KI-gestützte Cyberangriffe: Trends in einer sich verändernden Bedrohungslandschaft

CyberStrikeAI ist ein KI-basiertes Exploit-Tool, das mutmaßlich von chinesischen Schadakteuren erstmals im Januar eingesetzt wurde, um fehlkonfigurierte Fortinet-FortiGate-Firewall-Endpunkte zu kompromittieren. Sicherheitsforschende haben identifiziert, dass im Zeitraum eines Monats (11. Januar bis 18. Februar) über 600 FortiGate Geräte in 55 Ländern erfolgreich kompromittiert wurden.

Die Besonderheit: Das Tool fungiert als intelligente Orchestrierungsengine, umfasst über 100 verschiedene Module und ist in der Lage, vollautomatisiert Angriffspläne, Befehlssequenzen und Exploitationsmethoden zu generieren. (GBHackers - Artikel)

Was CyberStrikeAI exemplarisch verdeutlicht, bestätigt der CrowdStrike Global Threat Report 2026: Generative KI hat die Bedrohungslandschaft bereits heute signifikant verändert – nicht nur hinsichtlich Geschwindigkeit und Umfang von Angriffen, sondern auch in ihrer Qualität. Crowdstrike verzeichnet für 2025 einen Anstieg von 89% bei Cyberangriffen durch Schadakteure unter Einsatz von KI. (CrowdStrike Global Threat Report 2026)

1.      Social Engineering

Der erste umfangreichere Einsatz von generativer KI wurde bei Phishing Kampagnen identifiziert. Sprachmodelle erzeugen authentische Phishing-Nachrichten ohne grammatikalische Fehler, angepasst an den Schreibstil des vermeintlichen Absenders, mit korrektem Kontext und glaubwürdigem Tonfall. Insbesondere HR-Abteilungen sind immer wieder im Fokus der Angreifer. Dabei verweisen Schadakteure auf vermeintliche Bewerbungsunterlagen in einem Cloudspeicher (z.B. Dropbox), welche in Realität jedoch Malware sind. Darüber hinaus nutzen Angreifer Deepfake-Audio und -Video, um etwa Führungskräfte zu impersonieren (CEO-Fraud) oder sich in virtuellen Vorstellungsgesprächen als Bewerber auszugeben.

2.      Automatisiertes Scanning für Persistierung und laterales Movement

Angreifer nutzen KI-gestützte Reconnaissance-Tools wie CyberStrikeAI, um Zielinfrastrukturen systematisch zu analysieren und ausnutzbare Schwachstellen mit einer Geschwindigkeit und Präzision zu priorisieren, welche manuellen Ansätzen überlegen ist. KI kann darüber hinaus in sogenannten Second-Stage-Szenarien, also nach einem bereits erfolgreichen initialen Angriff, für Angreifer von großem Nutzen sein. Googles Threat Intelligence Team hat einen Schadakteur identifiziert, welcher bei Angriffen gegen Entwickler lokal installierte LLMs missbraucht, um auf Zielsystemen gezielt nach Credentials, Tokens und ähnlichen Zugangsdaten zu suchen. Auf diese Weise erlangten die Angreifer innerhalb von 72 Stunden Administrator-Zugriff auf AWS-Umgebungen. (Google – Blogbeitrag | The Hacker News – Artikel)

3.      KI-generierte Malware

Generative KI ist mittlerweile ein selbstverständlicher Bestandteil der Softwareentwicklung. Ihre Leistungsfähigkeit hat sich in den vergangenen Monaten rasant verbessert. Das ist auch Angreifern nicht verborgen geblieben. Generative KI senkt die technische Einstiegshürde erheblich: Schadcode, Exploits und polymorphe Malware lassen sich heute ohne tiefgreifende Programmierkenntnisse erstellen. Gleichzeitig beschleunigt KI den Entwicklungszyklus von Malware spürbar, wodurch das Zeitfenster zwischen CVE-Veröffentlichung und aktivem Exploit erkennbar schrumpft. Die Gruppe PUNK SPIDER hat mutmaßlich von Gemini generierte Skripte eingesetzt, um Anmeldedaten aus Veeam Backup & Replication (VBR)-Datenbanken auszulesen, und setzte wahrscheinlich von DeepSeek generierte Skripte ein, um Datenbankdienste zu beenden und forensische Spuren zu beseitigen. (CrowdStrike Global Threat Report 2026)

Wir haben fünf Maßnahmen identifiziert, mit denen IT-Security-Manager ihre Organisation in der sich wandelnden Bedrohungslandschaft besser schützen können.

1.      KI-Bedrohungen in das ISMS integrieren:

Ein KI-gestützter Angriff verändert die Risikoparameter Geschwindigkeit, Skalierung, Erkennbarkeit. Entsprechend müssen generative KI-Szenarien (u.a. Prompt Injection, KI-gestütztes Social Engineering, KI-generierte Malware) im Threat-Modeling berücksichtigt werden und in die Risikobewertung einfließen.

2.      Awareness-Trainings aktualisieren:

Klassische Security-Awareness-Trainings bringen Mitarbeiter bei, Angriffe anhand bestimmter Merkmale zu erkennen: schlechtes Deutsch, komische Absenderadressen, unpersönliche Ansprache. Durch den Einsatz von KI ändern sich diese Muster. "schlechte Sprache" ist kein Erkennungsindiz mehr. Deepfakes, KI-generiertes Phishing und Voice-Fraud müssen ebenfalls in die Trainingsmodule eingebunden werden.

3.      Detection Logik überprüfen und erweitern

Crowdstrike berichtet, dass 82% der identifizierten Angriffe im Jahr 2025 ohne Malware ausgekommen sind. Auf diesen und die oben angesprochenen Trends müssen SIEM- und EDR-Regeln angepasst werden. Das Erkennen bekannten Schadcodes ist nicht ausreichend, vielmehr ist eine verhaltensbasierte Anomalieerkennung notwendig. Das bedeutet, die Systeme müssen auf neue Angriffsmuster mit generativer KI, malware-freie Intrusion und anomale Identity-Nutzung eingestellt und ggf. selbst trainiert werden.

4.      KI-Nutzungsrichtlinie einführen

Shadow AI ist die neue Shadow IT. In den meisten Unternehmen nutzen Mitarbeiter heute bereits dutzende KI-Tools, ohne dass die IT-Sicherheit davon weiß oder die Nutzung geregelt hat. Das erzeugt zwei Risiken: Erstens könnten sensitive Unternehmensdaten in externe KI-Systeme abfließen. Zweitens entstehen neue Angriffsvektoren (z.B. Prompt Injection). Es braucht eine KI-Richtlinie, die regelt welche KI-Tools erlaubt sind, welche Datenklassen eingespeist werden dürfen, wer KI-generierte Outputs für welche Entscheidungen verwenden darf. Die Nutzung von KI-Tools zu verhindern, führt indessen nur zu mehr Shadow AI.

5.      Lageberichterstattung

Die zunehmende Geschwindigkeit mit der Angreifer mithilfe von generativer KI agieren können erhöht die Bedeutung rechtzeitiger Threat Intelligence. Im Rahmen des Cyber Security Competence Centers (CSCC) liefern wir wöchentlich einen Bericht zur aktuellen Bedrohungslage und schaffen einen Rahmen, in dem sich IT Security Manager austauschen können. Bei besonders kritischen Bedrohungslagen informieren wir die Community zudem mit Flash-Berichten.

KI verändert nicht nur die Werkzeuge der Angreifer. Sie verändert die Geschwindigkeit, die Präzision und den Umfang von Cyberangriffen signifikant. Dies hat zur Folge, dass klassische Schutzmaßnahmen nicht mehr ausreichen und grundlegend überarbeitet werden müssen. Sich diesen Risiken bewusst zu sein, ist der erste Schritt. Der zweite besteht darin, die richtigen Maßnahmen abzuleiten und konsequent umzusetzen.

Möchten Sie sich zu diesen Themen austauschen oder den CSCC Threat Intelligence Service unverbindlich testen? Als Probemitglied können Sie kostenlos an der Community teilnehmen. (NDA basiert)

Kontaktieren Sie uns dazu einfach unter: mail@complion.de

oder schreiben Sie mir persönlich: jan.philipsen@complion.de