Die Industrialisierung der Cyberkriminalität ist kein neues Phänomen – sie begann in den 1990er Jahren. Doch was sich fundamental geändert hat, ist das Tempo und die Effizienz. Kriminelle setzen mittlerweile auf KI-gesteuerte Werkzeuge, um ihre Operationen zu skalieren: WormGPT, FraudGPT, HexStrike AI, APEX AI und BruteForceAI sind inzwischen im Underground-Markt verfügbar. Diese Tools fungieren als “Force Multiplier” – sie reduzieren die erforderlichen Skills und ermöglichen es Angreifern, mit Maschinengeschwindigkeit zu operieren.
WormGPT und FraudGPT werden primär für Phishing-Angriffe eingesetzt. Ohne moralische Guardrails generieren sie überzeugend wirkende Phishing-Kampagnen und Social-Engineering-Attacken im großen Maßstab. HexStrike AI automatisiert Aufklärung und Angriffsplanung, während APEX AI APT-ähnliche Szenarien simuliert – inklusive Datenabfrage im Internet, Angriffsverkettung und vollständiger Kill-Chain-Modellierung. BruteForceAI identifiziert automatisch Login-Formulare und führt Multi-Threading-Angriffe mit menschenähnlichen Verhaltensmustern durch.
Diese Tools schaffen zwar keine neuen Sicherheitslücken, verkürzen aber die Zeit zu ihrer Ausnutzung erheblich. Schwachstellen werden global automatisiert gescannt – mit handelsüblichen Tools wie Qualys, Nmap, Nessus und OpenVAS. Besonders besorgniserregend ist der funktionierende Underground-Markt: Datenbanken, Zugangsdaten und validierte Eindringungspfade werden kontinuierlich gehandelt. Infostealern wie RedLine, Lumma und Vidar beschaffen diese Daten, Access Broker verkaufen dann Zugang zu Unternehmensnetzwerken – besonders häufig Corporate VPNs und RDP-Zugang.
2025 wurden 656 Schwachstellen in Darknet-Foren diskutiert: 52 Prozent mit öffentlichen Proof-of-Concept-Codes, 27 Prozent mit funktionierenden Exploits und 23 Prozent mit beiden. Dies ist die “Industrialisierung” von CVEs – wenn Schwachstellen mit Skripten, Modulen, Playbooks und Exploit-Code so verpackt sind, dass Angriffe wie in Serie laufen.
Ransomware bleibt die lukrativste Angriffsform: 2025 gab es 7.831 bestätigte Opfer weltweit. Die aktivsten Gruppen waren Qilin, Akira und Safepay. Die USA verzeichneten 3.381 Fälle, gefolgt von Kanada und Europa.
Für Deutsche Unternehmen ist das Signal klar: Die klassische Sicherheitsstrategie reicht nicht mehr aus. Das BSI empfiehlt nicht nur schnellere Patchprozesse, sondern auch identitätsorientierte Überwachung und Automatisierung in der Verteidigung. Nur mit KI-gestützter Detektion und automatisierter Reaktion können Unternehmen Schritt mit den Angreifern halten.