Böswillige Nutzung von KI: Was der AI Act abdeckt und was nicht

Eine im Februar 2026 vom Real Instituto Elcano veröffentlichte Analyse stellt eine unbequeme Frage: Deckt der AI Act, der als weltweites Vorbild für KI-Regulierung dargestellt wird, tatsächlich die kritischsten Risiken ab? Paula Oliver Llorentes Studie unterzieht die Verordnung einem Stresstest anhand von 9 Teilrisiken böswilliger Nutzung — dem vorsätzlichen Einsatz von KI-Fähigkeiten zur Schadenszufügung. Das Ergebnis ist eindeutig: Die Abdeckung ist zutiefst unausgewogen. Für Unternehmen, die der Verordnung (EU) 2024/1689 unterliegen, hat diese Realität direkte Auswirkungen auf ihre Risikomanagementstrategie.

Böswillige Nutzung von KI: Worum geht es?

Böswillige Nutzung von KI bezeichnet vorsätzliche Praktiken, die die Fähigkeiten von KI-Systemen ausnutzen, um die Sicherheit von Einzelpersonen, Gruppen oder der Gesellschaft zu gefährden. Das entscheidende Element ist die Absicht zu schaden, was böswillige Nutzung von versehentlichem Missbrauch oder unbeabsichtigten Folgen unterscheidet.

Diese Kategorie unterscheidet sich auch vom böswilligen Missbrauch (malicious abuse), der die internen Schwachstellen von KI-Systemen selbst ausnutzt — etwa adversariale Angriffe — anstatt deren Fähigkeiten für schädliche Zwecke zu instrumentalisieren.

Gestützt auf die Arbeiten internationaler KI-Sicherheitsorganisationen, institutioneller Berichte und dokumentierter Vorfälle identifiziert die Analyse 9 Teilrisiken böswilliger Nutzung:

1. Biowaffen und chemische Bedrohungen — Einsatz von KI zur Entwicklung von Krankheitserregern, zur Durchführung biologischer Angriffe oder zur Bereitstellung von Anleitungen zur Reproduktion bestehender Waffen
2. Böswillige autonome KI — Erschaffung und Einsatz autonomer Systeme mit zerstörerischen Zielen (z.B. ChaosGPT), die sich ohne menschliche Aufsicht anpassen können
3. Desinformation und persuasive KI — Massenerzeugung falscher oder irreführender Inhalte, personalisierte Manipulation unter Ausnutzung kognitiver Schwachstellen, ausländische Einflussoperationen
4. Gefälschte und missbräuchliche Inhalte — Nicht-einvernehmliche intime Bilder (NCII), KI-generiertes Material sexuellen Kindesmissbrauchs (CSAM), Stimmimitation, Erpressung, Rufschädigung
5. Betrug, Scams und Social Engineering — KI-Systeme (WormGPT, FraudGPT), die überzeugendes Phishing, Identitätsdiebstahl und betrügerische Chatbots produzieren
6. Offensive Cyberangriffe — Automatisierung der Malware-Erzeugung, Schwachstellensuche, mehrsprachiges Phishing, Senkung der Einstiegsbarrieren für Angreifer
7. Autonome Waffen und militärische Nutzung — Einsatz KI-gesteuerter Drohnen und Waffensysteme, die ohne menschliche Aufsicht angreifen können
8. Machtkonzentration — Regierungen oder Unternehmen nutzen KI, um Autorität zu festigen, abweichende Meinungen zu unterdrücken oder KI-Fähigkeiten zu monopolisieren
9. Staatliche Überwachung und Unterdrückung — Massenüberwachung, Predictive Policing, Zensur und Unterdrückung von Minderheiten mittels KI

Was der AI Act abdeckt: eine unausgewogene Landkarte

Die Analyse des Real Instituto Elcano konfrontiert die Bestimmungen des AI Act mit diesen 9 Teilrisiken. Das Ergebnis wird nachfolgend zusammengefasst und rekonstruiert Abbildung 1 der Originalstudie.

Tabelle — Teilrisiken böswilliger Nutzung und AI-Act-Pflichten

Legende: 🔴 Keine direkte Abdeckung — 🟡 Teilweise oder indirekte Abdeckung — 🟢 Umfassende Abdeckung

• Biowaffen und chemische Bedrohungen 🔴 — Es gelten nur die allgemeinen Bestimmungen zum Risikomanagement und zur Meldung von Vorfällen für GPAI-Modelle mit systemischen Risiken. Der Hauptschutz beruht auf internationalen Übereinkommen (Biologische und Chemische Waffen)
• Böswillige autonome KI 🔴 — Gleiches regulatorisches Vakuum. Die Risikominderung beschränkt sich auf das systemische GPAI-Risikomanagement und die Pflichten zur menschlichen Aufsicht für Hochrisiko-KI-Systeme. Keine spezifischen Bestimmungen zur Verhinderung der Erschaffung zerstörerischer autonomer KI-Agenten
• Desinformation und persuasive KI 🟡 — Der AI Act verbietet manipulative und täuschende Techniken (Art. 5), schreibt die Kennzeichnung von Deepfakes und synthetischen Inhalten vor (Art. 50). Personalisierte Manipulation über KI-Chatbots ist jedoch nicht abgedeckt. Teilweise ergänzt durch den Digital Services Act (DSA)
• Gefälschte und missbräuchliche Inhalte 🟡 — Indirekte Verbote (Ausnutzung von Schwachstellen, Art. 5). Die schwerwiegendsten Formen — nicht-einvernehmliche intime Bilder (NCII), KI-generiertes CSAM — fehlen im AI Act. Die Deepfake-Kennzeichnung bietet schwachen Schutz. Ergänzt durch die Richtlinie über nicht-einvernehmliche intime Bilder
• Betrug und Social Engineering 🟡 — Transparenz- und Offenlegungsanforderungen können die Wirksamkeit von Phishing und Identitätsdiebstahl verringern, verbieten diese Praktiken aber nicht. Keine explizite Regulierung von KI-Betrugstools
• Offensive Cyberangriffe 🟡 — Hauptsächlich durch bestehende EU-Gesetzgebung zur Kriminalisierung von Cyberangriffen abgedeckt. Der AI Act konzentriert sich auf den Schutz von Hochrisiko-Systemen gegen adversariale Angriffe (böswilliger Missbrauch) statt auf den offensiven Einsatz von KI. Ergänzt durch den Cyber Resilience Act
• Autonome Waffen und militärische Nutzung 🔴 — Ausdrücklich vom Anwendungsbereich des AI Act ausgeschlossen (Verteidigung und nationale Sicherheit sind Zuständigkeiten der Mitgliedstaaten). Nur KI-Systeme mit doppeltem Verwendungszweck (zivil und militärisch) werden erfasst. Erhebliche Lücke in einem Bereich mit katastrophalem Risikopotenzial
• Machtkonzentration 🔴 — Die staatliche KI-Nutzung wird teilweise über Einschränkungen beim Predictive Policing begrenzt. Die unternehmerische Konzentration von KI-Macht (Datenvorteile, Cloud-Infrastruktur, Rechenleistung) bleibt unbehandelt. Der Digital Markets Act deckt die KI-spezifischen Konzentrationsdynamiken nicht ab
• Staatliche Überwachung und Unterdrückung 🟢 — Die umfassendste Abdeckung. Der AI Act verbietet Social Scoring (Art. 5), Predictive Policing, bestimmte Arten der biometrischen Identifikation und biometrischen Kategorisierung. Spiegelt die politische Bedeutung dieses Themas in europäischen Debatten wider, insbesondere angesichts autoritärer Präzedenzfälle

Warum diese Lücken beabsichtigt sind

Die unausgewogene Abdeckung des AI Act ist kein Versehen. Sie resultiert aus einer bewussten Designentscheidung zur Vermeidung regulatorischer Redundanz.

Der AI Act ist Teil eines umfassenderen europäischen Gesetzeskorpus. Die Entwicklung von Biowaffen, die Durchführung von Betrug und Cyberangriffen waren bereits vor dem Aufkommen von KI strafbar. Die EU-Gesetzgeber entschieden, dass KI-gestützte Verbrechen nicht anders behandelt werden sollten als ihre traditionellen Pendants, und dass der Schutz nicht redundant zur bestehenden Gesetzgebung sein sollte.

In der Praxis werden viele Teilrisiken durch andere EU-Texte ergänzt:

• Desinformation → Digital Services Act (DSA)
• Missbräuchliche Inhalte → Richtlinie über nicht-einvernehmliche intime Bilder
• Cyberangriffe → Cyber Resilience Act
• Machtkonzentration → Digital Markets Act (DMA)
• Biowaffen → Internationale Übereinkommen
• Autonome Waffen → Internationale Initiativen (UN)

Dieser Ansatz ist aus interner Sicht sinnvoll: Er vermeidet Überregulierung und vereinfacht die Einhaltung. Er schafft jedoch ein Exportierbarkeitsproblem: Drittländer werden das gesamte europäische Regulierungsökosystem nicht importieren.

Querschnittsbegrenzungen, die den Schutz schwächen

Über die Abdeckung nach Teilrisiko hinaus schwächen zwei Querschnittsbegrenzungen den AI Act gegen böswillige Nutzung.

Persönliche Nutzung in einer Grauzone

Persönliche, nicht-berufliche Nutzungen von KI-Systemen werden vom AI Act nicht erfasst. Der Text stützt sich auf die Pflichten der Anbieter und Entwickler, um Risiken nachgelagert zu begrenzen. Böswillige Personen fallen daher durch das Raster, sofern nicht das Strafrecht eingreift. Allerdings verstärkt KI sowohl die Anreize als auch die Leichtigkeit böswilliger Aktivitäten, was die strafrechtliche Verfolgung zu einem schwachen Abschreckungsmittel macht.

„Vernünftigerweise vorhersehbarer Missbrauch": ein vager Begriff

Der AI Act begründet Risikomanagementpflichten auf der Grundlage des bestimmungsgemäßen Gebrauchs und des „vernünftigerweise vorhersehbaren Missbrauchs" sowohl für Hochrisiko-KI-Systeme als auch für GPAI-Modelle mit systemischem Risiko. Das Problem ist, dass dieser Begriff vielfältig interpretierbar ist, was die Konsistenz der Durchsetzung schwächt. Einige Unternehmen nutzen diese Vagheit bereits aus — wie OpenAI vor Gericht argumentierte, dass die Nutzung von ChatGPT zur Selbstverletzung einen „Missbrauch, unautorisierten Gebrauch, unbeabsichtigten Gebrauch, unvorhersehbaren Gebrauch und/oder unsachgemäßen Gebrauch" seines Produkts darstelle.

Was das für Unternehmen bedeutet

Für Anbieter und Betreiber von KI-Systemen hat diese Analyse konkrete Auswirkungen.

Risikomanagement darf sich nicht auf den AI Act beschränken

Ein Risikomanagementsystem gemäß Artikel 9 muss „bekannte und vernünftigerweise vorhersehbare" Risiken identifizieren. Böswillige Nutzungen fallen in diese Kategorie — auch wenn der AI Act sie nicht alle direkt behandelt. Anbieter müssen daher Risiken böswilliger Nutzung in ihre technische Dokumentation (Anhang IV, Abschnitt 5) integrieren, einschließlich derjenigen, die durch andere Gesetzgebung abgedeckt sind.

Transparenzpflichten als erste Verteidigungslinie

Für die 4 teilweise abgedeckten Teilrisiken stellen die Transparenzpflichten des AI Act (Deepfake-Kennzeichnung, Offenlegung von Mensch-Maschine-Interaktionen, Betreiberinformation) die erste Verteidigungslinie dar. Ihre wirksame Umsetzung ist unerlässlich, auch wenn sie gegen entschlossene böswillige Akteure unzureichend bleiben.

GPAI-Modelle mit systemischem Risiko an vorderster Front

Anbieter von GPAI-Modellen mit systemischem Risiko (Artikel 51-56) tragen eine besondere Verantwortung. Ihre Pflichten im Bereich Risikomanagement, adversariales Testen und Vorfallsmeldung sind das einzige Sicherheitsnetz des AI Act für 4 der 9 identifizierten Teilrisiken. Die Qualität ihrer Umsetzung hat direkte Auswirkungen auf die Sicherheit des gesamten Ökosystems.

Sie entwickeln oder betreiben ein KI-System und möchten Ihre Exposition gegenüber Risiken böswilliger Nutzung bewerten? Die kostenlose AiActo-Diagnose ermittelt Ihr Risikoniveau und Ihre Pflichten in weniger als 3 Minuten.

Der Brüssel-Effekt in Frage gestellt

Der AI Act wurde mit dem Ziel entworfen, zum globalen Vorbild für KI-Governance zu werden — dem sogenannten „Brüssel-Effekt". Der Rat der EU stellte ihn als potenziellen Weltstandard für KI-Regulierung dar.

Die Analyse zeigt jedoch, dass dieser Anspruch durch Lücken in der Risikoabdeckung untergraben wird. Ein regulatorischer Rahmen, der KI-gestützte Biowaffen, zerstörerische autonome Systeme und technologische Machtkonzentration außerhalb seines direkten Anwendungsbereichs lässt, verliert an Glaubwürdigkeit als globales Modell.

Der Digital Omnibus, den die Kommission im November 2025 vorgeschlagen hat, verschärft das Problem: Er verzögert das Inkrafttreten bestimmter Pflichten für Hochrisiko-Systeme, führt Übergangsfristen für GPAI-Watermarking ein und erweitert die für das Training nutzbaren Daten — was potenziell die Wirksamkeit von Desinformations- und Social-Engineering-Systemen erhöht.

Für europäische Unternehmen, die auf Konformität setzen, ist das Signal mehrdeutig: Einerseits rücken die Fristen im August 2026 näher; andererseits ist der regulatorische Rahmen selbst in Bewegung.

Praktische Empfehlungen

In dieser Situation zeichnen sich drei Handlungsfelder für Organisationen ab.

1. Risiken böswilliger Nutzung in die Risikoanalyse nach Artikel 9 integrieren — Beschränken Sie sich nicht auf bestimmungsgemäße Nutzungen. Dokumentieren Sie explizit Szenarien böswilliger Nutzung und Gegenmaßnahmen, auch für Risiken, die durch andere Gesetzgebung abgedeckt sind
2. Das gesamte regulatorische Ökosystem überwachen — Der AI Act steht nicht isoliert. Identifizieren Sie ergänzende anwendbare Texte (DSA, Cyber Resilience Act, NCII-Richtlinie, DMA) und integrieren Sie deren Anforderungen in die Gesamtkonformitätsstrategie
3. Revisionen des AI Act antizipieren — Artikel 112 sieht regelmäßige Überprüfungen vor. Die Liste der Hochrisiko-KI-Systeme (Anhang III) kann durch Delegierte Rechtsakte geändert werden. Unternehmen sollten die Entwicklung des Rahmens verfolgen, insbesondere bei personalisierter Manipulation und KI-generierten Inhalten

Die Einhaltung des AI Act ist ein notwendiger, aber nicht ausreichender Schritt. Organisationen, die einen breiten Blick auf Risiken werfen — einschließlich böswilliger Nutzungen jenseits des Verordnungsbereichs — sind besser vorbereitet, sowohl gegenüber Aufsichtsbehörden als auch gegenüber den realen Bedrohungen, die KI verstärkt.

Häufig gestellte Fragen

Verbietet der AI Act Deepfakes?

Der AI Act verbietet Deepfakes nicht als solche. Artikel 50 schreibt Transparenzpflichten vor: Synthetische Inhalte (Bilder, Audio, Video) müssen maschinenlesbar gekennzeichnet werden. Mensch-Maschine-Interaktionen müssen offengelegt werden. Diese Pflichten gelten aber nur für Anbieter und Betreiber, nicht für Privatpersonen.

Sind KI-gestützte Cyberangriffe vom AI Act erfasst?

Indirekt. Der AI Act schützt Hochrisiko-Systeme vor adversarialen Angriffen (Art. 15 — Cybersicherheit). Der offensive Einsatz von KI für Cyberangriffe wird jedoch durch bestehendes Strafrecht und den Cyber Resilience Act abgedeckt, nicht durch den AI Act selbst.

Warum sind autonome Waffen vom AI Act ausgeschlossen?

Verteidigung und nationale Sicherheit sind Zuständigkeiten der Mitgliedstaaten der EU, nicht der Union. Der AI Act schließt KI-Systeme, die ausschließlich für militärische Zwecke entwickelt oder eingesetzt werden, ausdrücklich aus. Nur Systeme mit doppeltem Verwendungszweck (zivil und militärisch) werden erfasst.

Was ist „vernünftigerweise vorhersehbarer Missbrauch" im AI Act?

Es ist ein zentraler Begriff in Artikel 9 zum Risikomanagement. Der Anbieter muss Risiken identifizieren und mindern, die nicht nur mit dem bestimmungsgemäßen Gebrauch seines Systems verbunden sind, sondern auch mit jedem Missbrauch, den er vernünftigerweise vorhersehen kann. Die Vagheit dieses Begriffs schafft Unsicherheiten bei Auslegung und Durchsetzung.

Schwächt der Digital Omnibus die Abdeckung böswilliger Risiken?

Ja, laut mehrerer Analysen. Der Digital Omnibus, der im November 2025 vorgeschlagen wurde, verzögert bestimmte Pflichten für Hochrisiko-KI-Systeme (bis zu 16 zusätzliche Monate), führt Übergangsfristen für GPAI-Watermarking ein und erweitert die für das Training nutzbaren Daten. Diese Maßnahmen könnten das Auftreten von Desinformations- und Social-Engineering-Systemen verstärken.

Wie integriere ich Risiken böswilliger Nutzung in meine technische Dokumentation?

Abschnitt 5 des Anhangs IV (Risikomanagementsystem) verlangt die Identifikation „bekannter und vernünftigerweise vorhersehbarer" Risiken. Dokumentieren Sie relevante Szenarien böswilliger Nutzung für Ihr System, die ergriffenen Gegenmaßnahmen und die akzeptierten Restrisiken. Plattformen wie AiActo strukturieren diesen Prozess Abschnitt für Abschnitt.

Der AI Act ist ein bedeutender Fortschritt für die KI-Governance, aber seine Abdeckung der Risiken böswilliger Nutzung bleibt unvollständig. Unternehmen können sich nicht darauf beschränken, die Vorgaben der Verordnung abzuhaken: Sie müssen einen breiteren Blick auf Risiken werfen, der das gesamte europäische Regulierungsökosystem und die spezifischen Bedrohungen umfasst, die KI verstärkt. Nur dann wird Konformität zu echtem Schutz.