Editorial
Willkommen zur achten Ausgabe des KI-Security Briefing. Die europäische KI-Regulierung befindet sich in einer Phase politischer Nachsteuerung: Die Omnibus-Einigung vom 7. Mai 2026 sieht Vereinfachungen und Fristanpassungen vor, hebt den Handlungsbedarf aber nicht auf. Transparenzpflichten nach Art. 50 AI Act, GPAI-bezogene Anforderungen und die Vorbereitung auf Hochrisiko-Klassifikationen bleiben für Unternehmen prüfungsrelevant.
Parallel verschiebt sich die technische Lage. Neue Modellgenerationen, agentische Plattformen und KI-nahe Sicherheitsmechanismen machen Modellkarten, Datenresidenz, Berechtigungsmodelle, Protokollierung, Kostenkontrolle und Anbieter-Nachweise zu zentralen Beschaffungskriterien. KI wird damit von einem Werkzeug im Fachbereich zu einer regulierten Betriebsressource im IT- und Compliance-Stack.
Zugleich erreichen Prompt Injection, Shadow AI, Agenten-Workflows und KI-bezogene SaaS-Risiken die Ebene prüfbarer Kontrollen. Die Zahlen aktueller Studien sind methodisch unterschiedlich zu bewerten; ihr gemeinsamer Befund ist eindeutig: KI-Sicherheit gehört in ISMS, AIMS, Incident Response und Procurement.
Diese Ausgabe ordnet sieben Themen-Cluster mit Fokus auf Fristen, Rollen, Nachweise und Managementmaßnahmen ein. Nutzen Sie die Tag-Filter, um gezielt nach Governance, Security oder Enterprise-Themen zu navigieren. Ich freue mich über Ihre Rückmeldungen per E-Mail.
Ihr
Florian Priegnitz
Information Security Consultant | ISO 27001 Lead Implementer
SECURAM Consulting GmbH
Themen dieser Ausgabe
01 EU AI Act im Umbruch: Omnibus-Verschiebung
02 Internationale Regulierungswelle: China verschärft anthropomorphe KI
03 Frontier-Modellgeneration: Claude Opus 4.7
04 Agentische KI wird Default: Google I/O 2026 hebt Antigravity
05 KI-Kosten als Betriebsrisiko: Anthropic
06 Operative AI-Risiken: Prompt Injection
07 Souveränität und Beschaffungsstandards: BSI C3A
08 Hintergrund: KI, Menschenwürde und Verantwortung
🏷️ Filter nach Thema
EU AI Act im Umbruch: Omnibus-Vereinfachung, Art.-50-Transparenzpflichten und Hochrisiko-Leitlinien
Der EU AI Act wird durch die Omnibus-Diskussion politisch nachjustiert, bleibt aber für Unternehmen operativ relevant. Entscheidend ist die Trennung zwischen vorläufiger politischer Einigung, finalem Rechtsakt, Leitlinienentwürfen und bereits vorzubereitenden Pflichten. Art.-50-Transparenz, GPAI-Nachweise und die Klassifikation potenzieller Hochrisiko-Systeme gehören weiterhin in die AI-Act-Roadmap.
Die Kommissionsentwürfe zu Art. 50 und zur Hochrisiko-Klassifikation liefern bereits jetzt belastbare Prüfraster, auch wenn sie noch nicht die Qualität eines finalen Leitlinienstands haben. Unternehmen sollten daher nicht auf eine vermeintliche regulatorische Pause setzen, sondern KI-Inventar, Anbieterunterlagen, Transparenztexte und Fristenmatrix aktualisieren.
- Prüfen: KI-Inventar nach Art.-50-Relevanz, GPAI-Abhängigkeiten und potenzieller Hochrisiko-Einstufung strukturieren.
- Nachweis: Anbieterunterlagen, Modellumfang, Sicherheits- und Compliance-Dokumentation sowie Klassifikationsbegründung je System hinterlegen.
- Regulatorischer Bezug: AI Act mit Art. 50, GPAI-Pflichten und Hochrisiko-Klassifikation; DSGVO bei personenbezogenen Daten; NIS2 nur bei entsprechendem Sektorbezug.
Internationale Regulierungswelle: China, Vereinigtes Königreich und CNIL schärfen KI-Vorgaben nach
China, das Vereinigte Königreich und die CNIL konkretisieren 2026 KI-Vorgaben für besonders sensible Nutzungsszenarien. Im Mittelpunkt stehen anthropomorphe und emotional interaktive Dienste, Minderjährigenschutz, automatisierte Entscheidungen, Deepfakes, Cyberrisiken und Trainingsdaten aus öffentlich zugänglichen Quellen.
Für DACH-Unternehmen ist daraus vor allem die Szenario-Prüfung relevant: Marktbezug, Zielgruppe, Datenkategorie und Interaktionsdesign entscheiden über den Compliance-Aufwand. Berechtigtes Interesse beim Web-Scraping bleibt eine dokumentationspflichtige Einzelfallabwägung, kein pauschaler Freibrief für Trainingsdatenprojekte.
- Prüfen: Drittland-Marktexposition, jugendnahe Dienste, Avatar- und Likeness-Funktionen, ADM-Prozesse und Web-Scraping-Projekte identifizieren.
- Nachweis: Drittland-Compliance-Matrix, AI-DPIA, Einwilligungslogik, Minderjährigenschutz und Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO dokumentieren.
- Regulatorischer Bezug: Chinesische Vorgaben für anthropomorphe KI, UK-Code-of-Practice-Verfahren, CNIL/DSGVO; AI Act und DSA je nach System- und Plattformkontext.
- Global Times/Xinhua: China issues interim measures to regulate AI anthropomorphic services
- Hogan Lovells: China’s Interim Measures for Anthropomorphic AI Interaction Services
- UK Legislation: SI 2026/425
- ICO: Five steps to protect your organisation from AI-powered cyber threats
- CNIL: KI-Entwicklung, Web-Scraping und berechtigtes Interesse
- CNIL/VYV: IA conversationnelle et santé mentale des jeunes
Frontier-Modellgeneration: Claude Opus 4.7, GPT-5.5, Gemini 3.5 und Gemma 4 erhöhen den Prüfbedarf
Neue Modellgenerationen von Anthropic, OpenAI und Google verschieben den Prüfbedarf von reinen Leistungsbenchmarks zu Beschaffung, Sicherheit und Governance. Model Cards, Safety Reports, Datenresidenz, Lizenzbedingungen, Provenance-Funktionen, Tokenkosten und regionale Verarbeitung werden zu zentralen Bewertungskriterien.
Für produktive Workloads sollte ein Modellwechsel wie eine relevante Änderung der Systemarchitektur behandelt werden. Anbieterangaben zu Safeguards oder Frontier-Safety ersetzen keine eigene Prüfung; sie sind Due-Diligence-Artefakte, die mit Tests, Verträgen und Freigabeentscheidungen verbunden werden müssen.
- Prüfen: Eingesetzte Modellversionen, API-Preise, Datenresidenzoptionen, Lizenzbedingungen, Provenance-Funktionen und Integrationspfade aktualisieren.
- Nachweis: Modellvergleichsmatrix mit TCO-Szenarien, Safety-Unterlagen, Datenresidenz-Mapping und dokumentierter Freigabe pro Workload führen.
- Regulatorischer Bezug: AI Act bei GPAI-, Transparenz- oder Hochrisiko-Bezug; DSGVO bei personenbezogenen Daten und besonderen Kategorien; NIS2, CRA und DORA kontextabhängig.
Agentische KI wird Plattformthema: Governance, Tool-Zugriffe und Entwickler-Workflows rücken zusammen
Agentische KI wird zum Plattformthema. Google und andere Anbieter verlagern Agenten, Tool-Zugriffe, Coding-Workflows und Browser-Schnittstellen in Enterprise-Stacks. Damit entstehen neue Kontrollfragen: Welche Identität hat ein Agent, welche Tools darf er nutzen, welche Daten sieht er und welche Aktionen benötigen Freigabe?
Für Unternehmen ist nicht die einzelne Produktankündigung entscheidend, sondern die Beherrschbarkeit der Laufzeit. Agent Registry, Least Privilege, Tool-Aufruf-Logging, DLP, Secrets-Schutz, Freigabeprozesse und Kill-Switches müssen vor dem Rollout definiert sein; nachträgliche Betriebsanweisungen reichen bei agentischen Workflows nicht aus.
- Prüfen: Agenten-Workloads, Workspace- und Cloud-Connectoren, Coding-Agenten, WebMCP-nahe Schnittstellen, CI/CD-Integrationen und Schreibrechte erfassen.
- Nachweis: Agenten-Governance-Framework mit Identity, Berechtigungsmatrix, Tool-Inventar, Logging, DLP-Regeln und getesteten Abschaltmechanismen etablieren.
- Regulatorischer Bezug: AI Act nur kontextabhängig; DSGVO bei personenbezogenen Daten; NIS2, CRA und DORA bei kritischen, produkt- oder finanznahen Einsatzszenarien.
KI-Kosten als Betriebsrisiko: Nutzungsbasierte Modelle, Bundles und CLI-Migrationen verändern die TCO
KI-Kosten entwickeln sich von planbaren Seat-Gebühren zu variablen Betriebsaufwänden. Tokenverbrauch, Agentenlaufzeiten, Kontextfenster, Zusatzcredits, regionale Verarbeitung, Coding-Zugänge und Plattform-Bundles machen TCO-Kalkulationen komplexer und anfälliger für Fehlsteuerung.
Die Anbieterbewegungen bei Anthropic, Microsoft, Google und OpenAI zeigen ein gemeinsames Muster: Ein scheinbar günstiger Zugang kann durch Verbrauch, Bundle-Zwang, Credit-Ablauf oder Migration teurer werden. KI-Beschaffung braucht deshalb Budget-Caps, Renewal-Transparenz, Workload-Mapping und Plan-B-Szenarien.
- Prüfen: Seat-Typen, API-Preise, Credit-Regeln, Renewal-Termine, regionale Verarbeitung, Agentenlaufzeiten und betroffene Coding-Workflows erfassen.
- Nachweis: TCO-Matrix pro Anbieter und Workload, Budget-Alarme, Verbrauchs-Caps, Migrationsplan und Verhandlungsliste für Renewals dokumentieren.
- Regulatorischer Bezug: Primär Beschaffung und Vertragssteuerung; DSGVO bei Anbieterwechsel, Protokolldaten oder Drittlandtransfer; NIS2/DORA bei regulierten Betriebsumgebungen.
Operative AI-Risiken: Prompt Injection, Shadow AI und Agenten-Incidents erreichen die Kontrollpraxis
Prompt Injection, Shadow AI und unbekannte Agenten werden zu prüfbaren Betriebsrisiken. Die Studienlage ist methodisch heterogen, zeigt aber dieselbe Richtung: KI-Systeme nehmen externe Inhalte auf, rufen Tools auf und handeln unter technischen oder menschlichen Identitäten. Dadurch reichen klassische E-Mail-, Endpoint- und SIEM-Perspektiven nicht mehr aus.
Besonders kritisch sind RAG-Systeme, Browser-Agenten, Coding-Agenten, SaaS-Agenten und Automatisierungen mit Schreibrechten. Sicherheitskontrollen müssen deshalb Daten- und Instruktions-Trennung, Guardrails, Tool-Aufruf-Logging, Prompt-Injection-Tests, Incident-Response-Playbooks und Kill-Switches umfassen.
- Prüfen: KI- und Agenten-Inventar einschließlich Shadow AI, RAG-Quellen, Service Accounts, Connectoren und Tool-Rechte aktualisieren.
- Nachweis: ISMS-Risikoregister, Prompt-Injection-Testfälle, Guardrail-Policies, Tool-Logs, IR-Playbook und getestete Kill-Switches vorhalten.
- Regulatorischer Bezug: DSGVO Art. 32, 33 und 34 bei personenbezogenen Daten; AI Act in Hochrisiko- oder GPAI-Kontexten; NIS2, CRA und DORA je nach Einsatzumfeld.
Souveränität und Beschaffungsstandards: BSI C3A, NIST-Profil, Anthropic RSP und Android-Interoperabilität
Souveränität wird zu einem harten Beschaffungskriterium für KI- und Cloud-Dienste. BSI C3A, NIST-Profil, Anthropic RSP, Provenance-Initiativen und das DMA-Verfahren zu Android zeigen: Preis und Funktion reichen als Auswahlkriterien nicht mehr aus. Entscheidend sind Kontrolle, Portabilität, Datenresidenz, Auditierbarkeit und Interoperabilität.
Unternehmen sollten C3A, Anbieter-Governance-Dokumente und Provenance-Mechanismen als Beschaffungsnachweise nutzen, aber nicht mit Rechtskonformität verwechseln. EU-Verfügbarkeit, Supportzugriffe, Unterauftragsverarbeiter, Transfermechanismen und tatsächliche Modellregionen müssen pro Workload und Vertrag geprüft werden.
- Prüfen: Cloud- und KI-Verträge, Datenresidenz, Supportzugriffe, Subprozessoren, Portabilität, Provenance-Funktionen und mobile Plattformabhängigkeiten bewerten.
- Nachweis: Beschaffungs-Checkliste mit C3A-Bezug, Datenresidenz-Matrix, Anbieter-Due-Diligence, Provenance-Prüfplan und Exit-Bewertung führen.
- Regulatorischer Bezug: AI Act Art. 50 und GPAI je nach Nutzung; DSGVO Art. 28, 32 und 44 ff.; NIS2, CRA, DORA und DMA bei entsprechendem Kontext.
- BSI: C3A — Souveränitätskriterien für Cloud-Dienste
- NIST: AI RMF Profile for Trustworthy AI in Critical Infrastructure
- Anthropic: Responsible Scaling Policy
- innFactory: Google Gemini Models — Vertex-AI-Verfügbarkeit
- OpenAI: Advancing content provenance
- EU-Kommission: Interoperabilitätsmaßnahmen für Android unter dem DMA
Hintergrund
Die Debatte um KI-Governance erhält mit der Enzyklika Magnifica Humanitas von Papst Leo XIV. einen langfristig relevanten ethischen Referenzpunkt. Das Lehrschreiben behandelt die Bewahrung des Menschen im Zeitalter der künstlichen Intelligenz und stellt KI ausdrücklich in den Zusammenhang sozialer Grundsatzfragen: Menschenwürde, Arbeit, Wahrheit, Freiheit, Abhängigkeit, Machtkonzentration und Frieden. Damit wird KI nicht nur als Technologie-, Markt- oder Regulierungsthema verhandelt, sondern als Prüfstein für das Verhältnis zwischen technischer Macht und menschlicher Verantwortung.
Für Unternehmen ist die Enzyklika kein Rechtsrahmen und keine zusätzliche Compliance-Pflicht. Sie ist jedoch ein deutliches Erwartungssignal: KI-Systeme müssen nicht nur rechtmäßig, sicher und wirtschaftlich betrieben werden, sondern auch an Transparenz, Autonomie, sozialer Wirkung und menschlicher Letztverantwortung gemessen werden. Gerade bei Agenten, automatisierten Entscheidungen, Arbeitsplatzveränderungen, Konversations-KI und sicherheitskritischen Anwendungen ergänzt diese Perspektive die juristische und technische Governance um eine normative Tiefenschicht.
Besonders anschlussfähig ist der Gedanke der „Entwaffnung“ von KI: Nicht die Ablehnung von Technologie steht im Mittelpunkt, sondern ihre Begrenzung, Kontrolle und Ausrichtung auf den Menschen. In der englischen Wiedergabe heißt es prägnant: „To disarm does not mean rejecting technology, but preventing it from dominating humanity.“ Für die Praxis bedeutet dies: KI-Governance sollte nicht erst bei Rechtskonformität enden, sondern dort beginnen, wo technische Systeme Einfluss auf Arbeit, Entscheidungsspielräume, Kommunikation und gesellschaftliche Teilhabe gewinnen.
Vatikan: Originaltext der Enzyklika „Magnifica Humanitas“ Vatikanisches Presseamt: Veröffentlichung und Einordnung der Enzyklika The Guardian: Internationale Einordnung und Zitat zur „Entwaffnung“ von KI
Über den Autor
Florian Priegnitz
Information Security Consultant | ISO 27001 Lead Implementer · SECURAM Consulting GmbH
Spezialisiert auf die Sicherheitsaspekte generativer KI-Systeme sowie deren Compliance-konforme Integration in Unternehmensprozesse. Informationssicherheit ganzheitlich verstehen bedeutet, dass KI immer ein Teil der Informationssicherheit sein muss. SECURAM unterstützt Unternehmen dabei, innovative KI-Technologien sicher in ihre Geschäftsprozesse zu implementieren und regulatorische Risiken zu minimieren.