Thales 2025 Data Threat Report

KI, insbesondere generative KI (GenAI), ist einer der Hauptschwerpunkte bei Technologieinvestitionen und betrieblichen Veränderungen. Die dramatischen technologischen Veränderungen im Zusammenhang mit KI haben viel mit der entscheidenden Abhängigkeit der Technologie von Daten zu tun. Zuverlässige, qualitativ hochwertige Daten sind für das Training, die Inferenz, die Augmentation und die Generierung von Inhalten unerlässlich.

Mit dem Aufkommen der agentenbasierten KI wird die Datenqualität ebenso entscheidend sein, damit die KI-Agenten fundierte Entscheidungen treffen und entsprechende Maßnahmen ergreifen können. Viele der für diese Zwecke verwendeten Daten sind sowohl sensibel als auch unverzichtbar für die Unternehmen, die auf sie angewiesen sind. Das bedeutet, dass der Erfolg der heutigen technologischen Umwälzungen von der Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit wichtiger Datenressourcen abhängt.

Unternehmen aller Größenordnungen machen sich GenAI zu eigen. In diesem Jahr gab ein Drittel der Befragten an, dass sie GenAI in ihr Unternehmen integrieren oder die Technologie bereits ihre Abläufe verändert.

Die Auswirkungen von GenAI können die sich entwickelnden Daten- und Datenschutzbestimmungen weiter beeinflussen und die Bedeutung der Wahrung von Vertraulichkeit, Vertrauenswürdigkeit und Sicherheit unterstreichen. Das sich schnell verändernde GenAI-Ökosystem, das durch neue Infrastrukturen, SaaS-Dienste und zunehmend autonome Agenten gekennzeichnet ist, birgt jedoch auch erhebliche Risiken. Bemerkenswerterweise nannten 69 % der Befragten dieses sich schnell verändernde Ökosystem als das größte Sicherheitsrisiko für die Einführung von GenAI.

Während GenAI den Fokus auf die Datensicherheit verstärkt, erhöhen übereilte Implementierungen das Risiko von Datenschutzverletzungen. Die Schwachstellen in DeepSeek, die kurz nach der Veröffentlichung von V3 gemeldet wurden, sind ein abschreckendes Beispiel für Sicherheitsteams. Da GenAI-Architekturen für die meisten Sicherheitsteams neu sind, ist es von entscheidender Bedeutung, den Bemühungen um Datensicherheit Priorität einzuräumen. Strukturelle und geopolitische Veränderungen im Jahr 2025 werden Unternehmen wahrscheinlich dazu veranlassen, ihre Sicherheitsstrategien zu überdenken. Die Ergebnisse des Data Threat Report legen nahe, dass Unternehmen gut beraten sind, sich auf ihr wertvollstes Gut zu konzentrieren: die Daten, die sie sammeln, verarbeiten, speichern und für Stakeholder und Kunden verwalten.

In diesem Bericht werden verschiedene Datensicherheitsprobleme untersucht und praktische Möglichkeiten zur Risikominderung aufgezeigt. Zu diesen Bedenken gehört die zunehmende Komplexität der Anwendungsarchitekturen, die eine verbesserte Anwendungssicherheit erforderlich macht. Mehr als ein Drittel der Unternehmen (34 %) gab an, mehr als 500 Anwendungsprogrammierschnittstellen (APIs) zu verwenden. Diese Ausbreitung gibt Anlass zur Sorge über Schwachstellen im Code (59 %) und in der Software-Lieferkette (48 %). Während Sicherheitskontrollen nach dem Shift-Links-Prinzip die höchste Priorität für den Schutz von Anwendungen haben, betonten die Befragten auch grundlegende Produktionskontrollen wie dynamische Anwendungstests (DAST) und Web Application Firewalls (WAF).

Zu den weiteren Anwendungssicherheitsproblemen auf der Architekturseite gehört die Verwaltung von Geheimnissen, die bei den DevOps-Sicherheitsproblemen an erster Stelle steht. Allerdings gaben nur 16 % der Befragten an, dass die Verwaltung von Geheimnissen für den Datenschutz wichtig ist, trotz des hohen Risikos, das mit Fehlern bei der Verwaltung von Geheimnissen verbunden ist, die Authentifizierungsdaten wie API-Schlüssel offenlegen können. Dieses Problem wird durch die hohe Zahl der APIs, die verwendet werden, noch verstärkt. Das Verständnis von Daten ist für deren wirksame Sicherung von entscheidender Bedeutung, und die Ergebnisse bei der Datenklassifizierung sind ermutigend: 87 % der Befragten gaben an, dass sie mindestens die Hälfte ihrer Daten klassifizieren können, was einen deutlichen Anstieg gegenüber den Vorjahren darstellt.

Allerdings verwenden fast zwei Drittel (61 %) fünf oder mehr Tools für die Datenermittlung und -klassifizierung, was zu Fehlanpassungen und widersprüchlichen Schutzmaßnahmen führen kann. Eine bessere Abstimmung gibt es bei den Risiken der Post-Quantum-Kryptografie, wobei drei von fünf Befragten Prototypen für neue Chiffren entwickeln. Der Zeitplan für die Einführung ist entscheidend, aber die ersten Anzeichen für diesen Übergang sind vielversprechend. Bemerkenswert ist auch der Fokus der Regulierungsbehörden auf kryptografische Schutzmaßnahmen. Auf die Frage nach Bedenken hinsichtlich der Datensouveränität gaben zwei von fünf Befragten an, dass sie glauben, dass die Verschlüsselung ausreichenden Schutz bieten kann, um die Anforderungen der Souveränität zu erfüllen.

Damit diese Strategie praktikabel ist, müssen auch die Regulierungsbehörden diese Abschwächung akzeptieren; Entwicklungen wie die Data Embassy-Initiative von Singapur könnten in dieser Hinsicht einen Fortschritt bedeuten. Die Ergebnisse des Data Threat Report 2025 zeigen Fortschritte in Schlüsselbereichen der Datensicherheit, aber es bleibt noch viel zu tun, wenn Unternehmen ihre Datensicherheitskontrollen ausbauen. Die Bemühungen müssen intensiviert werden, um den Anstieg der GenAI-Aktivitäten sicher zu bewältigen. Neue und ungewohnte Risiken müssen angegangen werden, und die Werkzeuge und Technologien, um sie zu entschärfen, stehen zur Verfügung, aber sie müssen effektiv und zügig eingesetzt werden.

Das Versprechen von GenAI, Unternehmen zu verändern, ist verlockend, und der daraus resultierende Enthusiasmus hat erhebliche Auswirkungen auf die Datensicherheit und andere Bereiche der Unternehmens-IT. Funktionen wie Berichtserstellung, Kundenservice, Marketing, Vertrieb und Recht können von GenAI profitieren. Beispielsweise können Chatbot-Schnittstellen im Kundenservice Probleme auf intelligente Weise vorwegnehmen oder in großem Umfang lösen, während Marketing-Teams Inhalte dynamisch für jede Kundeninteraktion generieren können.

71 % der deutschen Befragten (73 % weltweit) geben an, dass sie in KI-spezifische Sicherheitstools investieren, entweder durch neue Budgets oder durch Umverteilung bestehender Ressourcen. Diejenigen, die der KI-Sicherheit Priorität einräumen, diversifizieren ihre Ansätze: Mehr als zwei Drittel haben Tools von ihren Cloud-Anbietern erworben, drei von fünf nutzen etablierte Sicherheitsanbieter, und fast die Hälfte wendet sich an Start-ups. Besonders bemerkenswert ist, dass die Sicherheit für GenAI schnell zu einer der wichtigsten Ausgabenprioritäten geworden ist. Sie steht in der Rangliste an zweiter Stelle, gleich hinter der Cloud-Sicherheit. Diese Verschiebung unterstreicht das wachsende Bewusstsein für KI-bedingte Risiken und die Notwendigkeit spezieller Schutzmaßnahmen, um diese abzumildern.

GenAI ermöglicht es Wissensarbeitern, ihre Arbeit in noch nie dagewesenem Ausmaß zu erweitern, was einen potenziellen Produktivitätssprung bedeutet. Technologieführer müssen Parallelen zwischen GenAI und anderen großen technologischen Veränderungen ziehen. Da Anwendungen zunehmend in der Cloud verteilt werden, mit Präsentations-, Logik- und Datenebenen, die über mehrere Cloud-Regionen verteilt sind oder von verschiedenen APIs oder SaaS-Angeboten von Drittanbietern bezogen werden, müssen Unternehmen auch die Schutzmaßnahmen berücksichtigen, die diese verschiedenen Systeme schützen.

Risiken müssen über verschiedene Modellebenen und Architekturen hinweg berücksichtigt werden. Wenn diese Komplexität nicht angemessen berücksichtigt wird, kann dies zu einer unklaren Sicherheits- oder Compliance-Durchsetzung führen. So kann es beispielsweise schwierig sein, einen Antrag auf Zugang zu Daten zu überprüfen, wenn ein öffentliches großes Sprachmodell (LLM) bereits die personenbezogenen Daten des Benutzers enthält. Daher ist die Schulung der Datenherkunft ein wichtiger Bestandteil der Datensicherheit geworden.

Ungeachtet dieser Probleme stehen Unternehmen unter enormem Druck, GenAI-Funktionen bereitzustellen. Das Tempo der Einführung hat sich in nur einem Jahr erheblich verschoben: Ein Drittel der Unternehmen gibt an, dass sie sich in der „Integrations-“ oder „Transformationsphase“ ihrer GenAI-Reise befinden.

Der diesjährige Data Threat Report vergleicht die Sicherheitspraktiken von Unternehmen in der Integrations- und Transformationsphase mit denen in der Explorations-, Experimentier- und Aktivierungsphase. Interessanterweise zeigen die Unternehmen in den letztgenannten Phasen kein erkennbar anderes Sicherheitsverhalten als die Unternehmen in den früheren Phasen. Statistische Tests über das Auftreten von Sicherheitsverletzungen, Compliance-Fehlern, MFA-Einführungsraten, Datenklassifizierungsraten und Datenverschlüsselungsraten zeigen kaum Anzeichen für Veränderungen in den Sicherheitsvorstellungen oder -praktiken derjenigen, die sich in den letzten Phasen der KI-Reise befinden.

Die sich schnell entwickelnde KI-Landschaft zwingt Unternehmen dazu, sofort zu handeln, manchmal auf Kosten der Vorsicht. Sie versuchen, der Übernahmekurve voraus zu sein“, sagt Eric Hanselman, Principal Analyst bei S&P Global Market Intelligence’s 451 Research Division. Viele Unternehmen nehmen GenAI schneller an, als sie ihre Anwendungsarchitekturen vollständig verstehen können. Dies wird durch die schnelle Verbreitung von SaaS-Tools, die GenAI-Funktionen enthalten, noch verschärft, was die Komplexität und das Risiko erhöht.“

AI, and generative AI (GenAI) in particular, has been a major focus of technology investment and operational change. Dramatic technological changes related to AI have much to do with the technology’s critical dependence on data. Reliable, high-quality data is essential for training, inference, augmentation and content generation.

With the emergence of agentic AI, data quality will be equally critical for enabling AI agents to make sound decisions and take relevant actions. Much of the data used for these purposes is both sensitive and indispensable to the organizations that rely on it. This means that the success of today’s technological disruption hinges on assuring the confidentiality, integrity and availability of vital data resources.

Enterprises of all sizes are embracing GenAI. This year, a third of respondents said they are integrating GenAI into their organizations or the technology is already transforming their operations.

GenAI’s impact may further influence evolving data and privacy regulations, emphasizing the importance of maintaining confidentiality, trustworthiness and safety. However, the rapidly changing GenAI ecosystem, characterized by new infrastructures, SaaS services and increasingly autonomous agents, poses significant risks. Notably, 69% of respondents cited this fast-changing ecosystem as the most concerning security risk for GenAI adoption.

While GenAI is intensifying the focus on data security, hasty implementations raise the risk of data breaches. The vulnerabilities in DeepSeek reported shortly after its V3 release serve as a cautionary tale for security teams. Because GenAI architectures are new for most security teams, prioritizing data security efforts is crucial. Structural and geopolitical changes in 2025 will likely prompt enterprises to rethink their security strategies. The Data Threat Report results suggest that organizations would be wise to focus on their most valuable asset: the data they collect, process, store and steward for stakeholders and customers.

This report examines various data security concerns and identifies practical ways to mitigate risks. Among these concerns is the growing complexity of application architectures, which necessitates improved application security. More than a third of businesses (34%) reported having over 500 application programming interfaces (APIs) in use. This proliferation raises broad concerns about vulnerabilities in code (59%) and in the software supply chain (48%). While shift-left security controls are the top-cited priority for application protections, respondents also emphasized foundational production controls such as dynamic application security testing (DAST) and web application firewall (WAF).

Other application security concerns on the architecture side include secrets management, which leads among DevOps security concerns. However, only 16% identified secrets management as important for data protection, despite the high risk associated with secrets management failures, which can expose authentication data such as API keys. This concern is amplified given the high reported number of APIs in use. Understanding data is critical to securing it effectively, and there are encouraging results in data classification: 87% reported that they can classify at least half of their data, a notable increase from previous years.

However, nearly two-thirds (61%) use five or more tools for data discovery and classification, which can lead to misalignment and conflicting protection policies. There is better alignment regarding post-quantum cryptography risks, with three out of five respondents prototyping new ciphers. Deployment timelines are crucial, but early signs of this transition are promising. Regulatory focus on cryptographic protections is also notable. When asked about data sovereignty concerns, two in five said they believe encryption could provide sufficient protections to meet sovereignty mandates.

For this strategy to be viable, regulators will also need to accept this mitigation; developments such as Singapore’s Data Embassy initiative could signal progress in this regard. The 2025 Data Threat Report results show progress in key areas of data security, but much work remains as organizations mature their data security controls. Efforts must intensify to securely empower the surge in GenAI activity. New and unfamiliar risks must be addressed, and the tools and technology to mitigate them are available, but they must be used effectively and expeditiously.

GenAI’s promise to transform enterprises is enticing, and the resulting enthusiasm is significantly impacting data security along with other areas of enterprise IT. Functions such as report writing, customer service, marketing, sales and legal all stand to benefit from GenAI. For example, chatbot interfaces in customer service can intelligently preempt or resolve issues at scale, while marketing teams may generate content dynamically for each customer interaction.

71% of German respondents (73% globally) say they are investing in AI-specific security tools, either through new budgets or by reallocating existing resources. Those prioritising AI security are diversifying their approaches: more than two-thirds have purchased tools from their cloud providers, three in five are using established security vendors, and almost half are turning to start-ups. Most notably, security has quickly become a top spending priority for GenAI. It takes second place in the rankings, just behind cloud security. This shift underscores the growing awareness of AI-related risks and the need for specialised protection measures to mitigate them.

GenAI enables knowledge workers to augment their work at unprecedented scale, marking a potential leap in productivity. Technology leaders must draw parallels between GenAI and other major technological shifts. As applications become more distributed in the cloud, with presentation, logic and data tiers spread across multiple cloud regions or sourced from various third-party APIs or SaaS offerings, enterprises must also consider the protections that safeguard those diverse systems.

Risks must be translated across various model tiers and architectures. If not properly addressed, this complexity can result in ambiguous security or compliance enforcement. For example, verifying a data subject access request may be difficult if a public large language model (LLM) already includes that user’s personally identifiable information. Thus, training data provenance has become an important part of data security.

These issues notwithstanding, organizations are under immense pressure to deliver GenAI capabilities. The pace of adoption has shifted significantly in just one year, with one-third of enterprises now saying they are in the “integration” or “transformation” phases of their GenAI journey.

This year’s Data Threat Report compares the security practices of organizations in the integration and transformation phases with those in the exploration, experimentation and enablement phases. Interestingly, those in the latter phases do not exhibit discernably different security behaviors than those in earlier phases. Statistical testing across breach occurrence, compliance failures, MFA adoption rates, data classification rates and data encryption rates reveals little evidence of changes in security beliefs or practices among those in latter phases of the AI journey.

‘The rapidly evolving GenAI landscape is forcing companies to act immediately, sometimes at the expense of caution. They are trying to get ahead of the adoption curve,” says Eric Hanselman, Principal Analyst at S&P Global Market Intelligence’s 451 Research division. ‘Many organisations are adopting GenAI faster than they can fully understand their application architectures. This is exacerbated by the rapid proliferation of SaaS tools that incorporate GenAI capabilities, both of which increase complexity and risk.’