Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Wichtige Erkenntnisse aus dem ISACA Tech Trends Report 2026 für das Risikomanagement im öffentlichen Sektor

Wichtige Erkenntnisse aus dem ISACA Tech Trends Report 2026 für das Risikomanagement im öffentlichen Sektor

von Patrick Spencer updated Oktober 23, 2025 Cybersecurity-Risikomanagement
Lesezeit: 14 Minuten

Die Cybersicherheitslandschaft im öffentlichen Sektor steht an einem entscheidenden Wendepunkt. Laut der ISACA-Umfrage „2026 Tech Trends and Priorities Pulse Poll“, an der 2.963 Fachleute für digitale Vertrauenswürdigkeit aus den Bereichen Cybersecurity, IT-Audit, Governance, Risikomanagement und Compliance teilnahmen, sehen sich Bundes- und Landesbehörden einer nie dagewesenen Kombination aus Bedrohungen, regulatorischen Vorgaben und technologischer Komplexität gegenüber.

Die Ergebnisse zeigen deutliche Herausforderungen für Fachleute im staatlichen Risikomanagement. 59 Prozent der Befragten nennen KI-gesteuerte Cyberbedrohungen und Deepfakes als ihre Hauptsorge für 2026 – erstmals übertreffen damit Bedrohungen durch künstliche Intelligenz klassische Angriffsvektoren. Gleichzeitig geben 66 Prozent an, dass Compliance im Fokus ihrer Organisation steht, während 62 Prozent Geschäftskontinuität und Resilienz priorisieren. Besonders besorgniserregend: Nur 13 Prozent der Fachleute fühlen sich „sehr gut vorbereitet“, um Risiken durch generative KI zu managen.

Diese Zahlen sind relevant, weil Behörden die sensibelsten Daten des Landes verarbeiten – von klassifizierten Informationen bis zu personenbezogenen Daten (PII) der Bürger. Während Behörden die digitale Transformation und KI-Einführung unter Vorgaben wie Executive Order 14028 und der Zero Trust-Strategie des DoD beschleunigen, erfordern die Schnittstellen von Datensicherheit, Compliance und Datenschutz umfassende Lösungen, die sowohl klassische als auch neue Bedrohungen adressieren.

wichtige Erkenntnisse

  1. KI-gesteuerte Bedrohungen dominieren die Cybersicherheitslandschaft. 63 Prozent der Fachleute sehen KI-basierte Social-Engineering-Angriffe als größte Cyberbedrohung für 2026 – noch vor klassischen Risiken wie Ransomware. Behörden stehen hochentwickelten, KI-gestützten Phishing-Attacken, Deepfakes und automatisierter Aufklärung in nie dagewesenem Ausmaß gegenüber.
  2. Es besteht eine erhebliche Lücke bei der Vorbereitung auf KI-Risiken. Nur 13 Prozent fühlen sich sehr gut vorbereitet, generative KI-Risiken zu managen, obwohl 59 Prozent KI-Bedrohungen als Hauptsorge nennen. Diese Diskrepanz schafft Verwundbarkeiten, da Behörden die KI-Einführung unter Bundesvorgaben beschleunigen.
  3. Regulatorische Compliance erfordert sofortiges Handeln bei engen Fristen. CMMC 2.0 wird bis Oktober 2026 für DoD-Verträge verpflichtend und benötigt 12–18 Monate Vorlauf für die Zertifizierung. Gleichzeitig müssen Behörden bis 2027 Zero Trust Architecture implementieren und sich in einem sich wandelnden KI-Regulierungsumfeld zurechtfinden.
  4. Zero Trust-Implementierung verlangt eine datenzentrierte Sicherheitsarchitektur. Effektives Zero Trust geht über Netzwerksteuerung hinaus und setzt auf inhaltsbasierte Ansätze zum Schutz von Daten nach Klassifizierung. KI-Systeme benötigen attributbasierte Zugriffskontrollen, sichere Daten-Gateways und umfassende Audit-Trails über den gesamten KI-Lebenszyklus.
  5. Workforce-Entwicklung ist entscheidend zur Bewältigung neuer Bedrohungen. 41 Prozent sehen das Schritt halten mit KI-getriebenem Wandel als größte berufliche Herausforderung. Behörden müssen in die Weiterbildung aktueller Mitarbeitender zu KI-Sicherheit investieren, funktionsübergreifende KI-Governance-Kompetenz aufbauen und um knappe KI-Sicherheitstalente konkurrieren.

Bedrohungslandschaft im Wandel: KI als Gegner

KI-gesteuerte Bedrohungen dominieren die Sorgen der Fachleute

Die ISACA-Umfrage zeigt einen grundlegenden Wandel im Bedrohungsumfeld. 63 Prozent der Befragten nennen KI-basierte Social-Engineering-Angriffe als größte Cyberbedrohung für Organisationen im Jahr 2026 – der höchste Wert der Umfrage. Das ist ein deutlicher Unterschied zu den Vorjahren, in denen Ransomware im Fokus stand. Ransomware bleibt mit 54 Prozent weiterhin relevant, ebenso Supply-Chain-Angriffe mit 35 Prozent, doch KI-basierte Bedrohungen stehen nun im Mittelpunkt.

Die Auswirkungen auf staatliche Abläufe sind erheblich. KI-gestütztes Social Engineering ermöglicht hochgradig personalisierte Phishing-Kampagnen gegen Bundesangestellte, erzeugt überzeugende Deepfakes zur Imitation von Amtsträgern und automatisiert die Ausspähung von Regierungsnetzwerken in großem Maßstab. Besonders Bundesländer und Kommunen, die oft über begrenzte Cybersecurity-Ressourcen verfügen, sind anfällig für diese ausgefeilten Angriffe.

Vorbereitungslücke

Die Daten zeigen eine besorgniserregende Diskrepanz zwischen Bedrohungsbewusstsein und organisatorischer Bereitschaft. Während 59 Prozent der Fachleute erwarten, dass KI-basierte Bedrohungen sie nachts wachhalten, hinkt die tatsächliche Vorbereitung deutlich hinterher. Nur 13 Prozent beschreiben ihre Organisation als „sehr gut vorbereitet“ für den Umgang mit generativen KI-Risiken. Weitere 30 Prozent geben an, wenig oder gar nicht vorbereitet zu sein.

Diese Lücke führt zu Belastungen im Personalbereich. 41 Prozent der Befragten sehen das Schritt halten mit KI-getriebenem Wandel als größte berufliche Herausforderung für 2026, gefolgt von wachsender Bedrohungskomplexität mit 27 Prozent. Hinzu kommen bestehende Personalprobleme: 23 Prozent nennen Schwierigkeiten bei Bindung und Gewinnung von Talenten, 14 Prozent berichten von Burnout unter Cybersecurity-Mitarbeitenden.

KI-spezifische Datenrisiken für staatliche Abläufe

Die Integration von KI in staatliche Prozesse bringt neue Herausforderungen für die Datensicherheit, die über klassische Bedrohungsmodelle hinausgehen. Unbefugte KI-Systeme, die auf Controlled Unclassified Information (CUI) oder klassifizierte Daten zugreifen, stellen ein erhebliches Risiko dar. Im Gegensatz zu menschlichen Nutzern können KI-Systeme riesige Datenmengen mit Maschinen­geschwindigkeit verarbeiten, wodurch klassische Zugriffskontrollen nicht ausreichen.

Der Schutz von Trainingsdaten ist eine weitere zentrale Herausforderung. Behörden, die KI-Fähigkeiten entwickeln, müssen die für das Training verwendeten Unternehmensdaten absichern. Datenvergiftung – das Einschleusen bösartiger oder irreführender Informationen in Trainingsdatensätze – kann die Integrität von KI-Modellen gefährden. Dieses Risiko betrifft nicht nur externe Angreifer, sondern auch Insider und Schwachstellen in der Lieferkette bei der KI-Entwicklung.

Produktiv eingesetzte KI-Systeme erzeugen fortlaufende Risiken durch Inferenz- und Entscheidungsprozesse. Prompt-Injection-Angriffe können KI-Systeme manipulieren, um Sicherheitskontrollen zu umgehen oder sensible Informationen zu extrahieren. Staatliche KI-Systeme, die über Leistungsansprüche, Sicherheitsüberprüfungen oder Ressourcenzuteilung entscheiden, benötigen kontrollierten Datenzugriff, der die Sicherheitsklassifizierung über den gesamten KI-Lebenszyklus hinweg wahrt.

Um diese Herausforderungen zu adressieren, benötigen Behörden Zero-Trust-KI-Datenzugriffskontrollen, die jede Zugriffsanfrage verifizieren, granulare Berechtigungen, die nur autorisierten KI-Systemen Zugriff auf bestimmte Datensätze gewähren, sowie Echtzeit-Tracking für vollständige Transparenz beim KI-Datenverbrauch. Sichere KI-Daten-Gateways schaffen geschützte Verbindungen zwischen KI-Systemen und Unternehmensdaten, während umfassende Audit-Trails Compliance und Vorfalluntersuchungen unterstützen.

Regulatorische Compliance: Die höchste Priorität

Compliance als strategische Notwendigkeit

Compliance steht für 2026 an oberster Stelle: 66 Prozent der ISACA-Befragten sehen sie als sehr wichtigen Fokusbereich. Diese Priorisierung spiegelt die wachsende Komplexität und Reichweite staatlicher Cybersecurity-Vorgaben wider. 32 Prozent erwarten, dass regulatorische Komplexität und globale Compliance-Risiken sie nachts wachhalten – ein zentrales Thema, da Nichteinhaltung zu Ausschluss von Aufträgen, Geldstrafen und Beeinträchtigung der Mission führen kann.

Die Daten zeigen zudem einen Wandel in der Wahrnehmung regulatorischer Anforderungen. Statt Compliance nur als Belastung zu sehen, glauben 62 Prozent, dass Cyberregulierung das Geschäftswachstum fördert, und 78 Prozent, dass sie das digitale Vertrauen in den nächsten Jahren stärkt. Das deutet auf die Erkenntnis hin, dass richtig implementierte Compliance-Rahmenwerke die Sicherheitslage verbessern und die Leistungsfähigkeit der Organisation erhöhen.

Zero Trust Architecture Vorgabe

Executive Order 14028 „Verbesserung der Cybersicherheit der Nation“ verpflichtet Bundesbehörden zur Einführung von Zero Trust Architecture (ZTA). Die Zero Trust-Strategie des Verteidigungsministeriums (DoD) sieht die Umsetzung erster Fähigkeiten bis zum Haushaltsjahr 2027 vor. CISAs Microsegmentation-Leitfaden bietet praktische Strategien, um laterale Bewegungen im Netzwerk zu verhindern – ein zentrales Zero Trust-Prinzip.

Zero Trust bedeutet einen grundlegenden Wechsel von perimeterbasierter Sicherheit zu kontinuierlicher Verifizierung. Das Modell geht davon aus, dass kein implizites Vertrauen aufgrund des Netzwerkstandorts besteht; jede Zugriffsanfrage muss unabhängig von der Quelle verifiziert werden. Datengesteuerte Sicherheit bildet die Grundlage für eine effektive Zero Trust-Implementierung: Sie erfordert das Verständnis von Datenflüssen, die Umsetzung granularer Zugriffskontrollen und die Aufrechterhaltung vollständiger Transparenz bei Dateninteraktionen.

Für KI-Systeme bedeutet Zero Trust die Einführung attributbasierter Zugriffskontrollen (ABAC), die Berechtigungen dynamisch nach Datensensitivität, KI-Systemanforderungen und Kontextfaktoren anpassen. Dieser Ansatz ersetzt binäre Zugriffsentscheidungen durch risikobasierte Bewertungen mit mehreren Variablen. Behörden benötigen sichere Verbindungen zwischen KI-Systemen und Datenquellen, Echtzeit-Monitoring des KI-Datenverbrauchs und automatisierte Richtliniendurchsetzung, die Governance-Regeln bei KI-Datenzugriffen anwendet.

CMMC 2.0 Compliance-Anforderungen

Das Cybersecurity Maturity Model Certification (CMMC) 2.0-Programm legt verbindliche Cybersecurity-Standards für die Defense Industrial Base fest. Die finale DFARS-Regel wurde am 10. September 2025 veröffentlicht und tritt am 10. November 2025 in Kraft. Ab dem 31. Oktober 2026 ist CMMC-Compliance für alle neuen DoD-Vertragsvergaben verpflichtend.

CMMC sieht drei Zertifizierungsstufen vor:

  • Level 1 (Grundlegend) für Federal Contract Information mit 17 Basis-Praktiken und Selbsteinschätzung
  • Level 2 (Fortgeschritten) für CUI mit allen 110 Praktiken aus NIST SP 800-171 und Drittparteien-Prüfung bei priorisierten Verträgen
  • Level 3 (Experte) für kritische nationale Sicherheitsinformationen, geprüft durch das Defense Industrial Base Cybersecurity Assessment Center

Da die Erreichung von CMMC Level 2 in der Regel 12–18 Monate dauert, müssen Auftragnehmer und Behörden, die mit Auftragnehmern zusammenarbeiten, sofort mit den Vorbereitungen beginnen, um die Verteidigungsfähigkeit zu sichern.

KI-spezifische regulatorische Rahmenwerke

Die Einführung von KI in Behörden erfolgt unter mehreren Vorgaben, doch die regulatorischen Rahmenwerke für KI-Sicherheit entwickeln sich weiter. Das NIST AI Risk Management Framework (AI RMF 1.0) bietet umfassende Leitlinien zur Identifikation, Bewertung und Steuerung von KI-Risiken und adressiert Vertrauensmerkmale wie Validität, Zuverlässigkeit, Sicherheit, Resilienz, Verantwortlichkeit, Transparenz und Datenschutz.

Executive Order 14110 legt bundesweite Anforderungen an KI-Sicherheit und -Schutz fest, verpflichtet Behörden zur Einführung von Schutzmaßnahmen für KI-Systeme, zur Pflege von Dateninventaren für KI-Nutzung und zur Ausrichtung an NIST-Standards. Behörden müssen dokumentieren, welche KI-Systeme auf welche Daten zugreifen, Trainingsdatenquellen erfassen und umfassende Audit-Trails für KI-Interaktionen führen.

Zur Unterstützung dieser Anforderungen sind technische Fähigkeiten erforderlich, darunter umfassende Audit-Trails zur Dokumentation der für KI-Training und Inferenz genutzten Datenquellen, Datenherkunftsnachweise zur Rückverfolgung von Trainingsdaten über den KI-Lebenszyklus, Integritätsmanagement zur Sicherstellung der Korrektheit und Eignung von Trainingsdaten sowie unveränderliche Protokollierung für manipulationssichere Aufzeichnungen aller KI-Dateninteraktionen.

Datenschutz und Datenhoheit

30 Prozent der ISACA-Befragten sehen Datenschutz und Datenhoheit als technologische Prioritäten für ihre Arbeit im Jahr 2026. Behörden verwalten komplexe Datenschutzpflichten nach branchenspezifischen Regelungen wie dem Privacy Act von 1974, HIPAA für Gesundheitsdaten und Landesgesetzen wie dem California Consumer Privacy Act.

Vorgaben zum grenzüberschreitenden Datentransfer erschweren internationale Behördenarbeit. Datenlokalisierungsvorschriften in verschiedenen Ländern verlangen, dass bestimmte Datenkategorien innerhalb geografischer Grenzen verbleiben. Behörden mit multinationalen Aktivitäten müssen technische Kontrollen zur Einhaltung der Datenresidenz umsetzen, oft mit standortspezifischer Infrastruktur und Routing-Regeln. Für KI-Systeme bedeutet dies, zu steuern, wo KI-Training und Inferenz stattfinden, um Datenhoheit zu gewährleisten.

Grundlagen der Datensicherheit für Behörden

Inhaltsbasierter Zero Trust-Ansatz

Effektives Zero Trust für Behörden verlangt einen Wandel von netzwerkzentrierter zu inhaltsbasierter Sicherheit, bei der Daten je nach Klassifizierung, Sensitivität und Geschäftskontext geschützt werden. Behörden verwalten vielfältige Datentypen mit unterschiedlichen Schutzanforderungen: Federal Contract Information benötigt Basisschutz, CUI unterliegt 110 NIST SP 800-171-Anforderungen, klassifizierte Informationen fallen unter Richtlinien der Intelligence Community.

Die Kategorisierung von Daten bildet die Grundlage dieses Ansatzes. Behörden müssen erfassen, welche Daten sie besitzen, diese nach Sensitivität und regulatorischen Vorgaben klassifizieren und dokumentieren, wo sie gespeichert sind und wie sie durch Systeme fließen. Diese Inventarisierung ermöglicht granulare Zugriffskontrollen und den Nachweis regulatorischer Compliance.

Echtzeit-Tracking des Datenzugriffs schafft die für Zero Trust notwendige Transparenz. Behörden benötigen vollständige Protokolle, die zeigen, wer wann auf welche Daten zugegriffen und welche Aktionen durchgeführt hat. Diese Transparenz ermöglicht die Erkennung von Anomalien, unterstützt Vorfalluntersuchungen und liefert Nachweise für Compliance-Audits.

Technische Sicherheitskontrollen

Datensicherheit auf Behördenniveau erfordert technische Kontrollen für Vertraulichkeit und Integrität. Doppelte Verschlüsselung – auf Datei- und Speicherebene – schützt Daten in verschiedenen Schlüsselmanagement-Domänen. Transport Layer Security (TLS) 1.3 schützt Daten während der Übertragung, AES-256 sichert Daten im ruhenden Zustand. Behörden sollten FIPS 140-2-validierte kryptografische Module einsetzen, um die Einhaltung von Bundesstandards sicherzustellen.

Ende-zu-Ende-Verschlüsselung gewährleistet Schutz über den gesamten Datenlebenszyklus. Behörden behalten mit eigenen Verschlüsselungsschlüsseln die volle Kontrolle über den Datenzugriff, ohne auf Drittparteien angewiesen zu sein – das adressiert Bedenken bezüglich Cloud Service Provider und stellt sicher, dass nur autorisierte Mitarbeitende sensible Informationen entschlüsseln können.

Architektur für sichere KI-Daten-Gateways

Die Absicherung des KI-Zugriffs auf Behördendaten erfordert eine speziell entwickelte Architektur, die die besonderen Anforderungen von KI-Workflows adressiert. Ein sicheres KI-Daten-Gateway schafft einen geschützten Pfad zwischen KI-Systemen und Unternehmensdaten, vermittelt alle Interaktionen, erzwingt Sicherheitsrichtlinien und führt umfassende Audit-Trails.

API-First-Integration ermöglicht nahtlose Anbindung an bestehende KI-Infrastrukturen. Behörden, die Machine-Learning-Plattformen, Data-Science-Umgebungen oder KI-basierte Anwendungen einsetzen, können Gateway-Funktionen integrieren, ohne grundlegende Architekturänderungen vorzunehmen. Retrieval-Augmented Generation (RAG) unterstützt eine sichere Datenanreicherung für große Sprachmodelle und ermöglicht die Nutzung interner Wissensdatenbanken bei granularer Kontrolle des Informationszugriffs.

Erweiterte Datenschutzschichten adressieren spezifische KI-Sicherheitsherausforderungen. Daten-Watermarking bettet Identifikationsmerkmale in Datensätze ein, sodass Behörden die Datennutzung über KI-Systeme hinweg verfolgen und unbefugten Datenabfluss erkennen können. Automatisiertes Data Loss Prevention (DLP)-Scanning verhindert, dass KI-Systeme unberechtigt auf sensible Informationen zugreifen, indem Richtlinien den Zugriff auf klassifizierte Daten, PII oder andere sensible Kategorien blockieren, sofern keine explizite Freigabe vorliegt.

Behördenspezifische Use Cases

Behörden benötigen sichere Datenkommunikation in vielfältigen Szenarien: Schutz diplomatischer Korrespondenz, Verteilung von Haushalts- und Finanzdaten, Zusammenarbeit bei der Politikentwicklung, Austausch von Cyberbedrohungsinformationen zwischen Behörden, Übermittlung von Förderanträgen, Transfer klassifizierter Informationen und Kommunikation zwischen Behörden.

Für KI-spezifische Szenarien brauchen Behörden Funktionen für sicheres KI-Training mit Behördendaten – um KI-Fähigkeiten zu entwickeln und gleichzeitig sensible Trainingsdaten zu schützen – sowie kontrollierte KI-Inferenz für entscheidungskritische Prozesse, etwa bei Leistungsansprüchen, Sicherheitsüberprüfungen oder Ressourcenzuteilung, mit angemessenen Sicherheitskontrollen für den KI-Datenzugriff in Echtzeit.

Daten-Governance und Datenschutzmanagement

Umfassendes Governance-Framework

Daten-Governance umfasst vier miteinander verbundene Komponenten: Datenresidenz (geografische Anforderungen), Sicherheitskontrollen (Schutz von Vertraulichkeit und Integrität), Datenschutz (Umgang mit personenbezogenen Informationen) und Compliance (Nachweis der Einhaltung regulatorischer Rahmenwerke).

Die Rolle des Datenschutzbeauftragten sorgt für dedizierte Governance-Führung: Koordination der Datenschutzprogramme, Beratung zu Datenschutzpflichten, Ansprechpartner für Aufsichtsbehörden und Überwachung der Compliance. Protokolle zur Datenklassifizierung und -tagging ermöglichen die automatisierte Anwendung von Sicherheitskontrollen je nach Sensitivität – mit konsistenten Klassifizierungsschemata, Metadaten-Tagging bei der Datenerstellung und Pflege der Klassifizierung über den gesamten Datenlebenszyklus.

KI-gestützte Governance-Funktionen

KI bringt neue Governance-Anforderungen, ermöglicht aber auch erweiterte Governance-Funktionen. Umfassende Audit-Trails für die KI-Datennutzung dokumentieren, welche Datenquellen KI-Systeme für Training und Inferenz nutzen, unterstützen die Compliance und ermöglichen algorithmische Transparenz. Systemweite Aktivitätsprotokolle erfassen Details wie Prompteingaben, abgerufene Kontextdaten, Modellentscheidungen, Vertrauenswerte und Endausgaben.

Datenherkunftsnachweise verfolgen die Informationsherkunft über den gesamten KI-Lebenszyklus: Behörden wissen, welche Dokumente, Datenbanken oder Systeme zu Trainingsdatensätzen beitrugen, wie Daten vorverarbeitet wurden und welche Modellversionen für bestimmte Ausgaben genutzt wurden. Policy-Frameworks setzen Governance-Regeln für den KI-Datenverbrauch durch, etwa über Risikopolitiken, die festlegen, welche KI-Systeme auf welche Datenkategorien zugreifen, welche Verarbeitungen erlaubt sind und welche Prüfprozesse gelten.

Echtzeit-Integration mit Security Information and Event Management (SIEM) ermöglicht unmittelbare Analyse von Sicherheitsereignissen und schafft kritische Transparenz über das Verhalten von KI-Systemen. Sicherheitsanalysten überwachen, welche KI-Systeme auf sensible Daten zugreifen, erkennen ungewöhnliche Zugriffsmuster und identifizieren potenzielle Datenabflüsse.

Datenschutz durch Technikgestaltung (Privacy by Design)

Datenschutz durch Technikgestaltung integriert Datenschutz von Anfang an in die Systementwicklung. Der europäische Datenschutzrahmen definiert sieben Prinzipien:

  1. Rechenschaftspflicht
  2. Richtigkeit
  3. Integrität und Vertraulichkeit
  4. Zweckbindung
  5. Datenminimierung
  6. Speicherbegrenzung
  7. Rechtmäßigkeit, Fairness und Transparenz

Die Anwendung auf die Entwicklung von KI-Systemen ist besonders wichtig, da KI datenintensiv ist und erhebliche Auswirkungen auf den Datenschutz haben kann.

Monitoring und Reporting

Umfassende Dashboards bieten Sicherheits- und Compliance-Teams zentrale Transparenz über die Daten­schutzlage und zeigen Kennzahlen wie Zugriffsversuche, Richtlinienverstöße, Nutzeraktivitäten und Compliance-Status. Für KI-spezifisches Monitoring sollten Dashboards anzeigen, welche KI-Systeme welche Datentypen wie oft und in welchem Umfang nutzen sowie welche Richtlinienausnahmen eine Überprüfung erfordern.

Compliance-spezifisches Reporting automatisiert die Nachweiserbringung für Audits. Statt Nachweise manuell aus verschiedenen Systemen zusammenzutragen, extrahiert automatisiertes Reporting relevante Daten, bereitet sie prüfergerecht auf und hält Nachweise für kontinuierliche Compliance bereit. Behörden, die mehrere regulatorische Rahmenwerke managen, profitieren von Reporting-Funktionen, die framework-spezifische Ausgaben – etwa FISMA-Berichte, CMMC-Nachweise oder Datenschutzbewertungen – aus einheitlichen Datenquellen generieren.

Geschäftskontinuität und Resilienz

Kontinuität als Priorität

62 Prozent der ISACA-Befragten sehen Geschäftskontinuität und Resilienz als sehr wichtige organisatorische Schwerpunkte für 2026. Kritische staatliche Dienstleistungen – Notfallmanagement, Leistungsgewährung, Strafverfolgung, Gesundheitswesen, Bildung – erfordern ständige Verfügbarkeit. Längere Ausfälle gefährden die öffentliche Sicherheit, beeinträchtigen Bürger und untergraben das Vertrauen in die Leistungsfähigkeit des Staates.

Die Aufrechterhaltung des Betriebs während KI-basierter Angriffe stellt neue Herausforderungen für die Kontinuität dar. KI-gesteuerte Angriffe identifizieren Schwachstellen, passen Taktiken an und agieren mit Maschinen­geschwindigkeit – das kann klassische Security Operations Center überfordern. Behörden benötigen automatisierte Verteidigungsmechanismen, resiliente Architekturen, die auch bei Teilkompromittierung funktionieren, und Verfahren für den Betrieb im Notfallmodus während längerer Angriffe.

Incident Response und Wiederherstellung

Umfassende Incident-Response-Pläne definieren Rollen, Abläufe und Kommunikationswege für das Management von Sicherheitsvorfällen – von der Erkennung bis zur Wiederherstellung. Behörden sollten Pläne für verschiedene Vorfalltypen entwickeln – Ransomware, Datenschutzverstöße, Insider-Bedrohungen, Supply-Chain-Kompromittierungen, Manipulation von KI-Systemen – und spezifische Playbooks für jedes Szenario bereitstellen.

KI-spezifische Incident Response adressiert besondere Szenarien wie Modellvergiftung, Prompt-Injection-Angriffe und adversarielle Beispiele, die KI-Systeme aus dem Tritt bringen. Behörden, die KI für operative Entscheidungen einsetzen, sollten Verfahren zur Validierung von KI-Ausgaben bei Verdacht auf Manipulation, zum Wiederaufbau von Modellen aus verifizierten Datenquellen und zum Betrieb ohne KI-Funktionen während der Wiederherstellung entwickeln.

Resilienz durch Datenschutz

Umfassender Datenschutz stärkt die Resilienz, indem Single Points of Failure reduziert und schnelle Wiederherstellung ermöglicht werden. Geografische Redundanz bei der Datenspeicherung stellt Verfügbarkeit auch bei lokalen Vorfällen sicher. Kontinuierliches Compliance-Monitoring liefert laufend Nachweise statt punktueller Prüfungen, überprüft die Umsetzung von Kontrollen, validiert Konfigurationen und zeigt den Compliance-Status in Echtzeit an.

Sichere KI-Daten-Gateways sorgen dafür, dass KI-Funktionen auch bei Kompromittierung angrenzender Netzwerke verfügbar bleiben, sodass Behörden KI-basierte Abläufe während längerer Incident-Response- und Wiederherstellungsphasen aufrechterhalten können. Plattformen, die sich flexibel an neue KI-Regulierungen anpassen lassen, ermöglichen es Behörden, Compliance durch Konfigurationsanpassungen und nicht durch grundlegende Neuentwicklung zu wahren.

Workforce- und Talentmanagement

62 Prozent der ISACA-Befragten geben an, dass ihre Organisationen 2026 neue Fachkräfte für digitale Vertrauensrollen einstellen wollen, aber 44 Prozent erwarten Schwierigkeiten, qualifizierte Kandidaten zu finden. Behörden stehen vor besonderen Herausforderungen im Wettbewerb um Cybersecurity-Talente mit der Privatwirtschaft, die oft höhere Vergütungen bietet. Der wachsende Bedarf an KI-Sicherheitsspezialisten – Fachleute mit Expertise in KI und Cybersecurity – verschärft die Talentsituation zusätzlich.

39 Prozent der Befragten priorisieren die Weiterbildung der Belegschaft im Bereich Datensicherheit als sehr wichtig. KI-Sicherheits- und Schutztrainings ermöglichen es bestehenden Cybersecurity-Fachleuten, ihre Expertise auf KI-spezifische Bedrohungen und Kontrollen zu erweitern – von KI-Angriffsvektoren über Sicherheitskontrollen für KI-Systeme bis zu KI-spezifischen regulatorischen Rahmenwerken und Betriebsverfahren für sichere KI-Workloads.

Das Verständnis von KI-Rahmenwerken wie dem NIST AI RMF befähigt Sicherheitsfachleute, Risiken von KI-Systemen zu bewerten, geeignete Kontrollen umzusetzen und KI-Risiken gegenüber Führungskräften zu kommunizieren. Kontinuierliche Weiterbildung und Zertifizierungsprogramme belegen die Fachkompetenz und bieten strukturierte Entwicklungspfade – etwa durch Zertifikate wie CISSP, CISM oder neue KI-orientierte Abschlüsse.

Sinnvolle Empfehlungen für Behörden

Basierend auf den Ergebnissen der ISACA-Studie „2026 Tech Trends“ sollten Behörden fünf zentrale Handlungsfelder priorisieren:

  1. Robuste KI-Governance- und Risikorahmenwerke etablieren

    Behörden müssen von Ad-hoc-Ansätzen zu strukturierten Governance-Programmen übergehen, die sich am NIST AI RMF und an bundesweiten KI-Anforderungen orientieren. Implementieren Sie Zero-Trust-KI-Datenzugriffskontrollen, die jede KI-Zugriffsanfrage verifizieren, den Zugriff auf das notwendige Minimum beschränken und umfassende Audit-Trails führen. Entwickeln Sie KI-spezifische Datenschutzrichtlinien, die festlegen, auf welche Datenklassifikationen KI-Systeme zugreifen dürfen, welche Verarbeitungen erlaubt sind und welche Monitoring-Anforderungen für KI-Prozesse gelten.

  2. Workforce-Upskilling und Talentpipeline beschleunigen

    Investieren Sie in die Entwicklung der KI-Sicherheitskompetenz Ihrer aktuellen Belegschaft durch Trainings zu KI-Angriffsvektoren, Sicherheitskontrollen für KI-Systeme und KI-spezifischen Regulierungen. Kontinuierliches Lernen hält Security-Teams auf dem neuesten Stand, während sich KI-Technologien und Bedrohungen weiterentwickeln. Der Aufbau von KI-Governance-Kompetenz erfordert funktionsübergreifende Entwicklung – von Security-Fachleuten über Datenschutzbeauftragte und Juristen bis zu Programmmanagern.

  3. Legacy-Systeme und Infrastruktur modernisieren

    Die Modernisierung von Altsystemen reduziert Schwachstellen und ermöglicht die Integration moderner Sicherheitswerkzeuge. Implementieren Sie eine sichere KI-Daten-Gateway-Architektur, die geschützte Verbindungen zwischen KI-Systemen und Unternehmensdaten bereitstellt. Setzen Sie doppelte Verschlüsselung und fortschrittliche Kontrollen wie eigene Verschlüsselungsschlüssel, FIPS 140-2-validierte Kryptografie, Multi-Faktor-Authentifizierung und automatisiertes Data Loss Prevention ein.

  4. Cyber-Resilienz und Business-Continuity-Planung stärken

    Bereiten Sie sich auf anhaltende KI-basierte Angriffe mit KI-spezifischen Incident-Response-Prozessen vor – etwa für Modellvergiftung, Prompt-Injection-Angriffe und adversarielle Beispiele. Testen Sie Pläne durch Übungen, um Schwachstellen zu erkennen, bevor Angreifer sie ausnutzen. Schaffen Sie Redundanzen für KI-abhängige Abläufe, damit Behörden kritische Funktionen aufrechterhalten können, falls KI-Systeme bei Sicherheitsvorfällen deaktiviert werden müssen.

  5. Vorbereitung auf regulatorische Komplexität und internationale Compliance

    Meistern Sie wachsende regulatorische Anforderungen durch Compliance-Automatisierung über mehrere Rahmenwerke hinweg – mit Tools, die Sicherheitskontrollen auf verschiedene Vorgaben abbilden und framework-spezifische Compliance-Berichte generieren. Beobachten Sie die Entwicklung von KI-Regulierungen, um proaktiv Compliance sicherzustellen. Implementieren Sie Funktionen zum Schutz grenzüberschreitender Daten, die Datenhoheit und internationale Compliance-Anforderungen adressieren.

Unmittelbare Prioritäten

  • Führen Sie eine KI-Datenrisikoanalyse durch, um zu identifizieren, welche KI-Systeme Ihre Behörde betreibt, auf welche Daten diese zugreifen und welche Risiken durch KI-Verarbeitung entstehen.
  • Setzen Sie Zero-Trust-KI-Zugriffskontrollen als Sofortmaßnahme um – mit Authentifizierung, Zugriffsbeschränkung auf das notwendige Minimum und Protokollierung des KI-Datenverbrauchs.
  • Implementieren Sie umfassende Audit-Trails für die KI-Nutzung, um Monitoring und Untersuchungen zu ermöglichen.
  • Führen Sie Datenherkunftsnachweise ein, die die Quellen der KI-Trainingsdaten dokumentieren.
  • Nutzen Sie KI-Sicherheitsplattformen, die auf Behördenanforderungen ausgelegt sind – mit FedRAMP-Zertifizierung, Verständnis für FCI– und CUI-Anforderungen und Erfahrung mit Sicherheitsbedürfnissen des öffentlichen Sektors.

Fazit

Die im ISACA-Bericht „2026 Tech Trends“ identifizierten Herausforderungen an Datensicherheit, Compliance und Datenschutz erfordern integrierte Ansätze im staatlichen Risikomanagement. Mit 59 Prozent, die sich vor KI-Bedrohungen sorgen, aber nur 13 Prozent, die sich vorbereitet fühlen, ist der Handlungsbedarf offensichtlich. Behörden können Sicherheit, Compliance und Datenschutz nicht als getrennte Initiativen betrachten – sie bilden miteinander verbundene Säulen, die eine koordinierte Strategie, einheitliche Architektur und umfassende Governance verlangen.

KI erweitert klassische Sicherheitsrahmen um neue Dimensionen. Während Behörden seit Jahrzehnten Daten vor menschlichen Bedrohungen schützen, bringt KI maschinellen Datenkonsum, automatisierte Angriffe und Verarbeitung in einem Umfang, der menschliche Kontrolle übersteigt. Klassische Sicherheitskontrollen für menschliche Nutzer reichen für KI-Systeme mit kontinuierlichem Datenzugriff nicht aus.

Datengesteuerte Sicherheit bildet die Grundlage für alle drei Säulen. Durch Sicherheitskontrollen, die Daten unabhängig von Netzwerkstandort oder Verarbeitungssystem schützen, sichern Behörden Informationen über den gesamten Lebenszyklus. Sichere KI-Daten-Gateways ermöglichen es, KI-Funktionen zu nutzen und gleichzeitig Kontrolle, Transparenz und Compliance über sensible Daten während des gesamten KI-Lebenszyklus – vom Training bis zur Inferenz und Ausgabe – zu wahren.

Die Einhaltung der Compliance-Fristen 2026–2027 für CMMC und Zero Trust erfordert sofortiges Handeln, da die Umsetzung 12–18 Monate beansprucht. Behörden müssen Innovation ermöglichen und gleichzeitig sensible Daten durch maßgeschneiderte Sicherheitsarchitekturen schützen. Der Aufbau nachhaltiger Sicherheitsprogramme zur Unterstützung der KI-Einführung erfordert Investitionen in Menschen, Prozesse und Technologie – von Workforce-Entwicklung über KI-Governance bis zur sicheren KI-Daten-Gateway-Infrastruktur.

Der Weg nach vorn beginnt mit der Bewertung der aktuellen KI-Datensicherheitslage, strategischer Planung für Compliance-Fristen, der Auswahl passgenauer Lösungen für behördenspezifische Anforderungen und proaktiven Ansätzen zum KI-Risikomanagement. Behörden, die jetzt entschlossen handeln, können KI-Fähigkeiten sicher nutzen und gleichzeitig regulatorische Vorgaben erfüllen.

Häufig gestellte Fragen

Bundesbehörden und Auftragnehmer sollten die Vorbereitung auf CMMC sofort starten, da die Zertifizierung für Level 2 in der Regel 12–18 Monate dauert. Für die CMMC 2.0-Compliance müssen Behörden alle 110 Praktiken aus NIST SP 800-171 zum Schutz von Controlled Unclassified Information (CUI) umsetzen, Gap-Assessments zur Identifikation aktueller Sicherheitslücken durchführen, technische Kontrollen wie Verschlüsselung und Zugriffsmanagement implementieren und für priorisierte Verträge Drittparteien-Prüfer einbinden. Die finale Regel tritt am 10. November 2025 in Kraft, ab dem 31. Oktober 2026 ist die Compliance für neue DoD-Verträge verpflichtend.

Beim Einsatz von KI-Systemen mit Zugriff auf sensible Daten benötigen Behörden Zero-Trust-KI-Datenzugriffskontrollen, die jede Anfrage verifizieren, attributbasierte Zugriffskontrollen (ABAC) für dynamische Berechtigungen umsetzen und sichere KI-Daten-Gateways schaffen, die geschützte Pfade zwischen KI-Systemen und Datenquellen bereitstellen. Weitere Maßnahmen sind umfassende Audit-Trails für alle KI-Dateninteraktionen, Datenherkunftsnachweise zur Identifikation von Trainingsdatenquellen, Echtzeit-Monitoring des KI-Datenverbrauchs und automatisiertes Data Loss Prevention (DLP), um unbefugten Zugriff auf klassifizierte Informationen oder personenbezogene Daten (PII) zu verhindern.

Risikomanager können die KI-Vorbereitungslücke schließen, indem sie strukturierte KI-Governance-Programme nach dem NIST AI Risk Management Framework implementieren, in Workforce-Upskilling durch KI-Sicherheitstrainings zu Angriffsvektoren und Kontrollen investieren, KI-spezifische Incident-Response-Prozesse für Szenarien wie Modellvergiftung und Prompt-Injection einführen und umfassende Monitoring-Funktionen für das Verhalten von KI-Systemen etablieren. Die ISACA-Umfrage zeigt, dass nur 13 Prozent sich sehr gut auf generative KI-Risiken vorbereitet fühlen, obwohl 59 Prozent KI-Bedrohungen als Hauptsorge nennen – sofortiges Handeln ist daher entscheidend.

Behörden, die Zero Trust-Prinzipien für KI-Abläufe wahren wollen, sollten inhaltsbasierte Sicherheitsansätze zur Datenklassifizierung und -sensitivität implementieren, sichere KI-Daten-Gateways mit API-First-Integration für nahtlose KI-Plattformanbindung einführen, doppelte Verschlüsselung mit FIPS 140-2-validierten kryptografischen Modulen umsetzen und Echtzeit-Tracking mit umfassender Protokollierung etablieren. Diese Architektur ermöglicht die kontinuierliche Verifizierung von KI-Zugriffsanfragen, granulare Berechtigungen nach Datensensitivität und vollständige Audit-Trails für Security-Monitoring und Compliance-Nachweis gemäß Executive Order 14028 und DoD Zero Trust Strategy.

Behörden, die internationale KI-Abläufe steuern, müssen technische Kontrollen zur Einhaltung der Datenresidenz gemäß geografischer Vorgaben implementieren, Datenlokalisierungsfunktionen einsetzen, um bestimmte Informationen in vorgeschriebenen Jurisdiktionen zu halten, Routing-Regeln für KI-Training und Inferenzverarbeitung festlegen und umfassende Dokumentation der Datenflüsse über Grenzen hinweg führen. Da 30 Prozent der Fachleute Datenschutz und Datenhoheit als Priorität für 2026 sehen, benötigen Behörden Infrastruktur für geografische Redundanz, automatisierte Richtliniendurchsetzung für Datenhoheitsregeln und Monitoring-Systeme, die KI-Datenverbrauch über verschiedene Jurisdiktionen hinweg verfolgen, um Vorgaben wie DSGVO, Landesdatenschutzgesetze und branchenspezifische Regelungen einzuhalten.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks