Eine aktuelle Studie von Okta zeigt ein auffälliges Bild für Deutschland: Obwohl Beschäftigte vergleichsweise selten nicht genehmigte KI-Anwendungen nutzen und vertrauliche Daten zurückhaltend weitergeben, melden Unternehmen die höchste Quote an KI-bedingten Sicherheitsverletzungen im internationalen Vergleich.

Der »AI Agents at Work 2026 Report« von Okta zeigt erhebliche Unterschiede zwischen der Einschätzung von Führungskräften und dem tatsächlichen Umgang mit KI-Anwendungen in Unternehmen. Für Deutschland ergibt sich dabei ein auffälliges Bild: Trotz vergleichsweise geringer Nutzung nicht genehmigter KI-Werkzeuge melden Unternehmen hierzulande besonders häufig Sicherheitsvorfälle im Zusammenhang mit Künstlicher Intelligenz.

Studie zeigt hohe Zahl von Sicherheitsverletzungen

Die Untersuchung basiert auf einer internationalen Befragung zu Nutzung, Governance und Sicherheit von KI-Anwendungen in Unternehmen. Weltweit gaben 58 Prozent der befragten Organisationen an, innerhalb der vergangenen zwölf Monate einen KI-bezogenen Sicherheitsvorfall oder Beinaheunfall erlebt zu haben.

Für Deutschland fällt das Ergebnis besonders deutlich aus. Zwar nutzen lediglich 32 Prozent der Beschäftigten sogenannte Schatten-KI, also nicht genehmigte KI-Anwendungen am Arbeitsplatz. Damit gehört Deutschland zu den Ländern mit den niedrigsten Werten in der Studie. Gleichzeitig berichten jedoch 68 Prozent der Unternehmen von KI-Sicherheitsproblemen. 44 Prozent verzeichneten sogar eine tatsächliche Sicherheitsverletzung. Dies ist laut Studie der höchste Wert im internationalen Vergleich.

Auch beim Umgang mit sensiblen Informationen zeigen sich deutsche Beschäftigte zurückhaltend. Nur 14 Prozent geben an, vertrauliche Unternehmensdokumente an KI-Tools weiterzugeben. Weltweit liegt dieser Anteil deutlich höher.

Genehmigte KI-Systeme geraten in den Fokus

Die Studienautoren sprechen von einem »Compliance-Paradoxon«. Die Ergebnisse deuten darauf hin, dass Sicherheitsrisiken nicht vorrangig durch heimlich genutzte Anwendungen entstehen. Vielmehr könnten offiziell freigegebene KI-Werkzeuge und deren Absicherung zum Problem werden.

Weltweit nutzen mehr als die Hälfte der Beschäftigten KI-Anwendungen außerhalb der offiziell genehmigten Infrastruktur. Gleichzeitig vertrauen 90 Prozent der Führungskräfte darauf, vollständige Transparenz über die eingesetzten KI-Systeme zu besitzen. Diese Einschätzung steht im Widerspruch zu den Angaben der Mitarbeitenden.

Hinzu kommt, dass 29 Prozent der weltweit Befragten vertrauliche Dokumente mit KI-Anwendungen teilen. Weitere 16 Prozent geben sogar Passwörter oder Zugangsdaten an solche Systeme weiter. Zudem erhalten KI-Anwendungen in vielen Unternehmen direkten Zugriff auf interne Datenquellen und Geschäftsanwendungen.

Unterschiede zwischen Management und Belegschaft

Die Studie zeigt auch deutliche Unterschiede in der Wahrnehmung von Risiken und Regelwerken. In Deutschland sind 64 Prozent der Führungskräfte überzeugt, dass Beschäftigte KI verantwortungsvoll einsetzen. Gleichzeitig bewerten viele Mitarbeitende die internen Vorgaben deutlich kritischer.

So halten 52 Prozent der deutschen Manager die Richtlinien zur KI-Nutzung für klar verständlich und ausreichend kommuniziert. Unter den Beschäftigten teilen lediglich 40 Prozent diese Einschätzung.

Zudem spielt der Wunsch nach höherer Produktivität eine wichtige Rolle. Für 36 Prozent der deutschen Wissensarbeiter steht Effizienz bei der Nutzung von KI an erster Stelle. Das ist laut Studie der höchste Wert unter den untersuchten Ländern. Sicherheitsbedenken äußern dagegen lediglich 28 Prozent der Befragten in Deutschland.

Identitätsmanagement wird als zentrale Schutzmaßnahme genannt

Ein weiterer Schwerpunkt der Untersuchung betrifft das Identitäts- und Zugriffsmanagement. Weltweit wenden nur 34 Prozent der Unternehmen dieselben Sicherheitskontrollen auf KI-Agenten und digitale Identitäten an wie auf menschliche Beschäftigte.

Thomas Heinz, Senior Manager Solutions Engineering bei Okta, sieht darin ein wesentliches Risiko: »Das deutsche Compliance-Paradoxon ist ein deutlicher und dringender Weckruf für die gesamte Wirtschaft. Es reicht bei weitem nicht mehr aus, sich auf die traditionelle Regeltreue der Belegschaft zu verlassen. Wenn 44 Prozent unserer Unternehmen trotz der weltweit zweitniedrigsten Schatten-KI-Nutzung echte Sicherheitsverletzungen erleiden, liegt das Problem im System.«

Weiter erklärt Heinz: »Wir müssen daher umdenken: Autonome KI-Agenten dürfen nicht länger als reine Software-Werkzeuge betrachtet werden. Sie agieren eigenständig und müssen zwingend wie privilegierte, vollwertige digitale Identitäten behandelt werden – inklusive derselben strengen Zugriffsrechte, IAM-Kontrollen und Überwachungsmechanismen, die wir für menschliche Mitarbeiter seit Jahren voraussetzen.«

Unternehmen sollen KI-Governance ausbauen

Aus Sicht der Studienautoren sollten Unternehmen davon ausgehen, dass KI-Prozesse bereits in vielen Bereichen der Organisation stattfinden. Deshalb seien Transparenz, kontinuierliche Überwachung und einheitliche Sicherheitsrichtlinien erforderlich.

Der Bericht empfiehlt, jeden KI-Agenten als eigenständige digitale Identität mit definierten Berechtigungen und einem klar geregelten Lebenszyklus zu verwalten. Dadurch sollen Risiken besser kontrolliert und Zugriffe auf Unternehmensdaten nachvollziehbar gemacht werden.