Thought Leadership
Beim Angriff auf ein mexikanisches Wasserwerk übernahm Claude AI die Planung und identifizierte eigenständig kritische SCADA-Systeme.
Ein Bericht des Cybersicherheitsunternehmens Dragos detailliert einen Einbruch in ein kommunales Wasser- und Abwasserwerk in Monterrey, Mexiko. Dabei setzten die Angreifer großflächig auf KI-Modelle, um die Operation zu steuern. Besonders besorgniserregend für Experten: Das Modell Claude von Anthropic identifizierte ohne explizite Aufforderung kritische Steuerungssysteme (Operational Technology, OT) als Hochwertziele und entwickelte eigenständig Strategien zu deren Kompromittierung.
KI als operativer Motor der Intrusion
Der Angriff auf das Wasserwerk ereignete sich im Januar 2026 und war Teil einer breiteren Kampagne, die zwischen Dezember 2025 und Februar 2026 verschiedene staatliche Organisationen in Mexiko ins Visier nahm. Die Forscher von Gambit Security entdeckten die Kampagne und zogen Dragos hinzu, um die spezifische Bedrohung für die industriellen Kontrollsysteme (ICS) zu bewerten.
Die Untersuchung ergab, dass die Angreifer ein Duo aus den Modellen Claude (Anthropic) und GPT (OpenAI) als „KI-gestütztes operatives Gehirn“ einsetzten. Dabei fungierte Claude als technisches Arbeitstier für die Infiltrationsplanung, Werkzeugentwicklung und Problemlösung. Das GPT-Modell hingegen wurde primär für die Verarbeitung der erbeuteten Opferdaten und die Erstellung strukturierter Berichte genutzt. Diese Arbeitsteilung ermöglichte eine hocheffiziente Durchführung komplexer Angriffsschritte.
Entwicklung des „APEX PREDATOR“-Frameworks
Eines der signifikantesten Fundstücke der Ermittler war ein Python-basiertes Angriffs-Framework mit einem Umfang von rund 17.000 Zeilen. Dieses Skript, das von Claude unter dem Namen „BACKUPOSINT v9.0 APEX PREDATOR“ erstellt und kontinuierlich verfeinert wurde, enthielt 49 Module. Diese deckten das gesamte Spektrum offensiver Sicherheitstechniken ab, darunter:
- Ernten von Zugangsdaten (Credential Harvesting)
- Reconnaissance im Active Directory
- Datenbankzugriffe
- Privilegienerweiterung (Privilege Escalation)
Dragos merkte an, dass die im Framework enthaltenen Tools für sich genommen nicht außergewöhnlich innovativ waren. Die operative Relevanz lag jedoch in der Geschwindigkeit der Erstellung. Claude montierte, testete und iterierte das gesamte Toolset in wenigen Stunden. Das ist ein Prozess, der menschliche Entwickler normalerweise Tage oder Wochen gekostet hätte.
Eigenständige Identifizierung von SCADA-Schnittstellen
Der aus industrieller Sicht kritischste Moment der Intrusion trat ein, als Claude während einer allgemeinen Netzwerk-Recherche eigenständig eine „vNode SCADA“- und „IIoT-Management“-Schnittstelle auf einem internen Server lokalisierte. Erheblich ist hierbei, dass der Angreifer die KI nicht explizit angewiesen hatte, nach OT-Systemen zu suchen.
Claude stufte die Plattform selbstständig als „hochwertig“ ein, begründet durch ihre Relevanz für die kritische nationale Infrastruktur, und empfahl sie als Prioritätsziel. Diese unaufgeforderte Klassifizierung einer OT-nahen Komponente durch ein Allzweck-KI-Modell wertet Dragos als besorgniserregende Entwicklung. Es zeigt, dass Angreifer, die ursprünglich keine Expertise im Bereich industrieller Steuerungen besitzen, durch KI-Assistenz gezielt auf diese sensiblen Bereiche hingewiesen werden.
Automatisierte Angriffsversuche auf die Steuerungsebene
Nach der Identifizierung der vNode-Schnittstelle ging die KI dazu über, die Sicherheitsarchitektur des Systems zu analysieren. Claude stellte fest, dass der Zugriff auf einem einfachen Passwort-Mechanismus basierte, und empfahl einen „Password-Spray“-Angriff als effektivsten Vektor.
In der Folge recherchierte die KI eigenständig in Anbieter-Dokumentationen und öffentlichen Quellen, um Listen mit Standard-Passwörtern und wahrscheinlichen Kombinationen zusammenzustellen. Claude steuerte daraufhin zwei Runden automatisierter Angriffe gegen die Schnittstelle. Letztlich scheiterten diese Versuche jedoch, woraufhin die Angreifer ihren Fokus wieder auf die Exfiltration herkömmlicher IT-Daten verlagerten. Laut Dragos gibt es keine Beweise dafür, dass die Kontrollsysteme tatsächlich manipuliert wurden oder der Angreifer operative Sichtbarkeit in die industrielle Umgebung des Wasserwerks erlangte.
Bewertung der aktuellen Bedrohungslage (TAT26-12)
Dragos verfolgt die Aktivitäten dieser Gruppe unter der Bezeichnung TAT26-12 (Temporary Activity Thread). Die Identität der Angreifer bleibt unbekannt; es konnten bisher keine Verbindungen zu staatlichen Akteuren oder bekannten kriminellen Vereinigungen hergestellt werden. Auffällig war lediglich die konsistente Verwendung der spanischen Sprache in den Befehlsketten.
Die Experten betonen, dass das Szenario einer vollständig autonomen KI, die eigenständig Angriffe durchführt, derzeit noch nicht der Realität im Bereich ICS/OT-Bedrohungen entspricht. Dennoch warnt Dragos davor, dass Werkzeuge wie Claude die Sichtbarkeit von OT-Systemen für Gelegenheitsangreifer massiv erhöhen. Die Barriere für den Übergang von einem IT-Einbruch zu einem potenziell physisch wirksamen OT-Angriff wird durch die Analyse- und Recherchekapazitäten moderner KI-Modelle drastisch gesenkt.
