Zwei Dekaden Cybersicherheit zeigen ein Muster: Jede neue Technologie bringt zunächst ungelöste Sicherheitsprobleme mit sich. Die Branche hat gelernt, dass Marketing-Versprechungen wie “unhackbar” oder “bulletproof” nicht nur leere Worte sind — sie reizen Angreifer regelrecht heraus. Heute sprechen Hersteller stattdessen von Risikominderung und Resilienz.
Das Wettrüsten begann schon vor der Pandemie: Cloud-Dienste wie AWS, Azure und Google Cloud verbreiteten sich, doch Sicherheit war oft Nebensache. Dann kam 2020: Millionen Mitarbeiter arbeiteten plötzlich von Zuhause, über ungeschützte Heimnetzwerke, auf persönlichen Geräten. Die Cloud-Infrastruktur wurde im massiven Maßstab getestet — und hielt, knapp. Doch gleichzeitig verschwand die kontrollierbare Netzwerk-Perimeter. Der “Jurassic Park”-Moment, wie eine Expertin es beschreibt: Die Zäune sind gefallen, und niemand weiß, wo der Dinosaurier ist.
Dieser Wendepunkt markierte einen Paradigmenwechsel: Weg vom Gedanken “wir halten sie draußen”, hin zu “sie sind bereits drin”. Sicherheit wurde neu als Überwachung und Schadensbegrenzung definiert. Statt Prävention stand plötzlich Detektion und schnelle Reaktion im Fokus. Zero-Trust wurde zur Maxime — bis auch dieses Konzept schnell durch “Identity-Based Perimeter” abgelöst wurde.
Doch 20 Jahre später bleibt ein hartnäckiges Problem bestehen: die Grundlagen. Unternehmen schaffen immer noch keine vollständige Asset-Inventare. Das Least-Privilege-Prinzip, seit zwei Jahrzehnten gepredigt, wird kaum konsequent umgesetzt. Der Grund: Es ist technisch komplex geworden. Es geht nicht mehr nur um Benutzer an Workstations, sondern um Machine Identities, ephemerale API-Zugriffe, Cloud-native Services und nun eben KI-Agenten.
Genau hier liegt die neue Gefahrenzone. Unternehmen geben autonomen KI-Systemen routinemäßig überbreitete Zugriffsrechte — um “Produktivität” zu maximieren. Ein Wartungs-Agent in der Fabrik braucht Zugriff auf kritische Produktionsdaten; ein Datenanalyst-Bot auf Kundendatenbanken. Was kann schiefgehen? Alles. Gehackte oder manipulierte Agenten könnten Produktions-Datenbanken löschen, Daten exfiltrieren oder Systeme sabotieren. Doch während Sicherheits-Startups bereits an Standards für “Non-Human Identities” arbeiten, zögern etablierte Anbieter wie Microsoft (Active Directory), und viele Unternehmen unterschätzen das Risiko — bis zum Ernstfall.
Das Alarmierende: Diese Fehler sind nicht neu. Ein Phishing-Link kompromittierte 2011 RSA SecurID — Social Engineering war damals bereits eine “sophistizierte” Angriffsform. Heute funktioniert es genauso. Ein Opfer berichtet von Malware, die wegen simpler Maßnahmen — Netzwerk-Segmentierung, starke Passwörter, Multi-Faktor-Authentifizierung — erfolgreich abgewehrt wurde.
Die Lektion für die nächsten 20 Jahre ist klar: Ohne Grundlagen keine Sicherheit, egal wie glänzend die KI-Marketing-Kampagne ist.