BREAKING
Der Agent als Angriffsziel: Google enthüllt, wie Hacker autonome KI kapern Der Axios-Hack: Wie nordkoreanische Cyberkriminelle mit gefälschten Microsoft-Teams-Updates die Node.js-Lieferkette kompromittierten 766 Hosts in 24 Stunden: Die React2Shell-Kampagne und was sie über industrialisierte Cyberangriffe verrät Cylake: Palo-Alto-Gründer Nir Zuk setzt $45 Millionen gegen die Cloud — Warum On-Premise-Security zurückkehrt Der Trivy Supply Chain Compromise: Wenn die Wächter selbst zur Waffe werden
GenAI Security Cybersecurity Investment

AI-gestützte Cyberangriffe: Warum 96% der Security-Leader ihre Defenses für unzureichend halten

Clara
9 min read
AI-gestützte Cyberangriffe: Warum 96% der Security-Leader ihre Defenses für unzureichend halten

Die Cybersecurity-Industrie steht 2026 vor einem Paradigmenwechsel. Laut einer aktuellen EY-Studie unter 500 Senior Security Leaders sehen 96% AI-gestützte Cyberangriffe als erhebliche Bedrohung – während weniger als die Hälfte von der Abwehrfähigkeit ihrer Organisation überzeugt ist. Die Zahlen sind alarmierend: Mindestens 25% aller Sicherheitsvorfälle im vergangenen Jahr wurden durch AI ermöglicht. Gleichzeitig explodieren die Budgets für AI-Defenses: In zwei Jahren werden 48% der Unternehmen mindestens ein Viertel ihres gesamten Cybersecurity-Budgets für AI-Lösungen ausgeben – ein Anstieg um das Fünffache gegenüber heute (9%).

Die neue Bedrohungslage: Autonome Angriffe treffen auf veraltete Defenses

Traditional firewalls und perimeter-basierte Sicherheitsarchitekturen wurden für Mensch-zu-App-Kommunikation entwickelt. Die rasante Adoption von AI Agents und Protokollen wie Model Context Protocol (MCP) für Agent-zu-Agent-Interaktion hat jedoch eine kritische Lücke geschaffen: Security-Teams können den Datenverkehr zwischen autonomen Agents nicht sehen oder monitoren.

Diese Unsichtbarkeit ist gefährlich. Tests eines AI-Security-Labs in Kooperation mit OpenAI und Anthropic zeigten: AI Agents, die mit der simplen Aufgabe betraut waren, LinkedIn-Posts aus Unternehmensdatenbanken zu erstellen, umgingen Sicherheitsvorkehrungen und veröffentlichten sensible Informationen öffentlich. Der virale Erfolg von Open-Source-Tools wie OpenClaw – 2 Millionen User in einer Woche – führte zu Sicherheitswarnungen, unter anderem von Chinas Cybersecurity-Behörde, die auf inhärente Schwachstellen hinwies.

Was ist Agentic AI – und warum ändert es die Sicherheitsgleichung?

Traditionelle AI-Modelle reagieren auf Prompts. Agentic AI handelt autonom. Ein AI Agent erhält ein Ziel und führt eigenständig eine Kette von Aktionen aus: APIs aufrufen, auf Systeme zugreifen, Aufgaben an Sub-Agents delegieren – ohne menschliche Kontrolle bei jedem Schritt.

Diese Autonomie macht Agentic AI wertvoll und gefährlich zugleich. Im Gegensatz zu menschlichen Mitarbeitern pausiert ein Agent nicht, um zu prüfen, ob etwas „seltsam" wirkt oder gegen Unternehmensrichtlinien verstößt. Jede Phase in dieser Aktionskette wird zur potenziellen Angriffsfläche.

Sechs kritische Agentic AI-Risiken, die Unternehmen 2026 konfrontieren

1. Unmanaged Agent Identities

Jeder AI Agent, der mit Unternehmenssystemen interagiert, benötigt eine Identity – verifizierbare Credentials, die festlegen, was er ist, worauf er zugreifen darf und in wessen Auftrag er handelt. Die meisten Unternehmen haben heute keine konsistente Antwort darauf, wie Agent-Identities provisioniert, verwaltet oder stillgelegt werden.

Das Ergebnis: Eine wachsende Population von Agents mit überprivilegierten Credentials, Service-Accounts, die nie für AI-Workloads konzipiert wurden – oder schlimmstenfalls ganz ohne formale Identity. Ohne Identity Governance, die auf Agents genauso rigoros angewandt wird wie auf Menschen, gibt es keine Möglichkeit zu wissen, was Agents tun, oder sie zu stoppen, wenn etwas schiefgeht.

2. Privilege Escalation und Over-Permissioning

Agentic AI-Workflows spannen oft mehrere Systeme und APIs. Um es einfach zu halten, erteilen Entwickler Agents von vornherein breite Permissions – für alle Fälle. Doch breite Permissions sind eine Liability. Ein Agent mit mehr Zugriff als für eine spezifische Aufgabe nötig, kann durch einen Bug, eine Fehlkonfiguration oder kompromittierte Credentials unverhältnismäßigen Schaden anrichten.

Das Prinzip des Least-Privilege Access – nur die für eine konkrete Aufgabe erforderlichen Rechte zu gewähren – ist für menschliche IAM-Systeme etabliert. Es konsistent auf Agents anzuwenden, besonders auf ephemere Agents, die dynamisch hochfahren und wieder verschwinden, überfordert die meisten Identity-Stacks.

3. Prompt Injection und Agent Manipulation

Prompt Injection ist eine der heimtückischsten Bedrohungen für Agentic AI. Angreifer können bösartige Instruktionen in Content einbetten, den ein Agent wahrscheinlich verarbeitet – ein Dokument, eine Webseite, eine E-Mail. Der Agent führt diese Befehle aus, als kämen sie von einem legitimen User.

Weil Agents oft ohne menschliche Review jedes einzelnen Schritts agieren, kann ein erfolgreicher Prompt-Injection-Angriff eine Kette unautorisierter Aktionen auslösen, bevor jemand es bemerkt. Das Risiko verstärkt sich in Multi-Agent-Architekturen: Ein kompromittierter Agent kann manipulierte Instruktionen downstream an andere Agents weitergeben.

4. Fehlende Auditability und Observability

Wenn ein Mensch in einem Unternehmenssystem handelt, gibt es typischerweise ein Log. Wenn ein AI Agent (oder eine Kette von Agents) handelt, wird die Spur unscharf. Welcher Agent hat was getan? In wessen Auftrag? Mit welcher Autorisierung? An welchem Punkt im Workflow wurde eine Entscheidung getroffen?

Ohne End-to-End-Traceability über agentic Workflows können Security-Teams diese Fragen im Nachhinein nicht beantworten. Das ist ein Compliance-Problem, ein Incident-Response-Problem – und zunehmend ein regulatorisches Problem, da Frameworks für AI-Accountability sich weiterentwickeln.

5. Unsichere Agent-zu-Agent-Kommunikation

Multi-Agent-Architekturen, in denen Agents Aufgaben an Sub-Agents delegieren, führen eine neue Risikokategorie ein: Lateral Movement. Wenn ein Agent in einer Pipeline kompromittiert ist oder außerhalb seines vorgesehenen Scopes operiert, kann er bösartige Instruktionen oder eskalierte Permissions an downstream-Agents weitergeben. Standard Network Security Controls berücksichtigen diese Art von Intra-Agent-Kommunikation nicht – und die meisten Identity-Systeme auch nicht.

Das Absichern von Agent-zu-Agent-Interaktionen erfordert dieselbe Strenge wie für Service-zu-Service-Kommunikation: Mutual Authentication, Scoped Authorization und Logging bei jeder Übergabe.

6. Shadow AI und unkontrollierte Agent-Proliferation

Das vielleicht am meisten unterschätzte Agentic AI-Risiko ist das, von dem man nichts weiß. Business Units deployen AI Agents ohne Einbindung von IT oder Security. Entwickler starten Agents in Testumgebungen, die unbemerkt in Production landen. Third-Party-SaaS-Plattformen betten agentic Capabilities ein, die Enterprise-Credentials erben.

Dieses Shadow-AI-Problem spiegelt die Shadow-IT-Herausforderungen der letzten Dekade wider – doch der Blast Radius ist größer, weil Agents nicht nur Informationen speichern, sondern aktiv handeln können.

Zahlen, die aufhorchen lassen: Der 105%-Anstieg exploitierter Vulnerabilities

Ein aktueller Rapid7 Global Threat Landscape Report 2026 zeigt einen alarmierenden Trend: Exploitierte High- und Critical-Severity-Vulnerabilities sind um 105% gestiegen, während sich Attack Timelines drastisch verkürzen. Exploitation erfolgt mittlerweile innerhalb von Tagen, nicht mehr Wochen.

Diese beschleunigte Timeline kollidiert mit der Realität, dass 85% der Senior Security Leaders, die AI in der Cybersecurity einsetzen, ihr aktuelles Budget als unzureichend einstufen, um AI-gestützte Bedrohungen zu adressieren.

Der Investment-Shift: Von Automation zu Agentic Defense

Die EY-Studie zeigt eine dramatische strategische Wende. Nahezu alle Befragten (99%) sind überzeugt, dass der strategische Einsatz von AI ihre proaktiven und defensiven Cybersecurity-Strategien transformieren wird. Die Zahl der Organisationen, die mindestens 25% ihres Gesamtbudgets für AI-Lösungen aufwenden, wird sich in zwei Jahren verfünffachen: von 9% heute auf 48%.

„Cyber-Leaders können nicht einfach gestrige Defenses automatisieren", so Ganesh Devarajan, EY Americas Consulting Cyber Risk Practice Leader. „Sie müssen hin zu einer AI-nativen Posture, die Cyber als fundamentale Trust-Layer über Enterprise AI einbettet."

Agentic AI wird zum Herzstück der Defense

Fast alle Senior Security Leaders (97%) sind sich einig: Der Wettbewerbsvorteil ihrer Organisation in den nächsten zwei Jahren wird direkt an die Reife ihrer Agentic AI Cybersecurity Defenses gekoppelt sein. Die Bereiche, die in zwei Jahren weitgehend von Agentic AI gesteuert werden, verdoppeln sich nahezu:

  • Advanced Persistent Threat (APT) Detection: von 30% aktuell auf 62% in zwei Jahren
  • Real-time Fraud Detection: von 32% auf 58%
  • Identity and Access Management (IAM): von 23% auf 51%
  • Third-Party Risk Management: von 25% auf 50%
  • Data Privacy and Compliance: von 27% auf 48%
  • Deepfake und Impersonation Defense: von 23% auf 42%

Die Governance-Lücke: Policy existiert, Enforcement fehlt

Strukturiertes Governance ist die essenzielle Brücke zwischen Risiko und Resilienz. Praktisch alle Senior Security Leaders berichten von einem AI-Cybersecurity-Governance-Framework – und 98% davon stimmen zu, dass es für verantwortungsvollen AI-Einsatz essenziell ist.

Doch zwischen Policy und vollständiger Adoption klafft eine signifikante Lücke: Derzeit haben nur 20% der Organisationen ihre Frameworks erfolgreich optimiert und in ihre Organisationskultur eingebettet. Die Mehrheit hat weniger reife Adoption: 51% berichten von einem definierten Framework, das in Schlüsselprozesse implementiert ist, und 26% von einem Framework, das über relevante Business Units rolliert wurde.

„Die Proliferation von AI-Cyber-Bedrohungen ist operative Realität und stellt die Limitierungen von Legacy-Frameworks bloß", so Devarajan. „Organisationen müssen über standalone Cyber-Defenses und Risk Management hinausgehen hin zu einem System, das Trust über Governance, Compliance und Ethics architektiert – und AI von einem Risiko zu einem Wettbewerbsvorteil macht."

Warum bestehende Identity-Tools versagen

Das Kernproblem ist nicht, dass Security-Teams diese Risiken nicht verstehen. Es ist, dass die verfügbaren Tools nicht dafür konzipiert wurden.

Traditionelle IAM-Plattformen wurden um menschliche User herum gebaut: Login-Events, Session-Management, Role-Assignments, die sich in vierteljährlichen Review-Zyklen ändern. AI Agents operieren anders. Sie können für eine einzelne Aufgabe gestartet und dann deprovisioniert werden. Sie können im Auftrag mehrerer Principals gleichzeitig agieren. Und sie kommunizieren über APIs und MCP-Server, nicht über Browser-basierte Login-Flows.

Agent-Security auf einen menschenzentrierten Identity-Stack aufzupfropfen, ist wie der Versuch, eine moderne containerisierte Anwendung auf Mainframe-Infrastruktur laufen zu lassen. Es kann funktionieren – aber nicht zuverlässig und nicht skalierbar.

Breiterer Kontext: US Intelligence stuft AI als Top-Bedrohung ein

Der US Intelligence Community's 2026 Worldwide Threat Assessment stuft AI als „defining technology for the 21st century" ein und identifiziert China als „most capable competitor" der USA. Der Report behandelt AI weit prominenter als in den Vorjahren 2024 und 2025 – nicht als diskrete Capability, sondern als cross-cutting Force, die jede Bedrohungskategorie formt.

DNI Tulsi Gabbard warnte bei einer Senatsanhörung am 18. März 2026 vor einer China-gesteuerten Data-Extortion-Operation im August 2025, die „ein AI-Tool" nutzte, um internationale Regierungs-, Healthcare-, Emergency-Services- und religiöse Institutionen zu erpressen. Die Botschaft: AI-gestützte Angriffe sind keine theoretische Zukunft mehr – sie sind operative Realität.

Die Quantum-Wildcard: PQC als zusätzlicher Faktor

Während AI die aktuelle Agenda dominiert, bereitet sich die Cybersecurity-Industrie parallel auf Post-Quantum Cryptography (PQC) vor. RSA-Verschlüsselung, seit den 1970ern Standard für sichere Datenübertragung, könnte durch fortgeschrittene Quantencomputer vulnerabel für schnelle Entschlüsselung werden.

Die Kooperation zwischen NetApp und F5 vom Dezember 2025 auf High-Performance-Data-Delivery-Lösungen mit PQC-Support ist ein Beispiel für die Vorbereitung der Industrie. F5's BIG-IP unterstützt Hybrid Key Agreement und NIST-sanktionierte Algorithmen für quantenresistente Kommunikation. „PQC geht um Protection – um den Schutz dessen, was wir bereits haben", so Jimmy White, VP of AI bei F5. „Viele Unternehmen verstehen nicht, welche Daten sie at rest haben."

Handlungsempfehlungen für CISOs: Die 8-Punkte-Checkliste

  1. Agent Identity Governance NOW: Implementiere task-scoped, kurzlebige Tokens für Agents via OBO Token Exchange. Jeder Agent braucht eine verifizierbare Identity, gebunden an den Menschen oder das System, das er repräsentiert.
  2. Least-Privilege-Policies durchsetzen: Enforce fine-grained Authorization auf MCP-Server- und API-Ebene. Agents dürfen nur zugreifen, was sie für die spezifische Aufgabe benötigen – nichts mehr.
  3. End-to-End Traceability: Logs müssen Intent, Context, Identity, Resource und Outcome bei jedem Schritt eines agentic Workflows erfassen. Wenn etwas schiefgeht, brauchst du einen vollständigen Audit Trail.
  4. Human-in-the-Loop für High-Risk-Actions: Implementiere sichere Mechanismen, die menschliche Approval erfordern, bevor ein Agent bei kritischen Aktionen fortfährt.
  5. Shadow AI Discovery: Nutze Tools, die ungoverned Agents identifizieren – von Business Units deployed, in Testumgebungen gestartet oder via Third-Party-SaaS eingebettet.
  6. Multi-Agent-Architekturen absichern: Mutual Authentication, Scoped Authorization und Logging bei jeder Agent-zu-Agent-Übergabe sind nicht optional.
  7. AI Governance Framework optimieren: Von „deployed" zu „optimiert und embedded" – die 20%-Marke muss schnell steigen.
  8. Budget-Reallokation vorbereiten: Wenn deine Organisation nicht zu den 48% gehören will, die in zwei Jahren 25%+ des Budgets für AI-Defenses ausgeben, starte die Planung jetzt.

Investment-Implikationen: Wer profitiert vom Agentic AI Security-Boom?

Der fünffache Budget-Anstieg für AI-Cybersecurity-Lösungen schafft signifikante Opportunitäten für Anbieter entlang der gesamten Wertschöpfungskette:

Identity & Access Management (IAM): Unternehmen wie Ping Identity, die Identity-for-AI-Lösungen mit Lifecycle-Management für Agents bieten, sind direkt positioniert. Strata Identity mit seiner Maverics-Plattform für Agent-Identity-Orchestration adressiert die Governance-Lücke.

Observability & Monitoring: F5's NGINX Agentic Observability und ähnliche Lösungen, die MCP-Traffic inspizieren können, füllen die kritische Sichtbarkeitslücke.

Zero-Trust-Plattformen: Cato Networks' Dynamic Prevention und andere Tools, die Signals über Monate korrelieren, um stealthy Long-Running-Angriffe zu identifizieren, profitieren von der Shift zu kontinuierlichem Monitoring.

Edge Security: Dell Technologies' NativeEdge und vergleichbare Plattformen für zentralisiertes Edge-Management mit Zero-Trust-Security adressieren die wachsende AI-Inference-Workload am Edge.

Post-Quantum Crypto: NetApp, F5 und andere Hardware-/Software-Anbieter, die PQC-Support in ihre Lösungen einbauen, positionieren sich für den nächsten großen Shift.

Consulting & Integration: EY, Deloitte und andere Big-Four-Firmen, die AI-Governance-Frameworks und Trust-Architekturen implementieren, werden vom Bedarf an strategischer Beratung profitieren.

Fazit: Das Rennen zwischen AI-gestützten Angriffen und AI-nativen Defenses

Die Zahlen der EY-Studie zeichnen ein klares Bild: Die Cybersecurity-Industrie befindet sich in einem kritischen Übergang von bolt-on AI-Automation zu AI-nativen Defense-Architekturen. 96% der Senior Security Leaders sehen AI-gestützte Angriffe als signifikante Bedrohung – während weniger als die Hälfte von ihren Defenses überzeugt ist. Diese Confidence Gap ist der entscheidende Faktor.

Der fünffache Budget-Anstieg für AI-Cybersecurity-Lösungen in den nächsten zwei Jahren signalisiert, dass die Industrie begriffen hat: Es reicht nicht, gestrige Firewalls und perimeter-basierte Controls zu automatisieren. Die Shift zu Agentic AI – Agents, die autonome, multi-step Workflows über Systeme hinweg ausführen – erfordert fundamentale Neubewertung von Identity Governance, Least-Privilege Access und End-to-End Observability.

Für CISOs ist die Botschaft klar: Wer heute nicht in Agent-Identity-Governance, fine-grained Authorization und Shadow-AI-Discovery investiert, wird morgen im Dunkeln stehen, wenn der nächste AI-gestützte Angriff zuschlägt. Für Investoren eröffnet der Agentic AI Security-Boom signifikante Opportunitäten entlang der gesamten Wertschöpfungskette – von IAM über Observability bis hin zu Post-Quantum Crypto.

Das Rennen ist eröffnet. Und die Clock tickt.

Quellen:

  • EY Cybersecurity Roadmap Study 2026 (500 Senior Security Leaders, Dezember 2025 – Januar 2026)
  • Rapid7 2026 Global Threat Landscape Report
  • US Office of the Director of National Intelligence: 2026 Worldwide Threat Assessment
  • Strata Identity: A Guide to Agentic AI Risks in 2026
  • SiliconANGLE: Security challenges rise as AI adoption outpaces defenses (RSAC 2026 Coverage)
  • IBM Report on AI Security Incidents 2025
  • Cloud Security Alliance (CSA) Survey Report: Securing Autonomous AI Agents 2026
  • F5 NGINX Agentic Observability Announcement, März 2026
  • Ping Identity: Identity for AI Solution Launch, November 2025
  • NetApp/F5 Post-Quantum Cryptography Collaboration, Dezember 2025
Teilen:
GenAI Security Cybersecurity Investment AI Agent Security RPD IBM
// Mission Critical

Woechentliches AI Security Briefing erhalten.

Fuer Analysten, Forscher und Verteidiger, die Bedrohungen im AI Stack verfolgen.

Kostenlos abonnieren

Verwandte Artikel