Thought Leadership
KI entdeckt Sicherheitslücken schneller, als Menschen sie schließen können. Wer auf monatliche Updates setzt, verliert den Anschluss bei der KI-Cybersicherheit.
Die Geschwindigkeit, mit der KI-Modelle wie Anthropic Mythos Zero-Day-Lücken aufdecken, stellt die KI-Cybersicherheit vor Herausforderungen. Sophos-Analysen verdeutlichen, dass Angreifer durch KI-Unterstützung nur noch Stunden für funktionierende Exploits benötigen. Unternehmen müssen nun von monatlichen Patch-Zyklen auf Hotfixing umstellen und ihr „digitales Geröll“ an der Netzwerkperipherie beseitigen, um gegen die automatisierte Bedrohung zu bestehen.
Der Zusammenbruch der herkömmlichen Schwachstellen-Ökonomie
Die KI-Cybersicherheit steht vor einer Herausforderung, die das bisherige Modell von Entdeckung, Meldung und Behebung aus den Angeln hebt. Der Security-Researcher Thomas Ptacek argumentierte kürzlich, dass die Schwachstellenforschung in ihrer jetzigen Form am Ende sei. Sein Argument: KI-Agenten werden die Verteidiger bald mit einem stetigen Strom validierter, ausnutzbarer und hochgradig kritischer Schwachstellen überfluten, und zwar schneller, als es ein Mensch jemals patchen könnte. Die zentrale Frage lautet daher nicht mehr, ob diese Flut kommt, sondern ob die Infrastrukturen, auf denen unser digitales Leben basiert, sie absorbieren können.
Die technologische Grundlage für diesen Wandel ist bereits Realität. Die Preview von Anthropic Claude Mythos hat bereits Tausende von Zero-Day-Schwachstellen in allen gängigen Betriebssystemen und Webbrowsern entdeckt. Besonders alarmierend ist die Erfolgsquote von 72,4 % bei der Entwicklung funktionierender Exploits. Viele dieser Lücken waren über Jahrzehnte im Quellcode verborgen. Damit verschiebt KI die Ökonomie der Ausnutzung von Schwachstellen radikal zugunsten der Angreifer. Wo früher hochspezialisierte Forscher Wochen für eine einzelne Lücke benötigten, liefern KI-Modelle heute verwertbare Ergebnisse in industriellem Maßstab.
Die technologische Grundlage für diesen Wandel in der KI-Cybersicherheit ist bereits Realität. Die Preview von Anthropic Claude Mythos hat bereits Tausende von Zero-Day-Schwachstellen in allen gängigen Betriebssystemen und Webbrowsern entdeckt. Besonders alarmierend ist die Erfolgsquote von 72,4 % bei der Entwicklung funktionierender Exploits. Viele dieser Lücken waren über Jahrzehnte im Quellcode verborgen. Damit verschiebt KI die Ökonomie der Ausnutzung von Schwachstellen radikal zugunsten der Angreifer. Wo früher hochspezialisierte Forscher Wochen für eine einzelne Lücke benötigten, liefern KI-Modelle heute verwertbare Ergebnisse in industriellem Maßstab.
Vom Experiment zur Realität: OpenClaw im Praxistest
Um das Potenzial dieser Entwicklung zu verstehen, hat Sophos in einer Red-Teaming-Übung das hauseigene Modell „OpenClaw“ auf ein internes Legacy-Netzwerk angesetzt. Die Ergebnisse waren ernüchternd: Unter Verwendung von Frontier-Modellen der Generation vor Mythos und spezifischen, intern entwickelten Fähigkeiten konnte die KI die Aufklärungsphase im Active Directory von drei Tagen auf drei Stunden komprimieren. Aus einem einzigen Benutzerkonto ohne Privilegien generierte der Agent 23 umsetzbare Befunde, darunter kritische Pfade zur Eskalation auf Domain-Admin-Ebene.
Der entscheidende Vorteil war hierbei nicht nur die Geschwindigkeit, sondern die Struktur der Ergebnisse. Die KI generierte einen detaillierten Audit-Trail, der es den Detection-Teams ermöglichte, die Abdeckung fast sofort zu validieren. Ein Übergabeprozess, der normalerweise Wochen dauert, wurde auf ein Minimum reduziert. Wenn dies der aktuelle Stand bei vorsichtiger Orchestrierung ist, müssen Unternehmen damit rechnen, dass künftige Generationen von KI, gesteuert durch Akteure mit böswilligen Absichten, die Sicherheit der Netzwerkperipherie in Echtzeit testen und brechen werden.
Das Erbe von Pacific Rim und das Problem des digitalen Gerölls
Die Gefahr für die KI-Cybersicherheit ist nicht theoretisch. Sophos hat durch die Untersuchung „Pacific Rim“ dokumentiert, was passiert, wenn motivierte Gegner Zugriff auf eine zuverlässige Versorgung mit Zero-Day-Lücken für Edge-Geräte haben. Über fünf Jahre hinweg koordinierten mehrere staatlich unterstützte chinesische Gruppen Angriffe auf kritische Infrastrukturen, darunter Energieversorger, Militärkrankenhäuser und Ministerien.
Was Pacific Rim so lehrreich machte, war nicht allein die Raffinesse der Angriffe, sondern das, was sie ermöglichte: das sogenannte „digitale Geröll“. Damit ist eine massive, aber fast unsichtbare Menge an veralteten (End-of-Life), ungepatchten und vergessenen Netzwerkgeräten gemeint, die an der Peripherie von Tausenden von Organisationen stehen. Diese Geräte fungieren als permanente Brückenköpfe, da sie faktisch nie aktualisiert werden. In Kombination mit KI, die nun in der Lage ist, Exploits innerhalb von Stunden statt Wochen zu generieren, verwandelt sich dieses digitale Geröll in eine tödliche Gefahr für die gesamte Netzwerkintegrität und die KI-Cybersicherheit.
Wenn die Mathematik der Verteidigung bricht
Der Sophos Active Adversary Report 2026 zeigt eine klare Tendenz: Die Ausnutzung von Schwachstellen war in 16 % der untersuchten Fälle der Weg für den Erstzugriff, dicht gefolgt von Brute-Force-Angriffen mit 15,6 %. Die mediane Verweildauer der Angreifer im Netzwerk ist auf nur noch drei Tage gesunken. Das Fenster zwischen der Offenlegung einer Schwachstelle und ihrer aktiven Ausnutzung schrumpft kontinuierlich. „Wir haben uns mit Sandboxing und der Einschränkung der Angriffsfläche Zeit erkauft, aber mehrschichtige Systeme aus Sandboxes, Kerneln, Hypervisoren und IPC-Schemata sind im Grunde nur iterierte Versionen desselben Problems. Jede Schicht ist ein weiteres Ziel für eine KI, die weder müde wird noch sich langweilt“, heißt es in der Studie.
Wenn ein KI-Modell einen Patch-Diff lesen und einen funktionierenden Exploit erstellen kann, bevor die meisten Unternehmen überhaupt ihren Change-Control-Prozess für die Aktualisierung gestartet haben, werden traditionelle Patch-Zyklen zu einer Belastung und nicht mehr zu einer Verteidigung. Das bisherige Zeitmanagement der Cybersicherheit ist gegenüber der KI-gesteuerten Offensive nicht mehr haltbar.
Hotfixing und Transparenz als neue Verteidigungsanker
Um unter dem anhaltenden Druck standzuhalten, müssen Anbieter die Verantwortung für das Patch-Problem übernehmen. Während Pacific Rim wurde deutlich, dass diejenigen Geräte am anfälligsten waren, deren Hersteller keinen Mechanismus für schnelle, transparente Updates besaßen. Ein zukunftsweisender Ansatz ist die Hotfix-Fähigkeit, die kritische Patches „over-the-air“ einspielt, ohne dass ein Firmware-Upgrade oder ein Neustart erforderlich ist.
Neben der technischen Umsetzung ist Vertrauen die Währung der KI-Cybersicherheit. Die Studie „Cybersecurity Trust Reality 2026“ zeigt jedoch ein alarmierendes Bild: Nur 5 % der Organisationen vertrauen ihren Sicherheitsanbietern vollumfänglich. Vertrauen ist jedoch die Voraussetzung dafür, dass ein CISO automatische Hotfixes um zwei Uhr nachts akzeptiert, ohne erst ein Notfall-Gremium einzuberufen. Verifizierbare Artefakte wie Bug-Bounty-Programme, transparente Sicherheitshinweise und Drittanbieter-Zertifizierungen müssen daher zu betrieblichen Grundvoraussetzungen werden.
Handlungsempfehlungen für KI-Cybersicherheit
Die Verschiebung in der Schwachstellen-Ökonomie erfordert sofortiges Handeln.
Unternehmen sollten sich bei der Ki-Cybersicherheit auf vier Kernbereiche konzentrieren:
- Reaktionszeiten radikal verkürzen: Wer monatliche Patch-Zyklen für internetseitige Infrastrukturen beibehält, arbeitet auf geliehene Zeit. Das Patchen von Edge-Geräten muss wie eine Reaktion auf einen Sicherheitsvorfall behandelt werden. Die Zielmarke für die Behebung sollte in Stunden, nicht in Wochen gemessen werden. Automatische Hotfixing-Funktionen müssen, wo vorhanden, aktiviert werden.
- Bereinigung des digitalen Gerölls: End-of-Life-Geräte, die keine Sicherheitsupdates mehr erhalten, stellen ein permanentes Risiko dar. Kein System von Kompensationsmaßnahmen kann die Geschwindigkeit ausgleichen, mit der KI Exploits für bekannte, ungepatchte Lücken generiert. Der Austausch veralteter Hardware ist keine Budgetfrage mehr, sondern eine Entscheidung über die Risikoakzeptanz, die auf die Vorstandsebene gehört.
- Ansprüche an Anbieter erhöhen: CISOs müssen von ihren Herstellern klare Antworten fordern: Können Notfall-Patches ohne Ausfallzeiten eingespielt werden? Wie hoch ist die mediane Zeit von der Entdeckung einer Lücke bis zur Bereitstellung eines Hotfixes? Existiert ein aktives Bug-Bounty-Programm? Wenn ein Anbieter diese Fragen nicht präzise beantworten kann, muss dies in die Risikokalkulation einfließen.
- Prüfung der Peripherie voraussetzen: Angesichts der sinkenden Barrieren für die Exploit-Entwicklung ist die Frage nicht, ob Edge-Geräte angegriffen werden, sondern wann. Die Detektions- und Reaktionsfähigkeit (XDR) muss zwingend auf die Netzwerkperipherie ausgeweitet werden und darf nicht an den Endpunkten aufhören. Der Incident-Response-Plan muss das Szenario kompromittierter Edge-Infrastrukturen als realistische Bedrohung abbilden.
