Sicherheit in der KI-Lieferkette: Was der Markt noch nicht kauft
Es gibt einen Satz, der in Gesprächen über Cloud-Architektur immer häufiger zu hören ist: „Das Modell kommt von AWS, es ist sicher." Es ist ein kurzer Satz, der eine Annahme von enormem Gewicht in sich trägt – und den kein verantwortungsvoller Prüfer ungeprüft durchgehen lassen sollte.
Der am 25. Juni 2026 im Forbes Technology Council unter dem Namen von Harvendra Singh, Technology Delivery Manager für Cloud-Engineering und -Architektur, veröffentlichte Artikel spricht etwas an, das Organisationen mit großem Appetit auf den Einsatz künstlicher Intelligenz noch nicht hören wollen: dass die Sicherheit ihrer KI-Systeme nicht dadurch gelöst wird, dass man die Infrastruktur absichert. Sie wird dadurch gelöst, dass man die Entscheidungen absichert, die diese Infrastruktur produziert.
Das ist eine Unterscheidung, die semantisch erscheint, die aber operativ das gesamte Kontrollmodell, die gesamte Verantwortungszuweisung und infolgedessen die gesamte Kostenarchitektur der technologischen Governance verändert.
Die Frage, die ich mir als Auditor für kommerzielle Tragfähigkeit stelle, ist nicht, ob die Unterscheidung intellektuell gültig ist. Sie ist es, und zwar mit Evidenz. Die Frage ist, ob der Markt dafür zahlt, dieses Problem zu lösen, oder ob er dafür zahlt, zu glauben, dass er es bereits gelöst hat.
Das Problem, das die Cloud-Erzählung nicht erwähnt
Jahrelang ruhte das Wertversprechen der großen Cloud-Anbieter auf einem soliden Argument: Lagere die Infrastruktur aus, reduziere das operative Risiko, skaliere ohne Reibung. Für die meisten Organisationen war dieses Argument ausreichend, um Migrationsentscheidungen in Höhe von Hunderten von Millionen Dollar zu treffen.
Was dieses Argument nicht berücksichtigte, war, dass die Cloud zum Container für etwas Komplexeres als Server werden sollte: Sie sollte zum Container für Modelle des maschinellen Lernens, Vektordatenbanken, Prompt-Pipelines, autonome Agenten und Inferenzdienste von Drittanbietern werden. Komponenten, die nicht statisch sind, die lernen, die sich im Laufe der Zeit verändern und die Entscheidungen produzieren, die reale Geschäftsprozesse beeinflussen.
Der Artikel von Singh beschreibt es präzise: Eine cloud-native Anwendung, die KI einbindet, kann externe Modelle konsumieren, die mit Daten unbekannter Herkunft trainiert wurden, dynamisch generierte Prompts, APIs von Drittanbietern und Agenten, die in Echtzeit Entscheidungen treffen. Jede dieser Komponenten erweitert die Angriffsfläche auf eine Weise, für die traditionelle Sicherheitskontrollen der Infrastruktur nicht ausgelegt sind, um sie zu erkennen.
Das aufschlussreichste Beispiel, das er anführt, ist das des Modell-Drifts, des sogenannten model drift: Ein KI-System kann sein Verhalten im Laufe der Zeit schrittweise verändern, ohne dass eine Netzwerkkontrolle, eine Firewall oder ein Identitätsmanagementsystem dies erkennt. Es handelt sich nicht um einen Einbruch. Es ist eine stille Degradierung des Vertrauens in die automatisierte Entscheidung.
Das ist der Punkt, den die Cloud-Erzählung in ihren kommerziellen Präsentationen nicht erwähnt. Die Anbieter verkaufen Gewissheit über Verfügbarkeit, Latenz und regulatorische Compliance der Infrastruktur. Sie verkaufen keine Gewissheit über das Verhalten der Modelle, die auf dieser Infrastruktur laufen. Und genau dort liegt die Reibung, die der Markt noch nicht vollständig verinnerlicht hat.
Schätzungen zufolge, die Forbes in Analysen zu kognitiven Lieferketten zusammengetragen hat, könnte künstliche Intelligenz zwischen 1,3 und 2 Billionen Dollar an jährlichem Wert in globalen Lieferketten freischalten. Wenn diese Zahl plausibel ist, lautet die relevante Frage nicht, ob Organisationen KI einsetzen sollen. Die Frage ist, wie viel von diesem Wert durch das Treffen automatisierter Entscheidungen ohne die Möglichkeit, deren Zuverlässigkeit zu validieren, zunichte gemacht wird.
Die Reibung, die im Adoptions-Deck nicht erscheint
Wenn ich eine KI-Adoptionsstrategie untersuche, ist die erste Variable, nach der ich suche, nicht diejenige, die in der Präsentation erscheint. Ich suche nach der, die dort nicht steht.
In den meisten Fällen, die ich analysiert habe, ist diese Variable die kontinuierliche Validierung des Verhaltens des KI-Systems nach dem Deployment. Teams investieren in die Integration des Modells. Sie investieren nicht mit gleicher Intensität darin, zu überwachen, ob dieses Modell sich nach acht Wochen in der Produktion noch kohärent mit den Geschäftszielen verhält.
Der Artikel von Singh schlägt eine Reihe von Praktiken vor, die versuchen, genau diese Lücke zu schließen: Überwachung von Outputs, Anomalieanalyse bei automatisierten Entscheidungen, kontinuierliche Validierung von Prompts und Workflows sowie Verfolgung des Modell-Drifts. Das sind vernünftige und gut begründete Praktiken. Das Problem ist, dass keine davon kostenlos oder einfach in einer Organisation zu implementieren ist, die bereits über Sicherheitsteams, Datenteams, Architekturteams und Geschäftsteams verfügt, die in Silos arbeiten.
Das Wertversprechen dieser neuen Disziplin, die Singh als Sicherheit der KI-Lieferkette bezeichnet, erfordert eine Neuverteilung der funktionalen Eigentümerschaft, für die nur wenige Organisationen klare Anreize haben, sie umzusetzen. Nicht weil der Vorschlag falsch wäre, sondern weil die Forderung an Engineering-Teams, Verantwortung für die Zuverlässigkeit der von ihrer KI produzierten Entscheidungen zu übernehmen, bedeutet, ihnen eine Last aufzubürden, die heute weder budgetiert ist, noch in ihren KPIs steht, noch einen klaren Eigentümer im Organigramm hat.
Das Uber-Beispiel, das Singh in seinem Artikel verwendet, ist genau deshalb so illustrativ: Bei einem Vorfall mit einem autonomen Fahrzeug hat die Frage, wer verantwortlich ist, keine einfache organisatorische Antwort. Es ist nicht das Sicherheitsteam. Es ist nicht das Datenteam. Es ist nicht das Infrastrukturteam. Es ist eine verteilte Verantwortung, die, wenn sie ohne Struktur verteilt wird, am Ende niemandem gehört.
Diese Verantwortungsambiguität ist die eigentliche Reibung, die eine ausgereifte Übernahme von Sicherheitspraktiken für KI bremst. Nicht der Mangel an Bewusstsein für das Problem. Nicht das Fehlen von Werkzeugen. Das Fehlen eines Eigentümers mit Budget, Mandat und Rechenschaftspflicht.
Warum EY-Analysten kein ausreichendes Argument sind
Die Feldforschung, die den Artikel von Singh stützt, kreuzt sich mit Prognosen von EY-Analysten, die die Einführung von agentischer KI – also KI-Systemen, die autonom Aktionen initiieren können – in Lieferketten innerhalb eines Horizonts von zwölf bis achtzehn Monaten antizipieren. Wenn diese Prognose korrekt ist, werden die Sicherheitsimplikationen dringlicher, nicht weniger dringend.
Ein autonomer Agent ist kein Modell, das Empfehlungen generiert. Es ist ein System, das auf der Grundlage dieser Empfehlungen ohne menschliche Eingriffe handelt. Im Kontext einer Lieferkette kann das bedeuten, Inventar umzuleiten, Konditionen mit Lieferanten neu zu verhandeln oder Preisentscheidungen in Echtzeit zu treffen. Das Ausmaß der finanziellen Auswirkungen einer kompromittierten oder verzerrten Entscheidung in diesem Kontext ist nicht marginal.
Die Cloud Native Computing Foundation, eine der Referenzorganisationen in der Architektur moderner Anwendungen, arbeitet bereits an konkreten technischen Praktiken für dieses Szenario: Inventare von Softwarekomponenten für KI-Images und Modelle des maschinellen Lernens, Scannen von Modellen bei jeder Bewegung zwischen Teams und Mechanismen zur Modellsignierung, um sicherzustellen, dass nur verifizierte Modelle in die Produktion gelangen. Das sind Praktiken, die das DevSecOps-Modell auf die Pipelines von KI-Modellen ausdehnen.
Aber es gibt einen Unterschied zwischen dem Vorhandensein technischer Praktiken und einem Markt, der bereit ist, für deren Implementierung zu zahlen. Und hier kompliziert sich die kommerzielle Tragfähigkeitsanalyse dieser Erzählung.
Das Problem ist nicht die technische Gültigkeit der Vorschläge. Das Problem ist das Adoptionsmodell. Die Werkzeuge existieren. Die Frameworks existieren. Die Risikoargumente existieren. Was noch nicht mit gleicher Klarheit existiert, ist der organisatorische Käufer, der über die Autorität, das Budget und die ausreichende Dringlichkeit verfügt, um diese Praktiken in eine operative Disziplin mit Rechenschaftsmetriken zu verwandeln.
In den meisten Organisationen, die ich beobachtet habe, wird die KI-Einführung von Engineering-Teams oder Geschäftseinheiten geleitet, die unter dem Druck stehen, schnelle Ergebnisse vorzuweisen. Die KI-Governance versucht der Sicherheitsbereich zu übernehmen, der historisch gesehen in einem langsameren Zyklus arbeitet. Zwischen diesen beiden Geschwindigkeiten besteht eine Lücke, die genau die Szenarien produziert, die Singh beschreibt: Modelle, die ohne Herkunftsprüfung deployed werden, Prompt-Pipelines ohne kontinuierliche Validierung, Drittanbieterdienste, die unter der Annahme integriert werden, dass das Modell sicher ist, wenn der Anbieter bekannt ist.
Der EY-Analyst, der die agentische Einführung in achtzehn Monaten prognostiziert, betrachtet die Geschwindigkeit der Technologie. Die fehlende Analyse ist, wie viele dieser Einführungen die Kontrollen zur kontinuierlichen Validierung vom ersten Sprint an einschließen werden, und wie viele diese als Remediierungsprojekt achtzehn Monate angehen werden, nachdem sie die ersten automatisierten Entscheidungen getroffen haben.
Der Käufer, der noch keinen Namen hat
Es gibt ein Muster, das sich bei der Einführung von Unternehmenssicherheitstechnologie wiederholt: Die Werkzeuge führen, die Governance folgt, und der Käufer mit echtem Mandat erscheint nach einem Vorfall.
Die Netzwerkperimeterssicherheit reifte nach massiven Datenpannen. Die Sicherheit der Software-Lieferkette skalierte nach SolarWinds und Log4j. Die Governance von KI-Modellen wird reifen, nachdem eine relevante Organisation eine falsche automatisierte Entscheidung mit dokumentierten und öffentlich gewordenen finanziellen oder rechtlichen Folgen getroffen hat.
Das macht das Argument von Singh nicht ungültig. Es kontextualisiert es. Die Disziplin, die er beschreibt, hat solide technische Grundlagen und eine einwandfreie Risikologik. Was sie noch nicht hat, mit Ausnahme von stark regulierten Sektoren wie Finanzdienstleistungen oder Gesundheitswesen, ist der organisatorische Käufer, der vor dem Vorfall mit Dringlichkeit kommt.
Dieser Käufer existiert im Markt, ist aber nicht gleichmäßig verteilt. Es ist der Chief Information Security Officer einer Finanzinstitution, die bereits von einem Regulator unter Druck gesetzt wurde. Es ist der Plattformarchitekt in einem Fertigungsunternehmen, das gesehen hat, wie ein automatisierter Agent eine Inventarentscheidung getroffen hat, die einen buchhalterischen Verlust verursacht hat. Es ist das Rechtsteam eines Technologieunternehmens, das beginnt, die Haftungsrisiken der Entscheidungen zu antizipieren, die seine KI-Systeme autonom treffen.
Für diesen Käufer hat der Vorschlag der kontinuierlichen Validierung des Modellverhaltens, der Herkunftsprüfung, der Signierung und des Scannens von KI-Komponenten einen konkreten Wert und finanzielle Dringlichkeit. Für den Rest des Marktes ist es immer noch ein Architekturgespräch, das mit sichtbareren und besser budgetierten Prioritäten konkurriert.
Die These von Singh über die Zukunft der cloud-nativen Sicherheit ist technisch korrekt: Die Frage, die Vorstandsetagen stellen werden, wird nicht sein, ob die Server sicher sind, sondern ob sie den Entscheidungen vertrauen können, die ihre KI-Systeme produzieren. Diese Frage wird einen echten Markt mit echten Käufern und echten Budgets erzeugen. Was der Artikel nicht löst, und was der Markt ebenfalls noch nicht löst, ist die Frage, wer das organisatorische Mandat hat, diese Frage zu stellen, bevor die Antwort in Form eines Verlustes ankommt.
Die Sicherheitsarchitektur für KI in cloud-nativen Umgebungen ist keine Erzählung, die ihrer Zeit voraus ist. Sie ist eine strukturelle Notwendigkeit, deren Adoptionsgeschwindigkeit, wie immer, durch den Druck von Anreizen und nicht durch die Klarheit des Risikos gesteuert wird. Die Organisationen, die die Frage nach dem Eigentümer, dem Budget und dem Mandat lösen, werden einen operativen Vorteil erringen, der schwer zu replizieren ist. Diejenigen, die auf den Vorfall warten, werden diese Verzögerung auf die einzige Art bezahlen, auf die solche Entscheidungen bezahlt werden: nachher und mit mehr Reibung als nötig.










