Der „AI Agents at Work 2026 Report“ von Okta zeigt: 44 Prozent der deutschen Unternehmen erleiden Sicherheitsverletzungen durch KI-Tools – trotz niedrigster Schatten-KI-Quote. Der Report von Okta verdeutlicht eine tiefe Kluft zwischen dem ausgeprägten Vertrauen des Managements und den tatsächlichen Gewohnheiten der Belegschaft, wodurch kritische Sicherheitslücken entstehen.
Zentrale Ergebnisse der globalen Untersuchung im Überblick:
- Schatten-KI ist weit verbreitet: Obwohl 90 Prozent der Führungskräfte auf die Transparenz ihrer KI-Infrastruktur vertrauen, nutzt mehr als die Hälfte der Angestellten (52 Prozent) ungenehmigte Anwendungen, oft über private Konten.
- Governance-Lücken führen zu handfesten Konsequenzen: Mehr als die Hälfte der Unternehmen (58 Prozent) verzeichneten im vergangenen Jahr einen KI-bezogenen Sicherheitsvorfall oder einen Beinaheunfall.
- Mitarbeiter teilen bereitwillig vertrauliche Daten und Zugriffe: Fast ein Drittel (29 Prozent) gibt vertrauliche Firmendokumente an KI-Tools weiter und 16 Prozent teilen Passwörter oder Anmeldedaten. Zudem gewähren viele den Systemen direkten Zugriff auf interne Systeme, wie CRM-Datenbanken oder Tools für die Zusammenarbeit.
- Übermäßiges Vertrauen des Managements: 95 Prozent der Führungskräfte vertrauen darauf, dass ihre Mitarbeiter verantwortungsvoll mit KI umgehen, was jedoch die Nutzung von nicht genehmigten und ungesicherten Tools völlig übersieht.
- KI-Richtlinien sind unklar kommuniziert: Während 65 Prozent der Manager die internen Richtlinien für sehr klar halten, widerspricht mehr als die Hälfte der Wissensarbeiter (57 Prozent) dieser Einschätzung und findet sie unklar, schwer zu finden oder nicht existent.
- Inkonsistente Identitätskontrollen (IAM): Nur 34 Prozent der Unternehmen wenden für ihre digitale und KI-Agenten-Belegschaft dieselben strengen Sicherheitskontrollen an wie für menschliche Angestellte.
Das deutsche „Compliance-Paradoxon“: Regeltreue garantiert keine Sicherheit
Ein genauerer Blick auf die länderspezifischen Daten für Deutschland offenbart eine paradoxe und höchst gefährliche Situation: Auf der einen Seite zeichnen sich deutsche Angestellte durch ein hohes Maß an Regeltreue aus, denn nur 32 Prozent der Befragten nutzen ungenehmigte Schatten-KI am Arbeitsplatz (14 Prozent regelmäßig, 18 Prozent gelegentlich), was global der zweitniedrigste Wert ist. Auch beim Teilen hochsensibler Daten sind deutsche Mitarbeiter extrem zurückhaltend: Lediglich 14 Prozent gaben an, vertrauliche Dokumente an KI-Tools zu übermitteln.
Trotz dieser scheinbaren Musterschüler-Rolle steht Deutschland bei den tatsächlichen Schadensfällen an der Weltspitze: Über zwei Drittel der deutschen Unternehmen (68 Prozent) sahen sich im letzten Jahr mit KI-Sicherheitsproblemen konfrontiert. Schlimmer noch: 44 Prozent erlitten eine tatsächliche Sicherheitsverletzung – die höchste Quote im globalen Vergleich. Dieses „Compliance-Paradoxon“ legt nahe, dass die größten Sicherheitsrisiken in Deutschland nicht primär durch heimliche Schatten-KI verursacht werden, sondern von den offiziell genehmigten KI-Tools und deren unzureichender Absicherung ausgehen.
Diskrepanzen in der Wahrnehmung: Effizienzdrang schlägt Sicherheitsbedenken
Die Ursachen für diese Sicherheitslücken liegen auch in einer tiefen Wahrnehmungskluft zwischen Management und Belegschaft. Deutsche Führungskräfte wiegen sich in großer Sicherheit: 64 Prozent von ihnen sind fest davon überzeugt, dass ihre Mitarbeiter die künstliche Intelligenz (KI) absolut verantwortungsvoll nutzen, was weltweit einen Spitzenwert darstellt.
Diese Zuversicht deckt sich jedoch nicht mit den Strukturen im Unternehmen. So gibt es erhebliche Defizite bei der Transparenz von Richtlinien: Während 52 Prozent der deutschen Manager die internen KI-Nutzungsvorgaben als klar verständlich und gut kommuniziert betrachten, stimmen dem nur 40 Prozent der Arbeitnehmer zu.
Gleichzeitig verschieben sich in den deutschen Teams die Prioritäten stark in Richtung der Produktivität. Für 36 Prozent der deutschen Wissensarbeiter hat die reine Effizienz bei der Nutzung von KI oberste Priorität – das ist der höchste Wert weltweit. Im Gegenzug ist das Bewusstsein für potenzielle Gefahren alarmierend gering: Nur 28 Prozent der deutschen Angestellten äußerten konkrete Sicherheitsbedenken im Umgang mit KI, was im internationalen Vergleich den letzten Platz bedeutet. Da zudem global im Durchschnitt nur 34 Prozent der Unternehmen dieselben strengen Sicherheitskontrollen auf ihre digitalen Identitäten und KI-Agenten anwenden, wie auf menschliche Mitarbeiter, entsteht ein immens gefährlicher Angriffsvektor.
Ein dringender Weckruf für die deutsche Wirtschaft
„Das deutsche Compliance-Paradoxon ist ein deutlicher und dringender Weckruf für die gesamte Wirtschaft“, erklärt Thomas Heinz, Senior Manager Solutions Engineering bei Okta. Weiter: „Es reicht bei weitem nicht mehr aus, sich auf die traditionelle Regeltreue der Belegschaft zu verlassen. Wenn 44 Prozent unserer Unternehmen trotz der weltweit zweitniedrigsten Schatten-KI-Nutzung echte Sicherheitsverletzungen erleiden, liegt das Problem im System. Gepaart mit der Tatsache, dass der Effizienzgedanke in deutschen Teams dominiert und die Sicherheitsbedenken mit nur 28 Prozent global am geringsten ausgeprägt sind, werden offiziell freigegebene KI-Tools ohne strikte Absicherung zu einer unkontrollierbaren Gefahr. Wir müssen daher umdenken: Autonome KI-Agenten dürfen nicht länger als reine Software-Werkzeuge betrachtet werden. Sie agieren eigenständig und müssen zwingend wie privilegierte, vollwertige digitale Identitäten behandelt werden – inklusive derselben strengen Zugriffsrechte, IAM-Kontrollen und Überwachungsmechanismen, die wir für menschliche Mitarbeiter seit Jahren voraussetzen.“
Wie Unternehmen die Governance-Lücke schließen können
Oktas Report macht unmissverständlich klar, dass Unternehmen nicht auf eine Krise warten dürfen, um eine KI-Governance-Strategie zu definieren. Entscheidungsträger müssen davon ausgehen, dass unregulierte KI-Prozesse in ihren Netzwerken bereits stattfinden und deshalb die lückenlose Aufdeckung dieser Vorgänge, sowie deren künftige Überwachung, zur Priorität machen. Aus diesem Grund empfiehlt der SaaS-Anbieter, dass jeder KI-Agent als eigenständige Identität mit einem definierten Lebenszyklus und granularen Berechtigungen betrachtet und verwaltet werden sollte. So lässt sich das volle Potenzial von KI ohne unkalkulierbare Risiken ausschöpfen und in einen Wettbewerbsvorteil verwandeln.
Methodologie des Reports
Im Auftrag von Okta rekrutierte das Marktforschungsunternehmen Apprize360 insgesamt 292 C-Level-Führungskräfte und Vizepräsidenten mit Verantwortung für IT, Sicherheit, Daten und Engineering sowie 492 Wissensarbeiter für eine weltweite, doppelblinde Online-Umfrage. Die Datenerhebung fand im März 2026 statt. Die Befragten stammen aus den USA (23 %), Großbritannien (22 %), Australien (12 %), Kanada (12 %), Japan (11 %), Frankreich (10 %) und Deutschland (10 %). Volle 100 Prozent der teilnehmenden Wissensarbeiter gaben an, in den drei Monaten vor der Umfrage aktiv mit KI-Technologien gearbeitet zu haben. Der vollständige Report findet sich hier: https://www.okta.com/newsroom/articles/ai-agents-at-work-2026-agentic-enterprise-security/.
#Okta
