Ihres Unternehmens – keine Richtlinie, eingeschränkte Richtlinie oder umfassende Richtlinie – ehrlich und schriftlich vor der nächsten Sitzung des Prüfungsausschusses. Dieses Dokument ist der Ausgangspunkt für das Gespräch mit dem Vorstand.

Zweitens: Erfassen Sie die tatsächlich genutzten KI-Tools – nicht nur die offiziell freigegebenen. Die Kiteworks 2026 Prognose zeigt: 100 % der Unternehmen haben KI auf der Roadmap für 2026, aber die Governance hinkt bei allen Containment-Metriken um 15 bis 20 Punkte hinterher. Browser-Telemetrie, EDR und DLP ermöglichen eine echte Bestandsaufnahme innerhalb einer Woche.

Drittens: Trennen Sie Richtliniennachweise von Durchsetzungsnachweisen. Ein Richtliniendokument ist keine Kontrolle – eine Kontrolle ist das, was ein Prüfer auditieren kann. Ordnen Sie jede KI-Richtlinienklausel einem konkreten Durchsetzungsmechanismus und einem spezifischen Nachweisstrom zu. 33 % der Unternehmen verfügen nicht über Audit-Trails in Nachweisqualität für KI-Aktivitäten – das heißt, zwei Drittel können die Durchsetzung im Audit nicht nachweisen.

Viertens: Informieren Sie den Vorstand mit der 90/38/25-Statistik und der Position Ihres Unternehmens dazu. Stellen Sie KI-Governance als Treuhandpflicht dar, die an die Durchsetzung des EU AI Act, die Erwartungen des NIST AI RMF und nationale KI-Gesetze gebunden ist. Vorstände reagieren auf konkrete Risiken und Compliance-Fristen, nicht auf abstrakte Risikoberichte.

Fünftens: Verlegen Sie die Governance von der Prompt-Ebene auf die Datenebene. Prompt-Filter und Modell-Grenzen lassen sich umgehen – selbst ISACAs Whitepaper zeigt, dass Guardrails weder universell noch narrensicher sind. Governance auf Datenebene, mit attributbasierten Zugriffskontrollen und Inhaltsverschlüsselung, ist unabhängig davon, ob das Modell korrekt funktioniert.

Erfahren Sie mehr über die Governance sensibler Daten in einer KI-getriebenen Organisation – vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

Eine schriftliche Richtlinie ist Dokumentation, keine Durchsetzung. Aufsichtsbehörden, die KI-Kontrollen prüfen, verlangen zunehmend Nachweise für die Durchsetzung zur Laufzeit – also Belege für das tatsächliche Systemverhalten. Die Kiteworks 2026 Prognose zeigt: 33 % der Unternehmen verfügen nicht über Audit-Trails in Nachweisqualität. Ohne diese Nachweise ist eine Acceptable-Use-Policy im Audit nicht belegbar – egal wie gut sie formuliert ist. Finanzdienstleister stehen zudem unter besonderer Beobachtung von SEC, FINRA und FFIEC – alle verlangen Nachweise, nicht nur Dokumentation.

Shadow AI schafft HIPAA-Risiken, weil jede KI-Interaktion mit PHI eine potenzielle Offenlegung an unbefugte Dritte darstellt. Für HIPAA ist nicht entscheidend, ob die Offenlegung beabsichtigt war, sondern ob angemessene Schutzmaßnahmen existierten. Eine Richtlinie ohne Durchsetzung auf Datenebene erfüllt diese Anforderung nicht. Der 2026 Cost of Insider Risks Global Report nennt Shadow AI als Haupttreiber für fahrlässige Vorfälle – genau die Kategorie, auf die HIPAA-Strafen abzielen.

Beginnen Sie mit der ISACA 2026 AI Pulse Poll: 90 % der Mitarbeitenden nutzen KI, 38 % haben eine umfassende Richtlinie, und nur 38 % der Fachleute sind überzeugt, dass ihr Vorstand die KI-Risiken versteht. Vergleichen Sie diese Werte mit der Position Ihres Unternehmens. Stellen Sie KI-Governance als Treuhandpflicht dar, die an das Inkrafttreten des EU AI Act im August 2026 und neue nationale KI-Gesetze gebunden ist. Vorstände reagieren auf konkrete Risiken und Compliance-Fristen, nicht auf abstrakte Risikoberichte.

CMMC Level 2 AC-, AU- und IA-Familien verlangen durchgesetzte Autorisierung für jeden Zugriff auf CUI – einschließlich KI-Agenten. Die Kiteworks 2026 Prognose zeigt: 63 % der Unternehmen können keine Zweckbindung für KI-Agents durchsetzen. Attributbasierte Zugriffskontrollen auf Datenebene erfüllen AC-, AU- und IA-Anforderungen gleichzeitig und liefern die Audit-Trail-Nachweise, die Prüfer verlangen.

Beginnen Sie mit Architektur, nicht mit Verboten. Setzen Sie Governance auf Datenebene ein, die autorisierte KI-Nutzung für autorisierte Daten ermöglicht und unautorisierte Kombinationen blockiert. 100 % der Unternehmen haben KI auf der Roadmap für 2026 – Ziel ist gesteuerte Befähigung, nicht pauschale Einschränkung. Attributbasierte Zugriffskontrollen, Content-DRM über das AI Data Gateway und unveränderliche Audit-Trails ermöglichen Governance, die mit der Nutzung skaliert, statt sie zu bekämpfen.

Weitere Ressourcen

  • Blogbeitrag
    Zero‑Trust-Strategien für kosteneffizienten KI-Datenschutz
  • Blogbeitrag
    Wie 77 % der Unternehmen bei der KI-Datensicherheit scheitern
  • eBook
    KI-Governance-Lücke: Warum 91 % kleiner Unternehmen 2025 russisches Roulette mit Datensicherheit spielen
  • Blogbeitrag
    Es gibt kein „–dangerously-skip-permissions“ für Ihre Daten
  • Blogbeitrag
    Aufsichtsbehörden fragen nicht mehr, ob Sie eine KI-Richtlinie haben. Sie wollen den Nachweis, dass sie funktioniert.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks