Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat in einem aktuellen Lagebericht vor den Gefahren von KI gewarnt. Das Problem: Die EU-Behörde hat beim Verfassen des Berichts offenbar selbst KI-Tools eingesetzt, wodurch sich Fehler eingeschlichen haben. Viele der angegebenen Quellen existieren etwa gar nicht. Eine kommentierende Analyse.
Unser exklusives Format »Break the News«, in dem wir aktuelle Nachrichten in ihre Einzelteile zerlegen, erscheint immer zuerst in UPDATE, unserem täglichen Tech-Briefing. Hier kannst du dich über 10.000 anderen Lesern anschließen und dich kostenlos anmelden:
Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung
ENISA warnt vor KI
- Bereits im Oktober 2025 erschien der „Gefahren-Lagebericht“ der ENISA, in dem die Behörde eindringlich vor den Gefahren Künstlicher Intelligenz warnt. Laut dem 87-seitigen Report würde KI in rund 80 Prozent aller Fälle Hackern helfen, Nutzern ihre Passwörter zu entlocken. Betrügereien nehmen durch Künstliche Intelligenz zu, so die berechtigte Warnung.
- Wie der Spiegel (€) zuerst berichtete, haben IT-Sicherheitsforscher vom Institut für Internet-Sicherheit an der Westfälischen Hochschule festgestellt, dass ausgerechnet der ENISA-Bericht zur Gefahrenlage von KI offenbar nicht nur von Menschen verfasst, sondern von Künstlicher Intelligenz verfasst wurde. Von den insgesamt 496 Quellen in Form von Links führten 26 deshalb zu 404-Fehlermeldungen, da sie nie existiert hatten.
- Die ENISA hat ihren Sitz in Griechenland. Sie hat die Aufgabe, „einen Beitrag zur Cyberpolitik der EU“ zu leisten. Ziel ist es, das Vertrauen in digitale Produkte, Dienste und Prozesse „durch die Konzeption von Systemen für die Cybersicherheitszertifizierung“ zu stärken. Dazu arbeitet sie mit den EU-Ländern und -Einrichtungen zusammen.
EU-Behörde blamiert sich mit KI-Panne
Der Vorgang ist weniger ein KI-Skandal als ein klassisches Qualitäts- und Kontrollversagen. Dass auch Behörden KI einsetzt, ist inzwischen üblich und zunächst einmal nicht problematisch.
Brisant wird der Fall aber dadurch, dass grundlegende journalistische und wissenschaftliche Mindeststandards wie die simple Überprüfung von Quellen offenbar nicht eingehalten wurden.
Der traurige Umkehrschluss: Die überwiegend berechtigten inhaltlichen Kernaussagen und Warnungen des Berichts werden kaum diskutiert, weil sich die ENISA mit ihrem handwerklichen Versagen selbst ein Bein gestellt hat.
Einzelne nicht nachweisbare Quellen untergraben deshalb die Glaubwürdigkeit des gesamten Berichts – obwohl dieser überwiegend zutreffend ist. Das Einräumen von Fehlern ist zwar löblich, doch ohne konkrete Offenlegung des eigenen Versagens bleibt ein realer Vertrauensverlust.
Stimmen
- Juhan Lepassaar, Exekutivdirektor der ENISA, erklärte zur Veröffentlichung des Reports: „Die Systeme und Dienste, auf die wir uns in unserem täglichen Leben verlassen, sind miteinander verflochten, sodass eine Störung an einem Ende Auswirkungen auf die gesamte Lieferkette haben kann. Dies hängt mit einem Anstieg des Missbrauchs von Cyberabhängigkeiten durch Bedrohungsakteure zusammen, der die Auswirkungen von Cyberangriffen verstärken kann.“
- Christian Dietrich, Professor am Institut für Internet-Sicherheit an der Westfälischen Hochschule, dazu: „Mich stört maßgeblich, dass eine öffentliche Behörde, die in meinen Augen die sehr wichtige Aufgabe hat, verlässliche, nachvollziehbare Berichte herauszugeben, das in diesem Fall nicht getan hat“. Zu den fehlerhaften Links sagte er: „Man hätte nur einmal draufklicken müssen“.
- Die ENISA räumte bereits „Mängel“ ein, zu denen sie „Verantwortung übernehmen“ wolle. Die Behörde habe KI für „kleinere redaktionelle Überarbeitungen“ verwendet. Die Inhalte des Berichts seien ungeachtet der nicht existierenden Quellen valide. Linus Neumann vom Chaos Computer Club dazu: „Die ENISA soll zentrale Anlaufstelle in Europa sein. Wenn dann schon in den sehr oberflächlichen Bedrohungsberichten derart unsauber gearbeitet wird, wirft das ein sehr schlechtes Licht auf die Institution“.
Vertrauensverlust auf Behördenebene
Der Fall wirft grundsätzliche Fragen zur Arbeitsweise europäischer Behörden auf. Wenn ausgerechnet eine Institution, die Standards und Vertrauen in der Cybersicherheit setzen soll, bei Quellenprüfung und -sicherung versagt, steht mehr auf dem Spiel als ein einzelner Bericht.
Entscheidend wird sein, ob die ENISA ihre internen Prozesse transparent nachschärft – etwa durch klare Regeln zum Einsatz von KI, verpflichtende menschliche Überprüfungen und eine nachvollziehbare Korrektur.
Andernfalls droht ein nachhaltiger Vertrauensverlust, der die Autorität künftiger Warnungen und Empfehlungen untergräbt.
Unser exklusives Format »Break the News«, in dem wir aktuelle Nachrichten in ihre Einzelteile zerlegen, erscheint immer zuerst in UPDATE, unserem täglichen Tech-Briefing. Hier kannst du dich über 10.000 anderen Lesern anschließen und dich kostenlos anmelden:
Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung
Auch interessant:
