Welche aufkommende Bedrohung identifiziert der Kordia 2026 Report über den Datendiebstahl hinaus?

Der Bericht benennt den unsachgemäßen KI-Einsatz durch Mitarbeitende als eine der dringlichsten aufkommenden Bedrohungen, etwa wenn Beschäftigte sensible Daten in externe KI-Tools einspeisen oder nicht genehmigte KI-Plattformen nutzen.

Gilt der Missbrauch von KI-Tools durch Mitarbeitende in der Regel als absichtlich oder versehentlich?

Laut dem Bericht wird der unsachgemäße KI-Einsatz durch Mitarbeitende in der Regel nicht durch böswillige Absicht, sondern durch Bequemlichkeit, die die Vorsicht übertrumpft, verursacht.

Warum werden personenbezogene Daten bei einem so hohen Anteil erfolgreicher Cybervorfälle offengelegt?

Personenbezogene Informationen werden über mehrere Systeme hinweg gespeichert, weit verbreitet und regelmäßig von Mitarbeitenden auf vielen Organisationsebenen abgerufen, was bedeutet, dass jeder erfolgreiche Einbruch mit einiger Wahrscheinlichkeit personenbezogene Daten berührt, bevor er erkannt wird.

Welche Arten von Organisationen werden im Kordia-Bericht befragt?

Der Kordia-Bericht befragt neuseeländische Unternehmen aus verschiedenen Branchen und Größenklassen und bietet damit eine regionale Bestandsaufnahme, wie Cybervorfälle in der Praxis ablaufen.

Kordia 2026 Report: 17 % der NZ-Cybervorfälle enden mit Datendiebstahl

Ein neu veröffentlichter Branchenbericht liefert eine genaue Zahl für ein Problem, das die meisten Organisationen zwar kennen, aber nur schwer messen können: Cybervorfälle mit dem Diebstahl personenbezogener Daten machen mittlerweile einen erheblichen Anteil aller Sicherheitsereignisse aus. Laut dem 2026 Kordia New Zealand Business Cyber Security Report enden 17 % der Cybervorfälle – also etwa einer von sechs – mit dem unbefugten Zugriff auf oder dem Diebstahl von personenbezogenen Informationen. Neben dieser Zahl benennt der Bericht den unsachgemäßen Einsatz von KI durch Mitarbeitende als eine der dringlichsten aufkommenden Bedrohungen für Organisationen.

Diese Erkenntnisse zusammen zeichnen das Bild einer Bedrohungslandschaft, die sich schneller verändert, als viele herkömmliche Abwehrmechanismen dafür ausgelegt sind.

Was der Kordia 2026 Report tatsächlich ergeben hat

Der Kordia-Bericht befragt neuseeländische Unternehmen aus verschiedenen Branchen und Größenklassen und ist damit eine der praxisnäheren regionalen Bestandsaufnahmen, wie Cybervorfälle in der Realität ablaufen. Die Kernzahl – 17 % der Vorfälle enden mit der Offenlegung personenbezogener Daten – ist bemerkenswert, weil sie ein konkretes Ergebnis erfasst und nicht nur Angriffsvolumen oder -typ.

Viele Cybersicherheitsberichte konzentrieren sich darauf, wie Angriffe beginnen: Phishing-E-Mails, kompromittierte Zugangsdaten, ungepatchte Software. Dieser Bericht lenkt den Blick darauf, wo Angriffe enden – und bei einem erheblichen Anteil ist dieses Ende der Punkt, an dem personenbezogene Informationen die Kontrolle der Organisation verlassen. Diese Unterscheidung ist wichtig, um Risiken in einer Sprache zu verstehen, die Regulierungsbehörden, Kunden und Vorstände tatsächlich interessiert.

Der Bericht hebt außerdem den unsachgemäßen KI-Einsatz durch Mitarbeitende als aufkommende Herausforderung hervor. Damit ist gemeint, dass Beschäftigte sensible Daten in externe KI-Tools einspeisen, nicht genehmigte KI-Plattformen nutzen oder vertrauliche Informationen weitergeben, während sie versuchen, ihre Arbeit zu automatisieren. In den meisten Fällen steckt keine böswillige Absicht dahinter. Es ist Bequemlichkeit, die die Vorsicht übertrumpft.

Warum jeder sechste Vorfall in einem Datenleck endet

Die 17-%-Zahl spiegelt einige strukturelle Realitäten im Umgang moderner Organisationen mit Daten wider. Personenbezogene Informationen werden in der Regel über mehrere Systeme hinweg gespeichert, innerhalb von Organisationen weit verbreitet und regelmäßig von Mitarbeitenden auf vielen Ebenen abgerufen. Diese Verteilung bedeutet, dass jeder erfolgreiche Einbruch mit einiger Wahrscheinlichkeit personenbezogene Daten berührt, bevor er erkannt und eingedämmt wird.

Es spiegelt auch den hohen Wert personenbezogener Informationen als Angriffsziel wider. Angreifer, die Zugang zu einem Netzwerk erhalten, suchen häufig gezielt nach Namen, Kontaktdaten, Finanzdaten und Identitätsinformationen. Diese haben einen direkten Wiederverkaufswert und können für Folgeangriffe durch Betrug und Social Engineering genutzt werden.

Auch die Lücke zwischen dem Auftreten eines Vorfalls und der Bestätigung, dass personenbezogene Daten kompromittiert wurden, spielt eine Rolle. Verzögerungen bei der Erkennung geben Angreifern mehr Zeit, die wertvollsten Datensätze zu finden und zu exfiltrieren. Organisationen, denen robustes Logging, Segmentierung oder Monitoring fehlt, entdecken einen Datenleck häufig erst, nachdem die Daten bereits abgeflossen sind.

Dieses Muster ist nicht auf Neuseeland beschränkt. Es stimmt mit dem überein, was Forscher weltweit dokumentiert haben: Regulierte Einrichtungen und gut ausgestattete Organisationen gehen immer noch routinemäßig fahrlässig mit personenbezogenen Daten um – wie in der EU-Altersverifizierungs-App, die kurz nach ihrem Start gehackt wurde gezeigt wird, wo sich Sicherheitsannahmen fast sofort als fatal optimistisch erwiesen.

Die KI-Insider-Bedrohung, die VPNs allein nicht lösen können

Die Erkenntnisse zum KI-Einsatz verdienen besondere Aufmerksamkeit, da sie eine Risikokategorie darstellen, für die die meisten vorhandenen Sicherheitstools nicht ausgelegt sind. Wenn ein Mitarbeitender Kundendaten in einen öffentlichen KI-Assistenten einfügt oder ein nicht genehmigtes Produktivitätstool zur Verarbeitung von HR-Daten verwendet, löst keine Firewall einen Alarm aus, kein VPN schlägt an, und kein Intrusion-Detection-System reagiert. Die Daten verlassen die Organisation über einen vollkommen legitimen Kanal.

Das ist das Kernproblem bei insider-gesteuerter Datenweitergabe: Sie sieht oft genauso aus wie normale Arbeit. Ein VPN sichert die Verbindung zwischen einem Gerät und einem Unternehmensnetzwerk. Es regelt nicht, was ein Mitarbeitender mit den Daten macht, sobald er legitimen Zugriff darauf hat. Verschlüsselung schützt Daten bei der Übertragung zwischen vertrauenswürdigen Endpunkten; sie schützt keine Daten, die ein autorisierter Nutzer bewusst an einen nicht autorisierten Ort sendet.

Organisationen, die erheblich in Perimeter-Sicherheitstools investiert haben – darunter VPNs, Endpunktschutz und Firewalls – können dennoch gefährdet sein, wenn sie die menschliche und richtlinienbezogene Ebene nicht adressiert haben. Die Kordia-Ergebnisse deuten darauf hin, dass diese Lücke größer wird, da KI-Tools günstiger, leistungsfähiger und stärker in alltägliche Arbeitsabläufe eingebettet werden.

Die Herausforderung wird dadurch verschärft, wie schnell sich die KI-Tool-Landschaft verändert. Eine Richtlinie, die vor sechs Monaten verfasst wurde, deckt möglicherweise keine Plattformen ab, die Mitarbeitende heute verwenden.

Eine Datenschutzverteidigung aufbauen, die über VPNs hinausgeht

Die Bekämpfung sowohl der Datendiebstahlrate als auch der KI-Insider-Bedrohung erfordert einen vielschichtigen Ansatz, der technische Kontrollen mit Organisationsrichtlinien und Benutzeraufklärung verbindet.

Auf der technischen Seite können Data-Loss-Prevention-(DLP-)Tools so konfiguriert werden, dass sie erkennen, wenn sensible Informationskategorien an externe Plattformen – einschließlich KI-Dienste – gesendet werden. Netzwerküberwachung, die ausgehende Datenübertragungen protokolliert, kann helfen, ungewöhnliche Muster zu identifizieren. Zugriffskontrollen, die einschränken, welche Mitarbeitenden auf welche Daten zugreifen können, reduzieren das Ausmaß eines einzelnen Vorfalls.

Auf der Richtlinienseite benötigen Organisationen klare, aktuelle Leitlinien zu genehmigten KI-Tools, zu den Datenkategorien, die extern verarbeitet werden dürfen, und zu den Konsequenzen bei Richtlinienverstößen. Unklarheit ist ein Haftungsrisiko. Mitarbeitende, die unsicher sind, ob ein Tool genehmigt ist, werden es häufig trotzdem verwenden – insbesondere wenn es ihre Arbeit erleichtert.

Schulungen der Nutzerinnen und Nutzer bleiben entscheidend. Die meisten Mitarbeitenden, die KI-bezogene Datenpannen verursachen, handeln nicht böswillig. Sie versuchen, effizient zu arbeiten. Schulungen, die konkret erklären, warum bestimmte Daten nicht in externe KI-Tools eingegeben werden dürfen – und nicht nur, dass es nicht erlaubt ist –, führen in der Regel zu einer besseren Einhaltung als allgemeine Sicherheitserinnerungen.

Für Einzelpersonen ist der Bericht eine nützliche Erinnerung, zu überprüfen, welche personenbezogenen Daten Organisationen über sie speichern und wie diese geschützt sind. Gesetze wie der California Consumer Privacy Act geben einigen Verbrauchern formelle Rechte über ihre Daten, obwohl die CCPA-Durchsetzung in der Praxis erhebliche Lücken aufweist und die Ausübung dieser Rechte aktives Engagement erfordert.

Was das für Sie bedeutet

Der Kordia 2026 Report ist eine auf Neuseeland ausgerichtete Studie, aber seine Ergebnisse spiegeln Muster wider, die branchenübergreifend und in verschiedenen Regionen erkennbar sind. Einer von sechs Vorfällen, der zum Diebstahl personenbezogener Daten führt, ist eine erhebliche Rate, und das Aufkommen des unsachgemäßen KI-Einsatzes als Insider-Bedrohung fügt eine neue Dimension hinzu, mit der viele Sicherheitsprogramme noch nicht Schritt halten.

Für Einzelpersonen ist das ein Anlass, darüber nachzudenken, welche personenbezogenen Daten Sie mit Unternehmen teilen, wie viele davon bei einem Datenleck offengelegt werden könnten, und ob Sie verfügbare Rechte nutzen, um diese Exposition zu minimieren. Für Organisationen ist der Bericht ein Plädoyer dafür, Sicherheitsgespräche über Perimeter-Tools hinaus hin zu einer umfassenden Datenverwaltung zu führen.

Technische Schutzmaßnahmen sind notwendig, aber nicht ausreichend. Die 17-%-Zahl legt nahe, dass selbst nach dem Auftreten von Vorfällen die Eindämmung der Auswirkungen auf personenbezogene Daten Schnelligkeit, Transparenz und klare Richtlinien erfordert, die die meisten Organisationen noch entwickeln. Den eigenen Daten-Fußabdruck zu überprüfen, die eigenen Rechte nach anwendbarem Datenschutzrecht zu verstehen und informiert darüber zu bleiben, wie Datenlecks tatsächlich entstehen, sind praktische erste Schritte, die jeder noch heute unternehmen kann.