bluemel.tech Logo
← zurück zur Übersicht

IT-Sicherheit4 min read

KI und Cybersicherheit: Warum KI-gesteuerte Angriffe nicht unser größtes Problem sind

Nicht der KI-gesteuerte Angriff ist das Hauptrisiko. Das eigentliche Problem ist die gesunkene Einstiegsschwelle für Angreifer, kombiniert mit verkürzten Reaktionszeiten nach Patches.

Wenn man über KI und Cybersicherheit spricht, denken viele zuerst an KI-gesteuerte Angriffe oder an Modelle wie Claude Mythos, die Schwachstellen finden, die Jahrzehnte unbekannt waren - kurzum an (teil-)autonome Programme, die Systeme selbstständig kompromittieren. Das ist ein reales Thema. Es ist aber nicht das dringlichste.

Das eigentliche Problem ist subtiler: KI hat die Schwelle drastisch gesenkt, ab der ein Angriff sich lohnt.

Früher brauchte man Expertise. Heute reicht Absicht.

Noch vor wenigen Jahren erforderte ein gezielter Cyberangriff erhebliches technisches Know-how: Vulnerability Research, Exploit-Entwicklung, Anpassung an die Zielumgebung. Das limitierte den Kreis potenzieller Angreifer auf erfahrene Akteure und schaffte so eine natürliche Angriffsschwelle. Erst wenn das Ziel interessant genug war, lohnte sich der Aufwand dafür.

KI-Tools ändern das. Angreifer ohne tiefes technisches Wissen können heute:

  • Phishing-Kampagnen erstellen, die sprachlich und inhaltlich auf das Zielunternehmen zugeschnitten sind
  • Schadsoftware auf Basis öffentlich bekannter Techniken generieren und anpassen
  • Sicherheitslücken in öffentlich zugänglichem Code automatisiert identifizieren
  • Social-Engineering-Angriffe skalieren, die früher manuelle Recherche erforderten

Die Menge potenzieller Angreifer ist größer geworden, der Aufwand geringer. Damit steigt die Wahrscheinlichkeit, ins Ziel zu geraten, unabhängig davon, wie "interessant" ein Unternehmen bisher war.

Die verkürzte Patch-to-Exploit-Zeitspanne

Ein zweiter Faktor verschärft die Lage erheblich: die Zeit zwischen der Veröffentlichung eines Patches und dem Vorliegen eines funktionierenden Exploits.

Traditionell vergingen nach einem Patch Wochen oder Monate, bis Angreifer die zugrunde liegende Lücke rückwärts analysierten und einen Exploit entwickelten. Diese Zeitspanne (das sogenannte Patch-Window) war der wichtigste Puffer für IT-Teams, um Systeme zu aktualisieren, bevor Angriffe möglich wurden.

KI kann dieses Reverse Engineering erheblich beschleunigen. Was früher Wochen dauerte, ist heute in Stunden möglich. Das Patch-Window schrumpft.

Wie stark, zeigt eine Zahl aus dem M-Trends 2026 Bericht von Mandiant: Die mediane Zeit bis zur Ausnutzung einer Schwachstelle lag bei minus 7 Tagen. Angriffe fanden im Schnitt eine Woche vor der Veröffentlichung des Patches statt. Das Fenster existiert in vielen Fällen gar nicht mehr.

Was das konkret bedeutet

Für Organisationen ergeben sich daraus drei direkte Konsequenzen:

1. Patch-Management ist eine Sicherheitsfunktion, keine rein operative Aufgabe. Wer Patches mit Wochen Verzögerung einspielt, bewegt sich in einem Fenster, das zunehmend kürzer wird. Das BSI empfiehlt, kritische Patches für exponierte Systeme innerhalb von Stunden einzuspielen.

2. Die Annahme "wir sind kein interessantes Ziel" gilt nicht mehr. Automatisierte Angriffe suchen nicht nach attraktiven Zielen. Sie suchen nach erreichbaren. Ein ungepatchtes System ist ein erreichbares System, unabhängig von Unternehmensgröße oder Branche.

3. "Assume Breach" als Grundannahme. Angesichts der Zero-Day-Lage sollte grundsätzlich davon ausgegangen werden, dass eine gepatchte Schwachstelle bereits ausgenutzt wurde, bis das Gegenteil festgestellt ist. Untersuchungen eigener Systeme nach kritischen Patches sind keine Ausnahme, sondern Routine.

Was hilft

Die folgende Lage gilt für alle: für den Mittelständler mit IT-Abteilung genauso wie für den Handwerksbetrieb mit zwei Angestellten und einem Windows-Rechner an der Rezeption. Angriffe unterscheiden nicht nach Unternehmensgröße. Automatisierte Scans treffen jeden, der erreichbar ist.

Bevor es um fortgeschrittene Maßnahmen geht: Die meisten erfolgreichen Angriffe nutzen keine Exoten-Lücken. Sie nutzen das, was seit Jahren bekannt ist und trotzdem nicht umgesetzt wurde.

Die Basis zuerst:

  • Regelmäßiges Patchen. Windows-Updates, Router-Firmware, die Kassensoftware. Was mit dem Internet verbunden ist, muss aktuell gehalten werden. Quartalsweise reicht nicht.
  • Zwei-Faktor-Authentifizierung. Für E-Mail, für Cloud-Dienste, für alles mit einem Login. Ein gestohlenes Passwort allein sollte nicht ausreichen.
  • Backups — und testen, ob sie funktionieren. Auf einem externen Datenträger, getrennt vom laufenden System. Wer das nicht hat, zahlt nach einem Ransomware-Angriff entweder Lösegeld oder verliert alles.
  • Nur das nötigste offen lassen. Dienste, Ports und Fernzugriffe, die niemand braucht, abschalten. Was nicht erreichbar ist, kann nicht angegriffen werden.

Darüber hinaus:

  • Vulnerability-Management mit Priorisierung: Nicht jede Lücke ist gleich kritisch. Der CVSS Base Score allein reicht nicht mehr. KI kann Schwachstellen zu Exploit-Ketten kombinieren, bei denen jede einzelne Lücke für sich unkritisch wirkt. CVSS 4.0 mit Environmental Metrics gibt ein realistischeres Bild.
  • Schnelle Patch-Prozesse für exponierte Systeme: Stunden, nicht Tage. Idealerweise automatisiert, mindestens aber klar geregelt mit definierten Eskalationswegen.
  • Monitoring und Anomalieerkennung: Wer einen Einbruch früh erkennt, begrenzt den Schaden erheblich. Protokolldaten extern speichern, Speicherdauer großzügig wählen.

Fazit

KI macht Cyberangriffe zugänglicher. Das ist die eigentliche Verschiebung. Organisationen, die Cybersicherheit bisher als nachrangig behandelt haben, weil sie sich nicht als Ziel sahen, sollten diese Einschätzung überprüfen.

Die Reaktionszeit auf Patches ist heute ein direkter Sicherheitsparameter. Das sollte in der internen IT-Priorisierung sichtbar sein.

Quellen

KICybersicherheitPatch-ManagementRisikomanagement
← zurück zur Übersicht