SANS AI Survey

SANS-Studie 2026 zeigt: KI beschleunigt die Cyberabwehr - vergrößert aber zugleich die Sicherheitslücken

, SANS Institute | Autor: Herbert Wieler

Warum immer mehr Unternehmen die Kontrolle über ihre Cyberabwehr verlieren

Der KI-Einsatz in der Cybersicherheit erreicht 2026 eine neue Stufe. Doch während Unternehmen ihre Security-Prozesse immer schneller automatisieren, geraten Governance, Validierung und Personalentwicklung ins Hintertreffen. Die Folge: KI verbessert zwar die Abwehr – verursacht aber gleichzeitig neue operative Risiken und Ausfälle.

Sicherheitsteams setzen Künstliche Intelligenz inzwischen in nahezu allen Bereichen der Cyberabwehr ein. Die organisatorischen und technischen Strukturen, mit denen Unternehmen diese Systeme kontrollieren sollen, entwickeln sich jedoch deutlich langsamer.

Das zeigt die zweite Ausgabe des „SANS AI Survey Insights 2026 “. Für die Studie befragte das SANS Institute weltweit 536 Fachleute aus den Bereichen Cybersicherheit und IT. Zusätzlich beantworteten 57 leitende Sicherheitsverantwortliche, darunter CISOs, CSOs und Vice Presidents of Security, ein gesondertes Fragenmodul.

Die Ergebnisse zeichnen das Bild einer Branche, die sich mitten in einer schnellen Transformation befindet – aber vielfach noch nicht über die notwendigen Kontrollmechanismen verfügt.

KI wird zum festen Bestandteil der Cyberabwehr

Besonders stark gestiegen ist der Einsatz von KI im Red Teaming. Während 2025 lediglich 33 Prozent der befragten Fachleute KI für offensive Sicherheitstests nutzten, sind es 2026 bereits 61 Prozent.

Damit hat sich KI innerhalb eines Jahres von einer ergänzenden Technologie zu einem etablierten Werkzeug für die Simulation von Angriffen entwickelt. Auch bei der Untersuchung von Sicherheitsvorfällen, der Incident Response und der Anwendungssicherheit kommt sie zunehmend im operativen Alltag zum Einsatz.

Von einer vollständig ausgereiften Nutzung kann dennoch keine Rede sein. Nur 27 Prozent der Befragten bewerten ihre KI-Systeme als produktionsreif. Die Mehrheit arbeitet weiterhin mit Pilotprojekten oder nutzt KI lediglich als unterstützendes Werkzeug für menschliche Analysten.

Matt Bromiley, Autor des Berichts und Certified Instructor beim SANS Institute

„Seit nunmehr zwei Jahren fragen wir Sicherheitsteams, wo sie tatsächlich in Bezug auf KI stehen“, erklärt Matt Bromiley, Autor des Berichts und Certified Instructor beim SANS Institute. Die Antwort laute im Kern weiterhin: Die Transformation schreite schnell voran, während die erforderlichen Lösungen erst nach und nach entwickelt würden. Neu sei vor allem das Ausmaß dieser Entwicklung.

Governance bleibt hinter der Einführung zurück

Parallel zum steigenden KI-Einsatz übernehmen Security-Teams immer mehr Verantwortung für die unternehmensweite KI-Governance. Nach Angaben der Studie sind inzwischen 76 Prozent der Befragten an der Steuerung oder Kontrolle von KI-Systemen beteiligt.

In vielen Unternehmen fehlen dafür jedoch belastbare Prüf- und Kontrollstrukturen. Mehr als die Hälfte der Fachleute gibt an, dass keine formalen Audit-Frameworks existieren, mit denen sich der Einsatz von KI zuverlässig bewerten lässt.

Damit entsteht eine gefährliche Lücke zwischen strategischer Verantwortung und operativer Kontrolle. Sicherheitsteams sollen KI-Risiken überwachen, verfügen aber häufig weder über standardisierte Messverfahren noch über ausreichende Transparenz hinsichtlich der verwendeten Modelle, Daten und Schnittstellen.

Diese Defizite zeigen sich auch im laufenden Sicherheitsbetrieb. 63 Prozent der Befragten berichten von erheblichen Schwächen beim KI-gestützten Erkennen und Behandeln von Bedrohungen. Im Vorjahr lag dieser Anteil noch bei 45 Prozent.

KI-bedingte Störungen nehmen zu

Die steigende Zahl der Ausfälle und Fehlfunktionen macht deutlich, dass eine schnelle Einführung allein keinen Sicherheitsgewinn garantiert. KI-Systeme können Warnmeldungen falsch priorisieren, relevante Angriffsmuster übersehen oder fehlerhafte Handlungsempfehlungen erzeugen.

Besonders kritisch wird dies, wenn Unternehmen KI-Ergebnisse ungeprüft in automatisierte Security-Workflows übernehmen. Fehlerhafte Entscheidungen können sich dann innerhalb kürzester Zeit auf Systeme, Benutzerkonten oder Sicherheitsrichtlinien auswirken.

Entscheidend ist deshalb nicht, wie viele KI-Werkzeuge ein Unternehmen einsetzt, sondern wie zuverlässig deren Ergebnisse validiert werden. Der SANS-Bericht empfiehlt, Präzision, Trefferquote und Fehlalarmraten kontinuierlich zu messen und mit etablierten Verfahren zu vergleichen.

Angreifer integrieren KI in den gesamten Angriffszyklus

Während Unternehmen noch an ihren Governance-Modellen arbeiten, setzen Cyberkriminelle KI bereits entlang nahezu der gesamten Angriffskette ein.

Die Technologie unterstützt Angreifer bei der Reconnaissance, der Suche nach Schwachstellen, der automatisierten Ausnutzung von Systemen und der Erstellung überzeugender Phishing-Nachrichten. Hinzu kommen Deepfakes und KI-generierte Sprachaufnahmen, die Social-Engineering-Angriffe glaubwürdiger und skalierbarer machen.

78 Prozent der befragten Unternehmen meldeten im vergangenen Jahr bestätigte oder vermutete KI-gestützte Angriffe. 95 Prozent gehen davon aus, dass Cyberkriminelle bereits aktiv Künstliche Intelligenz einsetzen.

Damit verändert KI nicht nur die Geschwindigkeit von Angriffen. Sie senkt gleichzeitig die Einstiegshürden für Täter, automatisiert wiederkehrende Aufgaben und ermöglicht eine stärkere Personalisierung der Kampagnen.

Menschliche Analysten bleiben unverzichtbar

Trotz des wachsenden Automatisierungsgrades bleibt menschliches Fachwissen die wichtigste Grundlage für die Abwehr KI-gestützter Bedrohungen.

Fast die Hälfte der Befragten bezeichnet verhaltensbasierte Erkennungsverfahren als wirksamste Kontrollmaßnahme. Dahinter folgen Security-Awareness-Trainings mit 45 Prozent sowie die Überprüfung von Ergebnissen durch menschliche Analysten mit 39 Prozent.

Diese Maßnahmen haben einen gemeinsamen Nenner: Sie erfassen Kontext, Abweichungen und ungewöhnliches Verhalten, das automatisierten Systemen entgehen kann.

„Man kann diese Lücken nicht schließen, ohne Mitarbeiter, die das erkennen, was den Tools verborgen bleibt“, betont Bromiley. Unternehmen, die frühzeitig in Weiterbildung investierten, könnten deshalb mehr aus ihren bereits angeschafften KI-Lösungen herausholen. Geschulte Mitarbeiter könnten besser einschätzen, wann sie einer KI vertrauen dürfen und wann ein manueller Eingriff erforderlich ist.

KI verändert die Anforderungen an Security-Teams

Die Einführung von KI erweitert auch die Aufgabenprofile in der Cybersicherheit. Neben der klassischen Bedrohungserkennung müssen Fachleute zunehmend Modelle überwachen, Datenflüsse kontrollieren, Integrationen prüfen und automatisierte Entscheidungen nachvollziehen.

73 Prozent der Befragten geben an, dass KI die Weiterbildungsanforderungen ihrer Teams im Jahr 2026 verändert hat. Im Vorjahr waren es lediglich 51 Prozent.

Die Personallücke in der Cybersicherheit lässt sich daher nicht allein durch zusätzliche Einstellungen schließen. Unternehmen müssen bestehende Teams gezielt für den sicheren Umgang mit KI qualifizieren.

Dazu gehören Kenntnisse über Modellgrenzen, Datenqualität, Prompt-Manipulation, Fehlalarme, automatisierte Entscheidungsprozesse und die Validierung KI-generierter Ergebnisse.

Drei Prioritäten für eine belastbare KI-Sicherheitsstrategie

Der SANS-Bericht nennt drei zentrale Handlungsfelder, die darüber entscheiden dürften, ob Unternehmen ihre KI-Bereitschaft im kommenden Jahr verbessern können.

Erstens benötigen Organisationen eine technische Validierungsinfrastruktur. Der Erfolg von KI darf nicht allein daran gemessen werden, wie häufig ein System eingesetzt wird. Entscheidend sind vielmehr Präzision, Recall, Fehlerraten und der kontinuierliche Vergleich mit etablierten Erkennungs- und Analyseverfahren.

Zweitens muss KI-Governance aus statischen Richtliniendokumenten in den operativen Alltag überführt werden. Zugriffsrechte, sensible Unternehmensdaten, Modellprotokollierung und die Offenlegung KI-generierter Inhalte müssen direkt in technische Kontrollen und Security-Prozesse integriert werden.

Drittens sollte die Personalentwicklung als unmittelbare betriebliche Notwendigkeit behandelt werden. Schulungen dürfen nicht auf ein zukünftiges Einstellungs- oder Transformationsprogramm verschoben werden. Sie müssen parallel zur Einführung neuer KI-Systeme erfolgen.

Fazit: Mehr KI bedeutet nicht automatisch mehr Sicherheit

Der SANS AI Survey 2026 zeigt, dass Künstliche Intelligenz in der Cybersicherheit endgültig den Sprung vom Experimentierfeld in den operativen Betrieb geschafft hat. Gleichzeitig steigen jedoch die Risiken durch unzureichende Governance, fehlende Validierung und eine wachsende Kompetenzlücke.

Unternehmen stehen deshalb vor einer doppelten Herausforderung: Sie müssen KI schnell genug einsetzen, um mit automatisierten Angriffen Schritt zu halten, dürfen dabei aber Kontrolle, Transparenz und menschliche Expertise nicht aus der Hand geben.

Der entscheidende Wettbewerbsvorteil entsteht nicht durch den bloßen Einsatz möglichst vieler KI-Werkzeuge. Er entsteht dort, wo Unternehmen die Technologie messbar validieren, sicher in ihre Prozesse integrieren und ihre Mitarbeiter dazu befähigen, KI-Ergebnisse kritisch zu bewerten.

Der vollständige Bericht „2026 SANS AI Survey Insights“ steht beim SANS Institute zum Download bereit.

Über die Studie

Für den SANS AI Survey 2026 wurden weltweit 536 Fachleute aus den Bereichen Cybersicherheit und IT zu KI-Transformation, Governance, Sicherheitsbetrieb und Personalentwicklung befragt. Ergänzend nahmen 57 leitende Sicherheitsverantwortliche, darunter CISOs, CSOs und Vice Presidents of Security, an einem gesonderten Befragungsmodul teil.

Die zweite jährliche Ausgabe der Studie wurde unter anderem von Arctic Wolf, Backslash, Broadcom, Datadog, Fortinet, Google, Infoblox, LightBeam, Microsoft, Optro, Swimlane, Wiz, XBOW und Zenity unterstützt.