Eine neue Okta-Studie zeigt ein deutliches Auseinanderklaffen zwischen Selbst- und Fremdbild: 90 Prozent der Führungskräfte glauben, die KI-Nutzung im eigenen Haus im Blick zu haben. Tatsächlich nutzt mehr als jeder zweite Wissensarbeiter unautorisierte KI-Werkzeuge, jeder Sechste teilt sogar Login-Daten mit fremden Diensten. Für den Mittelstand ist das brisanter als für Konzerne, denn hier fehlt meist eine eigene KI-Governance.
Was die Okta-Studie konkret sagt
Der AI Agents at Work 2026-Report wurde im März vom Marktforscher Apprize360 im Auftrag von Okta in sieben Ländern durchgeführt, darunter Deutschland, Frankreich, Großbritannien, USA, Kanada, Japan und Australien. Befragt wurden 292 Führungskräfte und 492 Wissensarbeiter. Das zentrale Ergebnis: 58 Prozent der Führungskräfte berichten von einem KI-bezogenen Sicherheitsproblem in den letzten zwölf Monaten. 26,7 Prozent davon waren echte Vorfälle, also Datenabfluss, Systemstörungen oder Konto-Übernahmen. 31,2 Prozent waren Beinahe-Vorfälle, die rechtzeitig aufgefallen sind. Gleichzeitig nutzen 52 Prozent der Wissensarbeiter Werkzeuge ohne Freigabe, 24 Prozent regelmäßig (Quelle: The Register). Die deutsche Quote liegt bei rund 30 Prozent, in den USA bei 67 Prozent. Deutschland ist also vergleichsweise zurückhaltend, das Problem aber nicht ungelöst.
Die teuerste Lücke: jeder Sechste teilt Zugangsdaten
Die brisanteste Zahl steckt im Detail. 16 Prozent der Befragten haben einem nicht freigegebenen KI-Dienst Anmeldedaten überlassen, etwa für ihren Firmenmail-Account, ihr CRM oder den Cloud-Speicher. Damit wandert mehr als ein paar Sätze Text in eine externe Plattform: Zugangsberechtigungen, Mandantendaten, vertrauliche Dokumente landen bei Drittanbietern, deren Trainings- oder Logging-Praxis oft niemand kennt. Eine separate Erhebung der Software AG bestätigt das Muster: 46 Prozent der Mitarbeiter nutzen unautorisierte KI auch dann weiter, wenn ihr Unternehmen sie explizit verboten hat. Ein Verbot verlagert das Problem also in die Unsichtbarkeit, beseitigt es aber nicht. Gartner rechnet damit, dass bis 2030 mehr als 40 Prozent aller Unternehmen einen Compliance- oder Sicherheitsvorfall durch unkontrollierte KI erleben werden.
Warum der Mittelstand stärker betroffen ist als der Konzern
Konzerne haben CISOs, IT-Security-Teams und Budget für Identitäts-Plattformen wie Okta, Microsoft Entra oder JumpCloud. Mittelständische Unternehmen mit 20 bis 200 Beschäftigten haben das fast nie. Unternehmen führen selten ein Inventar darüber, welcher Mitarbeiter welches KI-Tool nutzt. Gleichzeitig gilt für KMU dieselbe DSGVO, dieselbe NIS2-Pflicht zur Risikoanalyse und ab Februar 2026 schrittweise der EU AI Act. Wer Patientendaten, Klientendaten oder Schülerdaten verwaltet, gerät schneller in den Hochrisiko-Bereich der Verordnung, als ihm lieb ist. Hinzu kommt ein Faktor, den die Studie selbst herausstellt: oft probieren Inhaber und Führungskräfte selbst neue Tools aus, ohne Rücksprache mit der IT, denn häufig gibt es im Haus gar keine.
Was Okta vorschlägt, und wo das für KMU vorbeigeht
Okta bewirbt im selben Atemzug seine neue Agent-Discovery-Funktion innerhalb der Identity Security Posture Management Plattform. Sie erkennt OAuth-Verbindungen zwischen KI-Tools und Geschäftsanwendungen und liefert eine Liste, welcher Agent worauf zugreifen darf. Der EMEA-Rollout ist für Q2 2026 angekündigt. Für Konzerne ist das eine relevante Antwort. Für ein Unternehmen mit 30 Beschäftigten ist eine Okta-Enterprise-Lizenz oft überdimensioniert und teuer.
Praktischer ist eine pragmatische Drei-Schritt-Variante:
- Bestandsaufnahme: eine ehrliche, anonyme Mini-Umfrage im Team, welche KI-Werkzeuge täglich genutzt werden und welche Daten dort landen. Ohne Schuldzuweisung, sonst sagt niemand etwas.
- Schlanke KI-Richtlinie: eine bis zwei Seiten, die klar regeln, was nicht in fremde Tools darf (Mandantendaten, Personalakten, unveröffentlichte Vertragsentwürfe, Patientendaten).
- Freigegebene Alternative: ein offiziell zugelassenes Werkzeug pro Hauptanwendungsfall, etwa ChatGPT Team oder Microsoft Copilot mit deutschem Datenstandort, ein europäisches Modell wie Mistral mit DSGVO-Zusatzvereinbarung oder eine eigene Instanz über einen lokalen Provider.
Was das für KMU bedeutet
Wer Mitarbeitern KI verbietet, ohne eine bessere Alternative zu liefern, schiebt das Problem nur in die Unsichtbarkeit. Wer KI komplett laufen lässt, riskiert genau die Vorfälle, die die Okta-Zahlen beschreiben: Mandantendaten in fremden Trainingsdatensätzen, geleakte Login-Daten, Compliance-Schaden bei der nächsten Datenschutzprüfung. Der mittlere Weg ist nicht teuer, aber er erfordert jemanden, der ihn ordentlich aufsetzt. Eine kopierte KI-Richtlinie aus dem Internet hilft so wenig wie ein DSGVO-Banner ohne Cookie-Konsent dahinter.
In der Praxis lohnt sich ein einmaliger, prozessnaher Aufschlag: Tools im eigenen Haus durchgehen, kritische Datenflüsse identifizieren, eine Handvoll freigegebener Werkzeuge sauber aufsetzen, die Belegschaft kurz schulen, eine Ansprechperson für Folgefragen benennen. Das ist in ein, zwei Wochen machbar und kostet weniger als ein einziger DSGVO-Vorfall, der das Landesamt für Datenschutz auf den Plan ruft. Wer im Haus weder Zeit noch Spezialwissen dafür hat, holt sich einen Partner, der die Prozesse versteht und nicht nur eine Lizenz verkauft. Generische SaaS-Antworten greifen bei den realen Datenflüssen im Mittelstand selten weit genug.
Quellen
