KI im Unternehmen: Wo es aktuell am meisten hakt
Gleich mehrere Studien zeichnen ein ernüchterndes Bild der KI-Einführung in der Wirtschaft: Die Technologie wird in hohem Tempo ausgerollt, doch Sicherheitskonzepte, Governance-Strukturen und operative Kontrollen halten nicht Schritt. Die Kluft zwischen Ambition und Wirklichkeit wächst – mit konkreten Folgen für Compliance, Datenschutz und Geschäftskontinuität.
Zwischen Ende 2025 und Anfang 2026 haben OpenText, Veeam, NTT DATA, TrendAI (ein Geschäftsbereich von Trend Micro), Kiteworks und ISACA unabhängig voneinander Fach- und Führungskräfte weltweit befragt. Die Studien kommen aus unterschiedlichen Blickwinkeln (Cloud-Infrastruktur, Datensouveränität, Cybersicherheit, Governance) und landen dennoch beim selben Befund: Die Verantwortlichen wissen um die Risiken der KI-Nutzung, handeln aber nicht konsequent genug.
Tempo vor Absicherung
Was die Studien durchgehend dokumentieren, ist ein Muster, das sich als strukturelles Dilemma beschreiben lässt: Die Geschäftsführung will KI und das möglichst schnell. Sicherheitsverantwortliche können aber häufig nur noch reagieren. Laut TrendAI, das 200 deutsche Entscheider befragte, standen 70 Prozent bereits unter Druck, KI-Projekte trotz Sicherheitsbedenken zu genehmigen.17 Prozent von ihnen bezeichnetet diese Bedenken sogar als „extrem” – und wurden trotzdem übergangen, um mit dem Wettbewerb Schritt zu halten.
Das Tempo der Einführung ist dabei kein Einzelphänomen. Laut der gemeinsamen Studie von OpenText und dem Ponemon Institute nutzt bereits mehr als die Hälfte der befragten Organisationen generative KI vollständig oder teilweise. NTT DATA berichtet, dass praktisch alle Befragten angeben, KI erhöhe den Bedarf an Cloud-Investitionen – gleichzeitig sind fast neun von zehn überzeugt, dass ihre aktuellen Investitionen dafür nicht ausreichen.
Der tatsächliche Reifegrad bleibt jedoch weit hinter den Ambitionen zurück. Laut OpenText erreicht nur jede fünfte Organisation einen hohen KI-Reifegrad im Bereich Cybersicherheit. Die NTT-DATA-Studie zeigt ein ähnliches Bild auf der Infrastrukturebene: Lediglich 14 Prozent der Firmen haben den höchsten Reifegrad bei der Cloud-Nutzung erreicht – obwohl Cloud-Infrastruktur die zentrale Grundlage für KI-Anwendungen bildet. „KI entwickelt sich schneller als die Cloud-Reife in Unternehmen”, sagt Charlie Li, President und Global Head of Cloud and Security bei NTT DATA.
Regeln fehlen oft noch
Besonders auffällig ist, dass die Schwachstelle nicht primär bei der Technologie liegt, sondern bei Governance, Richtlinien und organisatorischen Abläufen. Die Werkzeuge sind oft vorhanden, aber was fehlt, sind die Regeln für ihren Einsatz und die Strukturen, um diese durchzusetzen.
Laut der OpenText-Studie verfügen nur vier von zehn Organisationen über spezifische Datenschutzrichtlinien für KI, obwohl 59 Prozent der Befragten angeben, KI erschwere die Einhaltung von Datenschutz- und Sicherheitsvorgaben. TrendAI kommt zu einem ähnlichen Ergebnis für Deutschland: Nur 41 Prozent der Firmen haben umfassende KI-Richtlinien, die Mehrheit befindet sich noch in der Ausarbeitung. KI wird also bereits produktiv eingesetzt, bevor die Spielregeln stehen.
Die ISACA-Studie unter 681 europäischen Fachleuten macht die Konsequenzen greifbar: In jeder dritten Organisation müssen Mitarbeiter nicht einmal offenlegen, wann sie KI nutzen. Jeder fünfte Befragte weiß nicht, wer zur Rechenschaft gezogen würde, wenn ein KI-System Schaden verursacht. Und auf die Frage, wie schnell ein KI-System im Krisenfall gestoppt werden könnte, antworten 59 Prozent schlicht: Sie wissen es nicht. Chris Dimitriadis, Chief Global Strategy Officer bei ISACA, warnt deshalb: „Die Kluft zwischen Implementierung und Governance schließt sich nicht, sie wird größer.”
Auch auf Vorstandsebene mangelt es an Aufmerksamkeit. Laut Veeam, das mehr als 4.000 Führungskräfte und IT-Manager befragte, haben 38 Prozent der Vorstände oder Führungsteams noch nie formell über KI-gesteuerte Angriffsarten diskutiert. Nur knapp ein Drittel überprüft vierteljährlich die Resilienzbereitschaft, und lediglich ein Viertel der Führungskräfte nimmt regelmäßig an Krisensimulationen teil.
Die Umsetzung hakt
Der Kiteworks Data Sovereignty Report 2026 illustriert das Auseinanderklaffen von Bewusstsein und Wirksamkeit besonders anschaulich. Die Studie befragte 286 Fachleute in Europa, Kanada und dem Nahen Osten zur Datensouveränität, also der Frage, wer tatsächlich die Kontrolle über die eigenen Daten hat. In Europa bezeichnen sich 80 Prozent der Befragten als gut bis sehr gut informiert über die Anforderungen. Dennoch meldete fast jede dritte europäische Organisation im vergangenen Jahr einen Vorfall, darunter unbefugte grenzüberschreitende Datenübermittlungen, behördliche Auskunftsersuchen und Compliance-Verstöße durch Dritte.
Die Erklärung liege laut Kiteworks nicht im fehlenden Wissen, sondern in einer operativen Schwäche. Viele Cloud-Umgebungen erfüllen zwar die rechtlichen Anforderungen an den Datenstandort, gewähren dem Anbieter aber weiterhin technischen Zugriff über die Encryption-Schlüssel. „Die Lücke liegt nicht im Wissen”, sagt Dario Perfettibile, General Manager EMEA bei Kiteworks. „Es ist die Kluft zwischen den Richtlinien und der Architektur, die die Datenresidenz tatsächlich durchsetzt.” In Europa sehen 44 Prozent der Befragten die Souveränitätsgarantien ihrer Cloud-Anbieter als größtes Hindernis. Das ist der höchste Wert aller befragten Regionen.
NTT DATA verweist zudem auf ein verwandtes Infrastrukturproblem: Die Hälfte der befragten Firmen gibt an, dass Legacy-Anwendungen und veraltete Datenplattformen die cloudbasierte Innovation blockieren. Modernisierung sei deshalb die wichtigste Cloud-Priorität für die nächsten zwei Jahre. Doch auch hier klafft eine Lücke: Weniger als die Hälfte ist mit ihrem Fortschritt bei der Modernisierung zufrieden.
Agentische KI verschärft die Probleme
Besonders brisant wird die Lage beim Thema autonome und agentische KI-Systeme, die eigenständig Entscheidungen treffen und handeln sollen. Die Studienergebnisse deuten darauf hin, dass sich Organisationen in Richtung dieser Technologien bewegen, ohne geklärt zu haben, wie sie im Ernstfall die Kontrolle behalten.
Laut TrendAI glauben in Deutschland nur 36 Prozent der Entscheider, dass agentische KI die Cyberabwehr kurzfristig spürbar verbessern wird. Das sind deutlich weniger als im globalen Durchschnitt. Die Bedenken sind konkret: Mehr als ein Drittel sieht den Zugriff von KI-Agenten auf sensible Daten als größtes Risiko, 39 Prozent warnen vor manipulierten Prompts und knapp ein Drittel bemängelt fehlende Transparenz. Zwar befürworten 35 Prozent der deutschen Befragten die Einführung sogenannter „Kill-Switch”-Mechanismen, aber fast die Hälfte ist sich noch unsicher, ob solche Notabschaltungen überhaupt sinnvoll wären. Rachel Jin, Head of TrendAI, fasst zusammen: „Ohne Transparenz und Kontrollmechanismen setzen Unternehmen Systeme ein, die sie nicht vollständig verstehen oder steuern können.”
Die OpenText-Studie bestätigt diese Skepsis: Nur knapp die Hälfte der Befragten hält ihre KI-Systeme für fähig, zuverlässig eigenständig zu lernen und sichere Entscheidungen zu treffen. Die Mehrheit hält menschliche Kontrolle weiterhin für unverzichtbar – vor allem, weil sich Angreifer schnell anpassen. Gleichzeitig haben mehr als sechs von zehn Firmen große Schwierigkeiten, Modell- und Bias-Risiken zu kontrollieren.
Über die unmittelbaren Sicherheitsfragen hinaus zeichnen sich weitere Spannungsfelder ab. Der Kiteworks-Report zeigt, dass KI-Governance zum nächsten Schauplatz der Datensouveränitätsdebatte wird. In Europa bewahren nur 34 Prozent der Befragten alle KI-Trainingsdaten innerhalb der EU auf, ein weiteres Drittel verfolgt einen gemischten Ansatz je nach Datensensibilität. Der EU AI Act, politische Kurswechsel in den USA und die Durchsetzung bestehender Datenschutzgesetze werden von europäischen Organisationen gleichermaßen als Hürden genannt. Keine andere Region sieht sich laut Kiteworks mit so vielen regulatorischen Herausforderungen gleichzeitig konfrontiert.
Ferner sind die finanziellen Aufwände bereits erheblich: Die Mehrheit gebe jährlich mehr als eine Million US-Dollar für die Einhaltung von Souveränitätsvorschriften aus. Änderungen an der technischen Infrastruktur und juristisches Fachwissen verschlingen dabei die meisten Ressourcen. Zugleich sehen die Befragten einen klaren geschäftlichen Nutzen: Mehr als sechs von zehn verknüpfen ihre Souveränitätsbemühungen mit erhöhter Sicherheit, gut die Hälfte in Europa mit gesteigertem Kundenvertrauen.
Vorfälle treffen auch die Belegschaft
Die Veeam-Studie lenkt den Blick zudem auf eine Dimension, die in der Diskussion um KI-Risiken oft untergeht: die menschlichen Kosten. Mehr als die Hälfte der befragten Führungskräfte gibt an, dass Mitarbeiter nach schwerwiegenden Cybervorfällen gekündigt, mit Kündigung gedroht oder ein Burnout erlitten haben. Produktivitätsverluste und Beeinträchtigungen des Wohlbefindens zählen laut Veeam zu den größten unerwarteten Auswirkungen solcher Vorfälle.
Die Ausgangslage ist dabei alles andere als beruhigend: 83 Prozent der befragten Firmen hatten in den letzten fünf Jahren Datenausfälle, die nicht sofort behoben werden konnten. Drei Viertel geben an, einen vollständigen Datenausfall von mehr als drei Tagen nicht überstehen zu können. Externe Cyberangriffe, menschliches Versagen und System- oder Hardwareausfälle sind laut Veeam die häufigsten Ursachen. Dave Russell, Senior Vice President bei Veeam, mahnt: „Zu viele Unternehmen gehen beim Risikomanagement immer noch reaktiv vor, obwohl echte Innovation und echtes Vertrauen auf einer Grundlage aus resilienten, sicheren Daten beruhen.”
Muhi Majzoub von OpenText formuliert es ähnlich: „Sicherheit und Governance sind die Grundlage, um echten Mehrwert aus KI zu ziehen. Wenn sie von Anfang an integriert sind, können Unternehmen transparenter arbeiten, Systeme kontinuierlich überwachen und den Ergebnissen vertrauen.” In der Summe ergibt sich über alle Studien hinweg ein konsistentes Bild: Nicht die Technologie selbst ist das Problem, sondern die fehlenden Strukturen, um sie verantwortungsvoll zu betreiben. Die hier ausgewerteten Studien stammen dabei zwar von Anbietern mit eigenen Geschäftsinteressen, die Stoßrichtung ist aber einheitlich: Wer KI ohne belastbare Governance einführt, riskiert mehr als nur regulatorische Strafen.
Quellen: OpenText/Ponemon Institute „Managing Risks and Optimizing the Value of AI, GenAI & Agentic AI” (2026), Veeam-Umfrage zur Datenresilienz (2026), NTT DATA „Cloud-led innovation in the era of AI” (2026), TrendAI Global AI Study (2026), Kiteworks „2026 Data Security and Compliance Risk: Data Sovereignty Report” (2026), ISACA AI Pulse Poll 2026 (Vorabveröffentlichung).
Transparenzhinweis: Dieser Artikel wurde mit Unterstützung von KI-Werkzeugen erstellt. Die inhaltliche Verantwortung, Überprüfung der Fakten und redaktionelle Bearbeitung liegen bei der Redaktion.