Studie: 92 Prozent der Unternehmen sind nicht auf Sicherheitsrisiken durch KI-Agenten vorbereitet
Was wirklich drin steht
Salt Security hat am 8. April 2026 den Bericht '1H 2026 State of AI and API Security: Navigating the Agentic Era' veroeffentlicht, basierend auf einer Befragung von 327 Sicherheitsexperten aus den Bereichen Technologie, Finanzdienstleistungen, Gesundheitswesen, Fertigung und weiteren Branchen. Die zentrale Erkenntnis: 92 Prozent der Unternehmen verfuegen nicht ueber die Sicherheitsreife, die noetig waere, um Umgebungen zu schuetzen, in denen autonome KI-Agenten im Unternehmensmassstab eingesetzt werden. Weitere Kernergebnisse: 99 Prozent der von Salt Labs analysierten Angriffsversuche stammen von authentifizierten Quellen - zunehmend von 'Rogue Agents', die legitime Zugangsdaten nutzen, aber ohne menschliche Aufsicht, Ratenbegrenzung oder Verhaltensschranken operieren. 65 Prozent der Angriffe nutzen Sicherheitsfehlkonfigurationen aus (OWASP API8), eine Schwachstelle, die sich drastisch verstaerkt, wenn ueberberechtigte APIs mit KI-Agenten verbunden werden, die Daten in Maschinengeschwindigkeit abfragen, verketten und exfiltrieren koennen. 48,9 Prozent der Unternehmen sind 'blind' fuer nicht-menschlichen Datenverkehr und koennen nicht ueberwachen, was ihre autonomen Agenten tun. 47 Prozent haben bereits einen Produktions-Release wegen Sicherheitsbedenken bei APIs verzogern muessen, die autonomen Systemen ausgesetzt sind.
Unsere Einordnung
Die Studie macht ein reales Problem sichtbar, das durch den aktuellen Hype um KI-Agenten verschaerft wird: Unternehmen setzen autonome Systeme ein, bevor die Sicherheitsinfrastruktur dafuer bereit ist. Wenn fast die Haelfte der Unternehmen nicht sehen kann, was ihre KI-Agenten tun, ist das kein theoretisches Risiko, sondern ein konkretes Einfallstor. Gleichzeitig ist wichtig zu differenzieren: Salt Security ist selbst Anbieter von API-Sicherheitsloesungen und hat ein kommerzielles Interesse daran, die Bedrohungslage ernst darzustellen. Die Stichprobe von 327 Befragten ist solide, aber nicht riesig. Die gute Nachricht: Die identifizierten Probleme - fehlende Monitoring-Faehigkeiten, ueberberechtigte APIs, mangelnde Ratenbegrenzung - sind loesbar. Es sind keine fundamentalen Designfehler, sondern Governance- und Konfigurationsprobleme, die Unternehmen mit bestehenden Werkzeugen und Prozessen angehen koennen. Die Studie ist ein nuetzlicher Weckruf: Bevor man KI-Agenten in Produktion bringt, muss die API-Sicherheit mitwachsen.
Relevanz für Deutschland
Fuer deutsche Unternehmen ist die Studie besonders relevant, weil der EU AI Act und die DSGVO hohe Anforderungen an die Kontrolle automatisierter Systeme stellen. Wenn ein KI-Agent ueber ueberberechtigte APIs auf personenbezogene Daten zugreift und niemand den Datenverkehr ueberwacht, liegt potenziell ein DSGVO-Verstoss vor - unabhaengig davon, ob die Exfiltration durch einen Angreifer oder einen fehlkonfigurierten eigenen Agenten erfolgt. Der EU AI Act verlangt fuer Hochrisiko-KI-Systeme menschliche Aufsicht und Risikomanagement; blinde Flecken bei 48,9 Prozent der Unternehmen sind damit nicht vereinbar. Das BSI hat bereits Anfang April vor wachsenden Cyberbedrohungen durch KI gewarnt. Deutsche Mittelstaendler, die jetzt KI-Agenten wie Claude Managed Agents oder Microsofts Copilot Studio einsetzen, sollten vor dem Produktivstart ein API-Sicherheitsaudit durchfuehren und sicherstellen, dass autonomer Datenverkehr ueberwacht, begrenzt und protokolliert wird.
Faktencheck
Die zentralen Zahlen - 92 Prozent ohne ausreichende Sicherheitsreife, 327 befragte Sicherheitsexperten, 99 Prozent authentifizierte Angriffsquellen, 65 Prozent Ausnutzung von OWASP API8, 48,9 Prozent ohne Monitoring fuer nicht-menschlichen Verkehr, 47 Prozent verzoegerte Releases - werden uebereinstimmend in Salt Securitys eigenem Blogpost, der PRNewswire-Pressemitteilung, Security Boulevard und IT Security Guru berichtet. Die Methodik (Befragung von 327 Sicherheitsexperten aus verschiedenen Branchen Anfang 2026) ist in der Pressemitteilung dokumentiert. Einschraenkung: Salt Security ist Anbieter von API-Sicherheitsprodukten - die Studie dient auch kommerziellen Zwecken. Die Daten stammen zudem primaer aus dem angloamerikanischen Raum; deutsche oder europaeische Unternehmen waren in der Stichprobe moeglicherweise unterrepraesentiert.
Quelle
- • Salt Security Blog 08.04.2026 (salt.security/blog/the-era-of-agentic-security-is-here)
- • PRNewswire Pressemitteilung 08.04.2026 (prnewswire.com/news-releases/salt-security-research/302736506.html)
- • Security Boulevard 09.04.2026 (securityboulevard.com/2026/04/the-era-of-agentic-security-is-here)
- • IT Security Guru 08.04.2026 (itsecurityguru.org/2026/04/08/most-organisations-face-an-unsecured-api-surge)
- • AI TechPark 09.04.2026 (ai-techpark.com/salt-security-ai-agents-drive-surge-in-unsecured-apis/)