KI vs. Cyber-Abwehr: Wenn Angreifer schneller skalieren als die Verteidiger 

Das Aufkommen der generativen KI hat nicht nur die Erstellung von Inhalten, die Softwareentwicklung und die Kundenbindung verändert, sondern auch die Dynamik der KI-Sicherheitsrisiken unwiderruflich verändert. In den Vorstandsetagen in ganz Europa und darüber hinaus stellen die Verantwortlichen für Sicherheit und Technologie eine einfache, aber dringende Frage: Haben wir noch die Kontrolle? Die Antwort lautet zunehmend: Nein.

Im Jahr 2024 genehmigte ein Finanzangestellter eines multinationalen Unternehmens eine Zahlung in Höhe von 25 Millionen Dollar, nachdem er einen scheinbaren Videoanruf von seinem CEO erhalten hatte. Die Stimme, das Gesicht und der Kontext schienen authentisch zu sein, aber das war es nicht. Es war ein Deepfake: Eine synthetische, von einer künstlichen Intelligenz erzeugte Imitation, die von der Realität nicht zu unterscheiden ist. Dieser Vorfall war kein Einzelfall und steht für die Beschleunigung eines breiteren Trends: KI-gestützte Cyberkriminalität nimmt schneller zu, als herkömmliche Verteidigungssysteme reagieren können. 

KI ist nicht nur ein weiterer Angriffsvektor. Sie ist ein Kraftmultiplikator, der die Eintrittsbarriere für Bedrohungsakteure senkt und die Raffinesse, den Umfang und die Erfolgsquote bösartiger Kampagnen erhöht. Als Reaktion darauf müssen sich die Sicherheitsstrategien exponentiell verändern. 

Generative KI in den Händen von Angreifern 

Während KI ein enormes Potenzial für Innovation und Effizienz birgt, wurde sie von böswilligen Akteuren ebenso schnell übernommen. Allein in den letzten zwei Jahren hat IBM X-Force einen weltweiten Anstieg des Phishing-Volumens um 1000 % verzeichnet, wobei ein Großteil dieses Wachstums auf KI-generierte Inhalte zurückzuführen ist. Angreifer brauchen keine Sprachkenntnisse mehr, keine Social-Engineering-Expertise und nicht einmal Zugang zu teuren Malware-Entwicklungskits. Ein einziges generatives Modell kann nun in Sekundenschnelle Tausende von maßgeschneiderten Phishing-Nachrichten zusammenstellen, die auch die interne Unternehmenssprache enthalten. 

In vielen Fällen sind diese Nachrichten nicht nur sprachlich einwandfrei, sondern auch kontextbezogen intelligent. Sie ahmen den Tonfall von Führungskräften nach, verweisen auf kürzlich stattgefundene Besprechungen und richten sich an Personen auf der Grundlage ihrer Rolle, Region oder Zugangsstufe. Das Ergebnis: eine drastische Steigerung der Erfolgsquoten und ein deutlicher Rückgang der Benutzererkennung.  

Doch Phishing ist nur der Anfang. Technologien zum Klonen von Stimmen werden jetzt eingesetzt, um synthetische Audio-Imitationen von Führungskräften zu erstellen. Deepfake-Videos werden in Echtzeit eingesetzt, um betrügerische Transaktionen zu validieren oder Entscheidungen auf Vorstandsebene zu beeinflussen. KI-generierte Malware wird in Minutenschnelle geschrieben, getestet und erneut eingesetzt, wobei der Code so variiert wird, dass er sich einer signaturbasierten Erkennung entzieht. Cyberkriminalität hat sich, kurz gesagt, industrialisiert. 

AI-Verstärkung 

Im Mittelpunkt dieses Wandels steht das Konzept der "KI-Verstärkung" - der sich verstärkende Effekt der Anwendung künstlicher Intelligenz auf Cyber-Bedrohungsaktivitäten und die Verstärkung von KI-Sicherheitsrisiken. Was früher ein Team von Fachleuten wochenlang vorbereiten musste, kann jetzt von einem einzigen Akteur mit ein paar Anweisungen und einem Standardmodell durchgeführt werden. Aufgaben wie die Codeverschleierung, das Scannen von Schwachstellen und die Erstellung von Nutzerprofilen werden in einem bisher nicht gekannten Ausmaß automatisiert.

Was die KI-Verstärkung besonders gefährlich macht, ist ihre Anpassungsfähigkeit. Im Gegensatz zu skriptgesteuerten Angriffen können sich KI-generierte Bedrohungen während der Ausführung weiterentwickeln, wodurch sich die Landschaft der KI-Sicherheitsrisiken weiter vergrößert. Eine KI-basierte Phishing-Kampagne kann sich beispielsweise auf der Grundlage von Benutzerinteraktionsmustern kontinuierlich verbessern. Einige Malware passt ihre Aktionen an das infizierte Gerät an und überwacht die Systembedingungen, installierte Sicherheitstools oder das Benutzerverhalten, um zu entscheiden, wann und wie sie ausgeführt werden soll. Sogar gefälschte Stimmen können den Tonfall während eines Gesprächs ändern, um Stress oder Dringlichkeit zu imitieren.

Warum die Verteidigung hinterherhinkt 

Trotz des wachsenden Bewusstseins sind viele Unternehmen nach wie vor schlecht gerüstet, um dieser Entwicklung zu begegnen. Hierfür gibt es vier Gründe: 

• Erstens sind die meisten Erkennungssysteme nicht darauf ausgelegt, KI-generierte Bedrohungen zu identifizieren. Signaturbasierte Tools sind zwar immer noch nützlich, können aber polymorphe Malware oder synthetisch erstellte Phishing-Nachrichten, die von bekannten Vorlagen abweichen, nicht erkennen. Selbst fortschrittliche Verhaltensanalysen haben Schwierigkeiten, Deepfakes zu erkennen, die über legitime Kooperationsplattformen verbreitet werden. 

• Zweitens sind die Sicherheitsoperationszentren (SOC) überfordert. Die Menge der Warnmeldungen, von denen viele falsch positiv sind, raubt den Analysten wertvolle Zeit. Wenn echte Bedrohungen auftauchen - vor allem neuartige oder seltene -, werden sie oft unterdrückt. KI kann zwar dazu beitragen, diese Belastung zu verringern, aber nur eine Minderheit der SOCs integriert derzeit KI-gestützte Analysen in großem Umfang. 

• Drittens: Die Talentlücke wächst. Unternehmen sind mit einem anhaltenden Mangel an Cybersicherheitspersonal konfrontiert, wobei KI-spezifisches Fachwissen besonders knapp ist. Jüngsten Daten zufolge geben mehr als 50 % der CISOs an, dass ihren Teams die Fähigkeiten fehlen, um KI-gestützte Bedrohungen zu erkennen oder zu entschärfen. Darüber hinaus wird die Integration der neueren Generation in die Belegschaft die Bedrohung durch von Menschen verursachte Risiken erhöhen. So gaben beispielsweise unter den Arbeitnehmern in den USA nur 31 % der Generation Z an, dass sie sich sicher fühlen, Phishing-Versuche zu erkennen, während 72 % zugaben, bei der Arbeit mindestens einen Link geöffnet zu haben, der ihnen verdächtig erschien - mehr als jede andere ältere Generation. 

• Schließlich spielt auch die strukturelle Trägheit eine Rolle. Bei Sicherheitsinvestitionen wird häufig der Einhaltung von Vorschriften Vorrang vor der Anpassungsfähigkeit an Bedrohungen eingeräumt. Rahmenwerke werden jährlich geprüft, während Angreifer täglich neue Wege beschreiten. 

Das Ergebnis ist ein strategischer Nachteil. Während sich die Unternehmen schrittweise anpassen, entwickeln sich die Angreifer ständig weiter. 

Drei Bedrohungsszenarien, mit denen Unternehmen heute konfrontiert sind 

1. KI-gesteuertes Phishing in großem Maßstab 

In verschiedenen Branchen haben sich Phishing-Kampagnen von plumpen, generischen E-Mails zu präzisionsgefertigten Ködern gewandelt. KI-Modelle, die auf interne Daten - aus vergangenen Sicherheitsverletzungen, Pressemitteilungen und Biografien von Führungskräften - trainiert wurden, erstellen Nachrichten, die sowohl technische Filter als auch menschliche Skepsis umgehen. Bei vielen Vorfällen handelten die Mitarbeiter nicht aus Unachtsamkeit, sondern weil die Nachrichten einfach zu überzeugend waren. 

• E-Mails sind in Sprache und Formatierung perfekt an das Unternehmen angepasst. 

• Die Betreffzeilen und der Zeitpunkt sind auf interne Ereignisse zugeschnitten. 

• Die Personalisierung erstreckt sich nun nicht mehr nur auf Namen, sondern auch auf Funktionen und den Verlauf von Treffen. 

2. Deepfake-gestützter Betrug 

Imitationsangriffe mit Deepfakes kommen immer häufiger vor. Bei den Zielpersonen handelt es sich in der Regel um Fachleute aus dem Finanz- oder Personalwesen, die auf ein vermeintliches Live-Video oder eine Voicemail einer Führungskraft hin aufgefordert werden, dringend zu handeln. Der psychologische Druck, kombiniert mit visuellen oder auditiven Hinweisen, führt oft dazu, dass sie sich fügen. Der Erfolg dieser Angriffe ist nicht auf technologische Brillanz zurückzuführen, sondern auf das Vertrauen, das die Benutzer in vertraute Formate wie Videoanrufe, Sprachnotizen oder interne Kanäle setzen. 

• Gefälschte Echtzeit-Anrufe zielen zunehmend auf mobile Messaging-Apps ab. 
• Audio-Fälschungen werden verwendet, um Stimmverifikationssysteme zu umgehen. 
• Angreifer verbinden Deepfakes oft mit E-Mail- oder Chat-Kontext, um Legitimität herzustellen. 

Eine ähnliche Bedrohung besteht in der Nutzung von KI zur Erstellung vollständig synthetischer digitaler Persönlichkeiten mit gefälschten E-Mail-Verläufen, LinkedIn-Profilen und sogar Stimmabdrücken. Diese werden verwendet, um Organisationen zu infiltrieren, auf eingeschränkte Systeme zuzugreifen oder sich im Laufe der Zeit Glaubwürdigkeit in Lieferketten-Ökosystemen zu verschaffen. Diese Bedrohung ist besonders für Unternehmen mit verteiltem Onboarding, Fernzugriffsrichtlinien oder Lieferkettenportalen von Drittanbietern relevant. 

• Bedrohungsakteure bauen "Geistermitarbeiter" auf, die sich in Lieferantenportalen anmelden oder Zugang beantragen. 
• Synthetische Identitäten wurden entdeckt, die über Beschaffungsteams B2B-Betrügereien initiieren. 
• KI-generierte Bilder und Lebensläufe werden verwendet, um sich auf entfernte Stellen in sensiblen Bereichen zu bewerben. 

3. Generative Malware und ausweichende Nutzlasten 

KI-generierte Malware wird bereits in freier Wildbahn beobachtet. Diese Nutzdaten werden nicht nur schnell erstellt, sondern sind auch darauf ausgelegt, zu mutieren. Einige können sich selbst mit Sicherheitstools testen und ihre Signaturen in Echtzeit anpassen. Andere verfügen über eine eingebaute Logik, die erkennt, ob sie in einer Sandbox ausgeführt werden, und die Ausführung verzögert, bis die Bedingungen "sicher" sind. Für herkömmliche Antiviren- oder EDR-Tools stellen solche Bedrohungen eine große Herausforderung dar. 

• Die Malware-Verschleierung wird jetzt dynamisch generiert und ständig aktualisiert. 
• Einige Stämme nutzen die künstliche Intelligenz, um nur in überwachten Umgebungen selektiv nicht entdeckt zu werden.
• Offensive KI-Tools wie WormGPT senken die Hürde für das Schreiben von Umgehungscode. 

Wie Unternehmen auf KI-Sicherheitsrisiken reagieren können 

Die Bewältigung von KI-Problemen wie diesen erfordert eine völlig neue Denkweise. Es geht nicht mehr nur darum, Bedrohungen einzudämmen, sondern proaktiv zu handeln und sie zu antizipieren. Bedenken Sie: 

• Moderne Bedrohungserkennung mit eingebetteter KI: Sicherheitsplattformen, die maschinelles Lernen und Verhaltensanalysen nutzen, können subtile Anomalien erkennen, z. B. wenn sich eine Führungskraft zu einer ungewöhnlichen Uhrzeit anmeldet oder ein Gerät unerwartete Datenmengen hochlädt. Diese Tools sind kein Allheilmittel, aber sie sind eine notwendige Grundlage für einen schnellen und umfassenden Betrieb. In Zukunft werden KI-Agenten und Menschen eng zusammenarbeiten, um das Spektrum künftiger Angriffe zu unterstützen. 

• Widerstandsfähigkeit durch Bewusstsein: Menschliche Nutzer bleiben sowohl eine Schwachstelle als auch eine Stärke. Aktualisierte Sensibilisierungsprogramme müssen nun Schulungen zu synthetischen Medien, Deepfake-Erkennung und KI-gestütztem Social Engineering umfassen. Ziel ist es nicht, Paranoia zu schüren, sondern kritisches Denken: Vertraue, aber überprüfe, besonders wenn die Anfrage von einer bekannten Stimme oder einem bekannten Gesicht kommt. 

• Null Vertrauen als Standard: Zero-Trust-Frameworks, über die lange diskutiert wurde, sind jetzt unverzichtbar. Die kontinuierliche Überprüfung von Benutzern, Geräten und Datenströmen verhindert, dass sich Angreifer seitlich bewegen können, sobald sie sich innerhalb des Perimeters befinden. Multi-Faktor-Authentifizierung (MFA), Zugangskontrolle und Mikrosegmentierung sollten nicht länger optional sein. 

• Integrierte Bedrohungsdaten: Um die Methoden der Angreifer zu verstehen, bedarf es mehr als interner Telemetrie. Die Integration von Echtzeit-Bedrohungsdaten - insbesondere derjenigen, die KI-gestützte Tools und Dark-Web-Aktivitäten aufspüren - gibt Verteidigern den Kontext, um zu handeln, bevor Vorfälle eskalieren. Auch die branchenübergreifende Zusammenarbeit wird eine entscheidende Rolle spielen. 

Wie die Zukunft in der Praxis aussehen könnte, zeigte sich kürzlich, als Googles KI-gesteuertes "Big Sleep"-System die Ausnutzung einer kritischen SQLite-Schwachstelle verhinderte, bevor Bedrohungsakteure handeln konnten. Diese Technologie ist zwar noch nicht öffentlich verfügbar, aber sie veranschaulicht die nächste Evolution der Cyberabwehr - KI-Systeme, die in der Lage sind, Bedrohungen selbstständig zu erkennen und zu neutralisieren, oft bevor ein menschliches Eingreifen überhaupt möglich ist. Solche Entwicklungen weisen auf eine Zukunft hin, in der proaktive, sich selbst verteidigende Architekturen zum Standard werden und sich die Cyberabwehr von einer reaktiven Reaktion zu einer intelligenten Antizipation wandelt. 

Das Schließen der Lücke beginnt jetzt 

Das Wettrüsten im Bereich der Cybersicherheit ist in eine neue Phase eingetreten. KI hat das Kräfteverhältnis zugunsten der Angreifer verschoben und eine neue Ära der KI-Sicherheitsrisiken eingeleitet, aber diese Verschiebung ist nicht von Dauer. Unternehmen, die jetzt handeln, indem sie moderne Erkennungsmethoden einsetzen, das Bewusstsein ihrer Mitarbeiter schärfen und strategische Partner einbinden, können die Initiative zurückgewinnen.

Das Zeitfenster für die Anpassung ist klein. Aber die Gelegenheit ist klar. 

Wir bei Getronics arbeiten bereits mit Unternehmen aus den Bereichen Finanzen, Gesundheitswesen, Fertigung und Behörden zusammen, um KI-fähige Abwehrsysteme zu entwickeln. Wir laden Sie ein, sich ihnen anzuschließen. 

Setzen Sie sich mit uns in Verbindung oder laden Sie unser Whitepaper für Führungskräfte herunter, um zu erfahren, wie Ihr Unternehmen Verteidigung in einen Vorteil verwandeln kann. 

Lassen Sie uns der Automatisierung mit Automatisierung begegnen und gemeinsam gewinnen.