35 Prozent der Firmen erkennen KI-Cyberangriffe nicht sicher

Worum es geht

ISACA meldete am 6. Mai 2026 neue Europa-Zahlen aus einer AI Pulse Poll. 35 Prozent der befragten europäischen Organisationen können nicht sagen, ob sie bereits von einem KI-gestützten Cyberangriff getroffen wurden.

Das ist keine abstrakte Governance-Meldung. Es geht um Sichtbarkeit: Wenn ein Unternehmen nicht erkennt, ob Phishing, Social Engineering oder Datenmanipulation bereits mit KI verstärkt wurden, kann es Risiken nicht sauber priorisieren.

Was die Studie tatsächlich macht

Die Zahlen beruhen laut ISACA auf einer Befragung von 681 Digital-Trust-Fachleuten in Europa, durchgeführt vom 6. bis 22. Februar 2026. 71 Prozent sagen, KI-gestütztes Phishing und Social Engineering seien schwieriger zu erkennen. 58 Prozent sagen, KI erschwere die Prüfung digitaler Informationen deutlich. 38 Prozent berichten sinkendes Vertrauen in klassische Erkennungsmethoden.

Gleichzeitig nutzen Unternehmen KI breit im Alltag. 82 Prozent erlauben KI-Nutzung, 74 Prozent explizit generative KI. Aber nur 42 Prozent haben eine formale, umfassende KI-Policy. Ein Drittel verlangt nicht einmal die Offenlegung, wenn KI an Arbeitsergebnissen beteiligt war.

Warum das wichtig ist

Der gefährliche Teil ist die Schere zwischen Nutzung und Kontrolle. Mitarbeitende schreiben Texte, analysieren Daten und automatisieren Aufgaben mit KI. Angreifer nutzen dieselben Fortschritte für glaubwürdigere Mails, Deepfake-Inhalte, schnellere Reconnaissance und bessere Täuschung. Wenn Governance und Schulung hinterherhinken, entsteht ein blinder Fleck im Sicherheitsmodell.

SecurityBrief UK bestätigt die zentralen Zahlen aus der ISACA-Meldung und ordnet sie als europäisches Sichtbarkeitsproblem ein. Der EU AI Act wird laut ISACA zwar von 45 Prozent als Governance-Rahmen genannt, aber 26 Prozent folgen noch keinem Framework.

Einfach erklärt

Stell dir einen Rauchmelder vor, der bei normalem Rauch piept, aber bei neuem, geruchlosem Rauch unsicher ist. Viele Firmen benutzen jetzt neue Maschinen in der Küche, aber haben den Rauchmelder nicht angepasst. Sie wissen nicht, ob es schon gebrannt hat oder ob nur niemand den Alarm gehört hat.

Praktisches Beispiel

Ein mittelständischer Zulieferer mit 800 Mitarbeitenden erlaubt generative KI für Texte und Tabellen. Das spart Zeit: 60 Teams nutzen Tools für Angebote, Support und Analyse. Gleichzeitig gibt es keine Offenlegungspflicht, keine zentrale Freigabeliste und kein Training gegen KI-Phishing. Ein Angreifer imitiert einen Lieferanten mit perfekt formulierten Mails und manipulierten PDF-Anhängen. Ohne neue Kontrollen bleibt unklar, ob der Vorfall nur Spam war oder Teil einer gezielten KI-gestützten Kampagne.

Einordnung und Grenzen

• Die Umfrage misst Selbstauskünfte von Fachleuten, keine forensisch bestätigten Angriffe.
• „KI-gestützter Angriff“ ist in der Praxis schwer abzugrenzen, weil Angreifer ihre Werkzeuge selten offenlegen.
• Eine KI-Policy allein schützt nicht. Sie braucht Asset-Inventar, Logging, Schulung, technische Kontrollen und klare Verantwortliche.

SEO- und GEO-Schlüsselbegriffe

ISACA AI Pulse Poll, AI cyberattacks Europe, KI-Phishing, Social Engineering, EU AI Act, AI Governance, Cybersecurity Training, Digital Trust, AI Risk, Shadow AI, European cybersecurity