AI First ist keine Innovationsstrategie, sondern eine Governance-Entscheidung. Eine Studie zeigt: Wo strukturelle Reife, Mandatsklarheit und Sicherheitsarchitektur der Skalierung hinterherlaufen, steigen Schäden, Erholungszeiten und Haftungsrisiken signifikant. Mit EU AI Act und NIS2 wird KI-Governance zur prüfbaren Managementqualität und damit zu einer Frage unternehmerischer Verantwortung.
Inhaltsverzeichnis
- I. Datenlage: Was der Global Security Research Report tatsächlich zeigt – und was nicht
- II. Diagnose: Ein Architekturproblem, kein Technologieproblem
- III. Die politische Dimension: Wer gestaltet Mandatsarchitektur?
- IV. Regulatorischer Druck als externer Reifetreiber
- V. Die Rolle von HR: Strukturelle Notwendigkeit, keine Rollenerweiterung
- VI. Perspektive: Was sich mit Wahrscheinlichkeit entwickeln wird
- VII. Fazit: Die entscheidende Frage ist nicht ob, sondern wer
- FAQs
I. Datenlage: Was der Global Security Research Report tatsächlich zeigt – und was nicht
Grundlage der folgenden Analyse ist der Global Security Research Report des Anbieters Fastly, für den die Forschungsagentur Sapio im vierten Quartal 2025 insgesamt 2.000 IT-Entscheider großer Unternehmen in 21 Regionen befragt hat. Das Konfidenzintervall liegt bei ±2,6 Prozentpunkten bei einem Signifikanzniveau von 95 Prozent. Bevor die Befunde als Faktenlage gelten können, sind zwei methodische Einschränkungen zu benennen.
Erstens handelt es sich bei den erhobenen Daten ausschließlich um Selbstauskünfte von IT-Entscheidern. Erholung, Schadenshöhe und Vorfallursachen werden von den Betroffenen selbst eingeschätzt – externe Verifikation fehlt. Zudem ist Fastly als Anbieter von Sicherheitslösungen kommerziell am Sicherheitsbewusstsein seiner Zielgruppe interessiert. Das entwertetet die Studie nicht, verlangt aber eine selektive Rezeption.
Mit diesen Vorbehalten im Blick sind die Kernergebnisse dennoch aufschlussreich, weil sie konsistente Muster zeigen, keine Einzelbefunde:
Erholungszeit: KI-orientierte Unternehmen – definiert als solche, die KI formal oder informell in ihre Kernprozesse integriert haben – benötigen im Durchschnitt 6,8 Monate zur Erholung von Sicherheitsvorfällen. Unternehmen ohne diesen Fokus erholen sich in 3,9 Monaten. Die Differenz von rund 80 Tagen ist statistisch erheblich.
Schadenshöhe: Störungen kosten KI-orientierte Unternehmen 3,13 Prozent des Jahresumsatzes, gegenüber 1,33 Prozent bei anderen – ein Unterschied von 135 Prozent. Bei großen Unternehmen entspricht das einem Schaden in der Größenordnung von Milliardenbeträgen.
Vorfallursachen: Software-Bugs lösten 2025 erstmals mehr Sicherheitsvorfälle aus als externe Angreifer (40 Prozent gegenüber 39 Prozent). 2024 lag dieser Wert noch bei 33 Prozent. 34 Prozent der KI-orientierten Unternehmen nennen den Einsatz von KI als ursächlichen Faktor ihrer letzten Störung.
Verantwortungsunklarheit: 51 Prozent der KI-orientierten Unternehmen berichten von Unklarheit darüber, wer bei einem Sicherheitsvorfall die Reaktion koordiniert. Bei Unternehmen ohne KI-Fokus sind es 23 Prozent.
Kompetenzlücke: 53 Prozent der Sicherheitsteams geben an, nicht über die KI-spezifische Expertise zu verfügen, die neue Bedrohungslagen erfordern.
Methodische Einordnung: Die genannten Zahlen sind Korrelationen, keine Kausalitätsnachweise. AI-first-Unternehmen sind in der Regel größer, komplexer und exponierter. Dieser Einwand ist berechtigt – und er verstärkt das Argument: Höhere Komplexität erfordert höhere Governance-Reife. Wenn beides auseinanderklafft, entstehen die gemessenen Schadensbilder.
II. Diagnose: Ein Architekturproblem, kein Technologieproblem
Was die Studie abbildet, ist kein KI-spezifisches Sicherheitsversagen. Es ist das bekannte Muster organisationaler Skalierung ohne gleichzeitige strukturelle Nachreifung – diesmal beschleunigt durch die Einführungsgeschwindigkeit von KI-Systemen.
Die Angriffsfläche wächst schneller als die Abwehr
KI-Systeme erweitern die Infrastruktur auf drei Weisen gleichzeitig: Sie fügen Code und Schnittstellen hinzu (mehr Oberfläche für Bugs und externe Angriffe), sie erhalten privilegierten Zugang zu Systemen und Daten (höheres Schadenspotenzial bei Kompromittierung), und sie entstehen oft schneller als Sicherheitsarchitekten eingebunden werden können. Marshall Erwin, CISO bei Fastly, formuliert das präzise: KI-Tools werden zu privilegierten Bestandteilen der Infrastruktur – und genau das ist das Risiko.
Hinzu kommt das Phänomen der Schatten-KI: In KI-orientierten Unternehmen ist der Anteil nicht genehmigter KI-Tools um 31 Prozent höher als in anderen Unternehmen. Das ist kein Disziplinproblem der Mitarbeiter, sondern ein Symptom dafür, dass die offizielle KI-Strategie die tatsächliche Nutzungsrealität nicht abdeckt.
Software-Bugs überholen externe Angreifer
Das vielleicht signifikanteste Einzelergebnis der Studie ist die Verschiebung bei den Vorfallursachen: Software-Bugs haben externe Angriffe als häufigste Ursache abgelöst. Das bedeutet, dass ein wachsender Anteil der Sicherheitsvorfälle intern erzeugt wird – durch die Art, wie Organisationen Software schreiben, konfigurieren und deployen. KI-Entwicklung unter Zeitdruck verstärkt dieses Muster: Mehr Code, schnellere Deployments, weniger systematische Überprüfung.
KI ist kein Reifeersatz, sondern ein Reifeverstärker
Hier liegt ein weit verbreitetes Missverständnis. KI kann Governance-Funktionen verbessern: Sie ermöglicht automatisierte Dokumentation, präzisere Risikoanalysen und schnellere Anomalieerkennung. Aber diese Verbesserungen setzen voraus, dass die Governance-Architektur vor der Skalierung definiert wurde. Wo Ownership-Strukturen unklar sind, reproduziert KI die Unklarheit. Wo falsche KPIs dominieren, optimiert KI für das Falsche. Die Studie zeigt das konkret: 72 Prozent der Unternehmen priorisieren Markteinführungsgeschwindigkeit gegenüber Netzwerkstabilität – und zahlen dafür mit längeren Erholungszeiten und höheren Schadenssummen.
III. Die politische Dimension: Wer gestaltet Mandatsarchitektur?
Die technischen Befunde der Studie verdecken eine organisationale Grundspannung, die schwerer zu messen, aber entscheidend ist: Wer in einer Organisation das Mandat hat, Governance-Strukturen zu definieren, entscheidet über die Qualität der Sicherheitsarchitektur.
Die Studie macht diesen Konflikt sichtbar: 51 Prozent der KI-orientierten Unternehmen wissen nicht, wer bei einem Vorfall die Reaktion koordiniert. Das ist kein Kompetenzdefizit – es ist ein Mandatsproblem. Die Verantwortung liegt nominell beim CISO (73 Prozent der Unternehmen benennen ihn als letztverantwortlich), aber Ressourcen und Gestaltungsmacht folgen dieser Zuschreibung nicht: Lediglich 44 Prozent raumen dem CISO einen Platz bei strategischen Entscheidungen ein, und die haufigsten Reaktionsmassnahmen auf erhohte Haftungsrisiken sind laut Studie defensive Dokumentationsmassnahmen.
Dahinter stehen Interessenkonflikte zwischen Funktionen, die schwer koordinierbar sind: IT und Plattform-Engineering wollen Architektursouveränität, Compliance und Legal wollen Absicherung, Fachabteilungen wollen Geschwindigkeit. Solange Geschwindigkeit im KPI-System dominiert, tendiert Governance zur Nachrangigkeit. Das ist keine Pathologie einzelner Unternehmen – es ist ein strukturelles Anreizsystem.
IV. Regulatorischer Druck als externer Reifetreiber
Was unternehmensinterne Anreize nicht erzeugen, wird zunehmend durch Regulierung erzwungen. Zwei Regelwerke sind dabei besonders relevant.
EU AI Act: Hochrisiko-KI-Systeme – darunter viele HR-relevante Anwendungen wie Recruiting-Algorithmen, Performance-Bewertungen und Kapazitätsplanung – unterliegen ab 2026 strengen Anforderungen: dokumentierte Risikoanalysen, menschliche Aufsicht, Nachweis der Fairness und vollständige Auditierbarkeit. Wer diese Anforderungen nicht erfüllt, riskiert Marktzulassungsbeschränkungen.
NIS2-Richtlinie: Die EU-Direktive von 2022 ermöglicht ausdrücklich die vorübergehende Suspendierung von Führungskräften, die als unfähig eingestuft werden, ihre Cybersicherheitsaufgaben zu erfüllen, sowie Schadensersatzansprüche gegen Geschäftsführer und CEOs. Die Studie zeigt, dass 73 Prozent der Unternehmen den CISO bereits als letztverantwortlich definieren – in KI-orientierten Unternehmen sind es sogar 79 Prozent. Diese Verantwortungszuschreibung ohne entsprechende Ressourcen- und Entscheidungsmacht ist unter NIS2 ein haftungsrechtliches Risiko.
Die Kombination beider Regelwerke macht KI-Governance zu einer prüfbaren Managementqualität. Das verändert die Risikolandschaft für Investoren, Versicherungen und Kapitalmarktbewertungen. Organizational Due Diligence wird künftig fragen, ob ein Unternehmen nachweisbar steuert, wer für KI-bezogene Entscheidungen mandatiert ist.
V. Die Rolle von HR: Strukturelle Notwendigkeit, keine Rollenerweiterung
HR gestaltet traditionell Bonuslogik, Rollenarchitektur und Kompetenzentwicklung. Diese Gestaltungsaufgaben sind unter KI-Bedingungen unmittelbar governance-relevant – nicht weil HR eine neue strategische Funktion beanspruchen möchte, sondern weil die genannten Bereiche direkt auf die Qualität der Sicherheitsarchitektur einwirken.
Konkret: Wenn Bonussysteme Geschwindigkeit prämieren und Stabilität nicht berücksichtigen, entsteht genau der Anreiz, den die Studie bei 72 Prozent der Unternehmen identifiziert. Wenn Rollenarchitektur Ownership-Fragen offen lässt, reproduziert KI diese Unklarheit algorithmisch. Wenn Kompetenzentwicklung KI-spezifische Sicherheitsqualifikationen nicht adressiert, verschärft sich die von 53 Prozent der Teams gemeldete Lücke.
Wer diese Architektur gestaltet, beeinflusst die Governance-Qualität. Wer sie nicht gestaltet, überlässt sie impliziten Machtstrukturen – die unter NIS2 und EU AI Act regulatorisch angreifbar werden. Das ist keine normative Forderung an HR, sondern eine strukturelle Konsequenz aus dem Zusammenspiel von Regulierung, Haftung und Organisationsdesign.
VI. Perspektive: Was sich mit Wahrscheinlichkeit entwickeln wird
Prognosen in einem Feld mit hoher regulatorischer und technologischer Dynamik sind mit Unsicherheit behaftet. Die folgenden Entwicklungen lassen sich jedoch aus bestehenden Regulierungspfaden und den vorliegenden Daten begründet ableiten – sie sind keine Gewissheiten, aber plausible Szenarien mit hinreichender Eintrittswahrscheinlichkeit.
Governance als Bewertungskriterium: Es ist wahrscheinlich, dass KI-Governance in den kommenden Jahren zu einem expliziten Bestandteil von Due-Diligence-Prozessen, Kapitalmarktanalysen und D&O-Versicherungsbewertungen wird. Der regulatorische Pfad ist eindeutig; die kommerzielle Nachfrage nach Bewertungsstandards entsteht typischerweise mit einer Verzögerung von zwei bis vier Jahren nach Regulierungseinführung.
Haftungsdruck auf Führungsebene: NIS2 schafft die rechtliche Grundlage für persönliche Haftung. Ob und in welchem Umfang diese Grundlage tatsächlich zu Verfahren führt, hängt von nationaler Umsetzung und Vollzugspraxis ab – beides ist variabel. Die Richtung ist jedoch klar: Die Schwelle für persönliche Verantwortlichkeit von Führungskräften im Bereich Cybersicherheit sinkt.
Reputationsrisiko fuer AI-first als Label: Derzeit wird KI-Orientierung häufig als Wettbewerbsvorteil kommuniziert. Wenn Vorfälle, längere Erholungszeiten und höhere Schadenssummen mit dem Label korrelieren, ist es plausibel, dass Investoren und Partner die Assoziation neu bewerten. Das ist keine Gewissheit, aber ein Signal, das Boards in ihre strategische Planung einbeziehen sollten.
Was dagegen sicher ist: Die Studie zeigt bereits heute messbar erhöhte Schäden und längere Instabilität bei Unternehmen mit hoher KI-Orientierung und unzureichender Governance-Reife. Das ist kein Zukunftsszenario – es ist die gegenwärtige Realität für einen signifikanten Anteil großer Organisationen.
VII. Fazit: Die entscheidende Frage ist nicht ob, sondern wer
KI-Governance wird nicht optional. Der regulatorische Rahmen, die Haftungsrealität und die messbaren Schadensbilder machen das deutlich. Die relevante Frage für Organisationen ist nicht, ob Governance-Strukturen aufgebaut werden müssen, sondern wer sie gestaltet und wann.
Unternehmen, die Governance vor der Skalierung definieren – mit klaren Mandaten, ausbalancierten KPIs und nachweisbarer Kompetenzarchitektur –, sind nach dem Zeugnis der Studie besser positioniert: niedrigere Vorfallkosten, kürzere Erholungszeiten, höhere regulatorische Belastbarkeit. Jene, die Governance nachträglich aufsetzen, zahlen die Differenz in Störungskosten, Ausfallzeiten und Reputationsschaden.
„Security by Design“ ist nach Ausweis der Studie von einem Qualitaetsziel zu einer Ueberlebensbedingung geworden. 81 Prozent der Unternehmen, die Investitionen in Netzwerkstabilitaet vor KI-Skalierung getaetigt haben, berichten, dass diese Investitionen ihre Innovationsfaehigkeit sicher beschleunigt haben – nicht gebremst. Die verbreitete Annahme, Governance und Geschwindigkeit stuenden im Widerspruch, ist empirisch nicht gedeckt.
Quellenhinweis: Alle zitierten Daten stammen aus dem Fastly Global Security Research Report, durchgeführt von Sapio Research, Q4 2025, n=2.000 IT-Entscheider, 21 Regionen. Methodische Einschränkungen: Selbstauskünfte, kommerzielle Interessen des Auftraggebers, keine Kausalitätsnachweise. Der Bericht ist öffentlich zugänglich unter fastly.com.
FAQs
Warum scheitert KI-Adoption ohne strukturelle Governance-Reife systematisch?
KI verstärkt bestehende organisatorische Strukturen. Wenn Verantwortlichkeiten, Sicherheitsarchitektur und Mandate unklar sind, multipliziert KI diese Defizite. Die Studie zeigt deutlich längere Erholungszeiten (6,8 vs. 3,9 Monate) und höhere Schadenssummen bei KI-orientierten Unternehmen mit unzureichender Governance-Reife.
Was bedeutet Governance-Reife im Kontext von KI konkret?
Governance-Reife beschreibt die Fähigkeit einer Organisation, klare Mandate, definierte Entscheidungsprozesse, transparente KPIs, dokumentierte Risikoanalysen und belastbare Sicherheitsarchitekturen vor der Skalierung von KI-Systemen zu etablieren.
Was versteht man unter einem KI-orientierten oder AI-first-Unternehmen?
Ein KI-orientiertes Unternehmen integriert KI formal oder informell in Kernprozesse, Entscheidungslogiken und Infrastruktur. KI ist strategischer Bestandteil der Wertschöpfung – nicht isoliertes Pilotprojekt.
Welche zentralen Ergebnisse liefert der Fastly Global Security Research Report 2025?
KI-orientierte Unternehmen benötigen im Schnitt 6,8 Monate zur Erholung von Sicherheitsvorfällen. Die Schadenshöhe liegt bei 3,13 Prozent des Jahresumsatzes (vs. 1,33 Prozent). 51 Prozent berichten von unklarer Incident-Koordination, 53 Prozent von fehlender KI-Sicherheitskompetenz.
Sind die Ergebnisse als Kausalitätsnachweis zu verstehen?
Nein. Die Daten zeigen Korrelationen. Allerdings erhöht strukturelle Komplexität den Governance-Bedarf. Fehlt diese strukturelle Reife, entstehen messbare Schadensbilder.
Warum verursachen Software-Bugs inzwischen mehr Sicherheitsvorfälle als externe Angriffe?
Mit wachsender KI-Integration steigt Code-Komplexität und Deployment-Geschwindigkeit. 2025 waren Software-Bugs mit 40 Prozent erstmals häufigste Ursache – ein Indikator interner Architekturdefizite.
Welche Risiken entstehen durch Schatten-KI?
Nicht autorisierte KI-Tools erhöhen die Angriffsfläche, erschweren Auditierbarkeit und unterlaufen Governance-Strukturen. In KI-orientierten Unternehmen ist ihr Anteil signifikant höher.
Welche Haftungsrisiken entstehen durch NIS2 für Führungskräfte?
NIS2 ermöglicht persönliche Haftung und Suspendierung bei Versäumnissen in der Cybersicherheitsorganisation. Formal zugewiesene Verantwortung ohne Ressourcen- und Mandatsklarheit wird zum persönlichen Risiko.
Welche Anforderungen stellt der EU AI Act an Unternehmen?
Hochrisiko-KI-Systeme unterliegen strengen Anforderungen: Risikoanalysen, menschliche Aufsicht, Transparenz, Fairness-Nachweise und vollständige Auditierbarkeit. Ohne Governance-Struktur drohen Marktbeschränkungen.
Was ist ein KI-Governance-Framework?
Ein KI-Governance-Framework definiert Verantwortlichkeiten, Entscheidungsprozesse, Risikomanagement, Dokumentationspflichten und Kontrollmechanismen für KI-Systeme. Es bildet die strukturelle Grundlage regulatorischer Compliance.
Wie lässt sich KI-Governance-Reife messen?
Reifegradmessung umfasst Mandatsklarheit, KPI-Balance, Incident-Recovery-Zeit, Auditfähigkeit, dokumentierte Risikoanalysen und Kompetenzarchitektur. Diese Faktoren sind Indikatoren struktureller Belastbarkeit.
Welche KPIs sollten Unternehmen im KI-Kontext anpassen?
Neben Time-to-Market müssen Stabilität, Resilienz, Audit-Compliance und Sicherheitsmetriken integriert werden. 72 Prozent priorisieren Geschwindigkeit – mit nachweislich höheren Schadenskosten.
Ist Governance ein Innovationshemmnis?
Nein. 81 Prozent der Unternehmen mit vorgelagerter Stabilitätsinvestition berichten von beschleunigter Innovationsfähigkeit. Governance schafft planbare Skalierungsbedingungen.
Welche Rolle spielt HR bei der KI-Governance?
HR gestaltet Bonuslogik, Rollenarchitektur und Kompetenzentwicklung. Fehlanreize oder unklare Ownership-Strukturen wirken sich direkt auf Sicherheitsarchitektur und Haftungsrisiken aus.
Wer sollte die Mandatsarchitektur für KI verantworten?
Mandate müssen klar zwischen Vorstand, CISO, IT, Compliance, Legal und HR abgestimmt sein. Entscheidungsrechte und Ressourcen müssen der formalen Verantwortung entsprechen.
Welche Auswirkungen hat KI-Governance auf Unternehmensbewertung und Due Diligence?
KI-Governance wird zunehmend Bestandteil von Kapitalmarktanalysen, M&A-Prüfungen und D&O-Risikobewertungen. Fehlende Strukturen können Bewertung und Versicherungsprämien negativ beeinflussen.
Welche ersten Schritte sollten Vorstände 2026 priorisieren?
Klärung der Mandatsarchitektur, Integration von Sicherheitsmetriken in Zielsysteme, Stärkung der CISO-Rolle, vollständige Auditfähigkeit für Hochrisiko-KI-Systeme und Governance-Definition vor weiterer Skalierung.
Wie beeinflusst unzureichende Governance das Reputationsrisiko von AI-first-Unternehmen?
Wenn erhöhte Schadenssummen und längere Instabilität mit KI-Orientierung korrelieren, kann das Label „AI-first“ vom Wettbewerbsvorteil zum Bewertungsrisiko werden.
Warum ist Security by Design heute eine Überlebensbedingung?
Die Studie zeigt messbar geringere Schäden und kürzere Erholungszeiten bei Unternehmen mit vorgelagerter Sicherheitsarchitektur. Security by Design ist damit betriebswirtschaftliche Notwendigkeit.
