Der AI Act ist in Wahrheit ein Security-Gesetz
Der AI Act gilt vielen als Ethik- und Compliance-Thema, als eine Frage von Transparenz und Diskriminierung. Für Security-Teams ist er etwas anderes: ein Gesetz mit harten Sicherheitsanforderungen. Wer ein Hochrisiko-KI-System betreibt, muss es nachweisbar gegen Manipulation absichern. Und Künstliche Intelligenz lässt sich auf Wegen angreifen, die klassische IT-Sicherheit so nicht kennt.
Das Wichtigste in Kürze
- Security ist Pflicht: Der AI Act verlangt für Hochrisiko-KI ausdrücklich Robustheit, Genauigkeit und Cybersicherheit über den gesamten Lebenszyklus.
- Neue Angriffsflächen: Data Poisoning, Adversarial-Angriffe und Modell-Manipulation bedrohen KI-Systeme dort, wo klassische Schutzmaßnahmen nicht greifen.
- Der Zeitplan läuft: Zum 2. August 2026 greift die nächste Anwendungsstufe. Teile des Zeitplans wurden angepasst, die Sicherheitsanforderungen selbst bleiben.
Warum der AI Act ein Security-Thema ist
Der AI Act, Verordnung (EU) 2024/1689, stuft KI-Systeme nach ihrem Risiko ein. Für die Klasse der Hochrisiko-Systeme, etwa in kritischer Infrastruktur, im Personalwesen oder in der Kreditvergabe, gelten strenge Anforderungen. Ein zentraler Baustein davon ist die Sicherheit. Das System muss ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit erreichen und über seinen gesamten Lebenszyklus halten.
Diese Anforderung steht nicht allein. Sie wird flankiert von einem verpflichtenden Risikomanagement, von Vorgaben zur Datenqualität, von automatischer Protokollierung der Systemereignisse und von einer wirksamen menschlichen Aufsicht. In der Summe beschreibt der AI Act damit einen Sicherheitsrahmen für KI, der sich liest wie ein Pflichtenheft für ein Security-Team, nicht wie eine reine Ethik-Richtlinie.
Für die Praxis heißt das: Ein Hochrisiko-KI-System, das sich leicht täuschen oder manipulieren lässt, erfüllt die Anforderungen nicht. Sicherheit ist keine freiwillige Zugabe, sondern Bedingung dafür, das System überhaupt einsetzen zu dürfen.
Die neuen Angriffsflächen
KI-Systeme erweitern die Angriffsfläche eines Unternehmens um Klassen von Angriffen, die es in der klassischen IT so nicht gibt. Bei Data Poisoning schleusen Angreifer manipulierte Daten in das Training ein, damit das Modell später falsch oder gezielt fehlerhaft reagiert. Der Angriff sitzt dann nicht im Betrieb, sondern in der Entstehung des Modells.
Definition · Data Poisoning
Angreifer schleusen manipulierte Daten in das Training eines KI-Modells ein, damit es später falsch oder gezielt fehlerhaft reagiert. Der Angriff sitzt in der Entstehung des Modells, nicht im laufenden Betrieb.
Bei Adversarial-Angriffen werden Eingaben so verändert, dass ein Modell sie falsch einordnet, ohne dass ein Mensch die Manipulation bemerkt. Dazu kommen Versuche, ein Modell oder seine Trainingsdaten auszulesen. Bei sprachbasierten Systemen droht die gezielte Manipulation über präparierte Eingaben. All das zielt auf die Logik des Modells, nicht auf eine klassische Software-Schwachstelle.
Genau hier liegt die Herausforderung. Eine Firewall oder ein Patch schützt gegen diese Angriffe nicht. Es braucht Schutzmaßnahmen, die auf das Modell und seine Datenkette zugeschnitten sind, von der Absicherung der Trainingsdaten über das Testen gegen Manipulation bis zur Überwachung des laufenden Systems.
Der Zeitplan und seine Verschiebungen
Der AI Act wird gestaffelt wirksam. Zum 2. August 2026 greift die nächste Stufe der Anwendbarkeit. Der europäische Gesetzgeber hat den Zeitplan allerdings im Lauf des Jahres 2026 an einzelnen Stellen angepasst, sodass bestimmte Pflichten für Hochrisiko-Systeme später greifen als ursprünglich vorgesehen. Wer sich vorbereitet, sollte den jeweils aktuellen Stand der Fristen prüfen, statt sich auf ein einzelnes Datum zu verlassen.
An der Substanz ändern die Verschiebungen wenig. Die Sicherheitsanforderungen an Hochrisiko-KI bleiben bestehen. Der Aufbau der nötigen Fähigkeiten braucht Zeit. Ein robustes KI-System entsteht nicht kurz vor einer Frist, sondern über Monate der sauberen Datenarbeit, des Testens und der Absicherung. Die Verschiebung ist damit kein Grund zum Abwarten, sondern zusätzlicher Vorlauf.
Was Security-Teams jetzt tun sollten
Der erste Schritt ist Sichtbarkeit. Viele Organisationen wissen nicht, welche KI-Systeme sie überhaupt einsetzen, weder die offiziell eingeführten noch die still in Abteilungen genutzten. Ohne ein Inventar der KI-Anwendungen lässt sich weder das Risiko einschätzen noch die Einstufung nach dem AI Act vornehmen.
Der zweite Schritt ist die Absicherung der Datenkette. Wenn manipulierte Trainingsdaten das größte Einfallstor sind, gehört die Herkunft und Integrität dieser Daten geprüft und geschützt. Dazu kommt das gezielte Testen der Modelle gegen Manipulation, ein Red-Teaming für KI, das die Schwächen findet, bevor es ein Angreifer tut.
Der dritte Schritt betrifft die Zulieferer. Wer KI-Modelle oder KI-gestützte Produkte von Dritten bezieht, muss deren Sicherheit bewerten und vertraglich absichern. Die Verantwortung für ein Hochrisiko-System endet nicht an der Grenze zum Lieferanten. Sie verlangt, dass auch der eingekaufte Baustein den Anforderungen genügt.
Zusammenspiel mit NIS2 und CRA
Der AI Act steht nicht für sich. Er ergänzt die bestehende Regulierung um eine KI-spezifische Sicht. NIS2 verpflichtet Betreiber, ihre IT abzusichern, wozu künftig auch die eingesetzten KI-Systeme gehören. Der Cyber Resilience Act nimmt Hersteller in die Pflicht, deren Produkte KI-Komponenten enthalten können.
Für ein Security-Team bedeutet das, die Anforderungen zusammenzudenken. Ein KI-System kann zugleich Teil der schützenswerten IT nach NIS2, ein reguliertes Hochrisiko-System nach AI Act und Bestandteil eines Produkts nach CRA sein. Wer diese Perspektiven trennt, baut drei Silos. Wer sie verbindet, sichert das System einmal richtig ab.
Häufige Fragen
Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.
Verlangt der AI Act wirklich Cybersicherheit?
Ja. Für Hochrisiko-KI-Systeme schreibt der AI Act ausdrücklich ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit über den gesamten Lebenszyklus vor. Sicherheit ist Bedingung für den Einsatz, keine freiwillige Zugabe.
Was ist ein Data-Poisoning-Angriff?
Angreifer schleusen manipulierte Daten in das Training eines Modells ein, damit es später falsch oder gezielt fehlerhaft reagiert. Der Angriff sitzt in der Entstehung des Modells, nicht im laufenden Betrieb. Mit klassischen Schutzmaßnahmen ist er kaum zu fassen.
Ab wann gilt der AI Act für Hochrisiko-Systeme?
Der AI Act wird gestaffelt wirksam, zum 2. August 2026 greift die nächste Stufe. Teile des Zeitplans wurden 2026 angepasst, weshalb der aktuelle Stand der Fristen im Einzelfall zu prüfen ist. Die Sicherheitsanforderungen selbst bleiben bestehen.
Schützt eine Firewall vor Angriffen auf KI?
Nur begrenzt. Adversarial-Angriffe und Data Poisoning zielen auf die Logik und die Datenkette des Modells, nicht auf eine klassische Software-Schwachstelle. Es braucht Schutzmaßnahmen, die auf das Modell selbst zugeschnitten sind.
Wie hängt der AI Act mit NIS2 und CRA zusammen?
Der AI Act ergänzt beide um eine KI-spezifische Sicht. Ein KI-System kann zugleich schützenswerte IT nach NIS2, reguliertes Hochrisiko-System nach AI Act und Teil eines Produkts nach CRA sein. Am besten sichert man es einmal integriert ab.
Lesetipps der Redaktion
LesetippWas ist NIS2? Definition, Pflichten und HaftungLesetippWas ist DORA? Definition, Pflichten und FristenLesetippWenn ein Anruf die Autoproduktion stoppt
Mehr aus dem MBF Media Netzwerk
cloudmagazinKRITIS in die Cloud: Was die Migration absichertMyBusinessFutureDie KI-Aufsicht in Deutschland hat jetzt eine AdresseDigital ChiefsDie KI schreibt den Code. Wer haftet dafür?





