Systemische Fragilität: KI außer Kontrolle bedroht kritische Infrastruktur

Wird fehlerhaft konfigurierte KI bald schon die kritische Infrastruktur eines Industriestaats lahmlegen? Gartner warnt vor einem solchen Szenario. Das ist keine wilde Spekulation, sondern sollte auf die Tagesordnung jedes Vorstands gesetzt werden.

Ein Bild, das Menschliches Gesicht, Person, Kleidung, Kinn enthält. KI-generierte Inhalte können fehlerhaft sein.

Darren Guccione: "Mit der zunehmenden Automatisierung wächst auch der potenzielle Schadensradius, denn KI beseitigt Risiken nicht – sie beschleunigt sie vielmehr, wenn die Schutzmechanismen zu schwach sind". (Foto: Keeper Security)

Die Warnung der Technologieexperten von Gartner, dass fehlerhaft konfigurierte KI bis 2028 in einem G20-Land die nationale kritische Infrastruktur lahmlegen könnte, sollte nicht als Spekulation abgetan werden. Diese Ankündigung spiegelt vielmehr die strukturelle Realität wider: KI-Systeme werden zunehmend schneller in Energie- und Verkehrsnetze, Gesundheitsplattformen und Finanzdienstleistungen integriert, als Governance-, Identitätskontroll- und Konfigurationsbedingungen heranreifen. Das wahrscheinlichste Ausfallszenario ist deshalb keine außer Kontrolle geratene Superintelligenz, sondern eine fehlerhafte Konfiguration – also menschliches Versagen, das durch Automatisierung und Skalierung noch verstärkt wird.

[Mehr zum Thema Autonome KI Openclaw: "Ich habe noch nie erlebt, dass eine so unsichere Technologie so schnell so viel Aufmerksamkeit erlangt hat"]

KI-Systeme stützen sich auf komplexe Geflechte aus privilegierten Konten, API-Schlüsseln, Service-Identitäten, Automatisierungsskripten und Drittanbieter-Integrationen. Werden diese Identitäten unzureichend verwaltet, mit zu weitreichenden Berechtigungen ausgestattet oder nicht überwacht, entsteht eine systemische Fragilität.

Mittlerweile mehr KI-Agenten als menschliche Identitäten

Aufgrund der beschleunigten Einführung von KI übersteigen nicht-menschliche Identitäten, wie Servicekonten, Automatisierungstokens und KI-Agenten, in vielen Infrastrukturen inzwischen die Anzahl menschlicher Nutzer sehr deutlich und erweitern damit die Risiken erheblich. Diese nicht-menschlichen Identitäten verfügen häufig über dauerhafte Privilegien – und das bei begrenzter Kontrolle. Die Folge: Eine einzelne kompromittierte Kombination aus Zugangsdaten oder eine fehlerhafte Modell-Deployment-Pipeline kann sich kaskadenartig über miteinander verbundene Infrastrukturlandschaften ausbreiten.

Mit der zunehmenden Automatisierung wächst auch der potenzielle Schadensradius, denn KI beseitigt Risiken nicht – sie beschleunigt sie vielmehr, wenn die Schutzmechanismen zu schwach sind.

Aufgabe auf Vorstandsebene

Betreiber kritischer Infrastrukturen müssen durchsetzbare Identitäts-Governance deshalb gleichermaßen auf menschliche wie nicht-menschliche Identitäten anwenden. Zero-Trust-Architekturen, die Durchsetzung des Least-Privilege-Prinzips und die kontinuierliche Überwachung privilegierter Konten müssen auch auf KI-Modelle, Trainingsumgebungen und die Cloud-Infrastruktur ausgeweitet werden.

Der regulatorische Druck nimmt zu – in der EU, im Vereinigten Königreich und in den USA. Rahmenwerke wie die NIS2-Richtlinie, der Digital Operational Resilience Act (DORA) und der EU AI Act nehmen die Geschäftsleitungen der Unternehmen ausdrücklich in die Verantwortung für operative Resilienz und eine sichere Systemgestaltung. KI-Governance ist keine rein technische Frage mehr. Sie ist eine Aufgabe auf Vorstandsebene und eine Frage nationaler Widerstandsfähigkeit.

Sichere Notfall-Eingriffsmechanismen sind in KI-gestützten Operational-Technology-Umgebungen unerlässlich. Allerdings sind solche Eingriffskontrollen nur dann wirksam, wenn Identitätssysteme gehärtet und Zugriffswege streng kontrolliert werden. Ohne einheitliche Transparenz und Kontrolle über privilegierte Zugriffe können Organisationen in einer KI-getriebenen Infrastrukturlandschaft keine glaubwürdige operative Einsatzbereitschaft beanspruchen. Die nationale Resilienz im KI-Zeitalter wird weniger von der Modellraffinesse abhängen als vielmehr von operativer Disziplin. Vorstände und Aufsichtsbehörden sollten die Governance von KI-Konfigurationen deshalb als zentrale Resilienz-Kennzahl behandeln – nicht als technisches Randthema.

Verfasser dieses Beitrags ist Darren Guccione, CEO und Mitgründer von Keeper Security. Die Auswahl von Gastkommentaren, die nicht als Werbung und gesponsorte Beiträge gekennzeichnet sind, trifft einzig die CRN-Redaktion.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden