Gartner sieht vier Bedrohungen, bei denen Angreifer derzeit im Vorteil sind

Zusammenfassung

Auf dem Gartner Security & Risk Management Summit haben mehrere Analysten vor vier Bedrohungen gewarnt, bei denen Unternehmensabwehr aus ihrer Sicht derzeit nicht mithalten kann: Deepfakes, Risiken in der Software-Lieferkette, Prompt Injections und die Kompromittierung von KI-Anwendungen. John Watts, VP-Analyst bei Gartner, ordnete diese Felder an die Spitze von Gartners ThreatScape-Diagramm für 2026 bis 2027 ein. Dieses stellt Signale von Bedrohungsakteuren der Wirksamkeit von Angriffen gegenüber den Verteidigungsmaßnahmen von Unternehmen gegenüber. In diesen vier Bereichen liege „der Angreifer im Vorteil“, sagte Watts, weil Sicherheitsfähigkeiten und verfügbare Schutzlösungen vieler Organisationen noch nicht ausreichten. Auch andere Gartner-Analysten betonten diese Risiken in mehreren Konferenzsitzungen und forderten zusätzliche Kontrollen sowie strengere Richtlinien. Der Fokus lag dabei weniger auf einzelnen Vorfällen als auf strukturellen Defiziten: bei Authentifizierung gegen Deepfakes, bei der Absicherung von Entwicklungsumgebungen, beim Testen von KI-Systemen gegen Prompt Injections und bei der wachsenden Angriffsfläche durch breit eingeführte KI-Anwendungen und -Frameworks.

Deepfakes gelten laut Gartner inzwischen klar als praktisches Problem. John Watts sagte, die Zeit, in der unklar gewesen sei, welche Rolle KI bei Vishing- oder Videokonferenzangriffen spielen könnte, sei vorbei. Nach Angaben von Gartner wurden 62 Prozent der Organisationen bereits von irgendeiner Form eines Deepfake-Angriffs getroffen, bei dem Social Engineering eingesetzt oder Gesichts- beziehungsweise Spracherkennung umgangen wurde.

Zachary Smith, Director Analyst bei Gartner, warnte in einer weiteren Sitzung, dass selbst heute funktionierende Technologien zur Deepfake-Erkennung morgen schon überholt sein könnten, weil sich der KI-Markt so schnell bewege. Statt sich allein auf Erkennung zu verlassen, empfahl er einen mehrschichtigen Sicherheitsansatz mit zusätzlichen Authentifizierungsanforderungen sowie Werkzeugen zur Erkennung gefälschter Anruferkennungen und von SIM-Swapping. „Man muss den Deepfake nicht erkennen, um einen Deepfake-Angriff zu stoppen“, sagte Smith. Ein fehlgeschlagener Authentifizierungscheck könne Angreifer bereits aufhalten. Auch Bryson Byrd, Cybersicherheitsberater bei Huntress, sagte Dark Reading, zusätzliche Authentifizierungsmaßnahmen seien unverzichtbar: Multifaktor-Authentifizierung gelte inzwischen nicht mehr nur für Passwörter.

Als zweites zentrales Problem nannte Watts Angriffe auf die Software-Lieferkette. Neu sei das Thema nicht, verändert habe sich aber die Lage durch automatisierte Würmer wie Shai-Hulud. Laut dem Bericht wurde der Wurm zu einem Kraftverstärker für Angreifer, die Zugangsdaten und Geheimnisse einsammeln und weitere Repositories kompromittieren wollen. Hinzu komme, dass viele Organisationen Schwierigkeiten hätten, ihren Code auf Plattformen Dritter abzusichern.

Watts verwies darauf, dass GitHub zwar Sicherheitsfunktionen wie Secret Scanning eingeführt habe, Organisationen diese jedoch teils übergingen und so sensible Daten offenlegten. Zudem sagte er, „NPM ist gewissermaßen ein Chaos“, auch wenn es dort Verbesserungen gegeben habe. Unternehmen müssten Schutzmaßnahmen rund um ihre Software- und Entwicklungsumgebungen einführen. Dazu zählten starke Richtlinien für Versionskontrolle, das Scannen und Verwalten von Geheimnissen sowie die Anwendung des Prinzips der minimalen Rechte auf CI/CD-Pipelines.

Auch Prompt Injections bleiben laut Gartner ein Dauerthema, das mit dem starken Wachstum von KI-Agenten noch kritischer werde. Watts erklärte, dass Bedrohungsakteure indirekte Injektionsangriffe ausführen könnten, indem sie etwa bösartige Eingabeaufforderungen in Webseiten platzieren und darauf warten, dass Agenten diese lesen. Er verwies auf Daten von Google, nach denen indirekte Prompt-Injection-Angriffe zwischen November 2025 und Februar 2026 um 32 Prozent zunahmen.

Das eigentliche Problem entstehe mit agentischer, autonomer KI: „Sobald die Ausführungskette vergiftet ist, geht das Ganze bergab. Davon kann man sich nicht wirklich erholen“, sagte Watts. Zugleich kritisierte er Anbieter, die Schutz vor Prompt Injection versprächen, aber im Kern nur nach Schlüsselwörtern typischer bösartiger Eingaben suchten. „Das wird nicht funktionieren“, sagte er. Dennis Xu, Research Vice President bei Gartner, ergänzte in einer anderen Sitzung zu fehlgeleiteten KI-Agenten, es gebe keine Möglichkeit, Prompt-Injection- und Jailbreaking-Angriffe hundertprozentig zu stoppen. Watts riet deshalb dazu, KI-Systeme zusätzlich mit Penetrationstests und Red Teaming zu prüfen, um solche Schwachstellen zu finden und zu beheben.

Als vierten Schwerpunkt hob Watts die Kompromittierung von KI-Anwendungen hervor. Diese könne aus unterschiedlichen Quellen resultieren. Er verwies auf 2.130 im Jahr 2025 offengelegte KI-bezogene CVEs, was einem Anstieg von fast 35 Prozent gegenüber dem Vorjahr entspreche. Auch Angriffe durch Speichervergiftung sowie unsichere Ressourcen und Infrastrukturen könnten zu einer Kompromittierung führen.

Mit dem Ausbau und der Skalierung von KI-Anwendungen wachse zwangsläufig auch die Angriffsfläche, sagte Watts. Problematisch werde dies besonders, wenn sich Frameworks schnell verbreiteten. Als Beispiel nannte er OpenClaw. Das populäre Open-Source-KI-Framework habe zahlreiche kritische Schwachstellen aufgewiesen und sei seit seiner Einführung in diesem Jahr von vielen Organisationen breit, aber häufig unsicher eingesetzt worden. „Derzeit kann man immer noch Scans laufen lassen und OpenClaw im Internet mit Administratorrechten finden“, sagte Watts. Unternehmen müssten daher kontrollieren, wie solche Systeme eingeführt und betrieben werden.

Gartner sieht vier Bedrohungen, bei denen Angreifer derzeit im Vorteil sind

Ähnliche Artikel

Neueste Artikel