Kiteworks warnt vor Sicherheitslücken in der KI, die die Energieinfrastruktur Angriffen von Nationalstaaten aussetzen
Neue Forschungen haben mehrere Risiken identifiziert, die in diesem Jahr im Energiesektor auftauchen. Die Ergebnisse zeigen, dass Lücken bei der KI-Red-Teaming die operativen Systeme ungetestet gegenüber Bedrohungen von Nationalstaaten lassen. Zudem gibt es schwache zentrale Überwachungssysteme, die Angriffe unentdeckt lassen. Organisationen sehen sich auch verlängerten Reaktionszeiten bei Vorfällen gegenüber, da es an spezifischen Handlungsanweisungen für KI fehlt, während begrenzte Engagements auf Vorstandsebene notwendige Sicherheitsinvestitionen verzögern.
Die Forschung hebt hervor, wie frühzeitig die Governance von KI im Sektor ist. Nur 9 % der Energieorganisationen berichten von durchgeführten KI-Red-Teaming-Tests, während lediglich 14 % spezifische Handlungsanweisungen für Vorfälle in Bezug auf KI aufrechterhalten. Dies lässt kritische Systeme anfällig für zunehmend raffinierte Angreifer.
Vorhersagen für 2026
Für 2026 wird prognostiziert, dass Akteure von Nationalstaaten die Lücken im Red-Teaming ausnutzen werden, um kritische Infrastruktur-KI zu gefährden. Schwache zentrale Überwachungssysteme werden KI-Angriffe unentdeckt lassen, bis physische Auswirkungen auftreten. Reaktionslücken bei Vorfällen verlängern die Dauer der KI-Kompromittierung und verursachen Schäden. Eine unzureichende Aufmerksamkeit des Vorstands für die Governance von KI wird kritische Sicherheitsinvestitionen verzögern.
Aktuelle Stärken und Schwächen
Der Sektor hat starke punktuelle Kontrollen aufgebaut, insbesondere in Bezug auf den Zugriff auf Datensätze und Datenschutzbewertungen. Jedoch hat der Energiesektor in der zentralen Überwachung, im adversarischen Testen und in den Reaktionsfähigkeiten bei Vorfällen Nachholbedarf. Die Lücke besteht nicht in der Investition in Kontrollen, sondern in der Architektur der Kontrollen. Die Energiebranche hat die Governance von KI ähnlich behandelt wie traditionelle Infrastruktur, mit verteilten Kontrollen an einzelnen Vermögenswerten und Systemen.
Die Daten zeigen, dass der Energiesektor bei mehreren kritischen KI-Kontrollen hinter globalen Vergleichswerten zurückbleibt. Nur 18 % der Organisationen berichten von einem KI-Daten-Gateway, was im Vergleich zu 35 % weltweit einen Mangel von 17 Punkten bedeutet. Die Durchführung von KI-Red-Teaming erfolgt nur bei 9 %, im Vergleich zu 24 % weltweit. Die Aufmerksamkeit des Vorstands für die Governance von KI liegt bei 32 %, verglichen mit 46 % global.
Dringende Maßnahmen
Organisationen müssen umgehend Programme für KI-Red-Teaming etablieren, insbesondere für KI-Systeme, die mit operationstechnologischen Systemen verbunden sind. Es sollten spezialisierte Red-Team-Dienste mit Erfahrung in kritischen Infrastrukturen engagiert werden. Darüber hinaus muss eine zentrale Überwachung für KI-Systeme bereitgestellt werden, um Signale über verteilte Systeme hinweg zu korrelieren.
Die Entwicklung spezifischer Handlungsanweisungen für Vorfälle im Zusammenhang mit KI ist ebenso dringend. Organisationen sollten auch eine umfassende Verschlüsselung von Trainingsdaten implementieren, um sensible Informationen zu schützen. Die Governance von KI muss als Priorität zum Schutz kritischer Infrastrukturen betrachtet werden und nicht als bloße Compliance-Übung.
Fazit
Die Sicherheitslücken in der KI-Governance und -Kontrolle sind potenzielle Einfallstore für Angriffe auf die Energieinfrastruktur. Der Sektor muss jetzt handeln, um diese Risiken zu mindern und die Sicherheit der kritischen Infrastrukturen zu gewährleisten.
