Fehlkonfigurierte KI als Risiko für kritische Infrastrukturen

Die Prognose, dass fehlerhaft konfigurierte Systeme der Künstlichen Intelligenz (KI) in einer führenden Industrienation kritische Infrastrukturen lahmlegen könnten, verweist auf ein grundlegendes Problem moderner Digitalisierung. KI wird in Energieversorgung, Verkehr, Gesundheitswesen und Finanzsysteme schneller integriert, als Sicherheits- und Kontrollmechanismen nachziehen.

„Das wahrscheinlichste Ausfallszenario ist keine außer Kontrolle geratene Superintelligenz, sondern eine fehlerhafte Konfiguration – also menschliches Versagen, das durch Automatisierung und Skalierung noch verstärkt wird“, erklärt Darren Guccione, Geschäftsführer und Mitgründer von Keeper Security.

Unsichtbare Identitäten als systemisches Risiko

Moderne KI-Umgebungen basieren auf komplexen Strukturen aus privilegierten Konten, Programmierschnittstellen-Schlüsseln, Dienstidentitäten, Automatisierungsskripten und externen Integrationen. Werden diese Identitäten unzureichend verwaltet oder mit zu weitreichenden Rechten ausgestattet, entsteht eine fragile Sicherheitsarchitektur.

Zugleich wächst die Zahl nicht-menschlicher Identitäten rasant. Dienstkonten, Automatisierungstoken und KI-Agenten übersteigen in vielen Infrastrukturen bereits deutlich die Zahl menschlicher Nutzer. Häufig besitzen sie dauerhafte Privilegien bei gleichzeitig begrenzter Kontrolle. „Eine einzelne kompromittierte Kombination aus Zugangsdaten oder eine fehlerhafte Bereitstellungspipeline kann sich kaskadenartig über miteinander verbundene Infrastrukturen ausbreiten“, so Guccione.

Automatisierung vergrößert den Schadensradius

Mit zunehmender Automatisierung steigt auch das potenzielle Ausmaß von Störungen. KI beseitigt Risiken nicht, sondern beschleunigt deren Wirkung, wenn Schutzmechanismen fehlen oder zu schwach ausgeprägt sind.

Betreiber kritischer Infrastrukturen müssen Identitäts-Governance deshalb konsequent auf menschliche und nicht-menschliche Identitäten anwenden. Dazu zählen Zero-Trust-Architekturen, das Prinzip minimaler Rechtevergabe sowie die kontinuierliche Überwachung privilegierter Zugriffe – ausgeweitet auf Modelle, Trainingsumgebungen und Cloud-Infrastrukturen.

Regulierung rückt in den Fokus der Führungsebene

Parallel wächst der regulatorische Druck in der Europäischen Union, im Vereinigten Königreich und in den USA. Vorgaben wie die NIS-zwei-Richtlinie, der Digital Operational Resilience Act (DORA) und der europäische Rechtsrahmen für Künstliche Intelligenz (EU AI act) verlagern Verantwortung ausdrücklich auf Unternehmensleitungen. „Governance von Künstlicher Intelligenz ist keine rein technische Aufgabe mehr, sondern eine Frage nationaler Widerstandsfähigkeit“, betont Guccione.

Resilienz entscheidet sich an operativer Disziplin

Besonders in KI-gestützten OT-Umgebungen (Operational-Technology) sind sichere Notfall-Eingriffsmechanismen unverzichtbar. Ihre Wirksamkeit hängt jedoch von gehärteten Identitätssystemen und streng kontrollierten Zugriffswegen ab. Ohne Transparenz über privilegierte Zugriffe lässt sich keine verlässliche Einsatzbereitschaft gewährleisten.

„Die Resilienz im Zeitalter der KI wird weniger von der Raffinesse der Modelle abhängen als von konsequenter operativer Disziplin“, so Guccione. Damit verschiebt sich der Blickwinkel: Nicht technologische Leistungsfähigkeit allein entscheidet über Sicherheit, sondern Governance, Kontrolle und verantwortungsvolle Konfiguration. Für Staaten und Betreiber kritischer Infrastrukturen wird genau diese Disziplin zur zentralen Voraussetzung digitaler Stabilität.

Weitere Artikel zum Thema: 

Wenn KI zur Schatten-IT wird

Statement: „Künstliche Intelligenz ist ein Werkzeug, das wir richtig nutzen müssen

KI-optimierte Datensicherheit in sieben Beispielen