KI und Cybersicherheit

Cybersicherheit

Im Frühjahr 2026 hat sich im Verhältnis von Künstlicher Intelligenz und IT-Sicherheit etwas verschoben, das über den üblichen Takt technischer Innovation hinausgeht. Anthropic stellte mit „Claude Mythos Preview“ ein Modell vor, das in OpenBSD eine 27 Jahre alte Schwachstelle aufspürte, in FFmpeg eine seit 16 Jahren schlummernde Lücke fand und insgesamt Tausende Schwachstellen in Betriebssystemen und Browsern identifizierte.

Das Modell wird nicht öffentlich angeboten, sondern nur rund vierzig Unternehmen – darunter Apple, Amazon, Microsoft, Cisco, Crowdstrike und Palo Alto Networks – im Rahmen von „Project Glasswing“ zugänglich gemacht. US-Finanzminister Scott Bessent und Notenbankchef Jerome Powell beriefen eine Dringlichkeitssitzung mit den Chefs der systemrelevanten Wall-Street-Banken ein, das BSI spricht von einer „Verschiebung der Angriffsvektoren“ und einem „Paradigmenwechsel“ in der Cyberbedrohungslage.

Der IWF hat wenige Tage später, am 7. Mai 2026, in einem Blogbeitrag festgehalten, dass KI-getriebene Cyberrisiken zu einem makro-finanziellen Schock eskalieren können, wenn Entdeckung und Ausnutzung von Schwachstellen in Maschinentempo parallel in vielen Instituten erfolgen.

Für den juristischen Beobachter ist das keine schlichte Randnotiz der Technikgeschichte: Der europäische Regulierungsrahmen für KI und Cybersicherheit wird nun an einer Realität gemessen, die schneller ist als der Gesetzgebungsprozess.

Was technisch tatsächlich neu ist

Die öffentliche Debatte neigt zur Zuspitzung in die Richtung „KI-Hacker gegen Menschheit“. Die nüchterne Lesart ist eine andere. Sprachmodelle erleichtern zwei Schritte, die bislang Expertise und Zeit kosteten: das Verfassen täuschend echter Phishing-Nachrichten und die Analyse fremden Codes auf ausnutzbare Fehler. Im DARPA-Wettbewerb 2025 fanden Sprachmodell-gestützte Systeme in 54 Millionen Zeilen Code 18 reale und 54 eingeschleuste Schwachstellen; das Stanford-Projekt ARTEMIS demonstrierte, dass ein LLM-gesteuertes System im kontrollierten Umfeld sogar mehr Schwachstellen entdeckte als einzelne menschliche Profis. Gleichzeitig melden die Modelle viele falsch-positive Befunde, überfluten Open-Source-Projekte mit Pseudo-Meldungen und entlasten die Verteidiger gerade nicht. Die Asymmetrie bleibt: Für Angreifer genügt ein Treffer, Verteidiger müssen flächendeckend reagieren.

Zu diesem Befund kommen zwei weitere Entwicklungen, die sich nicht sinnvoll voneinander trennen lassen:

  • Erstens haben Google und das Start-up Oratomic Ende März 2026 unabhängig voneinander Arbeiten vorgelegt, nach denen Elliptische-Kurven-Kryptografie wie P-256 bereits mit rund 10.000 Qubits zu brechen wäre, eine RSA-2048-Verschlüsselung mit weniger als 100.000 physischen Qubits. Wann genau ein Quantencomputer dieser Größenordnung funktionsfähig ist, bleibt offen, doch die Zeitachse der Post-Quanten-Migration, die viele Unternehmen bisher mit Jahrzehnten veranschlagt haben, verkürzt sich.
  • Und zweitens ist das Angriffsspektrum auf LLM-basierte Systeme selbst in einem Umfang gewachsen, der klassische IT-Sicherheit nicht mehr abdeckt – Prompt Injection, indirekte Injection über manipulierte Webseiten, Training Data Poisoning, Model Evasion, modellübergreifende Infektionen und die schon im Reallabor beobachtete Entführung von Robotern durch sprachliche Manipulation anderer Roboter gehören zu einer Gefährdungsliste, die ich an anderer Stelle ausführlich aufgearbeitet habe (Ferner: „LLM Hacking“ in KIR 2025, 374).

Zero-Trust-Perspektive

Die NIST-Arbeit zu LLM-basierten Systemen in einer Zero-Trust-Architektur bringt den Kern des Problems auf den Punkt: LLMs sind nicht-deterministisch, ihre Eingaben und Ausgaben vermengen Daten und Steuerungsbefehle, und ihre Komponenten – Prompts, Vektordatenbanken, Plugins, Agenten – erzeugen eine Angriffsfläche, die mit Perimeterkonzepten nicht beherrschbar ist. Wer ein LLM in Geschäftsprozesse integriert, muss auf Policy-Decision-Points, kontinuierliche Verifikation und segmentierte Trust-Zonen setzen, weil die Grenze zwischen „Nutzereingabe“ und „Systemanweisung“ semantisch verschwimmt. Das ist keine akademische Spitzfindigkeit: Genau diese Eigenart ist der Grund dafür, dass sprachliche Manipulation – das klassische „Social Engineering“ gegenüber einer Maschine – strafrechtlich neuartige Fragen aufwirft.

Regulatorischer Rahmen

Die europäische Regulierung der KI-Cybersicherheit ruht inzwischen auf mindestens drei tragenden Elementen, die ineinandergreifen und doch nicht deckungsgleich sind:

Art. 15 KI-VO

… verpflichtet Anbieter von Hochrisiko-KI-Systemen, Genauigkeit, Robustheit und Cybersicherheit „in angemessenem Maß“ über den gesamten Lebenszyklus sicherzustellen und nennt ausdrücklich KI-spezifische Angriffe wie Data Poisoning, Model Poisoning und Adversarial Examples. Die Norm arbeitet mit unbestimmten Rechtsbegriffen, und selbst die Autorin Glugla weist in der RDi darauf hin, dass die Verordnung zwischen Robustheit, Widerstandsfähigkeit und Cybersicherheit begrifflich inkonsistent ist. Für GPAI-Modelle mit systemischem Risiko greift Art. 55 Abs. 1 lit. d KI-VO; schwere Sicherheitsvorfälle sind nach Art. 73 KI-VO meldepflichtig.

Der Cyber Resilience Act (VO EU 2024/2847)

… gilt ab dem 11. Dezember 2027 vollumfänglich und erfasst Produkte mit digitalen Elementen horizontal. Art. 12 CR-VO regelt das Verhältnis zur KI-VO: Für Hochrisiko-KI-Systeme, die zugleich Produkte mit digitalen Elementen sind, wird die Erfüllung der CR-VO-Anforderungen als Erfüllung des Art. 15 KI-VO fingiert – allerdings mit Stolperfallen bei wichtigen und kritischen Produkten, für die sich strengere Konformitätsverfahren nach der CR-VO durchsetzen. Das Ergebnis ist eine verschachtelte Prüfsystematik, die in der Praxis eher zu Rechtsunsicherheit als zu Klarheit führt.

Die NIS2-Richtlinie

… in Deutschland durch das NIS2-Umsetzungs- und Informationssicherheits­stärkungsgesetz (BGBl. 2025 I Nr. 301) umgesetzt, ergänzt diesen Rahmen sektoral. Sie verpflichtet wesentliche und wichtige Einrichtungen zu einem risikobasierten Sicherheitsmanagement, das nach Art. 21 NIS2-RL auch Lieferketten-, Entwicklungs- und Krypto­anforderungen einschließt. Für KI-Systeme, die in Energie, Finanzen, Gesundheit oder digitalen Diensten eingesetzt werden, gelten die Vorgaben des Art. 15 KI-VO und die Umsetzungsgesetze der NIS2-RL kumulativ. Wer sich auf eine CSA-Zertifizierung nach Art. 42 Abs. 2 KI-VO stützt, löst damit die NIS2-Pflichten nicht ab.

Hinzu treten flankierend die DSGVO (Art. 32), der Data Act, der DSA und – für Produkte im engeren Sinne – die neue Maschinenverordnung, die KI-Sicherheitsfunktionen ausdrücklich adressiert. Die regulatorische Landkarte ist damit dicht, aber nicht lückenlos.

Neue Produkthaftungsrichtlinie verändert die Statik

Die bis zum 9. Dezember 2026 umzusetzende neue Produkthaftungsrichtlinie (RL (EU) 2024/2853) erfasst Software einschließlich KI-Systemen ausdrücklich als Produkt und bezieht verbundene digitale Dienste ein. Für die Praxis relevant ist die Verknüpfung mit dem Produktsicherheitsrecht: Ein Verstoß gegen zwingende Vorgaben der KI-VO, die den Schutzzielen der PHRL dienen, begründet einen Produktfehler; ebenso können Rückrufe oder Anordnungen von Marktüberwachungsbehörden nach Art. 79 KI-VO als Indiz herangezogen werden. Besonders wirkmächtig ist Art. 10 PHRL: Bei technischer oder wissenschaftlicher Komplexität – ausdrücklich einschließlich maschinellen Lernens – greifen Fehler- und Kausalitätsvermutungen, die Offenlegungspflichten nach Art. 9 PHRL flankieren diese Beweiserleichterungen. Der Selbstbehalt von 500 EUR ist entfallen, der Kreis geschützter Güter wurde auf nicht gewerblich genutzte Daten ausgeweitet.

Daneben bleibt die außervertragliche Haftung nach §§ 823 ff. BGB und die Betreiberhaftung für autonome Softwareagenten relevant. Die Zurechnung autonom agierender Systeme folgt weiterhin den klassischen Kategorien: KI-Agenten sind Werkzeuge, ihre Handlungen werden natürlichen oder juristischen Personen zugerechnet. Die KI-VO selbst lässt sich in Teilen als Schutzgesetz im Sinne des § 823 Abs. 2 BGB lesen, allerdings norm-spezifisch und nicht pauschal.

Die von der Kommission 2022 vorgeschlagene KI-Haftungsrichtlinie ist 2025 zurückgezogen worden. Damit bleibt es – jedenfalls vorerst – bei nationalem Haftungsrecht, ergänzt um die neue PHRL. Für Kanzleien, die in der Schnittmenge aus IT- und Wirtschaftsstrafrecht arbeiten, ist die damit verbundene Fragmentierung ein ernüchternder Befund.

Strafrecht: Das Ende der Kategorie „technischer Angriff“

Die wirklich spannende, bislang unterschätzte Frage liegt im Strafrecht. Wenn ein Angreifer ein Hochrisiko-KI-System nicht mit Code, sondern mit geschickt formulierter Alltagssprache zur Preisgabe geschützter Informationen verleitet – liegt dann ein Ausspähen von Daten nach § 202a StGB vor? Die Antwort ist weniger eindeutig, als sie scheint. Ich habe an anderer Stelle dargelegt, dass interne Anweisungen an ein LLM als Zugangssicherung zu verstehen sein können, dass die Überwindung dieser Sicherung auch in sprachlicher Form möglich ist und dass die Art der Eingabe strafrechtlich gerade keine Rolle spielt (Ferner, KIR 2025, 374 ).

Zugleich zwingt die Architektur eines LLM – Vektordatenbank, probabilistisches Inferieren, keine klassische Datenspeicherung – zu einer Differenzierung: Wo die Zugangssicherung nicht den Zugriff auf gespeicherte Daten einschränkt, sondern die Erzeugung bestimmter Ergebnisse, verschiebt sich der Schutzgegenstand, und die strafrechtliche Antwort bleibt offen. Für § 303a StGB (Datenveränderung), § 263a StGB (Computerbetrug) und in Robotik-Konstellationen sogar § 242 StGB gilt Ähnliches: Die tatbestandlichen Kategorien sind tragfähig, die Zurechnung eines autonom agierenden Systems zu seinem „Veranlasser“ aber ist das eigentliche Problem.

Für Wirtschaftsstrafverteidigung bedeutet das konkret: In Fällen, in denen Unternehmen KI-Agenten für automatisierte Entscheidungen oder Transaktionen einsetzen, wird die Frage nach Vorsatz, Fahrlässigkeit und Organisationsverschulden neu zu stellen sein. Eine mangelhafte Umsetzung von Art. 15 KI-VO oder der NIS2-Pflichten kann sich in der zivilrechtlichen Haftung als Sorgfaltspflichtverletzung und im Strafrecht als Anknüpfungspunkt für Unterlassungshaftung auswirken.

Compliance: Was Unternehmen jetzt tun müssen

Die Zusammenschau der regulatorischen Schichten ergibt eine Pflichtenlage, die Unternehmen nicht länger in separaten Silos organisieren können. Hoeren/Pinelli haben in der KIR 2026 herausgearbeitet, dass KI-Compliance als integraler Bestandteil der Gesamt-Compliance zu führen ist, mit klaren Verantwortlichkeiten, fortlaufenden Risk Assessments, technischer Dokumentation, Audit Trails und funktionierenden Kill-Switch-Mechanismen. Die ISO/IEC 22989 und 23894 sowie die Arbeiten von CEN/CENELEC liefern die technischen Referenzpunkte, deren Verletzung nach der neuen PHRL als Anscheinsbeweis für einen Produktfehler gewertet werden dürfte.

Praktisch heißt das: Wer ein Hochrisiko-KI-System betreibt, muss die Sicherheitsrisikobewertung nach Art. 9 KI-VO mit einem NIS2-konformen ISMS verbinden, die Cyber-Resilience-Anforderungen an Produkte mit digitalen Elementen im Blick behalten und die DSGVO-seitigen Pflichten einhalten. Die Cybersicherheit von KI-Agenten ist dabei kein IT-Thema mehr, sondern Gegenstand der Geschäftsführerhaftung.

Wohin die Reise geht

Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

Drei Punkte verdienen im kommenden Jahr besondere Aufmerksamkeit. Erstens werden die harmonisierten technischen Normen zur KI-VO, die derzeit bei CEN/CENELEC entstehen, zum Maßstab für Produktfehler und Sorgfaltspflichten. Zweitens zwingt die Post-Quanten-Kryptografie Unternehmen zu einer strategischen Entscheidung: Wer heute P-256-Zertifikate ausgibt, muss deren Gültigkeitsdauer an der Migrationsplanung ausrichten. Drittens wird das Strafrecht in der Praxis deutlich häufiger als bisher auf KI-spezifische Sachverhalte stoßen – von Prompt-Injection-Angriffen auf Unternehmens-Agenten bis zu Deepfake-gestützten CEO-Fraud-Fällen.

Die beruhigende Nachricht lautet: Der rechtliche Rahmen ist dichter geworden. Die unbequeme Nachricht: Er ist nicht kohärenter, sondern komplexer geworden. Wer Mandanten in diesem Feld berät, wird mehr denn je zwischen KI-VO, CR-VO, NIS2, PHRL, DSGVO und StGB navigieren müssen – und zwar innerhalbt des gleichen Sachverhalt.

Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)
Rechtsanwalt Jens Ferner

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (mit Schwerpunkt Wirtschaftskriminalität und Cybercrime) sowie Spezialist im IT-Recht mit Schwerpunkt Softwarerecht und digitale Beweismittel. Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren, speziell an der Schnittstelle von Strafrecht & IT-Recht und berät in komplexen Softwareprojekten.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.

Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.