Gesponsert von Refly.ai - Refly.AI ermöglicht nicht‑technischen Kreativen, Arbeitsabläufe mit natürlicher Sprache und einer visuellen Leinwand zu automatisieren.
Refly.ai - Refly.AI ermöglicht nicht‑technischen Kreativen, Arbeitsabläufe mit natürlicher Sprache und einer visuellen Leinwand zu automatisieren.
icon
KI-Tools KI-Agenten MCP KI-NewsRanking Einreichen & Werben
Anmelden

AI News

Künstliche Intelligenz (Artificial Intelligence, AI) beschleunigt industrielle Cyber-Bedrohungen durch automatisierte Angriffstools

Die Landschaft der industriellen Cybersicherheit durchläuft einen tiefgreifenden Wandel, da sich die künstliche Intelligenz von einem theoretischen Risiko zu einer potenten operativen Kraft für Bedrohungsakteure wandelt. Aktuelle Analysen von SANS und Daten von ecrime.ch zeigen, dass AI die Geschwindigkeit und das Ausmaß von Angriffen auf Operational Technology (OT)-Umgebungen stark erhöht. Während der „autonome digitale Soldat“ größtenteils weiterhin ein Mythos bleibt, ist die Realität ebenso beunruhigend: AI wirkt als Kraftmultiplier, senkt Eintrittsbarrieren und verkürzt die Zeit für Aufklärung, Phishing und Exploit-Generierung.

Einem neuen Bericht zufolge, veröffentlicht am 1. Februar 2026, hat die Integration von AI-Tools in das Arsenal von Angreifern die traditionellen Verteidigungsparadigmen grundlegend in Frage gestellt. Sicherheitsfachleute kämpfen nicht mehr nur gegen menschliche Einfallsreichtum, sondern gegen menschliche Gegner, die durch maschinengeschwindige Automatisierung gestärkt werden. Dieser Wandel zeigt sich besonders deutlich in dem Anstieg von Ransomware-Vorfällen und der ausgefeilten Nutzung von Großen Sprachmodellen (Large Language Models, LLMs) zur Umgehung etablierter Sicherheitsprotokolle.

Das automatisierte Arsenal: Geschwindigkeit und Umfang bei OT-Angriffen

Die primäre Rolle von AI in der aktuellen Bedrohungslandschaft besteht nicht darin, menschliche Angreifer zu ersetzen, sondern ihre Arbeitsabläufe zu beschleunigen. Die SANS-Analyse hebt hervor, dass Bedrohungsakteure AI nutzen, um arbeitsintensive Phasen des Angriffslebenszyklus zu automatisieren. Aufgaben, die früher spezialisierte Teams und Wochen der Entwicklung erforderten – wie das Erstellen funktionaler Exploit-Codes oder das Kartieren von Netzwerktopologien – können jetzt in Minuten ausgeführt werden.

Experten warnen, dass diese Beschleunigung besonders gefährlich in der Phase des initialen Zugangs und der Aufklärung ist. AI-Tools können große Mengen an Open-Source-Intelligence (OSINT) analysieren, um hochgradig zielgerichtete Spear-Phishing-Kampagnen zu erstellen, die das spezifische technische Fachvokabular von Umspannwerksbetreibern oder Anlageningenieuren nachahmen. Darüber hinaus haben jüngste Kampagnen den Einsatz fortschrittlicher Coding-Assistenten gezeigt, um laterale Bewegungen und Diebstahl von Anmeldedaten zu automatisieren, sobald ein Fuß in der Tür ist.

Die folgende Tabelle veranschaulicht, wie die Integration von AI die Dynamik industrieller Cyberangriffe im Vergleich zu traditionellen Methoden verändert:

Comparison of Traditional vs. AI-Accelerated Industrial Attacks

Feature Traditional Attack Lifecycle AI-Accelerated Attack Lifecycle
Reconnaissance Manuelle Analyse öffentlicher Daten; zeitaufwendig Automatisierte Synthese von OSINT; schnelle Zielkartierung
Phishing Generische Vorlagen; hohe Erkennungsrate Kontextbewusste, technisch präzise Anpassung
Exploit Development Erfordert spezialisierte Programmierkenntnisse; Wochen bis zur Fertigstellung AI-unterstützte Code-Generierung; in Minuten funktionsfähig
Skill Barrier Hoch; erfordert tiefes Wissen über OT-Protokolle Niedriger; AI überbrückt Wissenslücken für Nicht-Experten
Impact Focus Unmittelbare Störung oder Verschlüsselung Subtile Verschlechterung; langfristige Persistenz

2025 Ransomware-Statistiken: Ein Rekordjahr

Die greifbaren Auswirkungen dieser beschleunigten Fähigkeiten spiegeln sich in den deutlichen Statistiken von 2025 wider. Daten von ecrime.ch geben an, dass Ransomware-Akteure im Verlauf des Jahres erstaunliche 7.819 Vorfälle auf Datenleak-Sites veröffentlichten. Dieser Anstieg stellt eine erhebliche Eskalation des Angriffsvolumens dar, teils getrieben durch die Effizienzgewinne durch automatisierte Werkzeuge.

Geografisch traf es die Vereinigten Staaten am stärksten, mit nahezu 4.000 der gemeldeten Vorfälle. Diese unverhältnismäßige Zielausrichtung unterstreicht die Verwundbarkeit kritischer Infrastrukturen in stark digitalisierten Industrie­nationen. Andere westliche Volkswirtschaften sahen ebenfalls erhebliche Bedrohungen, wenn auch in geringerem Umfang im Vergleich zu den USA.

Top-Zielnationen 2025:

  • Vereinigte Staaten: ~4.000 Vorfälle
  • Kanada: >400 Vorfälle
  • Deutschland: 292 Vorfälle
  • Vereinigtes Königreich: 248 Vorfälle
  • Italien: 167 Vorfälle

Die Landschaft der Bedrohungsakteure wird weiterhin von etablierten Ransomware-Gruppen dominiert, die ihre Taktiken erfolgreich angepasst haben, um neue Technologien zu integrieren. An der Spitze der Täter im Jahr 2025 standen Qilin, Akira, Cl0p, PLAY und SAFEPAY. Diese Gruppen haben Widerstandsfähigkeit und Anpassungsfähigkeit gezeigt und nutzen AI nicht nur zur Verschlüsselung, sondern zur Verbesserung des Erpressungsprozesses, indem sie schnell hochrelevante Daten innerhalb kompromittierter Netzwerke identifizieren.

Fallstudien aus der Praxis: Über theoretische Risiken hinaus

Der Wandel hin zu AI-getriebenen Bedrohungen wird durch validierte Beispiele aus der Praxis gestützt. Paul Lukoskie, Senior Director of Threat Intelligence bei Dragos, hob spezifische Kampagnen mit den Bezeichnungen GTG-2002 und GTG-1002 hervor. In diesen Vorfällen wurde eingeschätzt, dass Angreifer Anthropic's Claude Code nutzten, um mehrere Schichten des Eindringens zu automatisieren. Dazu gehörten Aufklärung, Schwachstellenscans und die Optimierung von Angriffspfaden, was zeigt, wie kommerziell verfügbare AI-Tools für böswillige Zwecke umgewidmet werden.

Fernando Guerrero Bautista, ein OT-Sicherheit-Experte bei Airbus Protect, merkte an, dass AI derzeit als „ausgereifter technischer Kraftmultiplikator“ fungiert. Er betonte, dass AI Angreifern erlaubt, proprietäre Industrieprotokolle mit beispielloser Geschwindigkeit zu reverse-engineeren. Diese Fähigkeit ist in OT-Umgebungen besonders gefährlich, wo Sicherheit oft auf „security by obscurity“ beruht – der Annahme, dass Angreifer nicht das Nischenwissen besitzen, um bestimmte Industrie­­steuerungen zu manipulieren. AI hebt diese Verteidigung effektiv auf, indem sie sofortigen Zugriff auf technische Spezifikationen und Protokolldokumentationen bietet.

Der Wandel zu subtiler betrieblicher Verschlechterung

Während katastrophale Ereignisse wie Stromausfälle Schlagzeilen machen, zeichnet sich ein heimtückischerer Trend ab. Steve Mustard, ein ISA Fellow, warnt davor, dass AI Angriffe ermöglicht, die auf „subtile, persistente betriebliche Verschlechterung“ abzielen. Anstatt sofortige Alarme durch massive Störungen auszulösen, zielen diese AI-gestützten Angriffe darauf ab, die Effizienz leicht zu reduzieren, den Verschleiß von Maschinen zu erhöhen oder Qualitätsmargen zu manipulieren.

Diese subtilen Manipulationen sind darauf ausgelegt, traditionellen Leitsystemalarmierungen zu entgehen, die auf das Erkennen signifikanter Abweichungen ausgelegt sind. Indem sie innerhalb der Fehlertoleranzen agieren, können Angreifer langfristigen wirtschaftlichen Schaden und Geräteschäden verursachen, die normales Altern oder Wartungsprobleme imitieren. Dieser „langsame Tropf“-Ansatz erzeugt Verwirrung, erschwert die Fehlersuche und untergräbt das Vertrauen in die Zuverlässigkeit kritischer Infrastrukturen.

Das Verteidigungsdilemma: Warum Zero-Trust nicht ausreicht

Als Reaktion auf diese sich entwickelnden Bedrohungen setzen viele Organisationen auf Zero-Trust-Architekturen (Zero Trust). Zwar sind Prinzipien wie Mikrosegmentierung und Least-Privilege-Zugriff essenziell, doch Experten argumentieren, dass sie allein nicht ausreichen, um AI-adaptive Gegner aufzuhalten.

Die zentrale Herausforderung liegt in der Natur von OT-Umgebungen, die oft auf Legacy-Systeme und proprietäre Protokolle (wie Modbus) angewiesen sind, die keine integrierte Unterstützung für moderne Authentifizierung und Verschlüsselung bieten. Die Durchsetzung strenger Zero-Trust-Richtlinien kann zudem mit Sicherheits- und Verfügbarkeitsanforderungen kollidieren und möglicherweise Latenzen einführen oder kritische Befehle im Notfall blockieren.

Darüber hinaus nutzen AI-unterstützte Angreifer die Kontext-Lücke (Context Gap) zwischen IT-Sicherheitsteams und OT-Betreibern aus. Sicherheitsanalysten sehen Datenpakete, verstehen aber möglicherweise nicht die physischen Auswirkungen eines bestimmten Befehls, während Anlagenbetreiber die Physik verstehen, aber eine als Prozessschwankung getarnte Cyber-Anomalie nicht erkennen. AI nutzt dieses Vakuum und verbirgt seine Aktivität in der Nahtstelle, wo digitale Sicherheit endet und physikalisches Engineering beginnt.

Resilienz neu definieren für das AI-Zeitalter

Mit der Weiterentwicklung der Bedrohungslandschaft muss sich auch die Definition von Resilienz in industriellen Sektoren ändern. Der Konsens unter Branchenführern lautet, dass Prävention allein nicht mehr praktikabel ist. Stattdessen wird Resilienz als „Graceful Degradation“ (Graceful Degradation) neu definiert – die Fähigkeit, wesentliche Funktionen und Black-Start-Fähigkeiten (black start) aufrechtzuerhalten, selbst wenn die digitale Ebene kompromittiert ist.

Dieser Ansatz erfordert eine Rückkehr zu ingenieurwissenschaftlichen Grundlagen. Er geht davon aus, dass die digitale Peripherie kompromittiert wird, und stellt sicher, dass menschliche Bediener die Fähigkeit behalten, „intelligente“ Systeme manuell zu übersteuern, um das Netz oder die Anlage sicher zu steuern.

Schlüsselstrategien zur zukunftssicheren Absicherung von OT:

  • Human-ON-the-loop: Governance-Strukturen müssen automatisierten Sicherheitssystemen erlauben, deterministische sichere Zustände einzunehmen, ohne auf menschliche Autorisierung zu warten, während Menschen die Wiederherstellung überwachen.
  • Einheitliche Governance: Klare Entscheidungsbefugnisse zwischen IT- und OT-Teams vor einem Vorfall festzulegen, ist entscheidend, um die Verantwortungs­lücke zu schließen.
  • AI zur Verteidigung: AI zur Verbesserung des Lagebilds nutzen, nicht nur zur Erkennung von Bedrohungen. AI kann Verteidigern helfen, große Mengen an Telemetriedaten zu verarbeiten, um die „Physik“ eines Angriffs zu verstehen und so den Vorteil des Gegners auszugleichen.

Der Industriesektor steht an einem kritischen Wendepunkt. Die Integration von AI in Cyber-Bedrohungen hat die Angriffszeitlinien komprimiert und die Angriffsfläche für potenzielle Exploits erweitert. Die Verteidigung dagegen erfordert nicht nur neue Werkzeuge, sondern einen grundlegenden Wandel in der Denkweise – weg von der Abhängigkeit von Perimeter­sicherheit hin zu einer Strategie aus Resilienz, manueller Redundanz und kontinuierlichem, AI-unterstütztem Lernen.

1. Februar 2026
RansomwareKI-CybersicherheitIndustrielle Cyber-BedrohungenOT-SicherheitKI-gesteuerte Angriffe
industrialcyber.co
Ausgewählt