logo lineofbiz

KI in der Cybersecurity:Cyber-Risiken gehören neu überdacht

23. Januar 2026
cyber security LoB PIxa peteLinforth
Quelle: Pete Linforth, Pixabay

Sowohl auf Angreifer-, als auch auf Verteidigerseite steigt der Einsatz der Künstlichen Intelligenz. Vor allem Large Language Models (LLMs) werden von Entwicklerinnen und Entwicklern etwa zum „Wipe Coding“, also für das Erstellen von Skripten und Codes, genutzt.

Cyber-Kriminelle nutzen KI gleichermaßen für „Wipe Hacking“. Auch wenn sich Angreifer mithilfe von LLMs (noch) keine Exploits erstellen lassen können, so können sie doch durch die intelligenten Programme in Windeseile Angriffsflächen identifizieren. Ebenso unterstützt sie KI beim Kompromittieren von Systemen und dem anschließenden Erweitern ihres Zugriffs. Das erleichtert es den Hackern, Malware einzuschleusen, Daten abzugreifen und diese zu verschlüsseln.

„Spear-Phishing“, „Big Whaling“ und „Cold Phishing“

Besonders deutlich macht sich der maliziöse LLM-Einsatz beim Phishing bemerkbar. Angreifer, die ein Mail-Konto übernommen haben, nutzen bestehende E-Mail-Threads, um sich in Konversationen einzuschalten, Antworten mit passendem Kontext und stimmigem Tonfall zu generieren und so die Adressaten erfolgreich zu täuschen.

Dieses als Man-in-the-Middle-Angriff bezeichnete Vorgehen, ist besonders perfide, da es von den Opfern kaum mehr als Cyber-Attacke identifiziert werden kann. Und so ist die Wahrscheinlichkeit hoch, dass sie auf eingebettete Links zu Phishing-Seiten in den authentisch wirkenden Nachrichten klicken, über die Zugangsdaten und MFA-Tokens abgegriffen werden.

Gleichzeitig gilt: Solange einfache Standard-Phishing-Mails mit Nachrichten wie „Ihr Paket verspätet sich“ oder „Ihr Konto wurde gesperrt“ funktionieren, werden auch diese weiterhin inflationär eingesetzt. Solche Cyber-Angriffe ohne vorherigen Kontakt werden „Cold Phishing“ genannt.

Auch „Spear-Phishing“, also der direkte, gut recherchierte Angriff auf Individuen und „Big Whaling“, dedizierte Attacken auf Führungskräfte, werden effizienter: Öffentliche Profile auf LinkedIn und ähnlichen Seiten liefern detaillierte Informationen zu Position, Verantwortungsbereich und Historie sowie Vorlieben einer Zielperson.

Diese Daten werden automatisiert in KI-gestützte Workflows eingebettet und E-Mails erzeugt, die kaum mehr von echter Kommunikation zu unterscheiden sind. KI kommt folglich insbesondere dann zum Einsatz, wenn es um besonders „wertvolle“ Angriffsziele geht. Unternehmen sollten sich dessen stets bewusst sein und weiterhin auf eine Sicherheitskultur mit entsprechenden Schulungsmaßnahmen in der Organisation setzen – für alle Mitarbeitenden, auch und besonders für die der Führungsebene.

Bei der Auswertung gestohlener Daten spielt KI ebenfalls eine immer größere Rolle. Hohe Datenmengen werden in Textform gebracht und mithilfe von LLMs nach sensiblen Informationen und relevanten Dokumenten durchsucht. So können Angreifer gezielt geeignete Druckmittel finden und die erwartbare Zahlungsbereitschaft auf Basis von Unternehmensdaten, Informationen zu Branche, Mitarbeiterzahl und Finanzberichten einschätzen.

KI-Einsatz in der Verteidigung

Sicherheitsteams nutzen KI insbesondere dort, wo umfangreiche und vielfältige Daten aus Kundenumgebungen vorliegen. Da KI-Modelle nur so leistungsfähig sind wie die Daten, mit denen sie trainiert werden, entsteht ein echter Vorteil, wenn reale Incident-Daten vorliegen: Mit ihnen lassen sich Modelle entwickeln, die typische Angriffsmuster, Anomalien und Risikoindikatoren deutlich präziser erkennen.

Durch die Analyse großer Mengen historischer Alerts, Log-Daten und Incidents können KI-gestützte Detection-Modelle Verhaltensmuster identifizieren, die auf kompromittierten Identitäten, unberechtigte laterale Bewegung oder die Vorbereitung von Ransomware-Angriffen hindeuten. Gleichzeitig unterstützt KI bei der Anreicherung von Events mit Kontext, Priorisierung von Alerts sowie bei der automatisierten Klassifizierung von verdächtigen Aktivitäten. Das führt zu einer fundierten Entscheidungsfindung und einer schnelleren Reaktionszeit.

Identität im Fokus: Bedeutung von Browser-Sicherheit steigt

Mit dem fortbestehenden Wandel hin zu Cloud- und SaaS-Anwendungen rückt die Identität stärker in den Mittelpunkt von Cyber-Angriffen. Entsprechend verschiebst sich der Fokus von angegriffenen Endgeräten zu attackierten Nutzerkonten.

Denn der Angreifer hat Zugriff auf alle SaaS-Lösungen des jeweiligen Users, sobald eine Identität kompromittiert wurde. Daher wird der Schutz der Browser-Umgebung, über die die SaaS-Anwendungen laufen, immer wichtiger.

Reverse Engineering: Security-Anwendungen im Fadenkreuz

Eine steigende Zahl kritischer Schwachstellen in Firewalls und anderen Security-Anwendungen zeigt: Angreifer und staatlich motivierte Bedrohungsakteure betreiben umfassendes „Reverse Engineering“, also die Analyse von Systemen und Anwendungen, um Schwachstellen zu ermitteln. Speziell Lösungen, die weit verbreitet im Einsatz sind, geraten ins Fadenkreuz, da erfolgreiche Exploits dort eine entsprechend hohe Wirkung entfalten.

Besonders beunruhigend: In einigen Fällen behalten nationalstaatliche Bedrohungsakteure derart entdeckte Schwachstellen über einen längeren Zeitraum zurück, um sie selbst etwa für nachrichtendienstliche Zwecke nutzen zu können – was die Verfügbarkeit von Patches verzögert und das Risiko für Unternehmen erhöht.

Geopolitische Lage untergräbt die internationale Zusammenarbeit

Hinzu kommt, dass das sich schnell verändernde geopolitische Umfeld die für eine wirksame Cybersicherheit erforderliche globale Zusammenarbeit beeinträchtigen könnte. Länder versuchen, ihre technologische und sicherheitspolitische Widerstandsfähigkeit gegenüber anderen Nationen zu stärken.

Infolgedessen werden sicherheitsrelevante Informationen zurückgehalten und Kenntnisse über Schwachstellen nicht international weitergegeben, was zu erheblichen Herausforderungen für die globalen Cyber-Abwehrbemühungen führen könnte.

Mittelstand weiterhin priorisiertes Angriffsziel

Und auch auf nationaler Ebene spitzt sich die Cyber-Bedrohungslage weiter zu, was der aktuelle BSI-Jahresbericht zur IT-Sicherheit in Deutschland bestätigt. Besonders mittelständische Unternehmen sind attraktive Angriffsziele, denn sie sind groß genug für lohnende Summen, aber oftmals immer noch unzureichend geschützt. Dies bestätigt auch der Arctic Wolf Security Operations 2025 Report, der unter anderem das produzierende Gewerbe als eines der Hauptziele für Cyber-Angriffe nennt.

KI kann Sicherheitsteams bei der Cyber-Abwehr unterstützen, dennoch bleiben die Bewertung der Cyber-Vorfälle durch die Sicherheitsverantwortlichen und eine umfassende Cyber-Hygiene ein Muss. Offene Management-Interfaces, veraltete VPNs, Standard-Passwörter und fehlende Multi-Faktor-Authentifizierung machen es den Cyber-Kriminellen unnötig leicht. Denn erfolgreiche Cyber-Angriffe erfordern keinerlei ausgefeilte Technologie, wenn die Tür weit offensteht.

Die Erarbeitung einer umfassenden Cyber-Sicherheits-Strategie und die konsequente Durchführung entsprechender Aktivitäten ist deshalb unabdingbar. Detection-and-Response-Maßnahmen, Endpoint Security und umfangreiche Pläne für Incident Response sind neben weiteren Schritten entscheidend, um die Wahrscheinlichkeit erfolgreicher Cyber-Angriffe auf ein Minimum zu reduzieren. Organisationen, die derlei Maßnahmen aufgrund fehlender Kenntnisse und Ressourcen nicht selbst durchführen können, verbessern die Cyber-Sicherheit durch die Zusammenarbeit mit einem geeigneten Security-Operations-Partner.(rhh)

Arctic Wolf

Lesen Sie auch

environment Pixa LoB Piro

Vorstände unter Zugzwang

electrical LoB pixa akela

Neue Qualität der Schatten-KI

artificial intelligence LoB Pixa geralt

Echter Schutz, echtes Risiko, echte Nachfrage