Erläuterung des Sicherheitsstatusmanagements für KI: Absicherung der Angriffsfläche von KI

Wichtige Erkenntnisse

AI-SPM ist ein eigenständiger Sicherheitsbereich, der KI-spezifische Ressourcen – Modelle, Trainingsdaten, Inferenz-Endpunkte und KI-Agenten – in hybriden Umgebungen kontinuierlich identifiziert, bewertet und schützt.
Herkömmliche Sicherheitslösungen lassen Lücken offen. CSPM schützt cloud und DSPM sichert Datenspeicher, doch keine der beiden Lösungen berücksichtigt KI-spezifische Risiken wie prompt injection, Modell-Extraktion oder Data Poisoning.
Die finanziellen Folgen sind erheblich. Verstöße im Zusammenhang mit „Shadow AI“ verursachen Kosten, die um 670.000 Dollar über denen durchschnittlicher Verstöße liegen, und ein durchschnittlicher KI-gestützter Verstoß kostet 5,72 Millionen Dollar.
Die gesetzlichen Fristen erhöhen den Zeitdruck. Die im EU-KI-Gesetz festgelegte Frist für die Umsetzung von Maßnahmen bei hohem Risiko am 2. August 2026 erfordert überprüfbare KI-Sicherheitskontrollen, wie sie AI-SPM bietet.
Agentische KI vergrößert die Angriffsfläche. Da 80 % der Unternehmen von unbefugten Aktionen durch KI-Agenten berichten, muss AI-SPM nun neben herkömmlichen KI-Ressourcen auch nicht-menschliche Akteure regulieren.

Unternehmen setzen KI in einem noch nie dagewesenen Tempo ein. Gartner prognostiziert, dass sich die weltweiten Ausgaben für KI im Jahr 2026 auf insgesamt 2,5 Billionen US-Dollar belaufen werden, doch nur 6 % der Unternehmen verfügen über eine ausgereifte KI-Sicherheitsstrategie. Die Folge ist eine sich vergrößernde Kluft zwischen der Einführung von KI und dem Schutz vor KI – eine Kluft, für deren Überbrückung herkömmliche cloud endpoint nie konzipiert wurden. Um diese Lücke zu schließen, wurde das AI Security Posture Management (AI-SPM) entwickelt, das Sicherheitsteams einen kontinuierlichen Überblick über Modelle, Trainingsdaten, Inferenz-Pipelines und KI-Agenten im gesamten Unternehmen bietet. Dieser Leitfaden erklärt, was AI-SPM ist, wie es funktioniert, wie es sich von verwandten Disziplinen wie CSPM und DSPM unterscheidet und warum es für jedes Unternehmen, das KI entwickelt oder nutzt, unverzichtbar geworden ist.

Was versteht man unter dem Management der KI-Sicherheitslage?

Das AI Security Posture Management (AI-SPM) ist ein Bereich der Cybersicherheit, der KI-Systeme – darunter Modelle, Trainingsdatensätze, Inferenz-Pipelines und autonome Agenten – kontinuierlich aufspürt, klassifiziert und schützt, indem er Fehlkonfigurationen, Schwachstellen und Compliance-Lücken über den gesamten KI-Lebenszyklus hinweg identifiziert.

Im Gegensatz zu herkömmlichen Tools zur Sicherheitsbewertung, die sich auf cloud oder Datenspeicher konzentrieren, befasst sich AI-SPM mit Risiken, die speziell mit künstlicher Intelligenz verbunden sind. Dazu gehören das Verfälschen von Trainingsdatensätzen, prompt injection gegen große Sprachmodelle, Versuche der Modellextraktion sowie KI-Dienstkonten mit übermäßigen Berechtigungen. AI-SPM betrachtet jede KI-Komponente als Teil der Angriffsfläche – vom feinabgestimmten Modell, das in einer privaten cloud läuft, cloud einer KI-Funktion eines Drittanbieters, die in eine SaaS-Anwendung eingebettet ist.

Der Markt für KI-SPM spiegelt diese Dringlichkeit wider. Laut WiseGuy Reports belief sich der Marktwert dieser Kategorie im Jahr 2024 auf 4,65 Milliarden US-Dollar, und Forrester prognostiziert, dass sich die Ausgaben für KI-Governance-Software bis 2030 bei einer durchschnittlichen jährlichen Wachstumsrate von 30 % auf 15,8 Milliarden US-Dollar vervierfachen werden.

Wer benötigt AI-SPM? Jedes Unternehmen, das KI-Modelle einsetzt, SaaS-KI-Funktionen nutzt oder KI-gestützte Anwendungen entwickelt. Die Lücke im Reifegrad ist eklatant. Untersuchungen zeigen, dass 99,4 % der CISOs im Jahr 2025 Sicherheitsvorfälle im Zusammenhang mit SaaS oder KI gemeldet haben, doch nur 6 % der Unternehmen über eine ausgereifte KI-Sicherheitsstrategie verfügen. AI-SPM schließt diese Lücke, indem es für KI dasselbe kontinuierliche Sicherheitsmanagement bietet, wie es CSPM für cloud bereitstellt.

Warum AI-SPM gerade jetzt wichtig ist

Mehrere sich verstärkende Faktoren machen AI-SPM im Jahr 2026 unverzichtbar. Die Frist für die Durchsetzung der Bestimmungen des EU-KI-Gesetzes für Bereiche mit hohem Risiko läuft am 2. August 2026 ab. Unternehmen müssen dann nachweisbare KI-Sicherheitskontrollen vorweisen oder mit Strafen von bis zu 35 Millionen Euro oder 7 % ihres weltweiten Umsatzes rechnen. Auf der RSA Conference 2026 gab es beispiellose Ankündigungen von AI-SPM-Anbietern, was den Übergang dieser Kategorie vom Konzept zu allgemein verfügbaren Produkten signalisiert. Und die Bedrohungslage verschärft sich – im Jahr 2025 gab es 16.200 bestätigte KI-bezogene Sicherheitsvorfälle, was einem Anstieg von 49 % gegenüber dem Vorjahr entspricht.

So funktioniert AI-SPM

AI-SPM funktioniert nach einem kontinuierlichen Fünf-Phasen-Zyklus, der bewährte Ansätze des Sicherheitsstatus-Managements widerspiegelt, diese jedoch speziell auf KI-Ressourcen und -Risiken anwendet.

Entdecken. Durchsuchen Sie die Umgebung kontinuierlich nach KI-Ressourcen, darunter Modelle, Trainingsdatensätze, Inferenz-Endpunkte, KI-Agenten und Schatten-KI-Bereitstellungen. Die Erfassung umfasst lokale Infrastrukturen,cloud und SaaS-Anwendungen.
Klassifizieren. Bewerten Sie jedes identifizierte KI-Asset anhand von Datensensibilität, Zugriffsrisiko, regulatorischen Anforderungen und geschäftlicher Relevanz. Ein kundenorientierter Chatbot, der Finanzdaten verarbeitet, erhält eine andere Bewertung als ein internes Tool zur Textzusammenfassung.
Test. Führen Sie Schwachstellenscans und adversarische Tests an KI-Systemen durch. Dazu gehören prompt injection , die Erkennung von Datenvergiftung, Versuche zur Modellextraktion sowie Überprüfungen auf Fehlkonfigurationen.
Überwachung. Analysieren Sie das Verhalten von KI-Systemen zur Laufzeit – verfolgen Sie Datenflüsse, API-Aufrufe, Modelleingaben und -ausgaben sowie Agentenaktionen. Die Laufzeitüberwachung erkennt in Echtzeit ungewöhnliche Datenzugriffsmuster, Versuche der Rechteausweitung und unbefugte Aktionen.
Bericht. Erstellen Sie Compliance-Dashboards, Risikobewertungen und Nachverfolgungen von Korrekturmaßnahmen. Die Berichte ordnen die Ergebnisse den regulatorischen Rahmenwerken zu und liefern Nachweisketten für Auditoren.

Dieser Zyklus läuft kontinuierlich ab. Im Gegensatz zu periodischen Penetrationstests oder jährlichen Audits bietet AI-SPM einen Echtzeit-Überblick über die KI-Risiken im Unternehmen. Branchenstudien zeigen, dass 7,5 % der Eingabeaufforderungen für generative KI sensible Informationen enthalten, und Daten cloud belegen, dass 94 % der Unternehmen, die bestimmte KI-Plattformen nutzen, über mindestens ein öffentlich zugängliches Konto verfügen. Diese Risiken entstehen ständig neu und verändern sich fortwährend, weshalb eine kontinuierliche Überwachung unerlässlich ist.

Der Zyklus lässt sich durch den Export von Telemetriedaten zur KI-basierten Bedrohungserkennung an SIEM- und SOAR-Plattformen in die bestehende Sicherheitsinfrastruktur integrieren und ermöglicht so die Korrelation zwischen KI-spezifischen Ereignissen und allgemeinen Sicherheitswarnungen.

AI-SPM und die KI-Stückliste

Eine KI-Stückliste (AI-BOM) ist eine umfassende Bestandsaufnahme aller Komponenten eines KI-Systems – Modelle, Datensätze, Bibliotheken, APIs, Plugins und Abhängigkeiten. Man kann sie sich als eine Art Nährwertangabe für KI-Systeme vorstellen. So wie eine Software-Stückliste (SBOM) Software-Abhängigkeiten katalogisiert, um Schwachstellen nachzuverfolgen, erweitert eine AI-BOM dieses Konzept um die Herkunft der Trainingsdaten, die Modellherkunft und API-Integrationen.

Die KI-Stückliste ist für das KI-SPM von grundlegender Bedeutung, denn was nicht erfasst ist, kann auch nicht gesichert werden. Ohne eine vollständige KI-Stückliste haben Unternehmen keine Möglichkeit, Risiken in der Lieferkette zu bewerten, die Datenherkunft nachzuverfolgen oder zu überprüfen, ob die Trainingsdaten eines Modells den Datenschutzbestimmungen entsprechen.

Die praktische Erstellung einer KI-Stückliste erfolgt in vier Schritten. Bei der automatischen Erkennung werden KI-Ressourcen in der gesamten Umgebung identifiziert. Die Abhängigkeitszuordnung bildet die Beziehungen zwischen Modellen, Datensätzen und APIs ab. Die Herkunftsverfolgung dokumentiert, wie Trainingsdaten erfasst, verarbeitet und transformiert wurden. Und durch kontinuierliche Aktualisierungen wird sichergestellt, dass die KI-Stückliste den aktuellen Stand der sich rasch weiterentwickelnden KI-Implementierungen widerspiegelt. Zur Standardisierung dieses Prozesses entstehen derzeit Spezifikationen wie CycloneDX ML-BOM.

Kernkomponenten von AI-SPM

Eine umfassende AI-SPM-Implementierung vereint sieben Kernfunktionen, von denen jede eine bestimmte Ebene des KI-Risikos abdeckt.

Komponente	Funktionsweise	Warum es wichtig ist	Beispiel für AI-SPM
Erfassung und Bestandsaufnahme von KI-Ressourcen	Findet alle KI-Systeme, einschließlich Schatten-KI	Unbekannte Vermögenswerte können nicht gesichert werden	Erkennung einer nicht genehmigten LLM-API-Integration in einem SaaS-Tool
KI-spezifische Schwachstellenprüfung	Erkennt Fehlkonfigurationen und ungeschützte Endpunkte	KI-Systeme weisen spezifische Schwachstellenkategorien auf	Einen endpoint ferenz endpoint Standard-Anmeldedaten kennzeichnen
Analyse des Angriffswegs	Zeigt den Weg vom ersten Zugriff bis zur Kompromittierung des Modells oder der Daten auf	Zeigt auf, wie Angreifer KI-spezifische Schwachstellen miteinander verknüpfen	Den Weg vom gestohlenen OAuth-Token bis zur Exfiltration von Trainingsdaten nachverfolgen
Datenherkunft und Einstufung der Vertraulichkeit	Verfolgt die Herkunft von Trainingsdaten und die Offenlegung personenbezogener Daten	Verhindert Verstöße gegen gesetzliche Vorschriften und Datenverfälschungen	Identifizierung personenbezogener Daten in einem Trainingsdatensatz, der aus Kundeninteraktionen stammt
Laufzeitüberwachung und Verhaltensanalyse	Erkennt Anomalien im Verhalten des KI-Systems während des Betriebs	Erkennt Angriffe, die bei statischen Scans übersehen werden	Warnung vor einem sprunghaften Anstieg von prompt injection in einen Produktions-Chatbot prompt injection
Zugriffskontrolle und Identitätsmanagement	Sorgt für die Einhaltung des Prinzips der geringsten Berechtigungen bei Modellen, Dienstkonten und KI-Agenten	Überprivilegierte Identitäten sind die häufigste Ursache für Fehlkonfigurationen bei KI	Entzug übermäßiger Berechtigungen bei einem für Identitätsdiebstahl anfälligen Dienstkonto
Durchsetzung von Richtlinien und automatisierte Fehlerbehebung	Wendet Sicherheitsrichtlinien an und behebt Verstöße automatisch	Verkürzt die durchschnittliche Zeit bis zur Fehlerbehebung in großem Maßstab	Automatische Rotation offengelegter API-Schlüssel auf einem KI-Inferenz endpoint

Die Kernfunktionen von AI-SPM, zugeordnet zu Sicherheitsergebnissen.

Wie AI-SPM Fehlkonfigurationen erkennt

Fehlerhafte Konfigurationen von KI-Systemen gehören zu den häufigsten und schädlichsten Sicherheitsrisiken im KI-Bereich. Zu den gängigen Beispielen zählen über das öffentliche Internet zugängliche, ungeschützte Modell-Endpunkte, Standard-Anmeldedaten auf KI-Produktionssystemen, KI-Dienstkonten mit übermäßigen Berechtigungen sowie unverschlüsselte Pipelines für Trainingsdaten.

Der Vorfall bei McHire im Bereich der KI-gestützten Personalbeschaffung verdeutlicht die Auswirkungen. Ein produktives KI-Einstellungssystem, das durch das Passwort „123456“ geschützt war, legte 64 Millionen Bewerberdaten aufgrund einer Sicherheitslücke im Zusammenhang mit unsicheren direkten Objektreferenzen offen. Ein AI-SPM-Scan zur Überprüfung der Anmeldedaten hätte dieses Standardpasswort bereits in der Klassifizierungsphase erkannt.

Das Ausmaß der Risiken im Zusammenhang mit KI-Identitäten ist beträchtlich. Der „2026 Cloud AI Security Risk Report“ von Tenable ergab, dass 18 % der Unternehmen über KI-Identitäten mit übermäßigen Berechtigungen verfügen und 52 % der nicht-menschlichen Identitäten kritische, übermäßige Berechtigungen besitzen. AI-SPM begegnet diesem Problem, indem es kontinuierlich nach Fehlkonfigurationen bei Identitäten sucht und Richtlinien für das Prinzip der geringsten Berechtigungen durchsetzt, die speziell für KI-Workloads entwickelt wurden.

AI-SPM vs. CSPM vs. DSPM vs. ASPM

Sicherheitsteams fragen oft, in welchem Zusammenhang AI-SPM mit den von ihnen bereits eingesetzten Tools zum Sicherheitsstatus-Management steht. Kurz gesagt schützt jeder Bereich eine andere Ebene des Technologie-Stacks, und AI-SPM schließt eine Lücke, für deren Abdeckung keines der anderen Tools konzipiert wurde.

Disziplin	Umfang	Hauptfokus	Behandelte Datentypen	Kernkompetenzen	Wann anzuwenden	Bezug zu AI-SPM
AI-SPM	KI-Modelle, Trainingsdaten, Inferenz-Pipelines, KI-Agenten	KI-spezifische Risiken (Vergiftung, Extraktion, prompt injection)	Modellgewichte, Trainingsdatensätze, Eingabeaufforderungen, Aktionen der Agenten	AI-BOM, adversarische Tests, Laufzeitüberwachung, Steuerung von Agenten	Ein KI-System bereitstellen oder nutzen	Kernfach
CSPM	Cloud (IaaS, PaaS)	Cloud und Abweichungen Cloud	Metadaten Cloud , Netzwerkkonfigurationen, IAM-Richtlinien	Konfigurationsüberprüfung, Abweichungserkennung, Compliance-Benchmarks	Ausführung von Workloads in AWS, Azure oder GCP	Ergänzt AI-SPM auf der Infrastrukturebene
DSPM	Datenspeicher und Datenflüsse	Offenlegung sensibler Daten und Governance	Strukturierte und unstrukturierte Daten über verschiedene Repositorien hinweg	Datenermittlung, Klassifizierung, Zugriffsüberwachung	Verwaltung sensibler Daten in verschiedenen Umgebungen	Überschneidungen bei den Trainingsdaten; AI-SPM lässt sich auf Modell- und Agentenrisiken ausweiten
ASPM	Anwendungscode und Software-Lieferkette	Sicherheitslücken in Anwendungen und Risiken im Softwareentwicklungszyklus	Quellcode, Abhängigkeiten, APIs, CI/CD-Pipelines	SAST, DAST, SCA, SBOM-Verwaltung	Entwicklung und Bereitstellung von Softwareanwendungen	Ergänzt AI-SPM auf der Anwendungsebene
AI TRiSM	Vertrauen, Risiko- und Sicherheitsmanagement im Bereich KI (Gartner-Rahmenwerk)	Governance, Ethik, Erklärbarkeit und Sicherheit	Alle KI-bezogenen Daten und Prozesse	Modellüberwachung, Erkennung von Verzerrungen, Erklärbarkeit, Sicherheit	Strategie zur KI-Governance im Unternehmen	Übergeordneter Rahmen; AI-SPM ist dessen Komponente für die Betriebssicherheit

Wie sich AI-SPM im Vergleich zu verwandten Bereichen der Sicherheitsstrategie darstellt.

Diese Tools ergänzen sich gegenseitig, anstatt miteinander zu konkurrieren. CSPM zeigt Ihnen an, ob die virtuelle Maschine, auf der Ihr Modell gehostet wird, ordnungsgemäß konfiguriert ist. DSPM zeigt Ihnen an, ob die Daten, die in Ihre Trainingspipeline einfließen, personenbezogene Daten enthalten. ASPM zeigt Ihnen an, ob die Anwendung, die Ihr Modell aufruft, Schwachstellen aufweist. AI-SPM zeigt Ihnen an, ob das Modell selbst sicher ist – ob es extrahiert, manipuliert oder durch prompt injection beeinflusst werden kann.

Gartner prognostiziert, dass „bis 2026 mindestens 80 % der nicht autorisierten KI-Transaktionen eher auf interne Verstöße gegen Unternehmensrichtlinien als auf böswillige Angriffe zurückzuführen sein werden“. Diese Erkenntnis unterstreicht, warum die Funktionen von AI-SPM zur Durchsetzung von Richtlinien und zur Laufzeitüberwachung so wichtig sind – denn die meisten KI-Risiken sind interner Natur und nicht auf böswillige Angriffe zurückzuführen.

Der Markt konsolidiert sich. Die Übernahme von Securiti AI durch Veeam im Wert von 1,725 Milliarden US-Dollar signalisiert, dass DSPM- und KI-Governance-Funktionen zu integrierten Plattformen verschmelzen. Unternehmen sollten damit rechnen, dass KI-SPM zu einer Standardfunktion innerhalb umfassenderer cloud Anwendungsschutzplattformen (CNAPPs) wird, während es gleichzeitig als eigenständige Lösung für KI-intensive Unternehmen weiterbesteht.

AI-SPM vs. AI TRiSM

AI TRiSM (Trust, Risk, and Security Management) ist ein Rahmenwerk von Gartner, das den gesamten Umfang der KI-Governance abdeckt – einschließlich Ethik, Erklärbarkeit, Erkennung von Verzerrungen und Einhaltung gesetzlicher Vorschriften. AI-SPM ist die Komponente für die operative Sicherheitslage innerhalb des AI TRiSM-Rahmenwerks. Während AI TRiSM definiert, was Organisationen regeln sollten, bietet AI-SPM die kontinuierlichen technischen Kontrollen für die sicherheitsspezifischen Aspekte dieser Governance.

AI-SPM in der Praxis: Vorfälle aus der Praxis

Die Vorteile von AI-SPM werden deutlich, wenn man sich konkrete Sicherheitsvorfälle im Zusammenhang mit KI ansieht. Bei jedem der folgenden Vorfälle wurde eine Schwachstelle ausgenutzt, die AI-SPM-Funktionen gezielt schließen sollen.

Vorfall	Datum	Auswirkungen	Eine AI-SPM-Steuerung, die dies verhindert hätte
Sicherheitslücke bei Salesloft-Drift OAuth	August 2025	Über 10 Tage hinweg wurden mehr als 700 Organisationen durch gestohlene OAuth-Token aus einer KI-Chatbot-Integration kompromittiert	Kontinuierliche OAuth-Überwachung und Erkennung von Angriffen auf die Lieferkette für KI-Integrationen
Datenschutzverletzung bei McHire AI im Bereich Personalbeschaffung	Juni 2025	64 Millionen Bewerberdaten wurden durch ein Standardpasswort und eine IDOR-Sicherheitslücke offengelegt	Überprüfung der Anmeldedaten und Prävention von Datenlecks durch die Durchsetzung von Zugriffskontrollen
EchoLeak – Zero-Click-Exploit für M365 Copilot	Juni 2025	CVE-2025-32711 (CVSS 9.3) ermöglichte eine vollständige Rechteausweitung über LLM-Vertrauensgrenzen hinweg durch prompt injection	Laufzeitüberwachung mit prompt injection und Durchsetzung von Vertrauensgrenzen
Sicherheitskrise bei der agentenbasierten KI von OpenClaw	Februar–März 2026	135.000 gefährdete Instanzen, 12 % bösartige Plugins im Marktplatz, CVE-2026-25253 ermöglicht die Ausführung von Remote-Code	Verwaltung des Agent-Marktplatzes und Sicherheitsüberprüfung von Plugins
Datenleck bei Meta-KI-Agenten	März 2026	Ein interner KI-Agent hat eigenmächtig vertrauliche Analysen veröffentlicht, ohne die Genehmigung eines Ingenieurs einzuholen	Sicherheitsmaßnahmen für das Laufzeitverhalten und Durchsetzung durch menschliche Eingriffe

Schwerwiegende Sicherheitsvorfälle im Bereich KI und die Funktionen von AI-SPM, mit denen diese behoben werden können.

Die durchschnittlichen Kosten pro durch KI verursachter Sicherheitsverletzung belaufen sich auf 5,72 Millionen US-Dollar, wodurch diese Vorfälle nicht nur theoretische Risiken, sondern erhebliche finanzielle Risiken darstellen. In vielen dieser Unternehmen waren herkömmliche Sicherheitswerkzeuge – Firewalls, EDR, CSPM – im Einsatz. Sie haben die Angriffe jedoch nicht erkannt, da KI-spezifische Angriffsvektoren außerhalb ihres Erfassungsbereichs liegen.

Shadow AI und AI-SPM

„Shadow AI“ – also die unbefugte oder unkontrollierte Nutzung von KI-Tools und -Modellen innerhalb eines Unternehmens – ist das finanziell schädlichste Sicherheitsrisiko im Bereich der künstlichen Intelligenz. Data Breach „2025 Cost of a Data Breach des Ponemon Institute ergab, dass Verstöße im Zusammenhang mit Shadow AI 670.000 US-Dollar mehr kosten als durchschnittliche Verstöße (4,63 Millionen US-Dollar gegenüber 3,96 Millionen US-Dollar) und 20 % aller Verstöße ausmachen. Unter den Organisationen, die AI-bezogene Verstöße erlebten, fehlten bei 97 % angemessene Zugriffskontrollen.

AI-SPM bekämpft „Shadow AI“ durch kontinuierliche Erkennung mithilfe von vier Mechanismen. Die Analyse des Netzwerkverkehrs identifiziert Aufrufe bekannter KI-APIs. Die API-Überwachung erkennt unbefugte Anfragen zur Modellinferenz. Die identitätsbasierte Erkennung setzt die KI-Nutzung mit den Aktivitäten von Benutzer- und Dienstkonten in Beziehung. Und die Erfassung cloud sucht nach nicht genehmigten KI-Bereitstellungen in SaaS- und IaaS-Umgebungen. Einen tieferen Einblick in die Risiken von „Shadow AI“ und entsprechende Governance-Strategien finden Sie in der speziellen Ressource zu „Shadow AI“.

Agentenbasierte KI und KI-SPM

Autonome KI-Agenten – Systeme, die selbstständig planen, logisch denken, Werkzeuge einsetzen und Maßnahmen ergreifen können – stellen die Zukunft von AI-SPM im Jahr 2026 dar. Im Gegensatz zu herkömmlichen KI-Modellen, die auf einzelne Eingaben reagieren, arbeiten Agenten kontinuierlich, treffen mehrstufige Entscheidungen und interagieren mit externen Systemen. Dies erweitert die Angriffsfläche grundlegend über das hinaus, was frühere AI-SPM-Frameworks abdeckten. Gartner prognostiziert, dass bis 2026 40 % der Unternehmensanwendungen KI-Agenten enthalten werden. Eine Umfrage von Dark Reading ergab jedoch, dass 48 % der Cybersicherheitsexperten agentische KI als den gefährlichsten Angriffsvektor identifizieren und 80 % der Unternehmen berichten, dass KI-Agenten bereits unbefugte Aktionen durchgeführt haben.

AI-SPM muss so erweitert werden, dass es die Identität von Agenten, Vertrauensgrenzen zwischen Agenten und Zugriffsberechtigungen für Tools regelt. Die OWASP Top 10 für agentische Anwendungen (2026) formalisiert dies durch das Prinzip der „geringsten Befugnisse“ – Agenten erhalten nur die für ihre Aufgabe erforderlichen Mindestberechtigungen, analog zum Prinzip der geringsten Privilegien für menschliche Benutzer. Eine umfassende Darstellung der Sicherheitsrisiken agentischer KI, von Strategien zu deren Minderung sowie der Rolle von AI-SPM bei der Agentensteuerung finden Sie in der speziellen Ressource zur Sicherheit agentischer KI.

KI-SPM und Compliance-Rahmenwerke

Die Funktionen von AI-SPM entsprechen direkt den Anforderungen von fünf wichtigen Regulierungs- und Sicherheitsrahmenwerken und liefern nachprüfbare Nachweise für die Einhaltung der Vorschriften.

AI-SPM-Funktionalität	Artikel des EU-KI-Gesetzes	NIST-Funktionsbereich für KI-Risikomanagement	ISO 42001-Kontrollbereich	MITRE-ATLAS-Taktik	OWASP LLM Top 10
Erfassung und Bestandsaufnahme von KI-Ressourcen	§ 11 (Technische Dokumentation)	Karte	Datenverwaltung	`AML.0002` Zugriff auf ML-Modell	--
Risikobewertung und -klassifizierung	§ 9 (Risikomanagement)	Regieren	Steuerungsmechanismen	`AML.0000` Aufklärungsarbeit	LLM09 (Übermäßiges Vertrauen)
Schwachstellen- und adversarische Tests	§ 15 (Genauigkeit, Robustheit, Cybersicherheit)	Maßnahme	Modellentwicklung	`AML.0004` ML-Angriffsvorbereitung	LLM01 (Prompt Injection), LLM03 (Training-Data-Poisoning)
Laufzeitüberwachung	§ 12 (Aufbewahrung von Unterlagen)	Verwalten Sie	Betrieb	`AML.0004` ML-Angriffsvorbereitung	LLM02 (Unsichere Verarbeitung von Ausgabe)
Zugriffskontrolle und Identitätsmanagement	§ 14 (menschliche Aufsicht)	Regieren	Betrieb	`AML.0002` Zugriff auf ML-Modell	LLM06 (Übermäßige Handlungsfähigkeit)
Datenherkunft und -provenienz	§ 10 (Datenverwaltung)	Karte	Datenverwaltung	--	LLM03 (Verfälschung von Trainingsdaten)
Durchsetzung von Richtlinien und Korrekturmaßnahmen	§ 9 (Risikomanagement)	Verwalten Sie	Steuerungsmechanismen	--	--

Zuordnung von AI-SPM-Fähigkeiten zu Rahmenwerken für den Nachweis der Compliance.

EU-KI-Gesetz. Betreiber von KI-Systemen mit hohem Risiko müssen bis zum Inkrafttreten am 2. August 2026 nachweisen, dass sie über kontinuierliches Risikomanagement, Daten-Governance, technische Dokumentation und Cybersicherheitskontrollen verfügen. Die Strafen bei Nichteinhaltung betragen bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes. AI-SPM automatisiert die Nachweissammlung gemäß den Artikeln 9 bis 15.

NIST-Rahmenwerk für das Risikomanagement im Bereich KI. Die vier Funktionen des NIST-RMF für KI – Govern, Map, Measure und Manage – stehen in direktem Einklang mit dem kontinuierlichen Zyklus von AI-SPM. Das NIST-AI-600-1-GenAI-Profil enthält spezifische Leitlinien für große Sprachmodelle, die von der Laufzeitüberwachung von AI-SPM abgedeckt werden.

ISO/IEC 42001:2023. Diese Norm für KI-Managementsysteme schreibt Kontrollmaßnahmen in den Bereichen Daten-Governance, Modellentwicklung, Betrieb und Governance vor. AI-SPM bietet die technische Implementierungsebene für diese Kontrollmaßnahmen.

MITRE ATLAS. Die Version 5.4.0 listet 16 Taktiken, 84 Techniken und 56 Untertechniken für adversarische Angriffe auf KI-Systeme auf. AI-SPM MITRE ATLAS Durch Mapping können Sicherheitsteams Erkennungsmechanismen für KI-spezifische Angriffstechniken entwickeln, wie zum Beispiel AML.0002 (ML-Modellzugriff) und AML.0004 (ML-Angriffsvorbereitung).

OWASP LLM Top 10. AI-SPM behandelt LLM01 (Prompt Injection) durch Laufzeitüberwachung, LLM03 (Training Data Poisoning) durch die Nachverfolgung der Datenherkunft und LLM06 (Excessive Agency) durch die Steuerung der Zugriffskontrolle.

Künftige Trends und neue Überlegungen

Die AI-SPM-Landschaft entwickelt sich rasant weiter, da sich diese Kategorie von frühen Frameworks zu einsatzreifen Tools weiterentwickelt. In den nächsten 12 bis 24 Monaten werden verschiedene Entwicklungen die Herangehensweise von Unternehmen an ihre KI-Sicherheitsstrategie grundlegend verändern.

„Red Teaming“ mit KI-Agenten wird zur gängigen Praxis werden. Angesichts der zunehmenden Verbreitung agentenbasierter KI müssen Unternehmen ihre Agentensysteme proaktiv auf Verhaltensabweichungen, den Missbrauch von Berechtigungen und mehrstufige Angriffsketten testen. „Red Teaming“ mit KI, das speziell auf Vertrauensgrenzen zwischen Agenten und Zugriffsmuster auf Tools abzielt, wird sich zu einer unverzichtbaren Sicherheitsmaßnahme entwickeln und nicht mehr nur eine optionale Übung sein.

Die Sicherheit des MCP-Protokolls erfordert spezielle Kontrollmaßnahmen. Das Model Context Protocol entwickelt sich zum führenden Standard für die Anbindung von KI-Agenten an externe Tools und Datenquellen. Mit der zunehmenden Verbreitung von MCP-Servern wird die Absicherung dieser Integrationspunkte – die Überwachung auf unbefugten Datenzugriff, die Durchsetzung von Berechtigungen auf Tool-Ebene und die Erkennung kompromittierter MCP-Verbindungen – zu einer zentralen Funktion von AI-SPM.

Die regulatorische Konvergenz wird die Standardisierung von AI-SPM vorantreiben. Die Frist für die Umsetzung des EU-KI-Gesetzes im August 2026 wird die erste Welle von Compliance-getriebenen AI-SPM-Implementierungen in Europa auslösen. Der erwartete Gartner Market Guide für AI-SPM (voraussichtlich im zweiten Halbjahr 2026) wird die Bewertungskriterien und die Erwartungen an die Leistungsfähigkeit weiter standardisieren. Unternehmen sollten davon ausgehen, dass AI-SPM denselben Reifeprozess durchlaufen wird wie CSPM – von Best Practice zu Compliance-Anforderung innerhalb von 24 Monaten.

AI-SPM wird sich mit der Erkennung während der Laufzeit vereinen. Eine statische Sicherheitsbewertung allein kann einen aktiven Angriff auf ein KI-System nicht abwehren. Die nächste Generation von AI-SPM-Plattformen wird Funktionen zur Erkennung von Bedrohungen während der Laufzeit integrieren und so präventives Sicherheitsmanagement mit Echtzeit-Angriffserkennung für die Sicherheit von GenAI verbinden. Diese Konvergenz spiegelt den allgemeinen Trend in der Sicherheitsbranche wider, Sicherheitsbewertung und Erkennung in einheitlichen Plattformen zusammenzuführen.

Moderne Ansätze für das Management der KI-Sicherheitslage

Der AI-SPM-Markt spaltet sich in zwei Bereitstellungsmodelle auf. Eigenständige AI-SPM-Plattformen bieten umfassende, speziell entwickelte Funktionen für Unternehmen mit umfangreichen KI-Implementierungen. Alternativ erweitern bestehende CNAPP-Anbieter ihr Angebot um AI-SPM als Funktionserweiterung – ein Ansatz, der laut SecurityWeek AI-SPM für Unternehmen zugänglich macht, die bereits in cloud investiert haben.

Zu den wichtigsten Bewertungskriterien für Unternehmen, die KI-SPM-Tools prüfen, gehören der Umfang der KI-Asset-Erkennung (wird „Shadow-KI“ in SaaS-Anwendungen gefunden?), die Tiefe der Laufzeitüberwachung (wird prompt injection Echtzeit erkannt?), der Umfang der Compliance-Berichterstattung (entspricht das Tool dem EU-KI-Gesetz und dem NIST AI RMF?), die Integration in bestehende SIEM- und SOAR-Workflows sowie die Unterstützung für agentenbasierte KI-Workloads.

Da sich KI-Governance-Tools und KI-SPM-Funktionen zunehmend überschneiden, sollten Unternehmen KI-SPM sowohl als eigenständige Funktion als auch als Anforderung im Rahmen ihrer übergeordneten Sicherheitsplattformstrategie einplanen.

Wie Vectra AI die KI-Sicherheitslage Vectra AI

Die „Assume-Compromise“-Philosophie Vectra AI lässt sich direkt auf die KI-Sicherheitslage anwenden. Anstatt sich ausschließlich auf die Abwehr von KI-Angriffen zu konzentrieren, legt die Methodik den Schwerpunkt auf die Erkennung und Reaktion auf Angreifer, die bereits innerhalb von KI-Systemen aktiv sind. Attack Signal Intelligence Verhaltensmuster im gesamten modernen Netzwerk – das zunehmend KI-Modelle, Agenten und Inferenz-Pipelines als Teil der einheitlichen Angriffsfläche umfasst. Dieser Ansatz ergänzt präventive KI-SPM-Kontrollen durch Netzwerk-Erkennungs- und Reaktionsfunktionen, die echte Bedrohungen aufspüren, die mit reinen Sicherheitsstatus-Tools allein nicht erfasst werden können.

Schlussfolgerung

Das Management der KI-Sicherheitslage hat sich von einem neuen Konzept zu einer betrieblichen Notwendigkeit entwickelt. Da Unternehmen KI-Modelle einsetzen, KI-gestützte SaaS-Funktionen nutzen und autonome Agenten einführen, erweitert sich die Angriffsfläche in einer Weise, für die herkömmliche Sicherheitstools nicht ausgelegt sind. AI-SPM bietet die kontinuierliche Transparenz, die Test-, Überwachungs- und Compliance-Funktionen, die erforderlich sind, um diese wachsende Angriffsfläche zu sichern.

Am besten für diesen Wandel gerüstet sind jene Organisationen, die AI-SPM als grundlegende Sicherheitsdisziplin betrachten – und nicht als optionales Zusatzmodul. Beginnen Sie mit einer Bestandsaufnahme Ihrer KI-Ressourcen, ordnen Sie Kontrollmaßnahmen den gesetzlichen Anforderungen zu, richten Sie eine Laufzeitüberwachung für Ihre KI-Systeme mit dem höchsten Risiko ein und integrieren Sie KI-spezifische Szenarien in Ihre Playbooks für die Reaktion auf Vorfälle.

Um zu erfahren, wie die Erkennung von „Assume-Compromise“-Szenarien und Attack Signal Intelligence präventive AI-SPM-Kontrollen Attack Signal Intelligence , besuchen Sie das Vectra AI -Ressourcenzentrum Vectra AI .

Häufig gestellte Fragen

Was sind AI-SPM-Tools?

AI-SPM-Tools sind Plattformen, die die Erkennung, Bewertung und kontinuierliche Überwachung von KI-Systemen hinsichtlich Sicherheitslücken, Fehlkonfigurationen und Compliance-Lücken automatisieren. Sie vereinen in der Regel die Bestandsaufnahme von KI-Ressourcen, Risikobewertung, Schwachstellenscans, die Überwachung des Laufzeitverhaltens und Compliance-Berichterstattung in einer einheitlichen Lösung. Im Gegensatz zu allgemeinen Sicherheitstools verstehen AI-SPM-Plattformen KI-spezifische Risiken – sie können exponierte Modell-Endpunkte identifizieren, prompt injection erkennen, die Herkunft von Trainingsdaten nachverfolgen und Richtlinien für geringste Berechtigungen für KI-Dienstkonten durchsetzen. Die Kategorie reift rasch heran, wobei sowohl eigenständige Plattformen als auch CNAPP-Funktionserweiterungen verfügbar sind. Bei der Bewertung von AI-SPM-Tools sollten Sie der Erfassungsbreite (findet es „Shadow AI“?), der Laufzeittiefe (überwacht es das Modellverhalten?) und der Compliance-Abdeckung (entspricht es Ihren regulatorischen Anforderungen?) Priorität einräumen.

Wie lässt sich AI-SPM in einem Unternehmen implementieren?

Die Implementierung von AI-SPM erfolgt schrittweise und nicht als Big-Bang-Einführung. Beginnen Sie mit einem Pilotprojekt, das sich auf einen bestimmten, risikoreichen KI-Anwendungsfall konzentriert – beispielsweise einen kundenorientierten Chatbot oder ein Modell zur Finanzprognose. Der Implementierungsablauf spiegelt den Fünf-Phasen-Zyklus wider. Erfassen und inventarisieren Sie zunächst alle KI-Assets im Rahmen des Pilotprojekts. Klassifizieren Sie anschließend jedes Asset nach Risikostufe auf der Grundlage von Datensensibilität, Zugriffsrisiken und regulatorischen Anforderungen. Führen Sie anschließend Schwachstellenscans und Adversarial Testing für die identifizierten Ressourcen durch. Legen Sie Basiswerte für die Laufzeitüberwachung des normalen Verhaltens des KI-Systems fest. Konfigurieren Sie schließlich Compliance-Dashboards und Workflows zur Fehlerbehebung. Erfolgreiche Implementierungen erfordern eine funktionsübergreifende Zusammenarbeit zwischen Sicherheitsteams, KI-Ingenieuren und Datenwissenschaftlern. Nachdem Sie den Ansatz im Pilotprojekt validiert haben, erweitern Sie den Umfang schrittweise auf andere Geschäftsbereiche und KI-Anwendungsfälle.

Was sind bewährte Verfahren für AI-SPM?

Zu den wichtigsten Best Practices für AI-SPM gehört die Erstellung und Pflege einer AI-BOM, um vollständige Transparenz über Assets wie Modelle, Datensätze, APIs und Abhängigkeiten zu gewährleisten. Implementieren Sie Zugriffskontrollen nach dem Prinzip der geringsten Privilegien für alle KI-Identitäten – sowohl menschliche als auch nicht-menschliche. Ordnen Sie AI-SPM-Kontrollen von Anfang an den relevanten regulatorischen Rahmenwerken (EU-KI-Gesetz, NIST AI RMF, ISO 42001) zu, anstatt die Compliance erst nachträglich nachzurüsten. Legen Sie Verhaltens-Baselines für KI-Agenten fest, bevor Sie die Anomalieerkennung aktivieren, um Fehlalarme zu reduzieren. Integrieren Sie AI-SPM-Telemetrie in bestehende SIEM- und SOAR-Plattformen für einheitliche Sicherheitsabläufe. Betrachten Sie AI-SPM als einen kontinuierlichen Prozess und nicht als einmalige Bewertung – KI-Systeme ändern sich schnell, und die Sicherheitslage muss kontinuierlich bewertet werden. Schließlich sollten Sie KI-spezifische Szenarien in die Playbooks für die Incident Response aufnehmen, damit Teams darauf vorbereitet sind, zu reagieren, wenn AI-SPM eine Bedrohung erkennt.

Was versteht man unter Laufzeitüberwachung bei KI?

Die Laufzeitüberwachung für KI analysiert kontinuierlich das Verhalten von KI-Systemen während des Betriebs. Dazu gehören die Verfolgung von Datenflüssen zwischen Trainingspipelines und Modell-Endpunkten, die Überwachung von API-Aufrufen auf ungewöhnliche Muster, die Analyse von Modelleingaben und -ausgaben auf Versuche prompt injection Datenexfiltration sowie die Beobachtung der Aktionen von KI-Agenten auf unbefugte Privilegieneskalation. Im Gegensatz zur statischen Sicherheitsbewertung (die Konfigurationen zu einem bestimmten Zeitpunkt überprüft) erkennt die Laufzeitüberwachung Bedrohungen in Echtzeit. Beispielsweise könnte die Laufzeitüberwachung einen ungewöhnlichen Anstieg der API-Aufrufe an einen endpoint erkennen endpoint was möglicherweise auf einen Angriff zur Modellextraktion hindeutet – oder sensible Daten identifizieren, die in Modellausgaben erscheinen und gefiltert werden sollten. Die Laufzeitüberwachung ist besonders wichtig für agentische KI-Systeme, bei denen Agenten autonome Entscheidungen treffen und in Echtzeit mit externen Tools interagieren.

Wie lässt sich AI-SPM in SIEM integrieren?

AI-SPM-Plattformen exportieren Telemetrie-, Warn- und Sicherheitsbewertungsdaten über Standard-Integrationsmechanismen – in der Regel APIs, Syslog oder Webhook-basierte Konnektoren – an SIEM- und SOAR-Plattformen. Diese Integration ermöglicht es Sicherheitsteams, KI-spezifische Sicherheitsereignisse (wie prompt injection oder unbefugten Zugriff auf Modelle) mit allgemeinen Infrastrukturwarnungen über eine zentrale Oberfläche hinweg zu korrelieren. Die Integration unterstützt zentralisierte Workflows für die Incident-Response, sodass Analysten nicht zwischen KI-spezifischen und allgemeinen Sicherheitstools wechseln müssen. AI-SPM reichert SIEM-Warnmeldungen zudem mit KI-spezifischem Kontext an – beispielsweise durch die Kennzeichnung einer Warnmeldung mit dem Namen des betroffenen Modells, dem Sensibilitätsgrad der Trainingsdaten und dem geltenden Compliance-Rahmenwerk –, was Analysten dabei hilft, Reaktionsmaßnahmen zu priorisieren.

Was ist der Unterschied zwischen AI-SPM und herkömmlichem Security-Posture-Management?

Das herkömmliche Sicherheitsstatusmanagement konzentriert sich auf Infrastruktur, Endgeräte und Netzwerke – es überprüft Firewalls auf Fehlkonfigurationen, stellt sicher, dass Patches installiert sind, und verifiziert die Netzwerksegmentierung. AI-SPM erweitert das Sicherheitsstatusmanagement auf KI-spezifische Ressourcen, die herkömmliche Tools nicht erkennen oder bewerten können. Dazu gehören Modellgewichte und -parameter, die Herkunft von Trainingsdaten, Konfigurationen der Inferenz-Pipeline, Berechtigungen für KI-Agenten und KI-generierte Ausgaben. AI-SPM befasst sich mit einer völlig anderen Klasse von Risiken. Datenvergiftung, prompt injection, Modellextraktion und Schatten-KI sind für herkömmliche Sicherheitsmanagement-Tools unsichtbar, da diesen Tools der Kontext fehlt, um KI-Workloads zu verstehen. Stellen Sie es sich so vor: Herkömmliches Sicherheitsmanagement schützt das Haus. AI-SPM schützt die intelligenten Systeme, die darin arbeiten – Systeme, die herkömmliche Tools nicht einmal als Ressourcen erkennen.

Was kostet es, wenn man AI-SPM nicht einsetzt?

Die finanziellen Argumente für AI-SPM sind überzeugend. Data Breach „Cost of a Data Breach 2025“ des Ponemon Institute ergab, dass Datenschutzverletzungen im Zusammenhang mit „Shadow AI“ 670.000 US-Dollar mehr kosten als durchschnittliche Datenschutzverletzungen (4,63 Millionen US-Dollar gegenüber 3,96 Millionen US-Dollar). Eine durchschnittliche, durch KI verursachte Datenschutzverletzung kostet 5,72 Millionen US-Dollar. Und die Strafen für Verstöße gegen das EU-KI-Gesetz belaufen sich auf bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes – je nachdem, welcher Betrag höher ist. Über die direkten finanziellen Kosten hinaus sind Unternehmen ohne AI-SPM mit regulatorischen Risiken (der Frist des EU-KI-Gesetzes im August 2026), Reputationsrisiken (wie durch hochkarätige KI-Verstöße wie McHire und OpenClaw demonstriert) und operativen Risiken (durch „Shadow-AI“-Implementierungen, die Sicherheitsteams nicht erkennen können) konfrontiert. Unternehmen, die KI ohne AI-SPM einsetzen, betreiben im Grunde KI-Systeme ohne Einblick in ihre Risikosituation – vergleichbar mit dem Betrieb cloud ohne CSPM vor einem Jahrzehnt.