Anders als klassisches Phishing mit generischen Nachrichten ermöglicht KI laut dem Beitrag personalisierte Phishing-Botschaften in großem Umfang. Angreifer nutzen dafür öffentlich verfügbare Daten, imitieren den Schreibstil von Führungskräften oder erstellen kontextbezogene Nachrichten, die auf reale Ereignisse Bezug nehmen. Solche Angriffe reduzieren offensichtliche Warnsignale, umgehen manche Filtermechanismen und setzen auf psychologische Manipulation statt auf das Ausliefern von Malware – mit erhöhtem Risiko für Diebstahl von Zugangsdaten und finanziellen Betrug.
KI-gestützter Missbrauch von Zugangsdaten kann Anmeldeversuche optimieren, ohne Sperrschwellen auszulösen: Die Zeitabstände zwischen Authentifizierungsversuchen werden menschenähnlich nachgeahmt, und privilegierte Konten werden kontextbasiert ins Visier genommen. Da kompromittierte Zugangsdaten verwendet werden, erscheinen diese Angriffe oft legitim und fügen sich in normale Anmeldeaktivität ein. Identitätssicherheit wird damit zu einem zentralen Bestandteil moderner Sicherheitsstrategien.
Auch in der Malware-Entwicklung beschleunigt KI die Arbeit der Angreifer. Mussten Code-Signaturen früher manuell verändert und neue Varianten zeitaufwendig erstellt werden, kann adaptive Malware heute Code automatisch anpassen, ihr Verhalten je nach Umgebung ändern und neue Exploit-Varianten nahezu ohne manuellen Aufwand erzeugen. Weil signaturbasierte Erkennung an sich ständig verändernden Codes scheitert, müssen Organisationen verstärkt auf Verhaltensmuster statt auf statische Indikatoren setzen.
Herkömmliches Monitoring wurde dem Beitrag zufolge für Bedrohungen entwickelt, die von Malware, bekannten Schwachstellen und sichtbaren Verhaltensanomalien ausgehen – und greift gegen KI-gestützte Angriffe zu kurz. Um unauffällig zu bleiben, arbeiten KI-gesteuerte Angreifer mit kompromittierten Zugangsdaten, agieren von bekannten Geräten oder Netzwerken aus und strecken schädliche Aktivitäten über die Zeit. Moderne Behavioral Analytics muss daher bewerten, ob selbst die geringste Verhaltensänderung zum typischen Muster eines Nutzers passt. Fortgeschrittene Modelle legen Basiswerte fest, bewerten Aktivität in Echtzeit und verknüpfen Identitäts-, Geräte- und Sitzungskontext.
Haben Angreifer über kompromittierte, schwache oder wiederverwendete Zugangsdaten erst Zugang erlangt, weiten sie ihn schrittweise aus. Die Sichtbarkeit muss daher den gesamten Sicherheits-Stack abdecken – privilegierten Zugriff, Cloud-Infrastruktur, Endgeräte, Anwendungen und administrative Konten. Wirksam wird Behavioral Analytics laut D’Andrea erst zusammen mit Zero-Trust: keinem Nutzer und keinem Gerät sollte implizites Vertrauen oder automatische Authentifizierung allein aufgrund des Netzwerkstandorts gewährt werden.
KI erleichtert auch böswilligen Insidern das Handeln: Sie können das Sammeln von Zugangsdaten automatisieren, sensible Informationen identifizieren oder glaubwürdige Phishing-Inhalte erzeugen. Da Insider oft mit legitimen Berechtigungen arbeiten, erfordert das Erkennen von Privilegienmissbrauch das Aufspüren von Anomalien – etwa Zugriffe jenseits der zugewiesenen Aufgaben, Aktivität außerhalb der Geschäftszeiten oder wiederholte Zugriffe auf kritische Systeme. Der Beitrag empfiehlt, dauerhaften Zugriff durch Just-in-Time-Zugriff (JIT), Sitzungsüberwachung und Sitzungsaufzeichnung zu beseitigen.
Der Schutz menschlicher wie nicht-menschlicher Identitäten (NHI) erfordert mehr als Authentifizierung – nötig seien kontinuierliche, kontextbezogene Verhaltensanalyse und granulare Zugriffskontrollen. Moderne Privileged-Access-Management-Lösungen wie Keeper bündeln dem Beitrag zufolge Behavioral Analytics, Echtzeit-Sitzungsüberwachung und JIT-Zugriff, um Identitäten in hybriden und Multi-Cloud-Umgebungen abzusichern.
