SchwachstellenKI-SicherheitCyberkriminalität

KI beschleunigt Exploit-Entwicklung dramatisch – Scanner können nicht mithalten

Von CyberDeutsch Redaktion
KI beschleunigt Exploit-Entwicklung dramatisch – Scanner können nicht mithalten
Zusammenfassung

Die rasante Entwicklung von künstlicher Intelligenz verändert die Bedrohungslandschaft im Cyberspace fundamental. Aktuelle Forschungen zeigen, dass Angreifer die Entwicklungszeit für Exploits bekannter Sicherheitslücken durch den Einsatz von KI-Tools von 125 Tagen auf nur noch 0,5 Tage reduziert haben. Besonders beunruhigend: Etwa 83 Prozent kritischer Sicherheitslücken führen zu Erkennungslücken bei Verteidigern, und mehr als die Hälfte aller kritischen Schwachstellen erhalten überhaupt keine Erkennungssignaturen von großen Scanning-Anbietern. Dieses Zeitfenster zwischen Veröffentlichung einer Schwachstelle und Verfügbarkeit von Scannersignaturen wird zur kritischen Bedrohung. Für deutsche Unternehmen und Behörden ist dies eine erhebliche Herausforderung: Traditionelle monatliche oder wöchentliche Vulnerability-Scans bieten keinen ausreichenden Schutz mehr. Die Implikationen sind weitreichend – von mittelständischen Unternehmen bis zu kritischen Infrastrukturen müssen sich Organisationen auf neue Abwehrstrategien wie kontinuierliche Software-Inventarisierung und schnellere Reaktionsmechanismen verlassen, um in dieser beschleunigten Bedrohungslandschaft bestehen zu können.

Die Forschungsergebnisse von Cogent Security zeigen ein dramatisches Tempo-Problem in der Cybersicherheit. Während die besten Scanner (Tenable) im Schnitt 0,1 Tage nach CVE-Veröffentlichung Erkennungssignaturen bereitstellen, schaffen Qualys dies in 2,9 Tagen und Rapid7 in 5,1 Tagen. Doch selbst diese Reaktionszeiten reichen nicht aus – denn AI-gestützte Angreifer produzieren funktionierende Exploits bereits nach wenigen Stunden.

Besonders besorgniserregend ist die Erkenntnis, dass 54 Prozent aller seit Januar 2025 veröffentlichten CVEs überhaupt keine Erkennungssignaturen von führenden Scanning-Tools erhielten. Bei kritischen Schwachstellen wird es noch dramatischer: 62,5 Prozent aller kritischen CVEs bei Tenable, 64,5 Prozent bei Qualys und sogar 73,5 Prozent bei Rapid7 werden bereits aktiv ausgenutzt, bevor der jeweilige Scanner eine Detektionsmöglichkeit anbietet.

Für deutsche Unternehmen und Behörden entstehen dadurch erhebliche Compliance-Risiken. Die DSGVO verpflichtet zur Meldung von Datenschutzverletzungen innerhalb von 72 Stunden, und das BSI fordert kontinuierliche Schwachstellenverwaltung. Wer sich ausschließlich auf kommerzielle Scanner verlässt, befindet sich in einer gefährlichen Sicherheitslücke – während die Scanner noch ihre Signaturen aktualisieren, könnten Angreifer bereits zugegriffen haben.

Experten warnen zudem vor noch gefährlicheren Szenarien: Anthropics neuestes Modell Claude Mythos kann Exploits auf Niveau erfahrener Security-Researcher entwickeln und wird in sechs bis zwölf Monaten breit verfügbar sein. Dann könnten Exploits möglicherweise noch schneller entstehen als die aktuellen 0,5 Tage.

Die gute Nachricht: Es gibt Alternativen. Sicherheitsteams sollten sich von einer Scanner-zentrierten Strategie verabschieden und parallele Erkennungswege aufbauen. Dazu gehören kontinuierliche Software-Inventarisierung, Software Bill of Materials (SBOM) Matching und Threat-Intelligence-Feeds, die betroffene Assets bereits Minuten nach CVE-Veröffentlichung identifizieren können.

Deutsche Organisationen in führenden Positionen sind bereits die, die innerhalb von Minuten nach CVE-Announcement beantworten können: “Nutzen wir die betroffene Software?” – unabhängig davon, ob ihr Scanner-Anbieter bereits ein Update bereitgestellt hat. Dies ist die einzige wirksame Defensivstrategie in einer Zeit, in der KI-gestützte Exploit-Entwicklung klassische Sicherheitstools überholt hat.

Ähnliche Artikel