Studie: 92 Prozent der Unternehmen sind nicht auf Sicherheitsrisiken durch KI-Agenten vorbereitet
Was wirklich drin steht
Salt Security hat am 8. April 2026 den Bericht '1H 2026 State of AI and API Security: Navigating the Agentic Era' veröffentlicht, basierend auf einer Befragung von 327 Sicherheitsexperten aus den Bereichen Technologie, Finanzdienstleistungen, Gesundheitswesen, Fertigung und weiteren Branchen. Die zentrale Erkenntnis: 92 Prozent der Unternehmen verfügen nicht über die Sicherheitsreife, die nötig wäre, um Umgebungen zu schützen, in denen autonome KI-Agenten im Unternehmensmaßstab eingesetzt werden. Weitere Kernergebnisse: 99 Prozent der von Salt Labs analysierten Angriffsversuche stammen von authentifizierten Quellen - zunehmend von 'Rogue Agents', die legitime Zugangsdaten nutzen, aber ohne menschliche Aufsicht, Ratenbegrenzung oder Verhaltensschranken operieren. 65 Prozent der Angriffe nutzen Sicherheitsfehlkonfigurationen aus (OWASP API8), eine Schwachstelle, die sich drastisch verstärkt, wenn überberechtigte APIs mit KI-Agenten verbunden werden, die Daten in Maschinengeschwindigkeit abfragen, verketten und exfiltrieren können. 48,9 Prozent der Unternehmen sind 'blind' für nicht-menschlichen Datenverkehr und können nicht überwachen, was ihre autonomen Agenten tun. 47 Prozent haben bereits einen Produktions-Release wegen Sicherheitsbedenken bei APIs verzogern müssen, die autonomen Systemen ausgesetzt sind.
Unsere Einordnung
Die Studie macht ein reales Problem sichtbar, das durch den aktuellen Hype um KI-Agenten verschaerft wird: Unternehmen setzen autonome Systeme ein, bevor die Sicherheitsinfrastruktur dafür bereit ist. Wenn fast die Hälfte der Unternehmen nicht sehen kann, was ihre KI-Agenten tun, ist das kein theoretisches Risiko, sondern ein konkretes Einfallstor. Gleichzeitig ist wichtig zu differenzieren: Salt Security ist selbst Anbieter von API-Sicherheitslösungen und hat ein kommerzielles Interesse daran, die Bedrohungslage ernst darzustellen. Die Stichprobe von 327 Befragten ist solide, aber nicht riesig. Die gute Nachricht: Die identifizierten Probleme - fehlende Monitoring-Fähigkeiten, überberechtigte APIs, mangelnde Ratenbegrenzung - sind lösbar. Es sind keine fundamentalen Designfehler, sondern Governance- und Konfigurationsprobleme, die Unternehmen mit bestehenden Werkzeugen und Prozessen angehen können. Die Studie ist ein nützlicher Weckruf: Bevor man KI-Agenten in Produktion bringt, muss die API-Sicherheit mitwachsen.
Relevanz für Deutschland
Für deutsche Unternehmen ist die Studie besonders relevant, weil der EU AI Act und die DSGVO hohe Anforderungen an die Kontrolle automatisierter Systeme stellen. Wenn ein KI-Agent über überberechtigte APIs auf personenbezogene Daten zugreift und niemand den Datenverkehr überwacht, liegt potenziell ein DSGVO-Verstoss vor - unabhängig davon, ob die Exfiltration durch einen Angreifer oder einen fehlkonfigurierten eigenen Agenten erfolgt. Der EU AI Act verlangt für Hochrisiko-KI-Systeme menschliche Aufsicht und Risikomanagement; blinde Flecken bei 48,9 Prozent der Unternehmen sind damit nicht vereinbar. Das BSI hat bereits Anfang April vor wachsenden Cyberbedrohungen durch KI gewarnt. Deutsche Mittelständler, die jetzt KI-Agenten wie Claude Managed Agents oder Microsofts Copilot Studio einsetzen, sollten vor dem Produktivstart ein API-Sicherheitsaudit durchführen und sicherstellen, dass autonomer Datenverkehr überwacht, begrenzt und protokolliert wird.
Faktencheck
Die zentralen Zahlen - 92 Prozent ohne ausreichende Sicherheitsreife, 327 befragte Sicherheitsexperten, 99 Prozent authentifizierte Angriffsquellen, 65 Prozent Ausnutzung von OWASP API8, 48,9 Prozent ohne Monitoring für nicht-menschlichen Verkehr, 47 Prozent verzögerte Releases - werden übereinstimmend in Salt Securitys eigenem Blogpost, der PRNewswire-Pressemitteilung, Security Boulevard und IT Security Guru berichtet. Die Methodik (Befragung von 327 Sicherheitsexperten aus verschiedenen Branchen Anfang 2026) ist in der Pressemitteilung dokumentiert. Einschränkung: Salt Security ist Anbieter von API-Sicherheitsprodukten - die Studie dient auch kommerziellen Zwecken. Die Daten stammen zudem primär aus dem angloamerikanischen Raum; deutsche oder europäische Unternehmen waren in der Stichprobe möglicherweise unterrepräsentiert.
Quelle
- • Salt Security Blog 08.04.2026 (salt.security/blog/the-era-of-agentic-security-is-here)
- • PRNewswire Pressemitteilung 08.04.2026 (prnewswire.com/news-releases/salt-security-research/302736506.html)
- • Security Boulevard 09.04.2026 (securityboulevard.com/2026/04/the-era-of-agentic-security-is-here)
- • IT Security Guru 08.04.2026 (itsecurityguru.org/2026/04/08/most-organisations-face-an-unsecured-api-surge)
- • AI TechPark 09.04.2026 (ai-techpark.com/salt-security-ai-agents-drive-surge-in-unsecured-apis/)