Die fünf größten Sicherheitsrisiken durch KI

KI ist längst kein Zukunftsthema mehr. Die künstliche Intelligenz ist sowohl in der Offensive als auch in der Defensive fest etabliert. Mit neuen Exploits, der massiven Nutzung von Open-Source-Modellen und immer kreativeren Angreifern sind die von uns prognostizierten Risiken nun sehr real geworden. 

1. Deepfakes und Betrug mit synthetischen Identitäten 

Deepfake-Angriffe, die zunächst nur vereinzelt für Schlagzeilen sorgten, haben sich zur regelmäßigen Bedrohung entwickelt. So nutzte die nordkoreanische Gruppe BlueNoroff (auch bekannt als TA444) Mitte 2025 Deepfake-Videoanrufe von Führungskräften auf Zoom, um Mitarbeitende dazu zu verleiten, maßgeschneiderte Malware zu installieren. 

Das Klonen von Stimmen ist heute noch gefährlicher. Modelle wie VALLE von Microsoft, ElevenLabs und Open-Source-Alternativen können Stimmen bereits nach wenigen Sekunden nachahmen. Angreifer imitieren vertrauenswürdige Personen, wie Vorgesetzte oder Abteilungsleiterinnen und Abteilungsleiter, um Mitarbeitende zu Überweisungen, zur Weitergabe von Zugangsdaten oder zur Freigabe sensibler Daten zu verleiten. 

Verteidiger reagieren mit Tools wie „Vastav AI”, die Medien, Gesichtsbewegungen und Audio-Metadaten analysieren, um Manipulationen zu erkennen. Oft erfolgt die Erkennung jedoch zu spät, sodass Angriffe in der Regel bereits erfolgreich sind, bevor jemand reagieren kann. 

2. Prompt-Injection, Jailbreaking und Zero-Click-Exploits 

Prompt-Injection und Jailbreaking sind nach wie vor kritische Türöffner. Im Jahr 2025 beobachten wir vermehrt Zero-Click-Prompt-Injection-Angriffe, bei denen bereits der Empfang einer E-Mail oder einer Kalendereinladung einen Exploit auslösen kann, ohne dass der Benutzer etwas tun muss. 

Ein herausragender Fall war EchoLeak (CVE 2025 32711), eine Zero-Click-Prompt-Injection-Schwachstelle in Microsoft 365 Copilot. Eine manipulierte E-Mail missbrauchte den Teams-Proxy, automatisch abgerufene Bilder und Markdown-Referenzen, um eine Rechteausweitung und Datenexfiltration auszulösen, ohne dass der Benutzer jemals klicken musste.

Untersuchungen zeigen, dass die meisten kommerziellen KI-Anwendungen nach wie vor anfällig sind. So ergab eine aktuelle Studie, dass 31 von 36 Mobile-Banking- oder Finanz-Chat-Anwendungen durch Prompt-Injection ausgenutzt werden könnten. 

3. KI-gestützte Ransomware und polymorphe Malware

Über das Jahr 2025 hat sich Ransomware einschlägig weiterentwickelt. Angriffsframeworks basieren zunehmend auf KI und passen ihre Payloads in Echtzeit an. Ein Proof-of-Concept namens „Ransomware 3.0” hat demonstriert, wie ein KI-gesteuerter Ransomware-Prototyp Angriffsphasen dynamisch planen, adaptieren und ausführen kann – basierend auf Eingabeaufforderungen in der Binärdatei. 

Ende 2025 kam ESET zudem PromptLock auf die Spur. Dabei handelt es sich um die erste bekannte, KI-gestützte Ransomware, die lokal ausgeführt wird. Diese generiert dynamische Skripte, um Dateien aufzulisten, Daten zu exfiltrieren und Systeme unter Windows, macOS und Linux zu verschlüsseln.

Solche Bedrohungen umgehen herkömmliche Antiviren- und heuristische Erkennungsmethoden und zwingen Verteidiger dazu, sich auf Verhaltensanalysen und Anomalieerkennung statt auf Signaturabgleich zu verlassen. 

4. Dark LLM, Lieferkette und Schatten-KI 

Angreifer verwenden zunehmend Dark Large Language Models (LLM) oder Open-Source-Modelle, die für böswillige Zwecke modifiziert wurden. Außerdem missbrauchen sie ungeprüfte Tools und API von Drittanbietern. Die Lieferkette ist mittlerweile ein wichtiger Bedrohungsvektor. 

So warnte Anthropic kürzlich davor, dass Hacker Claude einsetzen, um das Auskundschaften, das Sammeln von Anmeldedaten und andere Schritte zur Kompromittierung zu automatisieren. Von diesen Kampagnen waren Regierungsstellen, Organisationen im Gesundheitswesen und der Bildungssektor betroffen, wobei oft Lösegeld für gestohlene Daten gefordert wurde. 

LLM werden darüber hinaus mit Hintertüren versehen, umbenannt und in Untergrundforen verkauft. Diese „dunklen“ LLM entkräften oft alle Sicherheitsvorkehrungen, wodurch sie zu einfachen Hilfsmitteln für Kriminelle werden. Die Situation wird durch Schatten-KI – also die Verwendung nicht genehmigter KI-Systeme durch Mitarbeitende – noch verschlimmert, da IT-Teams in diesem Fall keine Übersicht oder Kontrolle haben. 

5. Datenexfiltration, Adversarial Poisoning und Modellintegrität 

Es geht jedoch nicht nur um böswillige Eingaben oder Malware mithilfe von KI, auch die KI-Modelle selbst sind Angriffen ausgesetzt. Beim sogenannten Adversarial Poisoning werden beschädigte Daten in Trainings- oder Feinabstimmungspipelines eingespeist, sodass sich die Modelle nach ihrer Bereitstellung fehlerhaft verhalten. 

Jüngste Forschungen zu Attacken auf eingebettete Werbung haben gezeigt, dass Angreifer Modell-Checkpoints gezielt vergiften können. Die Folge: Es kommt zur Ausgabe böswilliger Werbeanzeigen bzw. solcher, die versteckte Anweisungen enthalten.

Da KI-Agenten zunehmend in Arbeitsabläufe integriert werden – etwa als Copiloten in Browsern, Produktivitätssuiten und Chat-Plattformen, ist die Ausführung unbefugter Aktionen nicht auszuschließen. Dazu zählt beispielsweise die Installation von Malware oder die Offenlegung von Daten über kompromittierte Eingabekanäle. 

Ausblick: Agentic Adversary vs. das autonome SOC 

In der nächsten Phase von KI in der IT-Sicherheit dreht es sich nicht mehr allein um schnellere Phishing-Angriffe oder polymorphe Ransomware. Es geht um autonome Handlungsfähigkeit. 

Manipulierte agentische KI-Anwendungen werden wie digitale Söldner agieren. Anstelle von Skripten für einen einzigen Zweck werden sie kontinuierliche Kampagnen durchführen. Sie werden Identitätssysteme nach schwachen Konten absuchen, sich in Cloud-Anwendungen einklinken und Daten exfiltrieren. Dabei passen sie sich an jede Verteidigung an, auf die sie stoßen. Sie werden Tools automatisch miteinander verknüpfen, Tausende von Mikroangriffen parallel starten und sich über Lieferketten hinweg koordinieren, um ganze Sektoren auf einmal zu stören. 

Auf der Gegenseite streben Verteidiger nach einem autonomen SOC. Anstelle von Menschen, die in Warnmeldungen versinken, erfassen KI-gestützte Operations Center Telemetriedaten von Endpunkten, Netzwerken, Clouds und Identitäten. Sie werden entscheiden, welche Signale wichtig sind, Eindämmungsmaßnahmen in Echtzeit ergreifen und nur das eskalieren, was menschliches Urteilsvermögen erfordert. Das Versprechen lautet, dass ein IT-Leiter eines Schulbezirks oder ein mittelständisches Unternehmen mit zwei Administratoren mit der Reichweite und dem Umfang eines SOC arbeiten kann, das dem eines Fortune 100-Unternehmen entspricht. 

Die Frage des Jahrzehnts ist nun, in welche Richtung die Waage als erstes ausschlägt. Wenn Angreifer ihre agentenbasierte KI perfektionieren, bevor Verteidiger ihre autonomen SOC aufstellen, könnte es zu einer Welle von Hochgeschwindigkeitsangriffen kommen, die die traditionellen Reaktionsmöglichkeiten überfordern. Wenn die Verteidiger Automatisierung jedoch tiefgreifend und intelligent integrieren, könnte KI die Wirtschaftlichkeit der Cybersicherheit entscheidend beeinflussen und die Verteidigung gegenüber Angriffen billiger, schneller und skalierbarer machen.