Cyber Atlas Israel

Cybersicherheit, Cyber Defense und künstliche Intelligenz

Resilienz Kritischer Infrastrukturen im Zeitalter autonomer KI

Resilienz Kritischer Infrastrukturen im Zeitalter autonomer KI

Verfasst von:

Thorsten Kraft

Executive Security Architect

Kritische Infrastrukturen (KRITIS) sind heute mehr als vernetzte Anlagen. Sie bilden ein hybrides Geflecht aus physischer Operational Technology (OT), klassischen IT-Systemen und zunehmend autonomen KI-Komponenten. Mit dem Inkrafttreten des NIS2-Umsetzungsgesetzes (Dezember 2025) und dem finalen Compliance-Zeitfenster des EU AI Acts (August 2026) hat sich die sicherheitstechnische und haftungsrechtliche Ausgangslage grundlegend verschärft.

Der produktive Einsatz künstlicher Intelligenz schafft eine neue Risikodimension. KI prognostiziert Lasten, optimiert Betriebsabläufe, priorisiert Entscheidungen, erkennt Anomalien und automatisiert komplexe Prozesse. Damit wird KI Teil der betrieblichen Steuerungslogik – und sicherheitsrelevant im Kern.

Paradigmenwechsel: Von Deterministik zu Wahrscheinlichkeit

Klassische Sicherheitsmodelle in KRITIS-Umgebungen beruhen auf der Annahme deterministischer Systeme. Abweichungen lassen sich als Fehler, Störung oder Angriff identifizieren und entsprechend behandeln. Der BSI IT-Grundschutz ist für diese Welt konzipiert – mit klar abgrenzbaren Systemen, reproduzierbarem Verhalten und eindeutigen Verantwortlichkeiten.

Autonome KI-Systeme durchbrechen diese Logik. Sie verarbeiten unstrukturierte Daten, generalisieren aus Beispielen und treffen probabilistische Entscheidungen. Ihr Verhalten ist kontextabhängig und nicht vollständig vorhersagbar. In kritischen Infrastrukturen bedeutet das: Eine Entscheidung kann technisch korrekt, formal regelkonform und dennoch sicherheitskritisch falsch sein.

Die neue Risikodimension

Die neue Risikodimension ergibt sich aus der veränderten Rolle von KI innerhalb kritischer Infrastrukturen. Künstliche Intelligenz ist kein isolierter IT-Baustein mehr, sondern integraler Bestandteil der operativen Wirklogik. Entscheidungen entstehen nicht mehr ausschließlich aus fest definierten Regeln, sondern aus probabilistischen Modellen, die Kontext, historische Daten und aktuelle Signale gewichten und daraus Handlungsoptionen ableiten.

Angriffe richten sich daher zunehmend nicht gegen klassische Code- oder Konfigurationsschwachstellen, sondern gegen das Verhalten der KI im laufenden Betrieb. Methoden wie Adversarial Attacks, Evasion Attacks oder Prompt Injection manipulieren Eingaben, Kontexte oder Entscheidungsvoraussetzungen so, dass das System formal korrekt arbeitet, inhaltlich jedoch falsche oder gefährliche Entscheidungen trifft.

Fehlverhalten äußert sich dabei selten als sofortiger Ausfall. Typischer sind schleichende Fehlsteuerungen, regelwidrige Priorisierungen oder unerwartete Ereignisketten, deren Ursache nicht unmittelbar erkennbar ist. Gerade in KRITIS-Umgebungen entsteht dadurch ein Risiko, das sich klassischen Sicherheits- und Monitoringkonzepten entzieht und nur durch kontinuierliche Beobachtung von Entscheidungen, Begrenzung von Autonomie und vollständige Nachvollziehbarkeit beherrschbar wird.

Warum klassische Sicherheitsmaßnahmen nicht mehr ausreichen

Netzsegmentierung, Redundanz, Systemhärtung, Identitäts- und Zugriffsmanagement sowie klassisches Monitoring bleiben unverzichtbar. Sie sichern Infrastruktur und Zugriffe ab – adressieren jedoch nicht das eigentliche Problem autonomer KI: die Entscheidungslogik und die Handlungsspielräume.

Ein KI-System kann korrekt authentifiziert sein, stabil laufen und alle formalen Sicherheitsanforderungen erfüllen – und dennoch Entscheidungen treffen, die sicherheitsrelevante Auswirkungen haben. Für KRITIS-Betreiber verschiebt sich damit der Fokus grundlegend: weg von der reinen Frage der Verfügbarkeit hin zur Frage, wie Systeme handeln – und innerhalb welcher Grenzen.

Der modernisierte BSI IT-Grundschutz++ (Stand 2026)

Seit Anfang 2026 wird KI im Kontext des BSI IT-Grundschutzes als eigenständiger Schutzgegenstand verstanden. Der Fokus verschiebt sich von der reinen Infrastrukturabsicherung hin zur Governance von Entscheidungslogiken.

Auf organisatorischer Ebene sind Organisation und ISMS (ORP.1 / ORP.2) zentral. KI-Systeme sind explizit im ISMS zu führen. Verantwortlichkeiten dürfen nicht zwischen Fachbereich, IT, Dienstleistern und Herstellern diffundieren – insbesondere vor dem Hintergrund persönlicher Haftung nach NIS2.

Im Identitäts- und Berechtigungsmanagement (ORP.4) agieren autonome KI-Agenten als nicht-menschliche, häufig hochprivilegierte Identitäten. Tokens, Service-Accounts und API-Keys sind strikt zu begrenzen, kontinuierlich zu überwachen und regelmäßig zu rezertifizieren.

Auf Anwendungsebene (APP.1.2 / APP.4) sind KI-Systeme nahezu immer API-getrieben. Angriffe zielen auf Kontextmanipulation, Prompt Injection oder missbräuchliche API-Verkettung – nicht auf klassische Schwachstellen.

Im Betrieb und Incident Management (OPS.1.1 / OPS.1.2) manifestieren sich KI-Vorfälle als ungewöhnliche Entscheidungen oder Prozessauslösungen. Forensik erfordert detailliertes Decision Logging und nachvollziehbare Aktionsketten.

Je nach Einsatzszenario kommen weitere Bausteine hinzu, etwa INF.1 Rechenzentren oder IND.1/IND.2 bei OT-Anbindung.

Laufzeitmanipulation als zentrales KRITIS-Risiko

Ein wesentlicher Unterschied zu klassischer IT-Sicherheit liegt im veränderten Angriffsmodell. Viele KI-spezifische Angriffe setzen nicht an Code, Konfiguration oder klassischen Schwachstellen an, sondern wirken direkt auf die Laufzeit des Systems. Manipulierte Eingabedaten, gezielte Kontextverschiebungen oder subtil veränderte Interaktionsmuster können ein KI-System zu regelwidrigem Verhalten bringen, ohne dass es technisch kompromittiert oder als angegriffen erkannt wird.

Für kritische Infrastrukturen hat dies gravierende Konsequenzen. Sicherheitsrelevantes Fehlverhalten entsteht nicht mehr zwingend durch Ausfälle oder klare Störungen, sondern durch formal korrekte, jedoch inhaltlich falsche Entscheidungen. Das Risiko verlagert sich damit von der Integrität der Infrastruktur hin zur Integrität der Entscheidungslogik selbst.

Der notwendige Schutzschwerpunkt verschiebt sich entsprechend: weg von reiner Infrastrukturabsicherung, hin zur aktiven Begrenzung von Autonomie, zur kontinuierlichen Überwachung von Entscheidungen und zur vollständigen Nachvollziehbarkeit von Interaktionen. Nur wenn Entscheidungspfade transparent, überprüfbar und im Zweifel eingreifbar bleiben, lässt sich KI in KRITIS-Umgebungen sicher und verantwortbar betreiben.

Praxisbeispiel 2026: KI-gestützte Abwehr im Cyberdome-Szenario

Wie sich diese Angriffsformen in der Praxis manifestieren und warum klassische Sicherheitsmechanismen nicht ausreichen, zeigt das folgende realistische Betriebsszenario. Es illustriert eine föderierte, KI-gestützte Resilienzarchitektur („Cyberdome“), die Laufzeitmanipulationen erkennt, eindämmt und beherrschbar macht – ohne die Kontrolle über physische Prozesse zu verlieren.

Szenario: Operation „Trockenlauf“

Ziel des Angriffs ist die Manipulation der chemischen Zusammensetzung des Wassers (Chlorung) sowie die Drucküberlastung der Hauptleitungen.

In der Infiltrationsphase nutzt ein Angreifer legitime VPN-Zugangsdaten eines Wartungstechnikers. Die KI erkennt die Anomalie nicht am Login selbst, sondern am untypischen Zugriffspfad auf die Chlorungsanlage.

In der Manipulationsphase werden plausible Sensordaten gespiegelt. Die Edge-KI korreliert digitale Steuerbefehle mit physikalischen Kenngrößen, etwa der Stromaufnahme der Pumpen, und erkennt Inkonsistenzen.

In der Abwehrphase wird der Zugang isoliert und betroffene Netzwerksegmente werden begrenzt. Reversible Schutzmaßnahmen erfolgen automatisiert, physisch irreversible Eingriffe erfordern eine explizite menschliche Freigabe im Sinne von Human-on-the-Loop beziehungsweise Human-in-the-Loop. Über Explainable AI erhält der Operator eine klare, nachvollziehbare Begründung der Maßnahmen.

In der Phase des föderierten Lernens wird das abstrahierte Angriffsmuster anonymisiert in ein nationales Sicherheitsnetz eingespeist. Übertragen werden ausschließlich Verhaltensmuster und Signaturen, keine Betriebs- oder personenbezogenen Daten.

Rechtlicher Rahmen und Haftung (NIS2, EU AI Act, Cyber Resilience Act)

Die regulatorische Dichte für KRITIS-Betreiber erreicht 2026 einen neuen Höchststand. NIS2 begründet eine persönliche Haftung der Leitungsorgane für angemessene Sicherheitsmaßnahmen und deren Überwachung. Der EU AI Act stuft KI-Systeme in KRITIS als Hochrisiko-KI ein und verlangt bis August 2026 eine formale Konformität in Bezug auf Risikomanagement, Daten-Governance und Transparenz. Der Cyber Resilience Act verpflichtet Hersteller zu Security-by-Design und strukturierten Schwachstellenprozessen.

Diese Regime wirken komplementär. Herstellerpflichten ersetzen nicht die Betreiberverantwortung.

Fazit: Beherrschbarkeit statt Verbot

Der BSI IT-Grundschutz bleibt ein tragfähiges Fundament – aber nur, wenn KI als eigener Schutzgegenstand verstanden wird. Das eigentliche Risiko liegt nicht in der Technologie selbst, sondern in ihrer unbegrenzten Autonomie in sicherheitskritischen Umgebungen.

Die strategische Aufgabe 2026 besteht darin, Autonomie zu begrenzen, Entscheidungen nachvollziehbar zu machen und klare Verantwortlichkeiten zu verankern. KI ist in KRITIS unumgänglich – entscheidend ist ihre Beherrschbarkeit.

Anmelden zu unserem Newsletter:

Vom Wissen zum Austausch: Sicherheit weiterdenken.

Diese Beiträge folgen der Überzeugung, dass echte Sicherheit dort beginnt, wo die bloße Compliance endet. Sie sind als Denkangebote zu verstehen – geformt aus der Praxis, aber offen für den Diskurs.

Ich schätze den fundierten Widerspruch ebenso wie die Ergänzung aus dem operativen Alltag. Ob als Gründer, Betreiber oder strategischer Entscheider: Ihre Sichtweise ist der Schlüssel zur Weiterentwicklung dieser Ansätze.

Lassen Sie uns den Dialog dort führen, wo er am fruchtbarsten ist – öffentlich in den Kommentaren oder vertraulich im direkten Gespräch. Substanz braucht Raum.

Kontakt aufnehmen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Translate »