Die Verschiebung zu KI-gesteuerten Angriffen markiert einen Wendepunkt in der Cybersecurity. Joshua Wright, Senior Technical Director des SANS-Institute, beschreibt die Situation dramatisch: “Angreifer waren bereits schneller als wir. KI hat die Lücke unüberbrückbar gemacht.” Dies spiegelt sich in konkreten Zahlen: AI-getriebene Angriffe bewegen sich 47-mal schneller als traditionelle, von Menschen durchgeführte Operationen. Im schlimmsten Fall können Cyberkriminelle einen gestohlenen Login in weniger als zehn Minuten zu vollständiger Admin-Kontrolle in Cloud-Umgebungen wie AWS eskalieren.
Ein Paradebeispiel ist die im November 2025 dokumentierte Kampagne “GTG 1002”, die einer chinesischen staatlichen Gruppe zugeordnet wird. Sie zielte auf über 30 Regierungs- und Finanzorganisationen ab und automatisierte 90 Prozent des Angriffsprozesses – von Aufklärung über Ausnutzung bis zur Lateral Movement. Menschliches Zutun war kaum erforderlich.
Die zweite große Gefahr liegt in der Supply-Chain. Zwei von drei Organisationen wurden im vergangenen Jahr durch Angriffe auf Software-Lieferketten betroffen. Das Shai-Hulud-Wurm-Netzwerk etwa infizierte über 1.000 Open-Source-Pakete und legte 14.000 Credentials von 487 Organisationen offen. Eine China-verbundene Gruppe infiltrierte sechs Monate lang die Update-Infrastruktur von Notepad++ und lieferte gezielt Backdoors an Ziele in Energie-, Finanz-, Regierungs- und Fertigungssektoren aus.
Besonders kritisch ist die Lage bei Operational Technology (OT). Robert Lee, CEO von Dragos und SANS-Fellow, warnt vor einer “wachsenden Verantwortungskrise”: Nach OT-Kompromittierungen fehlen oft jegliche Protokolle und Überwachungsdaten – die kritischen Beweise verschwinden einfach. Ein Dezember-2025-Angriff auf Polens dezentrale Energieressourcen zeigte dies deutlich: Die Zerstörung konnte bestätigt werden, aber niemand konnte nachvollziehen, was der Angreifer im System tat. In einem anderen Fall – Lee nennt keine Namen – zielte ein staatlicher Akteur mit destruktiver Absicht auf eine Anlage ohne Überwachung ab. Ein Monat später explodierte die Einrichtung. Bis heute ist unklar, ob Cyberangreifer oder Zufall schuld waren.
Gegen diese Bedrohung setzt SANS auf Protocol SIFT, eine Open-Source-Initiative zur KI-gestützten Verteidigungskoordination. Das System beschleunigt Analysten, ohne sie zu ersetzen. Ein Testfall zeigte: Ein Analyst löste eine zweiwöchige Angriffsszenarien-Untersuchung in weniger als 15 Minuten, inklusive Malware-Identifikation und Taktik-Analyse.
Fachleute wie DFIR-Expertin Heather Barnhart mahnen: KI ohne menschliche Validierung führt zu Fehlern. “Die meisten Bruch-Analysen scheitern nicht an Tools, sondern an Entscheidungspunkten. KI kann nicht der Entscheidungspunkt sein.” Die Antwort auf KI-Angriffe ist also nicht weniger menschliche Beteiligung, sondern intelligente Zusammenarbeit.