Die Diskussion über Künstliche Intelligenz konzentriert sich häufig auf Produktivität, Automatisierung oder regulatorische Anforderungen. Weniger Beachtung findet dagegen eine Entwicklung, die für Unternehmen bereits heute erhebliche praktische Auswirkungen hat: KI verändert die Geschwindigkeit und Dynamik von Cyberangriffen grundlegend.
Nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beschränkt sich diese Entwicklung nicht auf einzelne Angriffsmethoden. Vielmehr verändert Künstliche Intelligenz den gesamten Lebenszyklus von Schwachstellen – von ihrer Entdeckung über die Entwicklung von Exploits bis hin zur Durchführung von Angriffen. Dadurch verkürzt sich die verfügbare Reaktionszeit für Organisationen erheblich.
Die eigentliche Herausforderung besteht daher nicht allein im Einsatz von KI durch Angreifer. Entscheidend ist vielmehr, dass bisher etablierte Annahmen über Reaktionszeiten und Sicherheitsprozesse zunehmend an ihre Grenzen stoßen. Unternehmen müssen ihre organisatorischen und technischen Abläufe an eine Bedrohungslage anpassen, die sich deutlich schneller entwickelt als noch vor wenigen Jahren.
KI verändert nicht nur Angriffe – sondern die gesamte Bedrohungslage
Künstliche Intelligenz ermöglicht es Angreifern, große Mengen an Quellcode oder öffentlich erreichbaren Systemen innerhalb kurzer Zeit automatisiert zu analysieren. Moderne Sprachmodelle können dabei unterstützen,
- Schwachstellen zu identifizieren,
- Exploit-Code zu erzeugen,
- bekannte Angriffstechniken anzupassen und
- verschiedene Schwachstellen miteinander zu kombinieren.
Nach Auffassung des BSI entsteht dadurch eine strukturelle Veränderung der Cybersicherheitslage. Während Angreifer von Automatisierung, Skalierung und Geschwindigkeit profitieren, bleiben Unternehmen weiterhin an organisatorische Abläufe gebunden. Dazu gehören beispielsweise Freigabeprozesse, Wartungsfenster, Testverfahren, Herstellerabhängigkeiten oder begrenzte personelle Ressourcen.
Gerade diese unterschiedlichen Geschwindigkeiten führen dazu, dass Verteidiger zunehmend unter Zeitdruck geraten.
Warum klassische Reaktionszeiten nicht mehr ausreichen
Viele Organisationen arbeiten bereits heute mit etablierten Prozessen für Schwachstellenmanagement und Patchmanagement. Diese bleiben auch künftig unverzichtbar. Allerdings weist das BSI darauf hin, dass sich die Anforderungen an diese Prozesse deutlich verändern.
Neue Sicherheitslücken können künftig wesentlich schneller identifiziert und ausgenutzt werden. Gleichzeitig steigt die Zahl veröffentlichter Schwachstellen kontinuierlich an. Unternehmen müssen daher in der Lage sein,
- neue Schwachstellen kurzfristig zu bewerten,
- ihre eigene Betroffenheit schnell festzustellen,
- Prioritäten risikoorientiert zu setzen und
- notwendige Maßnahmen deutlich früher einzuleiten.
Nach Einschätzung des BSI reichen Reaktionszeiten von mehreren Tagen künftig häufig nicht mehr aus. Stattdessen müssen viele Bewertungen innerhalb weniger Stunden erfolgen. Gleichzeitig warnt das BSI davor, vollständig automatisierte Patchprozesse ohne vorherige Prüfung einzusetzen, da diese selbst erhebliche betriebliche Risiken verursachen können.
Damit wird deutlich: Nicht jede Beschleunigung bedeutet automatisch mehr Sicherheit. Entscheidend bleibt eine ausgewogene Verbindung aus Automatisierung, technischer Bewertung und organisatorischer Steuerung.
Mehr Schwachstellen bedeuten nicht automatisch mehr Sicherheit
Auf den ersten Blick könnte angenommen werden, dass eine schnellere Identifikation von Schwachstellen grundsätzlich positiv ist. Tatsächlich weist das BSI jedoch auf einen gegenteiligen Effekt hin.
Je schneller Sicherheitslücken erkannt werden, desto schneller können sie auch durch Angreifer analysiert werden. Aus veröffentlichten Sicherheitsupdates lassen sich teilweise innerhalb weniger Stunden Rückschlüsse auf die zugrunde liegende Schwachstelle ziehen. Diese Informationen können wiederum zur Entwicklung neuer Exploits genutzt werden.
Besonders kritisch wird diese Entwicklung, wenn zwischen Veröffentlichung einer Sicherheitslücke und Installation des entsprechenden Patches in Unternehmen mehrere Tage oder Wochen liegen. Genau diese Zeitspanne schrumpft nach Einschätzung des BSI zunehmend.
Hinzu kommt ein weiterer Aspekt: Das BSI verweist auf eine steigende Bedeutung sogenannter Zero-Day-Angriffe. Dabei werden Schwachstellen bereits ausgenutzt, bevor Sicherheitsupdates verfügbar sind oder bevor Unternehmen Gelegenheit haben, diese einzuspielen.
Social Engineering entwickelt sich ebenfalls weiter
Nicht nur technische Angriffe profitieren von Künstlicher Intelligenz. Auch Social-Engineering-Angriffe verändern sich erheblich.
KI ermöglicht die Erstellung überzeugender Phishing-Nachrichten, personalisierter Angriffe sowie den Einsatz künstlich erzeugter Stimmen oder Deepfake-Videos. Öffentlich verfügbare Informationen aus Unternehmenswebseiten oder sozialen Netzwerken können dabei automatisiert ausgewertet und für gezielte Angriffe genutzt werden. Dadurch sinkt der Aufwand für Angreifer erheblich, während die Erkennung solcher Angriffe für Beschäftigte schwieriger wird.
Gerade deshalb bleibt die Sensibilisierung von Mitarbeitenden ein wesentlicher Bestandteil der Informationssicherheit. Technische Schutzmaßnahmen allein können Social Engineering nicht vollständig verhindern.
KI-Systeme erweitern selbst die Angriffsfläche
Die Auswirkungen Künstlicher Intelligenz beschränken sich nicht auf die Nutzung durch Angreifer. Auch Unternehmen, die KI-Systeme produktiv einsetzen, schaffen neue potenzielle Angriffsflächen.
Das BSI weist darauf hin, dass insbesondere große Sprachmodelle (Large Language Models, LLMs) und darauf aufbauende Anwendungen neue Klassen von Schwachstellen mit sich bringen. Hierzu zählen unter anderem sogenannte Prompt Injections und Indirect Prompt Injections. Dabei versuchen Angreifer, das Verhalten eines KI-Systems gezielt zu beeinflussen – entweder durch direkte Eingaben oder durch versteckte Anweisungen in Dokumenten, Webseiten oder E-Mails, die später vom KI-System verarbeitet werden.
Besonders kritisch wird dies, wenn KI-Systeme nicht mehr ausschließlich Antworten erzeugen, sondern eigenständig Aktionen ausführen können. Agentische Systeme, die mit weiteren Anwendungen, Schnittstellen (APIs) oder automatisierten Workflows verbunden sind, erhöhen die möglichen Auswirkungen erfolgreicher Angriffe erheblich.
Unternehmen sollten KI-Anwendungen deshalb nicht als isolierte Werkzeuge betrachten, sondern wie andere sicherheitskritische IT-Systeme behandeln. Dazu gehören unter anderem geeignete Berechtigungskonzepte, technische Schutzmaßnahmen, eine Trennung besonders sensibler Bereiche sowie die sorgfältige Auswahl vertrauenswürdiger Softwarequellen.
„Assume Breach“ – ein verändertes Sicherheitsverständnis
Eine wesentliche Botschaft des BSI lautet, dass Sicherheitsverantwortliche ihre Denkweise anpassen müssen.
Während bislang häufig der Fokus darauf lag, Angriffe vollständig zu verhindern, gewinnt zunehmend der Grundsatz „Assume Breach“ an Bedeutung. Dahinter steht die Annahme, dass Angriffe trotz umfangreicher Schutzmaßnahmen erfolgreich sein können und Organisationen deshalb jederzeit in der Lage sein müssen, eine Kompromittierung schnell zu erkennen und angemessen darauf zu reagieren.
Dieser Ansatz bedeutet keineswegs, auf Prävention zu verzichten. Vielmehr ergänzt er klassische Schutzmaßnahmen um die Fähigkeit,
- Angriffe frühzeitig zu erkennen,
- deren Auswirkungen möglichst gering zu halten,
- kompromittierte Systeme schnell zu identifizieren und
- den Normalbetrieb zügig wiederherzustellen.
Damit verschiebt sich der Schwerpunkt von einer rein präventiven Sicherheitsstrategie hin zu einem ganzheitlichen Sicherheitsmanagement.
Welche Maßnahmen empfiehlt das BSI?
Das BSI betont ausdrücklich, dass die empfohlenen Maßnahmen grundsätzlich bekannt sind. Neu ist jedoch die Dringlichkeit, mit der sie umgesetzt und kontinuierlich weiterentwickelt werden müssen. IT-Sicherheit wird damit noch stärker zu einer Managementaufgabe, die ausreichende personelle und finanzielle Ressourcen benötigt.
Im Mittelpunkt stehen insbesondere folgende Handlungsfelder.
Die eigene Angriffsfläche kennen
Unternehmen benötigen jederzeit einen aktuellen Überblick über ihre eingesetzten Systeme, Anwendungen und extern erreichbaren Dienste. Nur wenn bekannt ist, welche Systeme betrieben werden und wie sie erreichbar sind, kann die Betroffenheit bei neu veröffentlichten Schwachstellen kurzfristig bewertet werden.
Das BSI empfiehlt unter anderem,
- vollständige Asset-Inventare zu pflegen,
- unnötig exponierte Systeme zu vermeiden,
- Managementzugänge konsequent abzusichern,
- Netzwerke sinnvoll zu segmentieren und
- regelmäßig Penetrationstests durchzuführen.
Dabei verfolgt das sogenannte External Attack Surface Management (EASM) das Ziel, die von außen sichtbare Angriffsfläche einer Organisation systematisch zu überwachen und möglichst klein zu halten.
Patchmanagement neu denken
Ein wirksames Patchmanagement bleibt eine der wichtigsten Schutzmaßnahmen. Allerdings reicht es künftig nicht mehr aus, Sicherheitsupdates lediglich regelmäßig einzuspielen.
Vielmehr müssen Organisationen ihre Priorisierung stärker an den tatsächlichen Risiken der eigenen Infrastruktur ausrichten. Das BSI empfiehlt unter anderem,
- exponierte Systeme bevorzugt zu behandeln,
- Reaktionszeiten deutlich zu verkürzen,
- Schwachstellen nicht ausschließlich anhand des CVSS-Basiswertes zu bewerten,
- auch Verkettungen mehrerer Schwachstellen zu berücksichtigen und
- Notfallmaßnahmen für besonders kritische Fälle vorzubereiten.
Gerade der Hinweis auf die Grenzen rein technischer Bewertungssysteme ist bemerkenswert. KI kann mehrere für sich genommen weniger kritische Schwachstellen miteinander kombinieren und dadurch komplexe Angriffspfade ermöglichen. Eine risikoorientierte Bewertung gewinnt deshalb weiter an Bedeutung.
Erkennung und Vorfallsbearbeitung stärken
Da Angriffe künftig schneller erfolgen können, steigt gleichzeitig die Bedeutung einer frühzeitigen Erkennung.
Das BSI empfiehlt deshalb unter anderem,
- ein umfassendes Monitoring der IT-Systeme,
- aussagekräftige Protokollierung,
- externe Speicherung von Logdaten,
- den Einsatz von SIEM-Lösungen zur automatisierten Auswertung,
- moderne Endpunktschutzlösungen wie EDR oder XDR sowie
- etablierte Prozesse für Incident Response.
Dabei geht es nicht ausschließlich um technische Werkzeuge. Ebenso wichtig sind organisatorisch definierte Abläufe, klare Verantwortlichkeiten und ausreichende personelle Kapazitäten, um Sicherheitsvorfälle tatsächlich bearbeiten zu können.
Bewährte Sicherheitsmaßnahmen behalten ihre Bedeutung
Trotz aller Veränderungen macht das BSI deutlich, dass etablierte Sicherheitsmaßnahmen keineswegs an Bedeutung verlieren. Im Gegenteil: Viele Grundlagen gewinnen durch die beschleunigte Bedrohungslage zusätzlich an Relevanz.
Dazu gehören insbesondere:
- das Prinzip der minimalen Rechtevergabe (Least Privilege),
- Multi-Faktor-Authentifizierung,
- Systemhärtung nach Herstellerempfehlungen,
- belastbare Backup-Strategien,
- Netzwerksegmentierung,
- die Trennung von Entwicklungs- und Produktivumgebungen,
- Schutz vor Supply-Chain-Angriffen sowie
- regelmäßige Sensibilisierung gegen Social Engineering und Phishing.
Diese Maßnahmen bilden weiterhin das Fundament einer wirksamen IT-Sicherheit. KI ersetzt diese Grundlagen nicht – sie macht ihre konsequente Umsetzung vielmehr noch wichtiger.
Was bedeutet das konkret für Unternehmen?
Die aktuelle Entwicklung macht deutlich, dass Cybersicherheit heute nicht mehr ausschließlich eine technische Fragestellung ist. Vielmehr handelt es sich um eine organisatorische Managementaufgabe, die Prozesse, Verantwortlichkeiten und Entscheidungswege gleichermaßen betrifft.
Unternehmen sollten ihre bestehenden Sicherheitsmaßnahmen deshalb nicht grundsätzlich neu erfinden. Viel wichtiger ist die kritische Überprüfung, ob bestehende Prozesse noch zu der deutlich höheren Dynamik der aktuellen Bedrohungslage passen.
Dazu gehören beispielsweise folgende Fragestellungen:
- Ist bekannt, welche Systeme und Anwendungen tatsächlich betrieben werden?
- Lassen sich neue Schwachstellen kurzfristig der eigenen IT-Landschaft zuordnen?
- Sind Verantwortlichkeiten für sicherheitsrelevante Entscheidungen eindeutig geregelt?
- Können kritische Sicherheitsupdates innerhalb angemessener Zeit bewertet und umgesetzt werden?
- Bestehen geeignete Verfahren zur Erkennung und Behandlung von IT-Sicherheitsvorfällen?
- Werden Mitarbeitende regelmäßig für moderne Social-Engineering-Angriffe sensibilisiert?
Dabei ist zwischen verschiedenen Themenfeldern zu unterscheiden:
- Cybersicherheit beschreibt den Schutz vor Bedrohungen aus dem Cyberraum und umfasst technische sowie organisatorische Maßnahmen.
- IT-Sicherheit konzentriert sich auf den Schutz von IT-Systemen, Netzwerken und Anwendungen.
- Informationssicherheit verfolgt einen umfassenderen Ansatz und schützt Informationen unabhängig davon, ob sie digital, papiergebunden oder mündlich verarbeitet werden. Sie berücksichtigt neben technischen Aspekten insbesondere organisatorische Prozesse, Verantwortlichkeiten und Risikomanagement.
Gerade dieser ganzheitliche Blick gewinnt durch den zunehmenden Einsatz Künstlicher Intelligenz weiter an Bedeutung. Die Herausforderung besteht nicht allein darin, neue Technologien einzusetzen oder einzelne Sicherheitsmaßnahmen zu verschärfen. Entscheidend ist vielmehr, dass Organisationen ihre Sicherheitsarchitektur kontinuierlich an neue Rahmenbedingungen anpassen.
KI ist nicht nur Risiko, sondern auch Chance
Bei aller berechtigten Aufmerksamkeit für neue Bedrohungen weist das BSI ausdrücklich darauf hin, dass Künstliche Intelligenz auch erhebliche Potenziale für die IT-Sicherheit bietet.
So können KI-Systeme beispielsweise dabei unterstützen,
- Quellcode bereits während der Entwicklung auf Schwachstellen zu analysieren,
- Sicherheitslücken schneller zu identifizieren,
- IT-Infrastrukturen automatisiert zu überprüfen,
- Inventare aktuell zu halten,
- Routinetätigkeiten im Sicherheitsbetrieb zu unterstützen oder
- die Analyse sicherheitsrelevanter Ereignisse zu beschleunigen.
Gleichzeitig betont das BSI, dass KI menschliche Entscheidungen nicht ersetzen sollte. KI kann Sicherheitsprozesse sinnvoll unterstützen, sie entbindet Organisationen jedoch nicht von ihrer Verantwortung für Risikobewertungen, Governance und angemessene Kontrollmechanismen.
Gerade hierin liegt eine wichtige Erkenntnis für Unternehmen: Der Mehrwert entsteht nicht allein durch den Einsatz neuer Werkzeuge, sondern durch deren strukturierte Einbettung in bestehende Sicherheits- und Governance-Prozesse.
Fazit
Künstliche Intelligenz verändert die Cybersicherheitslage nachhaltig. Die eigentliche Herausforderung liegt jedoch nicht darin, dass neue Angriffsmethoden entstehen, sondern dass sich deren Geschwindigkeit, Skalierbarkeit und Automatisierung deutlich erhöhen.
Für Unternehmen bedeutet dies, dass etablierte Sicherheitsmaßnahmen keineswegs an Bedeutung verlieren. Im Gegenteil: Asset-Management, Patchmanagement, Protokollierung, Netzwerksegmentierung, Multi-Faktor-Authentifizierung, Sensibilisierung sowie strukturierte Prozesse zur Vorfallsbearbeitung bilden weiterhin die Grundlage einer wirksamen Informations- und IT-Sicherheit. Neu ist vor allem die Geschwindigkeit, mit der diese Prozesse funktionieren müssen.
Cybersicherheit entwickelt sich damit zunehmend zu einer strategischen Führungsaufgabe. Technische Maßnahmen bleiben unverzichtbar, entfalten ihre Wirkung jedoch nur dann vollständig, wenn sie durch klare Verantwortlichkeiten, belastbare Prozesse und ein wirksames Risikomanagement ergänzt werden.
Einordnung bei Projekt86
Ein strukturierter Umgang mit den Auswirkungen Künstlicher Intelligenz auf die Cybersicherheit schafft Orientierung und unterstützt Unternehmen dabei, Risiken frühzeitig zu erkennen und Sicherheitsmaßnahmen zielgerichtet weiterzuentwickeln. Dabei stehen nicht einzelne Technologien im Mittelpunkt, sondern belastbare Prozesse, klare Verantwortlichkeiten und eine angemessene Governance.
Der Projekt86-Newsletter informiert etwa alle zwei Wochen über neue Fachbeiträge aus den Bereichen Datenschutz, Informationssicherheit, KI-Governance und Compliance.