Warum KI-Angst zum strategischen Sicherheitsrisiko wird

Die KI-Einführung gilt in vielen Unternehmen als IT-Projekt. Doch wer in den vergangenen Monaten Transformationsprozesse begleitet hat, weiß: Die eigentliche Herausforderung ist nicht technischer, sondern menschlicher Natur. Es sind nicht fehlerhafte Algorithmen, die KI-Rollouts scheitern lassen – es ist die Unsicherheit der Menschen, die mit ihnen arbeiten. Und diese Unsicherheit hat längst eine Dimension angenommen, die über klassisches Change Management hinausgeht: Sie wird zum Sicherheitsrisiko.

Die Zahlen zur KI-Adoption vermitteln das Bild einer zunehmenden Begeisterung. Laut Daten der Netskope Threat Labs nutzen schon 89 % der Unternehmen aktiv mindestens eine SaaS-basierte GenAI-Anwendung. Doch dieser Trend ist kein Selbstläufer. Der 2025 Enterprise AI Adoption Reportdes KI-Spezialisten Writer legt offen, dass 31 % der Beschäftigten bereits Verhaltensweisen zeigen, welche die KI-Einführung untergraben. Inmitten dieser Transformation formiert sich eine neue Kategorie von Bedrohungen: Der „Fear-based Insider“. Dabei handelt es sich nicht um böswillige Akteure, sondern um eigene Mitarbeiter, deren Verhalten sich aufgrund von Unsicherheit, kognitiver Überlastung und Angst ändert.

Human Error 2.0: Wenn Emotionen die Sicherheit gefährden

In der Cybersicherheit gilt als gesichert, dass Stress, Ablenkung und mangelndes Vertrauen die menschliche Fehlerquote massiv erhöhen. Angesichts der Tatsache, dass weltweit bereits 68 % aller Sicherheitsverletzungen auf menschliches Versagen zurückzuführen sind, wirkt die KI-Transformation oft wie ein Brandbeschleuniger. Wenn Mitarbeiter die Auswirkungen der Technologie auf ihren eigenen Arbeitsplatz nicht einschätzen können, entstehen riskante Verhaltensmuster, die die Angriffsfläche für externe Akteure vergrößern.

In Unternehmen, die KI mit hoher Geschwindigkeit einführen, lassen sich drei kritische Profile identifizieren, die HR-Verantwortlichen aus Change-Management-Prozessen vertraut sein dürften:

1. Der stille Saboteur: Getrieben von Misstrauen verzögert er Projekte aktiv oder kehrt zu manuellen Prozessen zurück. Diese Form des Widerstands findet oft im Verborgenen statt und untergräbt die strategische IT-Planung.
2. Der stille Kritiker: Aus Sorge um die eigene Relevanz meidet er autorisierte KI-Tools vollständig. Dies führt zu Lücken im digitalen Arbeitsablauf und erzeugt blinde Flecken in der Transparenz, da Schatten-IT zur Umgehung offizieller Systeme genutzt wird.
3. Der überforderte Insider: Diese Gruppe versucht, den Anschluss zu halten, scheitert jedoch an der Komplexität. Das Resultat ist ein fehlerhaftes Verhalten aufgrund kognitiver Überlastung – etwa die Fehlkonfiguration von Agenten, die später unter der Identität des Nutzers agieren.

Faktor Angst: Das Sicherheitsrisiko in der KI-Strategie

Angst ist in der Cybersicherheit deshalb so gefährlich, weil sie ein vorhersehbares Reaktionsmuster erzeugt. Und alles Vorhersehbare lässt sich von Angreifern instrumentalisieren. Mitarbeiter, die KI-Tools aus Ablehnung meiden oder Schulungen nur oberflächlich absolvieren, füllen Wissenslücken häufig mit riskanten Vermutungen.

Besonders kritisch wird diese Dynamik beim Einsatz von agentischer KI. Sobald ein verunsicherter Mitarbeiter einen KI-Agenten durch eine falsche Anweisung zu einer fehlerhaften Aktion veranlasst, wird der menschliche Faktor für den Angreifer zweitrangig. Anstatt eine Person mühsam per Phishing zu korrumpieren, können Hacker direkt autonome Agenten ins Visier nehmen. Ein einziger Konfigurationsfehler eines zögerlichen Benutzers genügt, um einem Angreifer die Kontrolle über ein System zu verschaffen, das Meetings plant, Dokumente zusammenfasst oder schädliche URLs innerhalb des vertrauenswürdigen Netzwerks verteilt.

Diese neuen Fehlermodi lassen sich kaum in traditionelle Insider-Modelle pressen. Wenn Agenten ihren Aktionsradius überschreiten, weil sie zu viel Zugriff hatten oder Anweisungen fehlinterpretiert haben, wirkt dies im Ergebnis wie ein böswilliger Insider-Angriff – auch wenn die Ursache lediglich in menschlicher Unsicherheit lag.

Strategische Neuausrichtung: HR als Sicherheitsakteur

Die Bewältigung dieser Risiken erfordert mehr als rein technische Kontrollen. Es bedarf einer strategischen Unterstützung der Belegschaft, um den Übergang von der Angst zur Kompetenz zu moderieren. Damit rückt HR in eine Rolle, die weit über klassisches Change Management hinausgeht.

• Bildung als Sicherheitsanker: Wissen fungiert hier als Deeskalationsstrategie. Wenn Mitarbeiter die Funktionsweise von KI und die Erwartungshaltung des Unternehmens verstehen, sinkt das Bedrohungspotenzial. Transparente Kommunikation reduziert die Neigung zur Vermeidung.
• Dezentrale Governance-Modelle: Traditionelle Governance-Strukturen sind oft zu träge für das Tempo der KI-Entwicklung. Ein effektiver Hebel ist der Aufbau eines Botschafter-Programms. Solche „AI Ambassadors“ agieren außerhalb der zentralen IT-Security direkt in den Fachabteilungen. Sie fungieren als vertrauenswürdige Ansprechpartner, die Fragen klären und Fehlentwicklungen korrigieren, bevor diese kritische Governance-Schwellen erreichen.
• Fehlertolerante Kontrollmechanismen: Sicherheitssysteme müssen heute von der Annahme menschlicher Fehler ausgehen. Da agentische Systeme Fehler potenzieren, sind Schutzvorkehrungen notwendig, die Abweichungen, überprivilegierte Agenten und fehlerhafte Prompts proaktiv abfangen.

Fazit: HR-Kompetenz als Sicherheitsfaktor

KI verändert die Arbeitsweise grundlegend, doch die eigentliche Transformation findet in der Belegschaft statt. Ängste und Zögern bleiben nicht folgenlos; sie beeinflussen direkt die Integrität der IT-Systeme. Technische Kontrollen müssen sich zwar weiterentwickeln, aber die kulturellen Auswirkungen der KI erfordern eine aktive, human-centric orientierte Führung.

Das Ignorieren der menschlichen Seite der KI-Einführung eliminiert das Risiko nicht. Es sorgt lediglich dafür, dass Unternehmen von den Konsequenzen überrascht werden. Ein proaktiver Umgang mit der Psychologie der Transformation ist daher kein „Soft Skill“, sondern eine konkrete Anforderung an die moderne IT-Sicherheit. Und er beginnt dort, wo HR schon immer zu Hause war: beim Menschen.