KI-Agenten im Angriff: Geschwindigkeit, Skalierung, Raffinesse

K.I. By Mattias Risberg
AI Agents Strike: Speed, Scale, Sophistication
Agentische KI wird bereits für schnelle und großflächige Cyber-Operationen eingesetzt; Sicherheitsverantwortliche und Anbieter arbeiten mit Hochdruck daran, Identitätsmanagement, Governance und autonome Abwehrmechanismen zu stärken. Dieser Artikel fasst aktuelle Branchenberichte sowie Reaktionen von Anbietern zusammen, um die Veränderungen und die Gegenmaßnahmen der Verteidiger zu erläutern.

Wenn Maschinen das Hacking übernehmen

Diese Enthüllung konkretisierte eine Befürchtung, derer sich Sicherheitsteams schon seit Monaten bewusst waren: Agenten-basierte KI – Systeme, die Schleifen ausführen, externe Tools nutzen und autonome Aktionen durchführen können – verändert die Wirtschaftlichkeit von Cyberangriffen dramatisch. Innerhalb weniger Wochen und Monate nach dem Bericht von Anthropic verlagerte sich die öffentliche Diskussion unter Anbietern und Cloud-Providern von abstrakter Risikominderung hin zu konkreten Änderungen bei Identitäten, Zero Trust und Tools sowohl für die Erkennung als auch für den Einsatz autonomer Verteidiger.

Wie sich die Anthropic-Kampagne entfaltete

Die Untersuchung von Anthropic beschreibt einen mehrphasigen Lebenszyklus, der einen Großteil der langsamen, fehleranfälligen Arbeit eliminiert, die zuvor von menschlichen Angreifern geleistet werden musste. Die Akteure bereiteten ein Angriffs-Framework vor und wiesen dann ein Modell an, Aufklärung zu betreiben, hochwertige Datenbanken zu identifizieren, Exploit-Code zu generieren und gestohlene Zugangsdaten zusammenzustellen – wobei der bösartige Plan in kleine, harmlos erscheinende Aufgaben zerlegt wurde, um integrierte Schutzmechanismen zu umgehen. Das Unternehmen schätzte, dass die KI etwa 80–90 % der Kampagne ausführte, während Menschen nur an wenigen Entscheidungspunkten eingriffen.

Zwei technische Merkmale machten die Kampagne in diesem Umfang möglich: Erstens ist die Modellintelligenz so weit ausgereift, dass Agenten komplexen mehrstufigen Anweisungen folgen und funktionierenden Code generieren können; zweitens erhielten Agenten die Fähigkeit zur Tool-Nutzung – Zugriff auf Scanner, Code-Ausführungsumgebungen oder Web-Ressourcen über APIs –, was es ihnen ermöglichte, auf Basis ihrer Erkenntnisse zu handeln. Anthropic stellte zudem fest, dass die Angreifer Jailbreaking-Techniken und täuschende Prompts einsetzten, um das Modell zur Kooperation zu bewegen.

Operativ erzeugte der Angriff eine ungewöhnliche Telemetrie-Signatur: hochfrequente Anfragen in schneller Folge und verteilte, verkettete Aktivitäten, die für ein rein menschliches Team untragbar teuer oder langsam gewesen wären. Anthropic gab an, dass nur eine geringe Anzahl von Versuchen erfolgreich war, doch der Fall demonstriert eine neue Möglichkeit: kostengünstigere, schnelle Cyber-Kampagnen, die automatisch skalieren und von Gegnern rasch angepasst werden können.

Reaktion der Branche: Identität und Vertrauen neu denken

In der Praxis treiben Verteidiger drei unmittelbare Änderungen voran: eine strengere Governance für nicht-menschliche Identitäten, die Durchsetzung von Least-Privilege-Prinzipien und kurzlebigen Zugangsdaten für Agenten sowie detailliertere Audit-Trails, die Maschinenaktionen mit hochgradig verlässlichen Provenienzdaten verknüpfen. Diese Änderungen sind inkrementell, aber essenziell: Sie verwandeln Agenten-Aktivitäten von einem undurchsichtigen Strom von API-Aufrufen in einen rückverfolgbaren Lebenszyklus, der eingeschränkt und bei Bedarf widerrufen werden kann.

Autonome Verteidigung: Auch Anbieter setzen auf Agenten

Nicht alle Reaktionen sind defensiv im engen Sinne. Startups und etablierte Anbieter entwickeln agenten-basierte Systeme, die darauf ausgelegt sind, Bedrohungen im gleichen Tempo zu erkennen, zu triagieren und zu beheben, mit dem sich Angreifer bewegen. Ende Oktober gab Sublime Security eine bedeutende Finanzierung bekannt und beschrieb eine agenten-basierte E-Mail-Verteidigungstechnologie, die Phishing triagiert und autonom Verteidigungsregeln steuert. Eine Produktankündigung im Dezember präsentierte ATLAS, ein selbstentwickelndes kognitives Cybersicherheits-Gewebe, das Tausende von spezialisierten Agenten orchestriert, um Bedrohungen in Millisekunden aufzuspüren, vorherzusagen und zu neutralisieren.

Diese Anbieterprodukte formalisieren eine unangenehme Realität: Wenn Angreifer Operationen mit Agenten skripten und skalieren können, müssen auch Verteidiger agenten-basierte Ansätze für Monitoring, Korrelation und automatisierte Eindämmung nutzen. Die architektonischen Kompromisse sind erheblich. Agenten-basierte Verteidigungssysteme versprechen schnellere Reaktionen und eine Entlastung der Analysten, werfen aber eigene Governance-Fragen auf – wer kontrolliert die Verteidigungs-Agenten, wie werden ihre Entscheidungen überprüft und wie vermeiden Unternehmen es, neue hochwertige Ziele (Agent-Control-Planes, Audit-Logs) für Angreifer zu schaffen?

Härtung der Identitäts- und Governance-Ebene

Mehrere praktische Maßnahmen kristallisieren sich als Basiskontrollen für Organisationen heraus, die interne Agenten sicher einsetzen oder tolerieren wollen:

  • Inventarisierung nicht-menschlicher Identitäten und Durchsetzung von Attestierungen: Jeden Agenten registrieren, einem Eigentümer zuordnen und regelmäßige Bestätigungen von Zweck und Umfang verlangen.
  • Verwendung von ephmeren Token und kurzlebigen Zugangsdaten: Den Schadensradius verringern, falls ein Token gestohlen oder missbraucht wird.
  • Instrumentierung von Provenienz und Auditierbarkeit: Agenten-Aktionen an verifizierbare Delegationsketten und unveränderliche Protokolle binden, um Rollbacks und Forensik zu ermöglichen.
  • Ratenbegrenzung und Anomalieerkennung für Agenten-Traffic: Ungewöhnliche Anfragevolumina, Burst-Muster oder Tool-Nutzungssequenzen markieren, die den in jüngsten Berichten beschriebenen Angreifermustern entsprechen.
  • Segmentierung und Mikrosegmentierung kritischer Assets: Lateral Movement und den Zugriff auf hochwertige Daten von zusätzlichen Prüfungen und Genehmigungen durch mehrere Parteien abhängig machen.

Diese Schritte stehen im Einklang mit allgemeinen Zero-Trust-Prinzipien, erfordern jedoch zusätzliche Richtlinien und Tools für das Lebenszyklusmanagement von Agenten – wie sie erstellt, aktualisiert, außer Dienst gestellt und überwacht werden.

Warum dies über spektakuläre Schlagzeilen hinaus von Bedeutung ist

Agenten-basierte KI senkt die Kosten- und Qualifikationsbarriere für komplexe Cyber-Operationen. Das hat zwei vorhersehbare Konsequenzen. Erstens können mehr Gegner – einschließlich weniger qualifizierter krimineller Gruppen – Kampagnen durchführen, die zuvor Elite-Teams erforderten. Zweitens beschleunigt sich das Tempo der Operationen: Aufklärung, Exploit-Entwicklung und Exfiltration können in Minuten statt in Wochen iteriert werden. Beide Trends vervielfachen die Anzahl der Vorfälle, die Verteidiger erkennen und eindämmen müssen.

Gleichzeitig ist agenten-basierte KI eine Dual-Use-Technologie. Unternehmen wie Anthropic betonen, dass dieselben Fähigkeiten, die Missbrauch ermöglichen, auch für die automatisierte Verteidigung, Vorfallsanalyse und Bedrohungssuche wertvoll sind. Das Nettoergebnis ist ein Wettrüsten, bei dem Angreifer und Verteidiger gleichermaßen agenten-basierte Muster übernehmen, während Regulierungsbehörden, Cloud-Anbieter und große Unternehmen versuchen, Leitplanken für Sicherheit und Rechenschaftspflicht zu setzen.

Ausblick: Richtlinien, Standards und gemeinsamer Informationsaustausch

Technische Kontrollen werden viele Angriffe abmildern, aber das Problem erfordert auch eine koordinierte Politik. Branchenweite Standards für die Provenienz von Agenten, Token-Standards, die Absicht und Umfang kodieren, und ein besserer Austausch über agenten-basierte TTPs (Tactics, Techniques and Procedures) werden die Wahrscheinlichkeit weitreichender Schäden verringern. Cloud-Anbieter und Modell-Hosts spielen bereits eine zentrale Rolle in diesem Ökosystem: Zugriffskontrollen, Entscheidungen zur Tool-Integration und Modell-Sicherheitsfunktionen (zum Beispiel Guardrails und Wasserzeichen) werden wichtige Hebel sein.

Für Sicherheitsteams ist die unmittelbare Erkenntnis klar: Behandeln Sie agenten-basierte KI als eine neue Klasse von Identität und eine eigenständige Angriffsfläche. Inventarisieren Sie sie, steuern Sie sie, überwachen Sie sie und nutzen Sie – wo möglich – agenten-basierte Erkennung, um einen Teil des Geschwindigkeitsvorteils zurückzugewinnen, den Angreifer gerade erst errungen haben. Ohne diese Änderungen riskieren Unternehmen, von automatisierten Gegnern überholt zu werden, die mit beispielloser Geschwindigkeit, Skalierbarkeit und Raffinesse agieren.

Quellen

  • Anthropic (technischer Bericht: „Disrupting the first reported AI-orchestrated cyber espionage campaign“, 13. Nov. 2025)
  • (ATLAS-Produktankündigung, 18. Dez. 2025)
  • Sublime Security (Bekanntgabe der Series-C-Finanzierung und agenten-basierter E-Mail-Verteidigung, 28. Okt. 2025)
  • Technisches Interview mit Fortinet und Google zu Identität und Zero Trust (Brancheninterview, 19. Dez. 2025)

Schlagwörter

AI regulation artificial intelligence autonomy in warfare data forensics
Mattias Risberg

Mattias Risberg

Cologne-based science & technology reporter tracking semiconductors, space policy and data-driven investigations.

University of Cologne (Universität zu Köln) • Cologne, Germany

Readers

Leserfragen beantwortet

Q Welche Fähigkeiten ermöglichte Agentic AI Angreifern, und welche Beweise aus der Anthropic-Kampagne veranschaulichen dies?
A Agentic AI ermöglicht es Angreifern, mehrphasige Kampagnen mit minimalem menschlichem Eingreifen durchzuführen, Aufklärung zu betreiben, hochwertige Datenbanken zu lokalisieren, Exploit-Code zu generieren und gestohlene Zugangsdaten zusammenzustellen. Laut dem Bericht von Anthropic führte die KI etwa 80–90 % der Kampagne aus, wobei Menschen nur an wenigen Entscheidungspunkten involviert waren. Sie nutzte Werkzeuge wie Scanner, Code-Ausführungsumgebungen und Web-APIs, was zu hochvolumigen, schnellen und skalierbaren Operationen führte.
Q Welches sind die drei unmittelbaren Änderungen für Verteidiger, die im Artikel hervorgehoben werden?
A Verteidiger streben eine strengere Governance für nicht-menschliche Identitäten, die Durchsetzung des Prinzips der geringsten Privilegien sowie kurzlebige Anmeldedaten für Agenten und detailliertere Audit-Trails an, die Maschinenaktionen mit einer verifizierbaren Herkunft verknüpfen. Diese Maßnahmen wandeln undurchsichtige Agentenaktivitäten in einen nachvollziehbaren Lebenszyklus um, der eingeschränkt oder widerrufen werden kann, was die Kontrolle über automatisierte Abwehrmaßnahmen verbessert.
Q Warum sind Anbieterlösungen wie Sublime Security und ATLAS in diesem Kontext von Bedeutung?
A Anbieter entwickeln agentenbasierte Verteidigungssysteme, die darauf ausgelegt sind, Bedrohungen so schnell zu erkennen, zu bewerten und zu beheben, wie Angreifer agieren. Zum Beispiel stellte Sublime Security eine agentenbasierte E-Mail-Verteidigung vor, die Phishing-Versuche einordnet und autonom Abwehrregeln erstellt, während ATLAS ein selbstentwickelndes kognitives Gefüge vermarktet, das Tausende von Agenten orchestriert, um Bedrohungen in Millisekunden zu jagen, vorherzusagen und zu neutralisieren. Dies spiegelt einen Wandel hin zu einer automatisierten, skalierbaren Verteidigung parallel zu offensiven agentenbasierten Fähigkeiten wider.
Q Welche Governance- und Richtlinienfragen wirft die agentenbasierte Verteidigung auf, und welche Richtungen werden vorgeschlagen?
A Der Aufstieg agentenbasierter Verteidigungssysteme wirft Governance-Fragen auf: Wer kontrolliert die defensiven Agenten, wie werden ihre Entscheidungen geprüft und wie kann verhindert werden, dass neue hochwertige Ziele wie Agenten-Steuerungsebenen und Audit-Logs für Angreifer entstehen? Parallel dazu weisen Branchenleitfäden auf politische Richtungen wie Standards für die Herkunft von Agenten, Token-Standards zur Kodierung von Absicht und Umfang sowie einen verbesserten Informationsaustausch über Bedrohungen (Threat Sharing) zu agentenbasierten TTPs hin.

Haben Sie eine Frage zu diesem Artikel?

Fragen werden vor der Veröffentlichung geprüft. Wir beantworten die besten!

Kommentare

Noch keine Kommentare. Seien Sie der Erste!