Die digitale Welt sieht sich mit einem fundamentalen Paradigmawechsel konfrontiert. Während Sicherheitsexperten jahrelang auf Malware-Signaturen und verdächtige Dateien setzten, haben Cyberattacker längst gelernt, sich unsichtbar zu machen. Sie nutzen Living-off-the-Land-Taktiken (LotL), die ausschließlich auf bereits im System vorhandene, legitime Tools setzen – von Windows PowerShell über Administrative Shares bis hin zu Betriebssystem-eigenen Funktionen.
Die Rolle von Künstlicher Intelligenz bei dieser Entwicklung kann nicht unterschätzt werden. KI-gesteuerte Agenten generieren auf Knopfdruck gefälschte Identitäten, manipulieren Netzwerkverkehr und erstellen Exploit-Code, der nahezu menschlich wirkt. Diese autonomen oder halbautonomen Systeme beobachten kontinuierlich das Netzwerkverhalten ihrer Ziele und passen ihre eigenen Signale an, um unter dem Radar von Anomalie-Erkennungssystemen zu bleiben. Sie versetzen Command-and-Control-Traffic gezielt in Bursts, die mit legitimen Netzwerk-Spitzen zusammenfallen, und manipulieren ihre digitalen Fußabdrücke gerade soweit, dass sie nicht auffallen.
Besonders besorgniserregend ist die Infiltration von Software-Supply-Chains. Das Shai-Hulud-v2-Wurm-Beispiel zeigt das Ausmaß: Angreifer modifizierten hunderte Softwarepakete, um ein koordiniertes Ökosystem zur Ernte von Entwickler-Zugangsdaten und API-Geheimnissen zu schaffen. Das Besondere: Sie verbreiteten den Wurm über vertraute interne Netzwerk-Freigaben und tarnten alles als legitime Software-Updates. Supply-Chain-Angriffe sind nicht neu – man denke an SolarWinds – doch KI-Agenten haben sie exponentiell schneller und skalierbarer gemacht.
Auch Cloud-Services werden zur Angriffsfläche. Mit KI-gestützten Tools erstellen Hacker überzeugend echte Fälschungen von Login-Seiten und Cloud-Repositories. Fake-Teams-Meeting-Nachrichten leiten Nutzer auf täuschend echte Credential-Harvesting-Seiten weiter. Diese „Fake-Infrastrukturen” – gefälschte Server, Domains und Services – ahmen vertraute Systeme nach und dienen oft als Einstiegspunkt für umfassendere Attacken, einschließlich Ransomware-Kampagnen.
Für deutsche Unternehmen und öffentliche Einrichtungen ist dies ein Weckruf. Traditionelle Endpoint-Protection reicht nicht mehr aus. Erforderlich sind Systeme, die Verhaltensanomalien auf Netzwerk-Ebene erkennen – Network Detection and Response (NDR). Diese Ansätze funktionieren ähnlich wie Kunstexperten, die Fälschungen durch stilistische Fingerabdrücke entlarven. Sie überwachen die Netzwerk-Kommunikation auf subtile, verdächtige Muster, die menschliches oder KI-gestütztes Verhalten hinterlässt – und das unabhängig davon, ob Malware im Spiel ist oder nicht.
Die Message ist klar: Im Zeitalter der Imitation ist Sichtbarkeit Macht. Sicherheitsteams müssen ihre Fähigkeiten erweitern, um die neuen Taktiken zu durchschauen.