KI-Panne bei EU-Behörde: Enisa erfindet Quellen für Cybersicherheitsberichte

Wer schützt Europa vor Cyberbedrohungen, wenn die zuständige Behörde ihre eigenen Berichte nicht kontrolliert? Diese Frage drängt sich auf, seit Forscher der Westfälischen Hochschule einen peinlichen Fund veröffentlichten.

Ein Klick hätte genügt

Professor Christian Dietrich und sein Team lasen zwei Enisa-Publikationen aus dem Herbst 2025. Etwas störte sie. Argumentationen wirkten brüchig, Formulierungen seltsam. Der simple Test: Quellenlinks anklicken. Das Ergebnis war verheerend. In einem Dokument führten laut Spiegel 26 von 492 Fußnoten zu Seiten, die nie existiert haben.

Sprachmodelle hinterlassen Fingerabdrücke

Kaputte Links kommen vor. Webseiten verschwinden, Strukturen ändern sich. Doch die Fehler in den Enisa-Berichten folgten einem Muster. Eine angebliche Microsoft-Quelle zur Hackergruppe APT29 enthielt exakt diese Bezeichnung in der URL. Problem: Microsoft verwendet intern den Namen Midnight Blizzard. Solche Widersprüche entstehen, wenn KI-Systeme Referenzen erfinden statt recherchieren.

Behörde bestätigt, relativiert, duckt sich weg

Enisa räumte die Mängel ein. Man habe KI lediglich für kleinere redaktionelle Anpassungen genutzt. Menschliches Versagen sei schuld. Die Agentur verfügt über ein Jahresbudget von 27 Millionen Euro.

Vertrauen auf dem Spiel

Der Chaos Computer Club bezeichnete den Vorgang als blamabel. Enisa gilt als Europas zentrale Anlaufstelle für Cybersicherheitsstandards und Richtlinien. Wer schon bei oberflächlichen Bedrohungsanalysen derart nachlässig arbeitet, riskiere die eigene Glaubwürdigkeit. Für eine Institution mit diesem Auftrag wiegt das schwer.