KI als Waffe: Wie Hacker künstliche Intelligenz nutzen – und worauf Unternehmen sich vorbereiten müssen

Kaum ein Thema in der IT-Sicherheit wird derzeit so aufgeregt diskutiert wie der Einsatz künstlicher Intelligenz durch Angreifer. Schlagzeilen über „selbstschreibende Viren" und „vollautonome Hackerangriffe" überschlagen sich, und es ist schwer, zwischen realer Bedrohung und Marketing-Panik zu unterscheiden. Das ist gefährlich, denn beide Extreme schaden: Wer alles für Hype hält, unterschätzt eine echte Verschiebung. Wer jeder Schlagzeile glaubt, trifft Investitionsentscheidungen aus Angst statt aus Analyse.

Dieser Beitrag versucht deshalb eine nüchterne Bestandsaufnahme auf Basis belegter Vorfälle und seriöser Branchenreports. Die zentrale Erkenntnis vorweg, weil sie der wichtigste Befund aller großen Sicherheitsreports 2026 ist: KI erfindet keine grundlegend neuen Angriffsmethoden. Sie beschleunigt und skaliert die bestehenden. Wie es der Cybersecurity-Chef von IBM formuliert: Angreifer erfinden ihr Drehbuch nicht neu, sie spielen es schneller ab.

Was wirklich passiert ist: belegte Vorfälle

Um nicht in Spekulation abzugleiten, lohnt der Blick auf konkret dokumentierte Fälle. Drei davon markieren den aktuellen Stand.

Der erste KI-orchestrierte Spionageangriff. Im November 2025 veröffentlichte Anthropic einen Bericht über eine Cyberspionage-Operation, die das Unternehmen im September 2025 entdeckt und gestört hatte. Nach eigener Einschätzung mit hoher Zuversicht handelte es sich um eine chinesische staatlich geförderte Gruppe, intern als GTG-1002 bezeichnet. Das Besondere: Die Angreifer brachten das Werkzeug Claude Code dazu, einen Großteil der Operation eigenständig auszuführen, indem sie es glauben ließen, es arbeite für eine legitime Sicherheitsfirma an einem defensiven Test. Laut Bericht führte die KI rund 80 bis 90 Prozent der taktischen Arbeit autonom aus; die menschlichen Operatoren beschränkten sich auf Zielauswahl und strategische Freigaben. Die Operation zielte auf etwa 30 Organisationen weltweit – Technologiekonzerne, Finanzinstitute, Chemiehersteller und Behörden –, von denen einige erfolgreich kompromittiert wurden.

Hier ist eine faire Einordnung wichtig, denn der Vorfall hat die Sicherheits-Community gespalten. Eine Seite sieht darin einen Weckruf, die andere wirft Anthropic vor, die eigene Aufdeckung als Marketing zu inszenieren. Kritiker weisen darauf hin, dass die KI während der Operation auch „halluzinierte" – etwa Zugangsdaten erfand, die nicht funktionierten –, was die viel beschworene Autonomie relativiert. Beide Punkte gehören zur ehrlichen Darstellung: Der Vorfall ist real und dokumentiert, aber die Schlagworte „vollautonom" sollten mit Vorsicht gelesen werden.

KI-Malware, die ihren eigenen Code umschreibt. Im November 2025 berichtete die Google Threat Intelligence Group (GTIG) über eine neue Klasse von Schadsoftware, die große Sprachmodelle nicht nur bei der Entwicklung, sondern während der Ausführung nutzt – von Google „Just-in-time"-KI genannt. Das prominenteste Beispiel, PROMPTFLUX, ist ein in VBScript geschriebener Schädling, der über die Gemini-Programmierschnittstelle regelmäßig neuen, verschleierten Code anfordert, um signaturbasierte Erkennung zu umgehen. Ein anderer Fall, PROMPTSTEAL (auch LAMEHUG), wurde laut Google von der russischen Gruppe APT28 gegen ukrainische Ziele eingesetzt und war Googles erste Beobachtung von Schadsoftware, die ein Sprachmodell im laufenden Einsatz abfragt.

Auch hier ist der Faktencheck entscheidend, weil Hype-Berichte diesen Punkt gerne unterschlagen: Google stellt im Bericht ausdrücklich klar, dass sich PROMPTFLUX in einer Testphase befindet und derzeit nicht die Fähigkeit besitzt, ein Netzwerk oder Gerät tatsächlich zu kompromittieren. Google hat zudem die zugehörigen Konten deaktiviert. Es handelt sich also um einen ernstzunehmenden Frühindikator und einen „bedeutenden Schritt" Richtung adaptiver Malware – nicht um eine bereits ausgereifte, flächendeckende Bedrohung.

Erpressung mit KI-Unterstützung. Bereits in einem Bericht von August 2025 dokumentierte Anthropic einen Kriminellen, der Claude Code nutzte, um eine Erpressungskampagne gegen mindestens 17 Organisationen zu orchestrieren, mit Lösegeldforderungen, die teils 500.000 Dollar überstiegen. Dieser Fall zeigt die andere Dimension: nicht staatliche Spionage, sondern gewöhnliche, finanziell motivierte Kriminalität, die durch KI ihre Schlagkraft vervielfacht.

Einschätzung aus der Praxis: Gespräch mit Nelpx

Um die dokumentierten Vorfälle einordnen zu können, haben wir als newshub42 mit dem Team der Nelpx GmbH gesprochen, das uns aus der täglichen Praxis wichtige Einblicke gegeben hat. Die Kernbotschaft des Teams ist eindringlich: Die KI-basierte Trojaner-Entwicklung schreitet derzeit rasant voran. Inzwischen gehe die Entwicklung dahin, dass Schadsoftware eigenständig speziell auf einzelne Unternehmen zugeschnittene Trojaner erzeugt und autonom einsetzt. Das werde die Welt der IT und der IT-Sicherheit in naher Zukunft erheblich verändern.

Bemerkenswert ist die Konsequenz, die Nelpx daraus für den deutschen Markt zieht: So ungewohnt es klinge, müsse man sich hierzulande wieder verstärkt auf kurze Datenwege einstellen – also auf Lösungen „Made in EU" oder „Made in Germany". Damit lasse sich die Angriffsfläche noch einmal deutlich verringern, weil Daten weniger Strecke zurücklegen und unter europäischer Rechtshoheit bleiben.

Die Verschiebung in Zahlen

Hinter den Einzelfällen steht eine messbare Verschiebung, die seriöse Reports übereinstimmend belegen. Der IBM X-Force Threat Intelligence Index 2026, der Daten aus Sicherheitsvorfällen in über 130 Ländern auswertet, liefert die belastbarsten Zahlen.

Demnach wurde die Ausnutzung von Schwachstellen 2025 erstmals zur häufigsten Ursache von Angriffen und löste Phishing und gestohlene Zugangsdaten als führenden Einfallsweg ab; sie machte 40 Prozent der beobachteten Vorfälle aus. Angriffe, die mit der Ausnutzung öffentlich erreichbarer Anwendungen begannen, stiegen um 44 Prozent im Jahresvergleich. Besonders alarmierend: 56 Prozent der erfassten Schwachstellen ließen sich ganz ohne Authentifizierung ausnutzen. Der Treiber ist laut IBM die Kombination aus fehlenden Authentifizierungskontrollen und KI-gestützter Schwachstellensuche, die es Angreifern erlaubt, verwundbare Systeme schneller zu finden, als Sicherheitsteams einen Alarm bearbeiten können.

Auch die Geschwindigkeit verschiebt sich dramatisch. Der CrowdStrike Global Threat Report 2026 nennt eine durchschnittliche „Breakout-Zeit" – die Zeit vom ersten Zugriff bis zur seitlichen Ausbreitung im Netzwerk – von 29 Minuten, mit einem schnellsten beobachteten Wert von 27 Sekunden. CrowdStrike verzeichnet zudem einen Anstieg der KI-gestützten Aktivität von Angreifern um 89 Prozent. Die aktive Zahl von Ransomware- und Erpressungsgruppen stieg laut IBM um 49 Prozent – ein Zeichen dafür, dass die Einstiegshürden sinken und mehr kleinere Akteure mitmischen.

Ein letzter, oft übersehener Punkt: KI schafft auch neue Angriffsflächen. Laut IBM tauchten 2025 über 300.000 gestohlene ChatGPT-Zugangsdaten auf Darknet-Marktplätzen auf – ein Hinweis darauf, dass KI-Plattformen inzwischen dasselbe Risiko-Niveau erreicht haben wie andere zentrale Unternehmens-Software.

Die vier Bereiche, in denen KI Angreifern hilft

Fasst man die Berichte zusammen, kristallisieren sich vier Felder heraus, in denen KI heute real einen Unterschied macht.

Erstens die Aufklärung und Schwachstellensuche. KI-Werkzeuge scannen Ziele, analysieren offengelegte Schnittstellen und gleichen ungepatchte Versionen automatisiert gegen bekannte Exploits ab – in Stunden statt Wochen. Das ist der mit Abstand wirkmächtigste Effekt, weil er direkt die IBM-Zahlen zur Schwachstellen-Ausnutzung erklärt.

Zweitens das Social Engineering. Generative KI erzeugt fehlerfreie, hochgradig personalisierte Phishing-Mails in beliebiger Sprache und in großer Menge. Der Klassiker „schlechtes Deutsch als Warnsignal" verliert damit seine Schutzwirkung. Hinzu kommen Deepfakes: Das FBI warnte 2025 vor einer Kampagne mit KI-generierten Sprachnachrichten, die hochrangige US-Beamte imitierten. Im viel zitierten Fall des Ingenieurbüros Arup autorisierte ein Mitarbeiter in einer Videokonferenz Überweisungen in Millionenhöhe – sämtliche anderen Teilnehmer der Konferenz waren KI-generierte Deepfakes.

Drittens die Verschleierung und Anpassung. Wie die GTIG-Fälle zeigen, beginnt Malware, ihren Code zur Laufzeit umzuschreiben, um signaturbasierte Erkennung zu unterlaufen. Klassische Antivirenprogramme, die auf bekannten Mustern beruhen, geraten dadurch strukturell ins Hintertreffen.

Viertens die Skalierung und Automatisierung. Der GTG-1002-Fall demonstriert die Richtung: KI übernimmt nicht nur einzelne Schritte, sondern orchestriert ganze Angriffsketten weitgehend selbstständig. Selbst wenn das heute noch fehleranfällig ist, sinkt damit der Personalaufwand für komplexe Operationen – ein einzelner Akteur kann leisten, wofür früher ein Team nötig war.

Worauf sich Unternehmen vorbereiten müssen

Die entscheidende Frage für Verantwortliche lautet: Was folgt daraus konkret? Die gute Nachricht ist, dass die Antwort weniger exotisch ausfällt, als die Schlagzeilen vermuten lassen. Weil KI vor allem bekannte Methoden beschleunigt, helfen vor allem solide, konsequent umgesetzte Grundlagen – nur eben schneller, automatisierter und lückenloser als bisher.

Zero Trust als Architektur-Fundament. Der von der US-Normungsbehörde NIST in der Publikation SP 800-207 standardisierte Zero-Trust-Ansatz geht davon aus, dass kein Nutzer, Gerät oder Dienst grundsätzlich vertrauenswürdig ist, und verlangt kontinuierliche Verifizierung. Der praktische Wert in der KI-Ära liegt in der Begrenzung des Schadensradius: Wird ein Randgerät über eine Zero-Day-Lücke kompromittiert, sorgen Netzwerksegmentierung und identitätsbasierte Zugriffskontrollen dafür, dass der Angreifer sich nicht frei ausbreiten kann. Auch Googles Threat-Intelligence-Team empfiehlt ausdrücklich, zuerst die Angriffsfläche internetseitiger Systeme zu reduzieren und Netze nach Zero-Trust-Prinzipien zu segmentieren.

Konsequentes, schnelles Patch-Management. Wenn 40 Prozent der Angriffe über ausgenutzte Schwachstellen laufen und mehr als die Hälfte davon keine Authentifizierung erfordert, ist das Schließen bekannter Lücken keine Aufgabe „für später". Das Zeitfenster zwischen Bekanntwerden einer Schwachstelle und ihrer Ausnutzung schrumpft durch KI gegen null. Priorisiertes, möglichst automatisiertes Patchen internetseitiger Anwendungen ist die wirksamste Einzelmaßnahme.

Lückenlose Asset-Transparenz. Man kann nicht schützen, was man nicht kennt. Unidentifizierte, vergessene Systeme – „Schatten-IT" – sind laut Google ein zentraler Schwachpunkt, den KI-gestützte Angreifer mit wachsender Effizienz finden. Statische Tabellen und manuelle Inventarisierung reichen nicht mehr; kontinuierliche, automatisierte Erfassung wird zur Pflicht.

Verhaltensbasierte Erkennung statt Signaturen. Gegen Malware, die sich permanent umschreibt, ist signaturbasierter Virenschutz weitgehend wirkungslos. Endpoint Detection and Response (EDR) und übergreifende Varianten (XDR) setzen stattdessen auf Verhaltensanalyse und Anomalieerkennung. Wichtig zu wissen ist allerdings eine Grenze: Solche Systeme sind oft auf menschliches Angriffstempo kalibriert; KI-Angriffe laufen schneller und in anderen Mustern ab. Erkennung wird die Prävention daher immer ein Stück weit hinterherhinken – ein weiteres Argument dafür, mit Zero Trust den möglichen Schaden von vornherein einzudämmen.

Lieferketten und Drittanbieter härten. Große Lieferketten- und Drittanbieter-Kompromittierungen haben sich laut IBM seit 2020 nahezu vervierfacht, befeuert durch KI-Coding-Werkzeuge, die ungeprüften Code schneller ausliefern, als Sicherheitsteams ihn auditieren können. Ein formales Lieferanten-Risikomanagement, das Einfordern von Software-Stücklisten (SBOMs) und die Anwendung von Zero-Trust-Prinzipien auch auf Dienstleister werden damit zur Notwendigkeit.

Den Faktor Mensch ernst nehmen. Gegen perfekte Phishing-Mails und Deepfakes hilft keine rein technische Lösung allein. Geschulte Mitarbeiter, klare Freigabeprozesse für Finanztransaktionen (etwa verpflichtende Rückrufe über einen zweiten Kanal) und eine Kultur, in der Nachfragen erwünscht ist, sind gegen KI-gestütztes Social Engineering oft wirksamer als jede Software.

Fazit

Der Einsatz von KI durch Angreifer ist real, dokumentiert und ernst zu nehmen – aber er ist keine Magie, die alle bisherigen Sicherheitsregeln außer Kraft setzt. Die belegten Vorfälle von GTG-1002 bis PROMPTFLUX zeigen eine klare Richtung hin zu schnelleren, anpassungsfähigeren und stärker automatisierten Angriffen. Zugleich relativieren dieselben Berichte bei nüchterner Lektüre die größten Schreckensszenarien: Vieles ist noch im Frühstadium, fehleranfällig und von den Anbietern aktiv gestört worden.

Für Unternehmen ergibt sich daraus eine paradox klingende, aber beruhigende Konsequenz: Die beste Vorbereitung auf KI-gestützte Angriffe ist nicht der Kauf eines einzelnen „KI-Abwehr"-Produkts, sondern die konsequente, beschleunigte Umsetzung bewährter Grundlagen – Zero Trust, schnelles Patchen, Asset-Transparenz, verhaltensbasierte Erkennung und geschulte Menschen. KI macht die Angreifer schneller. Die richtige Antwort ist, die Verteidigung ebenso schnell und ebenso konsequent zu machen. Wer die Basics beherrscht, ist auch gegen die beschleunigte Variante der bekannten Angriffe weit besser aufgestellt als jeder, der auf das nächste Wundermittel wartet.

Häufig gestellte Fragen (FAQ)

Gibt es wirklich schon KI-gesteuerte Viren?

Ja, aber im Frühstadium. Die Google Threat Intelligence Group dokumentierte 2025 Malware-Familien wie PROMPTFLUX, die während der Ausführung ein Sprachmodell abfragen, um ihren Code umzuschreiben und Erkennung zu umgehen. Google betont allerdings, dass PROMPTFLUX sich in einer Testphase befindet und noch keine Netzwerke kompromittieren kann. Es handelt sich also um einen ernstzunehmenden Frühindikator, nicht um eine ausgereifte Massenbedrohung.

Was war der erste KI-orchestrierte Cyberangriff?

Im November 2025 berichtete Anthropic, im September 2025 eine Spionagekampagne gestört zu haben, die laut eigener Einschätzung von einer chinesischen staatlich geförderten Gruppe (GTG-1002) ausging. Die Angreifer brachten das Werkzeug Claude Code dazu, rund 80 bis 90 Prozent der taktischen Arbeit autonom auszuführen. Etwa 30 Organisationen waren Ziel, einige Angriffe waren erfolgreich. Teile der Sicherheits-Community bewerten den Autonomiegrad allerdings kritisch.

Erfindet KI völlig neue Angriffsmethoden?

Überwiegend nein. Der wichtigste Befund der großen Reports 2026 ist, dass KI keine grundlegend neuen Methoden schafft, sondern bestehende beschleunigt und skaliert. Aufklärung wird schneller, Phishing authentischer, Verschleierung anpassungsfähiger. IBM bringt es auf die Formel: Angreifer erfinden ihr Drehbuch nicht neu, sie spielen es schneller ab.

Wie gefährlich sind Deepfakes für Unternehmen?

Sehr gefährlich, weil sie etablierte Vertrauenssignale aushebeln. Im Fall des Ingenieurbüros Arup überwies ein Mitarbeiter Millionen, nachdem er in einer Videokonferenz mit KI-generierten Deepfakes seiner Kollegen getäuscht wurde. Das FBI stuft Deepfake-gestützten Betrug als eine der am schnellsten wachsenden Bedrohungskategorien ein. Schutz bieten vor allem klare Freigabeprozesse mit Rückversicherung über einen zweiten Kanal.

Welche Cyber-Abwehr schützt 2026 am besten?

Es gibt kein Einzelprodukt, sondern eine Kombination bewährter Grundlagen: Zero Trust als Architektur (kontinuierliche Verifizierung, Netzwerksegmentierung), schnelles und priorisiertes Patchen internetseitiger Systeme, lückenlose Asset-Transparenz, verhaltensbasierte Erkennung (EDR/XDR) statt signaturbasiertem Virenschutz, gehärtete Lieferketten und geschulte Mitarbeiter. Entscheidend ist die konsequente, automatisierte Umsetzung.

Reicht klassischer Virenschutz noch aus?

Nein. Signaturbasierter Virenschutz erkennt Malware anhand bekannter Muster. Gegen Schadsoftware, die ihren Code laufend umschreibt, ist dieser Ansatz weitgehend wirkungslos. Erforderlich sind verhaltensbasierte Systeme (EDR/XDR), die Anomalien und verdächtiges Verhalten erkennen. Auch diese haben Grenzen, weil sie oft auf menschliches Angriffstempo kalibriert sind – weshalb begleitend Zero Trust den Schadensradius begrenzen sollte.

Warum ist Patch-Management plötzlich so wichtig?

Weil die Ausnutzung von Schwachstellen 2025 laut IBM zur häufigsten Angriffsursache wurde (40 Prozent der Vorfälle) und KI das Auffinden verwundbarer Systeme drastisch beschleunigt. Mehr als die Hälfte der ausgenutzten Lücken erforderte keine Authentifizierung. Das Zeitfenster zwischen Bekanntwerden und Ausnutzung einer Schwachstelle schrumpft, weshalb schnelles, automatisiertes Patchen die wirksamste Einzelmaßnahme ist.

Sind kleine und mittlere Unternehmen überhaupt betroffen?

Ja, zunehmend. Durch sinkende Einstiegshürden – die Zahl aktiver Ransomware-Gruppen stieg laut IBM um 49 Prozent – nehmen auch kleinere, opportunistische Akteure am Geschehen teil. KI-gestützte Automatisierung erlaubt es Angreifern, viele Ziele gleichzeitig zu attackieren, statt sich auf wenige Großkonzerne zu konzentrieren. Gerade KMU mit knappen Sicherheitsressourcen sollten daher bei den Grundlagen ansetzen.