Angreifer agieren mit Maschinengeschwindigkeit – Verteidiger reagieren noch im menschlichen Tempo

Der am 16. März 2026 veröffentlichte Bericht von Booz Allen Hamilton beschreibt ein Problem, das viele Sicherheitsverantwortliche spüren, aber nur wenige quantifiziert haben: Die Zeitspanne zwischen Angriffen mit KI-Geschwindigkeit und Verteidigung mit Menschengeschwindigkeit wird nicht kleiner. Sie wird größer.

Wichtige Erkenntnisse

1. Bedrohungsakteure setzen KI für offensive Operationen schneller ein, als Regierungen und Unternehmen sie zur Verteidigung nutzen – das erzeugt laut Booz Allen die „Cybersecurity Speed Gap“. Angriffe, die früher Tage dauerten, verursachen heute in wenigen Minuten operative Auswirkungen.
2. Ein einzelner Operator mit agentenbasierter KI kann jetzt Aufklärung, Ausnutzung und Folgeaktionen gleichzeitig über Dutzende Ziele durchführen. Fähigkeiten, für die früher große, koordinierte Spezialistenteams nötig waren, erfordern heute nur noch eine Person mit einem API-Schlüssel.
3. KI-Plattformen selbst werden zu attraktiven Angriffsflächen – sie bündeln sensible Daten, Identitätssysteme und Workflow-Berechtigungen an einem Ort. Werden diese Plattformen falsch konfiguriert oder kompromittiert, erhalten Angreifer direkten Zugriff auf die Systeme, von denen Unternehmen abhängig sind.
4. Manuelle Cybersecurity-Prozesse können mit Angriffen in KI-Geschwindigkeit nicht mithalten, dennoch laufen die meisten Incident-Response-Prozesse weiterhin auf menschlichen Zeitachsen. CISA gibt Verteidigern 15 Tage, um kritische Schwachstellen zu patchen; HexStrike kompromittierte über 8.000 Endpunkte in weniger als 10 Minuten.
5. Um die Speed Gap zu schließen, sind drei Entscheidungen nötig: Cyberabwehr auf KI-Geschwindigkeit bringen, KI-Plattformen als kritische Infrastruktur absichern und ein Human-AI-Teaming-Modell einführen. Unternehmen, die diese Veränderungen nicht umsetzen, erkennen Eindringlinge erst, wenn Angreifer bereits Kontrolle erlangt haben.

Der Bericht, über den auch CyberScoop berichtet, dokumentiert eine Zeitleiste KI-gestützter Angriffsoperationen von 2023 bis Anfang 2026 und zeigt einen klaren Wendepunkt. Im August 2025 nutzte das Open-Source-Framework HexStrike eine Citrix-NetScaler-Schwachstelle aus und kompromittierte über 8.000 Endpunkte in weniger als 10 Minuten. Im September 2025 meldete Anthropic eine staatlich gesteuerte chinesische Kampagne, die mit einem jailbroken Claude Code eine vollständige Cyber-Kill-Chain gegen 30 globale Ziele autonom ausführte – wobei KI 80–90 % der taktischen Arbeit übernahm. Im Januar 2026 zeigte ein Sicherheitsforscher, dass kommerzielle Sprachmodelle komplette, funktionierende Exploit-Chains für Zero-Day-Schwachstellen zu durchschnittlichen Kosten von 50 US-Dollar pro Durchlauf generieren konnten.

Der CrowdStrike 2026 Global Threat Report bestätigt diese Entwicklung: Die durchschnittliche eCrime-Breakout-Zeit sank 2025 auf 29 Minuten – ein Rückgang um 65 % im Jahresvergleich, mit der schnellsten beobachteten Ausbreitung in 27 Sekunden. KI-gestützte Angriffe von Gegnern stiegen um 89 % im Jahresvergleich. Gleichzeitig arbeitet CISA weiterhin mit einer 15-tägigen Frist zur Behebung kritischer Schwachstellen – und der Booz Allen-Bericht fand heraus, dass 60 % dieser Schwachstellen auch nach Ablauf dieser Frist nicht behoben sind. Das ist keine Lücke. Das ist ein Abgrund.

Brad Medairy, EVP National Cyber Business bei Booz Allen, beschreibt das Risiko operativ: Sobald ein Angreifer eine Schwachstelle am Perimeter ausnutzt und in das System eindringt, agiert er mit Maschinengeschwindigkeit. Verteidiger, die weiterhin mit Menschengeschwindigkeit arbeiten, sind nicht nur langsamer – sie beobachten, wie der Angriff passiert.

Zwei Modelle KI-gestützter Angriffe – und warum das zweite alles verändert

Der Booz Allen-Bericht identifiziert zwei Muster, wie böswillige Akteure KI nutzen. Das erste ist das Collaborator-Modell: Ein Operator arbeitet interaktiv mit einem Sprachmodell, um Skripte zu schreiben, Code zu debuggen und Tools bei Fehlern anzupassen. Das steigert die Effizienz – es beschleunigt, was Angreifer ohnehin tun, wobei der Mensch bei wichtigen Entscheidungen eingebunden bleibt.

Das zweite ist das Orchestration-Modell – und es ist grundlegend anders. Ein Operator verbindet ein KI-System mit offensiven Sicherheitstools, gibt ein Ziel und Parameter vor und überlässt der KI den Rest. Das System wählt eigenständig Tools, führt Aktionen aus, liest Ergebnisse und iteriert, bis das Ziel erreicht ist. Brad Medairy, EVP National Cyber Business bei Booz Allen, vergleicht das mit dem KI-Äquivalent von „Vibe Coding“ – Ziel definieren, Rahmen setzen, Agent arbeiten lassen.

Das Orchestration-Modell macht Vorfälle wie HexStrike und Claude Code so bedeutsam. Hier agieren keine hochspezialisierten Nationalstaaten, die mit KI manuelle Prozesse beschleunigen. Es sind automatisierte Systeme, die komplette Angriffsabläufe mit minimaler menschlicher Steuerung durchführen. Besonders aufschlussreich ist die von Anthropic im November 2025 dokumentierte Claude-Code-Kampagne: Jailbroken KI-Agenten wählten eigenständig Ziele, generierten Exploits, führten Angriffe aus, exfiltrierten Daten und installierten Persistenz – alles ohne Echtzeit-Eingriff durch Menschen. Menschliche Operatoren griffen nur an vier bis sechs Entscheidungspunkten während der gesamten Kampagne ein. Die Kiteworks Prognose hob eine defensive Erkenntnis aus diesem Vorfall hervor: Die KI übertrieb manchmal Ergebnisse oder erfand Daten, was Angreifer zwang, Resultate zu überprüfen und so die Kampagne verlangsamte. Diese Unzuverlässigkeit ist der dünnste Silberstreif – und wird mit besseren Modellen verschwinden.

Die im Februar 2026 veröffentlichte Agents of Chaos-Studie – durchgeführt von 20 Forschern aus MIT, Harvard, Stanford und CMU – dokumentiert die strukturellen Defizite, die dies ermöglichen: KI-Agenten haben keinen verlässlichen Mechanismus, autorisierte Nutzer von Angreifern zu unterscheiden, kein internes Modell ihrer eigenen Kompetenzgrenzen und keine Möglichkeit, die Weitergabe kompromittierter Anweisungen zwischen Agenten zu verhindern.

Der Kiteworks 2026 Data Security and Compliance Risk Forecast Report liefert Zahlen zur Verteidigerseite: 63 % der Unternehmen können keine Zweckbindung für KI-Agenten durchsetzen, 60 % können fehlverhaltende Agenten nicht beenden und 55 % können KI-Systeme nicht vom restlichen Netzwerk isolieren. Angreifer bauen autonome offensive Agenten. Die meisten Verteidiger können nicht einmal ihre eigenen einschränken.

KI-Plattformen sind die neue kritische Infrastruktur – und die neueste Angriffsfläche

Der Booz Allen-Bericht argumentiert über klassische Bedrohungsanalysen hinaus: KI-Plattformen selbst sind zur kritischen Infrastruktur geworden. Diese Systeme bündeln sensible Daten, verbinden sich mit E-Mail- und Ticketing-Systemen, integrieren sich mit Code-Repositories und stoßen Aktionen über Plugins, Agents und automatisierte Workflows an. Werden sie kompromittiert, erhalten Angreifer direkten Zugang zu den vertrauenswürdigsten Bereichen des Unternehmens.

Die dokumentierten Fälle sind konkret. XLab meldete die Verbreitung der Pickai-Malware über Schwachstellen in ComfyUI, einem KI-Workflow-Tool, was fast 700 Server betraf. Microsoft Incident Response dokumentierte Angreifer, die die OpenAI Assistants API als Command-and-Control-Kanal nutzten. Öffentliche Repositories wurden genutzt, um bösartige KI-Pakete mit professionell wirkender, KI-generierter Dokumentation zu verbreiten – Sonatype meldete im vierten Quartal 2025 fast 400.000 neue Open-Source-Malware-Pakete, davon 89 % durch skriptgesteuerte und KI-unterstützte Veröffentlichungen einer einzigen Kampagne.

Das Risiko steigt, wenn keine einzelne Abteilung die KI-Sicherheit Ende-zu-Ende verantwortet. Ein Team betreibt Modelle und Workflows. Ein anderes verwaltet Zugriffe und Protokolle. Ein drittes betreut Anbieter. Die Kiteworks Prognose ergab, dass 57 % der Unternehmen kein zentrales KI-Datengateway haben und 33 % der Behörden über keinerlei dedizierte KI-Kontrollen verfügen. Der Black Kite 2026 Third-Party Breach Report dokumentierte 2025 insgesamt 136 bestätigte Drittanbieter-Sicherheitsvorfälle mit 719 namentlich genannten Opfern und rund 26.000 nicht genannten Unternehmen – bei einer mittleren Offenlegungsdauer von 73 Tagen. Wenn KI-Plattformen interne Systeme, Partner-APIs und Lieferketten-Workflows verbinden, wird jede dieser Verbindungen zum potenziellen Ausbreitungspfad für kompromittierte KI-Agenten.

Die Empfehlung von Booz Allen – KI-Plattformen mit durchsetzbaren Sicherheitsstandards für Zugriff, Protokollierung, Integrationen und Datenverarbeitung zu behandeln – ist ein klares Eingeständnis, dass freiwillige Leitlinien dem Risiko dieser Plattformen nicht gerecht werden.

Die Speed Gap ist auch eine Data-Governance-Lücke

Hinter dem Geschwindigkeitsproblem verbirgt sich ein Datenproblem. KI-gestützte Angreifer sind nicht nur schneller beim Eindringen – sie finden und extrahieren auch schneller die entscheidenden Informationen. Der Wandel von Malware-basierten zu identitätsbasierten, zugriffsgetriebenen Angriffen bedeutet: Angreifer nutzen legitime Konten, greifen auf legitime Systeme zu und exfiltrieren Daten über legitime Kanäle. Der CrowdStrike-Bericht dokumentierte, dass 82 % der Entdeckungen 2025 malwarefrei waren.

Das verändert die Bedeutung von „Verteidigung“ auf der Datenebene. Klassische Perimeter-Sicherheit, Endpoint Detection und signaturbasierte Tools sind darauf ausgelegt, bösartige Dateien zu erkennen. Sie sind nicht dafür gemacht, bösartiges Verhalten über vertrauenswürdige Konten mit Zugriff auf sensible Daten in Maschinengeschwindigkeit zu erkennen.

Der 2026 Thales Data Threat Report fand heraus, dass nur 33 % der Unternehmen vollständig wissen, wo ihre Daten liegen. Die Kiteworks Prognose ergab, dass 33 % überhaupt keine beweissicheren Audit-Trails haben und 61 % fragmentierte Protokolle über verschiedene Systeme hinweg – Protokolle, die bei einem Vorfall mit KI-Geschwindigkeit keine sinnvolle forensische Auswertung ermöglichen. Der DTEX 2026 Insider Threat Report ergänzt eine weitere Dimension: Shadow AI ist inzwischen der Haupttreiber für fahrlässige Insider-Vorfälle, aber nur 13 % der Unternehmen haben KI in ihre Sicherheitsstrategie integriert.

Wenn Angreifer mit legitimen Konten in Maschinengeschwindigkeit agieren und Verteidiger nicht einmal nachvollziehen können, auf welche Daten ihre eigenen KI-Systeme zugreifen, wird die Speed Gap zur Visibility Gap – und diese zur Compliance-Lücke.

Der WEF Global Cybersecurity Outlook 2026 bestätigt diese Entwicklung: 73 % der Befragten berichteten, dass sie oder jemand in ihrem Netzwerk 2025 persönlich von cybergestütztem Betrug betroffen waren. CEOs nennen cybergestützten Betrug und KI-Schwachstellen erstmals als ihre beiden größten Sorgen – noch vor Ransomware. Der Booz Allen-Bericht bringt es auf den Punkt: Wenn KI Täuschung im industriellen Maßstab ermöglicht und Angreifer über vertrauenswürdige Identitäten agieren, wird Sicherheit untrennbar mit Data Governance verbunden. Unternehmen, die nicht nachweisen können, auf welche Daten zugegriffen wurde, von wem, unter welcher Richtlinie und ob der Zugriff durch Mensch oder Maschine erfolgte, scheitern sowohl bei der Vorfalluntersuchung als auch bei der anschließenden Prüfung durch Aufsichtsbehörden.

Wie Kiteworks die Lücke zwischen KI-Speed-Angriffen und Data-Layer-Defense schließt

Die drei Empfehlungen des Booz Allen-Berichts – Verteidigung auf KI-Geschwindigkeit bringen, KI-Plattformen als kritische Infrastruktur absichern und Human-AI-Teaming einführen – laufen auf eine architektonische Anforderung hinaus: Die Datenebene muss unabhängig von Modell, Agent und Anwender gesteuert werden.

Kiteworks fungiert als Kontrollinstanz für sicheren Datenaustausch und bietet einheitliche Governance über alle Kanäle, in denen sensible Daten bewegt werden – E-Mail, Filesharing, SFTP, Managed File Transfer, APIs, Datenformulare und KI-Integrationen über den Secure MCP Server. Das ist keine weitere Monitoring-Schicht. Es ist die Durchsetzungsebene.

Für Containment in KI-Geschwindigkeit erfasst Kiteworks einen manipulationssicheren Audit-Trail jeder Interaktion mit sensiblen Daten – durch Mensch oder KI-Agent – in Echtzeit, direkt angebunden an SIEM-Infrastrukturen, ohne Drosselung und Verzögerung. Wenn ein Vorfall sich in Minuten abspielt, liegt die Beweiskette bereits vor – nicht verteilt auf fünf Systeme mit 72 Stunden Log-Verzögerung.

Für KI-Plattform-Sicherheit erzwingt Kiteworks attributbasierte Zugriffskontrolle (ABAC) auf der Datenebene. Jede KI-Agenten-Anfrage wird authentifiziert, anhand einer mehrdimensionalen Richtlinie autorisiert, mit FIPS 140-3-validierter Verschlüsselung geschützt und mit vollständiger Delegationskette protokolliert. Zweckbindung begrenzt, was Agenten dürfen. Kill-Switch-Funktion ermöglicht schnelle Beendigung. Single-Tenant-Isolation verhindert die Ausnutzung von Schwachstellen über Mandantengrenzen hinweg.

Für Human-AI-Teaming ersetzt Kiteworks die manuellen Compliance-Prüfungen, die KI-Einführungen verzögern, durch kontinuierliche, automatisierte Governance. KI-Projekte werden schnell ausgerollt, weil Compliance architektonisch verankert ist – nicht als periodische Genehmigung nachträglich hinzugefügt wird.

Fünf Veränderungen, die Sicherheitsverantwortliche vor Schließung der Speed Gap umsetzen müssen

Erstens: Automatisierte Containment-Maßnahmen für KI-Speed-Vorfälle vorab genehmigen. Der Booz Allen-Bericht ist eindeutig: Auf manuelle Freigaben während eines Angriffs zu warten, dauert zu lange. Definieren Sie im Voraus, welche Maßnahmen – Host-Isolation, Traffic-Blockierung, Sitzungsbeendigung, Privilegien-Einfrieren – automatisch innerhalb festgelegter Schwellenwerte ausgeführt werden dürfen. Testen Sie diese Entscheidungen in Tabletop-Übungen, bevor der Ernstfall sie erzwingt.

Zweitens: Durchsetzbare Sicherheitsstandards für jede produktive KI-Plattform etablieren. Die Kiteworks Prognose ergab, dass 57 % der Unternehmen kein zentrales KI-Datengateway haben. Jeder automatisierte Workflow sollte über eigene Identitäts- und Zugriffskontrollen, zero-trust-Policies zur Begrenzung erreichbarer Daten und Systeme sowie detaillierte Protokollierung jedes Tool-Aufrufs, Schlüsselereignisses und Performancesignals verfügen.

Drittens: Vereinheitlichen Sie Ihre Audit-Trail-Infrastruktur über alle Kanäle des Datenaustauschs hinweg. Die Kiteworks Prognose ergab, dass 61 % der Unternehmen fragmentierte Protokolle haben, die nicht verwertbar sind. Wenn die Breakout-Zeit 29 Minuten beträgt und Ihre Logs erst nach 72 Stunden eintreffen, untersuchen Sie einen Tatort – Sie stoppen keinen Angriff.

Viertens: Setzen Sie Data-Layer-Governance für alle KI-Integrationen um – keine Model-Layer-Guardrails. Systemprompts sind keine Compliance-Kontrollen. Sie sind Anweisungen, die durch Prompt Injection, Modell-Updates oder indirekte Manipulation umgangen werden können. Nur Data-Layer-Durchsetzung – unabhängig vom Modell – ist revisionssicher.

Fünftens: Führen Sie ein Human-AI-Teaming-Modell für Security Operations ein. Der Booz Allen-Bericht schätzt, dass sich damit die Kapazität eines Security-Teams um das 10- bis 100-Fache steigern lässt. Automatisierte Agenten übernehmen Routine-Triage, Regel-Updates und erste Containment-Maßnahmen. Menschliche Analysten überwachen, verfeinern die Erkennung und greifen bei komplexen Fällen ein.

Das Fazit des Booz Allen-Berichts ist eindeutig: Die Frage ist nicht mehr, ob Unternehmen mit KI-gestützten Angriffen konfrontiert werden. Das passiert bereits. Die Frage ist, ob Verteidiger rechtzeitig handeln können – oder erst, wenn der Schaden bereits entstanden ist.