BREAKING
Staatshacker nutzen Google Gemini: Die dunkle Seite der GenAI-Revolution OpenClaw – Der AI-Security-Albtraum des Jahres
KI-gestützte Angriffe Deutschland

BSI und CISA warnen – Autonome KI-Angriffe werden 2026 Realität

Dirk Althaus
3 min read

Im Dezember 2025 veröffentlichten das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) zusammen mit fünf weiteren Nationen einen gemeinsamen Schutzrahmen für industrielle Steuerungssysteme. Der Anlass: KI-gestützte Angriffe erreichen eine neue Qualitätsstufe. HP Security Lab warnt, dass KI-Agenten 2026 erstmals eigenständig komplexe Cyberangriffe planen und durchführen werden – ohne menschliche Steuerung.

Von Werkzeug zu Akteur: Was Agentic AI verändert

Bisherige KI-gestützte Angriffe nutzten Sprachmodelle als Werkzeug: Phishing-E-Mails generieren, Code-Schwachstellen schneller finden, Social-Engineering-Skripte optimieren. Der Mensch blieb der Entscheider. Agentic AI kehrt dieses Verhältnis um.

Ein autonomer KI-Agent plant den Angriff selbst. Er wählt das Ziel, identifiziert Schwachstellen, passt seine Strategie an die vorgefundene Verteidigung an und lernt aus Misserfolgen. Der Unterschied ist nicht graduell, sondern fundamental: Der Agent braucht keinen Operator mehr, der ihm sagt, was er als Nächstes tun soll.

HP Security Lab beschreibt das Szenario konkret: Ein KI-Agent scannt ein Unternehmensnetzwerk, erkennt eine ungepatchte Schwachstelle in einem Edge-Device, entwickelt einen passenden Exploit, bewegt sich lateral durch das Netzwerk, exfiltriert Daten und verwischt seine Spuren. Der gesamte Ablauf dauert Minuten, nicht Stunden oder Tage. Menschliche Incident-Response-Teams können bei dieser Geschwindigkeit nicht mithalten.

November 2025: Der erste dokumentierte autonome Angriff

Im November 2025 dokumentierten Forscher den ersten Fall, in dem eine KI eigenständig eine Schwachstelle identifizierte, den Angriffsvektor optimierte und den Angriff ohne menschliches Eingreifen durchführte. Details zum Zielsystem und zur eingesetzten KI wurden aus Sicherheitsgründen zunächst zurückgehalten. Die Veröffentlichung bestätigte jedoch, was Sicherheitsforscher seit Monaten befürchtet hatten: Die technische Schwelle für autonome KI-Angriffe ist bereits überschritten.

Dieser Fall unterscheidet sich qualitativ von früheren Demonstrationen in Laborumgebungen. Es handelte sich nicht um einen Proof-of-Concept, sondern um einen realen Vorfall. Die KI identifizierte die Schwachstelle nicht, weil ein Forscher sie dorthin lenkte, sondern weil der Agent systematisch nach angreifbaren Systemen suchte.

BSI-Lagebericht: 950 Ransomware-Angriffe und 24 Prozent mehr Schwachstellen

Der BSI-Lagebericht 2025 bestätigt den Trend auf der Verteidigungsseite: Die «Lage der IT-Sicherheit bleibt auf angespanntem Niveau». Die konkreten Zahlen:

  • 950 Ransomware-Angriffe auf deutsche Organisationen wurden erfasst.
  • Täglich neu entdeckte Schwachstellen: +24 Prozent gegenüber dem Vorjahr.
  • BSI-Präsidentin Claudia Plattner: «Angreifer suchen gezielt nach den verwundbarsten Angriffsflächen.»

Diese Zahlen spiegeln die Realität vor der breiten Verfügbarkeit autonomer KI-Angriffe wider. Wenn Agentic AI die Angreiferseite skaliert, werden die Zahlen für 2026 deutlich anders aussehen. Wer sich für die aktuelle Bedrohungslage im Detail interessiert, findet eine umfassende Analyse in unserem Beitrag zu den Cyberangriffszahlen für Deutschland 2026.

Der gemeinsame Schutzrahmen: Sieben Nationen, ein Framework

Das BSI-CISA-Framework für industrielle Steuerungssysteme (ICS) adressiert gezielt die Schnittstelle zwischen IT und OT (Operational Technology). Die beteiligten Nationen – neben Deutschland und den USA auch Großbritannien, Kanada, Australien, Neuseeland und Japan – definieren gemeinsame Mindeststandards für:

  • Netzwerksegmentierung: Strikte Trennung von IT- und OT-Netzwerken, insbesondere bei SCADA- und ICS-Systemen.
  • Anomalieerkennung: KI-basierte Monitoring-Systeme, die ungewöhnliches Verhalten in Echtzeit erkennen.
  • Incident Response: Vordefinierte Playbooks für KI-gestützte Angriffe auf kritische Infrastruktur.
  • Supply Chain Security: Überprüfung der Firmware-Integrität bei allen vernetzten Steuerungskomponenten.

Das Framework ist bewusst als Empfehlung formuliert, nicht als Vorschrift. Die Umsetzung liegt bei den nationalen Behörden und letztlich bei den Betreibern kritischer Infrastruktur.

Automatisierter Token-Diebstahl: MFA allein reicht nicht mehr

Ein spezifischer Angriffsvektor, den HP Security Lab hervorhebt: KI-Malware, die Session-Tokens aus Browsern extrahiert. Der Ablauf ist simpel und verheerend. Der Agent infiziert ein System, liest die gespeicherten Session-Cookies aus, überträgt sie an den Angreifer. Dieser kann sich mit dem gestohlenen Token anmelden, ohne Benutzername, Passwort oder zweiten Faktor zu benötigen. Die Zwei-Faktor-Authentifizierung wird nicht geknackt, sondern umgangen.

Die Konsequenz: MFA bleibt notwendig, ist aber als alleinige Schutzmaßnahme nicht mehr ausreichend. Organisationen benötigen hardware-basierte Authentifizierung (FIDO2/WebAuthn) und Zero-Trust-Browser-Architekturen, die Session-Tokens kryptographisch an das Endgerät binden. Wie der OpenClaw-Vorfall zeigt, sind gerade lokal laufende KI-Agenten ein idealer Einstiegspunkt für Token-Diebstahl.

Innenminister Dobrindt und der «Cyberdome»

Bundesinnenminister Alexander Dobrindt brachte Ende 2025 das Konzept eines «Cyberdome» ins Spiel – ein semi-automatisiertes Verteidigungssystem, das KI-gestützte Angriffe auf nationale Infrastruktur in Echtzeit erkennen und abwehren soll. Details zur technischen Umsetzung blieben vage. Klar ist: Das Projekt signalisiert einen Paradigmenwechsel in der deutschen Cybersicherheitspolitik.

Die Debatte verschiebt sich von regulatorischer Compliance – EU AI Act, NIS2, DSGVO – hin zu operativer Resilienz. Regulierung bleibt wichtig, aber sie allein schützt nicht vor einem autonomen KI-Agenten, der in Minuten ein Netzwerk kompromittiert. Die Frage lautet nicht mehr «Sind wir compliant?», sondern «Können wir einen autonomen Angriff überleben?»

Was das für deutsche Unternehmen bedeutet

Die Handlungsempfehlungen sind klar:

  1. MFA durch hardware-basierte Authentifizierung ergänzen. FIDO2-Tokens für alle privilegierten Zugänge.
  2. Zero-Trust-Architektur nicht als Buzzword, sondern als Betriebsmodell umsetzen. Jede Verbindung, jeder Zugriff, jede Transaktion wird verifiziert.
  3. Anomalieerkennung auf Netzwerkebene implementieren. Autonome Angriffe sind schnell, aber sie erzeugen Muster.
  4. Incident-Response-Pläne auf KI-Geschwindigkeit aktualisieren. Wenn der Angriff in Minuten abläuft, muss die Reaktion automatisiert sein.
  5. BSI-CISA-Framework als Baseline übernehmen – insbesondere für Betreiber kritischer Infrastruktur und KRITIS-regulierte Unternehmen.

Die Ära der autonomen KI-Angriffe hat begonnen. Vorbereitung ist keine Option, sondern operative Notwendigkeit.

Quellen

  • BSI – Die Lage der IT-Sicherheit in Deutschland 2025
  • CISA – Joint Framework for Industrial Control Systems Security, Dezember 2025
  • HP Security Lab – Threat Predictions 2026: Agentic AI Attacks
  • BSI-Präsidentin Claudia Plattner – Pressekonferenz zum Lagebericht, November 2025
  • BMI – Cybersicherheitsstrategie: Konzept Cyberdome, Dezember 2025
Teilen:
KI-gestützte Angriffe Deutschland KRITIS
// Mission Critical

Woechentliches AI Security Briefing erhalten.

Fuer Analysten, Forscher und Verteidiger, die Bedrohungen im AI Stack verfolgen.

Kostenlos abonnieren

Verwandte Artikel