Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > KI-Angreifer verdoppeln sich alle 4,7 Monate: Jetzt Daten absichern

KI-Angreifer verdoppeln sich alle 4,7 Monate: Jetzt Daten absichern

von Marc ten Eikelder updated Mai 19, 2026 Cybersecurity-Risikomanagement
Lesezeit: 9 Minuten

Die britische Regierung hat soeben den wohl unbequemsten Maßstab der Cybersicherheit veröffentlicht. Das AI Security Institute (AISI), eine Forschungseinheit des Department for Science, Innovation and Technology, verfolgt, wie gut fortschrittliche KI-Modelle mehrstufige, Ende-zu-Ende-Penetrationstests bestehen – also die Art von Tests, die erfahrene Red-Teamer gegen Unternehmensnetzwerke durchführen. Im November 2025 verdoppelte sich der Schwierigkeitsgrad der Aufgaben, die die besten Modelle autonom lösen konnten, etwa alle acht Monate. Bis Februar 2026 war diese Verdopplungsrate auf 4,7 Monate gesunken. Die neuesten Bewertungen von Claude Mythos Preview und GPT-5.5 deuten laut AISI darauf hin, dass die Entwicklung noch rasanter verläuft.

wichtige Erkenntnisse

  1. Die Verdopplungsrate beschleunigt sich weiter. Die Benchmarks des britischen AI Security Institute zeigen, dass sich der Schwierigkeitsgrad der Cyberaufgaben, die KI-Modelle bewältigen können, inzwischen alle 4,7 Monate verdoppelt – im Vergleich zu acht Monaten im November 2025. Die Entwicklung beschleunigt sich stetig.
  2. Es handelt sich um eine Messung der Autonomie, nicht um einen Hype. Das AISI prüft, ob KI mehrstufige Exploits mit 80% Zuverlässigkeit Ende-zu-Ende ausführen kann – gemessen an Aufgaben, die sich an menschlichen Expertenstunden orientieren. Das ist eine deutlich höhere Hürde als „KI kann eine Phishing-E-Mail schreiben“.
  3. Die Angreifer-Zeitachse schrumpft schneller, als Verteidiger reagieren können. CrowdStrike hat durchschnittliche eCrime-Breakout-Zeiten von 29 Minuten und einen Anstieg KI-gestützter Angriffe um 89% im Jahresvergleich gemessen – noch bevor die neuesten AISI-Benchmarks veröffentlicht wurden.
  4. Patch-and-Detect-Modelle verlieren bereits das Rennen. Nur 33% der Unternehmen wissen, wo ihre sensiblen Daten liegen, und die meisten können kompromittierte KI-Trainingsdaten nach einem Vorfall nicht wiederherstellen. Schnellere Angreifer decken diese Lücken sofort auf.
  5. Der dauerhafte Schutz verlagert sich auf die Daten selbst. Wenn die Zeit zwischen Entdeckung und Ausnutzung einer Schwachstelle gegen null schrumpft, bleibt nur noch eine Kontrollfläche, die die Daten unabhängig vom Exploit steuert, verschlüsselt und prüft.

Moore’s Law hat ausgedient. Die Gegenseite der Verteidiger folgt jetzt einer Exponentialfunktion.

Dies ist keine Geschichte über KI, die bessere Phishing-E-Mails schreibt. Die AISI-Benchmarks messen gezielt die autonome Leistungsfähigkeit – ob ein Modell Kontext über mehrere Schritte hinweg hält, Fehler ausgleicht und Aufgaben erledigt, für die menschliche Experten Stunden benötigen. Kat Traxler, Principal Security Researcher bei Vectra AI, bringt die Bedeutung für CSO Online auf den Punkt: „Die AISI-Benchmarks messen nicht, ob Modelle eine Schwachstelle erkennen. Sie messen, ob verschiedene Modelle eine Kette von Exploits zu funktionierenden Angriffen verbinden können, um ein Ziel zu erreichen – wie echte Angreifer es tun.“

Das ist entscheidend. Ein Modell, das Exploits zu einem funktionierenden Angriff verknüpfen kann, ist kein Werkzeug. Es ist ein Junior-Red-Teamer, der nicht schläft, nie ausfällt und sich schneller verbessert, als jedes Verteidiger-Trainingsbudget mithalten kann.

Warum die AISI-Zahlen wichtiger sind als Anbieter-Demos

AISI ist eine der wenigen unabhängigen Stimmen in einem Markt voller Anbieter-Behauptungen. Es wird staatlich finanziert, arbeitet methodisch transparent und hat kein kommerzielles Produkt zu verkaufen. Wenn AISI sagt, dass sich die Verdopplungsrate zwischen November und Februar von acht auf 4,7 Monate beschleunigt hat, ist das kein Marketing – sondern das Ergebnis eines kontrollierten Benchmarks, der die gleichen Modelle immer wieder mit den gleichen Aufgaben konfrontiert.

Die Benchmark-Methodik ist wichtig zu verstehen: AISI misst zunächst, wie lange ein menschlicher Experte für eine Aufgabe benötigt, und ermittelt dann, welche längste Aufgabe – gemessen in Expertenstunden – ein KI-Modell mit 80% Erfolgswahrscheinlichkeit bewältigen kann. Die gemeldete Zahl misst nicht die Geschwindigkeit, sondern die autonome Zuverlässigkeit bei mehrstufigen Aufgaben. Um eine lange Aufgabe zu lösen, muss das Modell Kontext halten, Fehler ausgleichen und weitermachen.

Einige Einschränkungen sind zu beachten: AISI begrenzte die KI-Systeme auf 2,5 Millionen Tokens, um einen Vergleich über die Zeit zu ermöglichen – das limitiert die Fähigkeit der Modelle, sich an frühere Phasen des Angriffs zu erinnern. Wie alle Benchmarks ist auch dieser kein exakter Indikator für die reale Performance. Und wie AISI selbst feststellt, tun sich KI-Modelle manchmal mit Aufgaben schwer, die Menschen leichtfallen, und meistern Aufgaben, die Menschen schwerfallen, mühelos. Keine dieser Einschränkungen ändert jedoch den Trend: Die Entwicklungskurve wird steiler, unabhängig davon, wo ein einzelnes Modell steht.

Die Verdopplungsrate trifft auf ein bereits verkürztes Verteidiger-Zeitfenster

Die AISI-Entwicklung trifft nicht auf eine ruhige Bedrohungslage, sondern auf ein Umfeld am operativen Limit.

Der CrowdStrike 2026 Global Threat Report verzeichnete einen Anstieg KI-gestützter Angriffe um 89% im Jahresvergleich. Die durchschnittliche eCrime-Breakout-Zeit – also die Zeitspanne zwischen Erstzugriff und lateraler Bewegung – lag bei 29 Minuten, die schnellste bei 27 Sekunden. Zero-Day-Exploits vor öffentlicher Bekanntmachung stiegen um 42%. 82% der Erkennungen im Jahr 2025 waren malwarefrei (2020: 51%), weil Angreifer legitime Zugangsdaten, native Tools und menschliche Techniken nutzen, die klassische signaturbasierte Abwehr nicht erkennt.

Die Zahlen sprechen für sich: CrowdStrike sammelte die Daten bis 2025, bevor sich die AISI-Verdopplungsrate beschleunigte. Der Anstieg um 89%, das 29-Minuten-Fenster und das 42%-Wachstum bei Zero-Days spiegeln eine Bedrohungslage wider, die vor dem jüngsten Sprung der KI-Fähigkeiten liegt. Egal, was der nächste CrowdStrike-Report zeigt – die Richtung ist klar.

Gleichzeitig ergab der Thales 2026 Data Threat Report, dass nur 33% der Unternehmen genau wissen, wo ihre sensiblen Daten liegen. Zwei Drittel der Unternehmen weltweit können die Frage, die ein AISI-benchmarked Angreifer zuerst stellen würde – „Wo sind die wertvollen Daten?“ – nicht beantworten.

Das ist die Rechnung, der sich keine Sicherheitsstrategie gerne stellt: Die Angreifer-Fähigkeit verdoppelt sich alle 4,7 Monate. Das Verteidiger-Zeitfenster liegt bei 29 Minuten. Zwei Drittel der Unternehmen haben keinen Überblick über ihre Kronjuwelen. Das ist keine Lücke, die wächst – das ist ein strukturelles Missverhältnis.

Das CVE-und-Patch-Modell stammt aus einem anderen Jahrzehnt

Alle Annahmen im modernen Schwachstellenmanagement sind auf menschlich getaktete Angreifer ausgerichtet. Anbieter melden eine Schwachstelle. NIST bewertet sie. Sicherheitsteams priorisieren nach Score. Patches werden in Tagen oder Wochen ausgerollt. Das funktioniert, solange zwischen Entdeckung und Ausnutzung einer Schwachstelle Tage oder Wochen liegen.

Doch dieser Takt bricht bereits auf. Das April-2026-Briefing „Mythos-Ready“ der Cloud Security Alliance – unterzeichnet von Jen Easterly, Bruce Schneier, Chris Inglis und Phil Venables – warnte: „Das Zeitfenster zwischen Entdeckung und Ausnutzung ist auf Stunden geschrumpft.“ NIST räumte im April ein, dass die Mehrheit der an die National Vulnerability Database gemeldeten CVEs nicht mehr angereichert werden kann – über 30.000 Einträge sind unbearbeitet und „nicht geplant“ ist die neue Standardkategorie. Der Dragos 2026 OT/ICS Cybersecurity Report fand, dass 15% der CVEs aus 2025 falsche CVSS-Scores hatten – 64% davon wurden nach oben korrigiert – und dass 25% der öffentlichen Schwachstellenhinweise weder Patch noch Abhilfemaßnahmen enthielten.

Hinzu kommt das AISI-Signal: Die KI-Systeme, die Schwachstellen entdecken, verdoppeln ihre Fähigkeiten alle 4,7 Monate. Das Referenzsystem der Verteidiger halbiert seine Abdeckung. Die Angreifer-Discovery-Engine wird industriell.

Die Asymmetrie ist strukturell. Kein einzelnes Tool, kein Training und kein Patch-SLA kann diese Lücke schließen.

Warum „Defender AI“ notwendig, aber nicht ausreichend ist

Das häufigste Gegenargument zu den AISI-Ergebnissen: Auch Verteidiger bekommen KI. Chris Lentricchia, Director Cloud and AI Security Strategy bei Sweet Security, sagte CSO Online, „die gleiche Beschleunigung, die Angreiferfähigkeiten verbessert, kann auch defensive Fähigkeiten wie proaktive Bedrohungserkennung und automatisierte Reaktion verbessern.“ Das stimmt. Defender AI ist wichtig. Genauso wie schnelleres Patchen, bessere Detection-Telemetrie und automatisierte IR-Prozesse.

Doch Defender AI löst das Grundproblem der Asymmetrie nicht. Der Angreifer muss nur einmal erfolgreich sein. Der Verteidiger muss jeden Tag, für jedes Asset, jeden Account, jede API, jeden Workflow erfolgreich sein. Defender AI erhöht das Mindestniveau, Angreifer-KI das Maximum. Die Lücke zwischen beiden hängt davon ab, wie viel Angriffsfläche offenliegt und wie gut diese gesteuert wird.

Hinzu kommt ein Survivorship-Problem: Defender AI funktioniert im SOC, in der EDR-Konsole, im Cloud Security Posture Management. Sie funktioniert aber kaum dort, wo Daten wirklich bewegt werden – zwischen Mitarbeitern und externen Partnern, zwischen Anwendungen und externen SaaS, zwischen Menschen und KI-Agents. Die schnellste und zuverlässigste Defender AI hilft nicht, wenn sensible Daten bereits über einen überwachten, aber nicht gesteuerten Kanal exfiltriert wurden.

Der Kiteworks Data Security and Compliance Risk: 2026 Forecast Report zeigt: Nur 43% der Unternehmen verfügen über ein zentrales AI Data Gateway, während 7% keinerlei dedizierte Kontrollen für den KI-Zugriff auf sensible Daten haben. Die übrigen 50% setzen auf „teilweise“, „ad hoc“ oder „verteilte, aber nicht abgestimmte“ Lösungen. Genau diese Angriffsfläche wird KI-gestützte Angreifer zuerst finden.

Die Architektur-Antwort: Daten steuern, nicht nur Schwachstellen

Wenn die Angreifer-Fähigkeiten exponentiell wachsen, kann kein Verteidiger durch reine Perimeter-Härtung mithalten. Die Kontrollfläche muss unter den Angriff wandern – direkt zu den Daten.

Das ist das Architekturprinzip, das Bestand hat, wenn Patch-Zyklen nicht mehr greifen: Eine gehärtete virtuelle Appliance mit integriertem Firewall, WAF und IDS, sodass Sicherheit ein Produkteigenschaft und keine Kundenkonfiguration ist. Zero-trust-Zugriffskontrolle mit attributbasierter Durchsetzung über alle Datenbewegungskanäle hinweg – sichere E-Mails, Filesharing, SFTP, Managed File Transfer, APIs, Web-Formulare und KI-Agents. FIPS 140-3-Verschlüsselung mit kundengesteuerten Schlüsseln. Manipulationssichere Audit-Logs in Echtzeit an das SIEM, ohne Drosselung, damit Incident Response über forensisch belastbare Nachweise verfügt. Single-Tenant-Isolation, damit ein Multi-Tenant-Vorfall nicht durch fremde Schwachstellen Ihre Daten gefährdet.

Kiteworks wurde genau für dieses Prinzip entwickelt. Die Plattform vereint Governance, Sicherheit und Transparenz über alle Kanäle, über die Unternehmen sensible Daten bewegen – einschließlich KI-Zugriff über Kiteworks Compliant AI und Secure MCP Server. Als Log4Shell im Dezember 2021 als CVSS-10-Schwachstelle die Branche traf, erlebten Kiteworks-Kunden sie als CVSS 4 – weil die Architektur bereits die Exploit-Pfade entfernt hatte, die eine Standardimplementierung offengelassen hätte.

Der nächste Log4Shell-Vorfall wird nicht mit einer CVE-Nummer angekündigt. Er wird als Zero-Day erscheinen, entdeckt von einem KI-System, das noch niemand bewertet hat. Die Verteidigung, die dann hält, ist eine, die für unbekannte Bedrohungen konzipiert ist.

Was Unternehmen jetzt tun müssen – nicht erst im nächsten Budgetzyklus

Die AISI-Verdopplungsrate ist kein Forschungsthema, sondern ein Handlungsauftrag – mit den Ressourcen, die Sie heute haben.

Erstens: Behandeln Sie die AISI-Entwicklung als strategischen Faktor, nicht als Forschungsneugier. Nehmen Sie die Verdopplungsrate in Ihre Vorstandspräsentationen, Ihr Risikoregister und Ihre Threat-Modeling-Übungen auf. Diskutieren Sie, was passiert, wenn Angreiferfähigkeiten die Patch-Geschwindigkeit überholen – denn daraus ergeben sich alle Architekturentscheidungen.

Zweitens: Überprüfen Sie die Lücke zwischen Ihrer Detection-Frequenz und dem 29-Minuten-Breakout-Fenster. Der Kiteworks 2026 Forecast Report zeigt: Nur 43% der Unternehmen haben ein zentrales AI Data Gateway, und die Mehrheit fehlt die einheitliche Telemetrie, um kanalübergreifende Datenbewegungen mit Angreifer-Tempo zu erkennen. Wenn Ihr IR-Plan von Stunden ausgeht, ist er auf das falsche Jahrzehnt ausgerichtet.

Drittens: Erfassen Sie alle KI-Zugriffspfade. Jeder interne Copilot, jeder Agent, jede Modellintegration, jede API zu sensiblen Datenspeichern ist jetzt ein potenzielles Ziel für KI-Angreifer. Laut Kiteworks-Report haben 7% der Unternehmen keinerlei dedizierte Kontrollen für KI-Zugriffe. Diese Unternehmen sind nicht „Early Adopters“, sondern ungeschützt.

Viertens: Holen Sie die Kontrolle über Ihre Verschlüsselungsschlüssel zurück. Cloud-gemanagte, fragmentierte Schlüssel erhöhen den Schaden, wenn ein KI-gestützter Exploit einen privilegierten Dienst erreicht. Kundengesteuerte Schlüssel, FIPS 140-3-Zertifizierung und HSM-Integration sind in den nächsten zwölf Monaten Standardanforderungen, keine Differenzierungsmerkmale.

Fünftens: Fordern Sie beweiskräftige Audit-Trails für jeden Datenbewegungskanal. Kiteworks fand heraus, dass 33% der Unternehmen keine manipulationssicheren Protokolle haben, die regulatorischer Prüfung oder Gerichtsverfahren standhalten. Wenn ein schnellerer Angreifer ein schnelleres System kompromittiert, ist das forensische Protokoll oft das einzige Artefakt, das einen begrenzten Vorfall von einer meldepflichtigen Datenpanne unterscheidet.

Sechstens: Fordern Sie von Ihren KI-Anbietern Governance auf Datenebene, nicht nur Modellsicherheit. Ein jailbroken Modell, das Ihre sensiblen Daten nicht erreichen kann, bleibt ein begrenzter Vorfall. Ein sicheres Modell mit weitreichendem Zugriff auf unkontrollierte Daten ist nur eine Prompt Injection vom Desaster entfernt. Die entscheidende Kontrollfläche ist das Datum, nicht das Modell.

Die Verdopplungsrate wartet nicht, bis Unternehmen aufholen. Wer für die Kurve baut, gewinnt. Wer für das alte Paradigma baut, bekommt den nächsten Vorfall.

Häufig gestellte Fragen

Betrachten Sie sie als Signal für Ihre Planung, nicht als Prognose. Der AISI-Benchmark misst autonome, mehrstufige Fähigkeiten – die anspruchsvollste Form von KI-Cyberkompetenz. Trotz methodischer Einschränkungen bestätigt der Trend, was der 89%-Anstieg KI-gestützter Angriffe laut CrowdStrike bereits nahelegt. Laut Kiteworks Data Security and Compliance Risk: 2026 Forecast Report verfügen nur 43% der Unternehmen über ein zentrales AI Data Gateway – die meisten sind also exponiert.

Konsolidieren Sie den Datenbewegungs-Perimeter. Die meisten Teams arbeiten mit zu vielen fragmentierten Tools, jeweils mit eigenen Audit-Logs und Zugriffskontrollen. Der Kiteworks Data Security and Compliance Risk: 2026 Forecast Report zeigt: Einheitliche Governance auf Datenebene reduziert sowohl den operativen Aufwand als auch die Angriffsfläche. Eine Plattform mit konsistenter Policy-Durchsetzung für E-Mail, Filesharing, Managed File Transfer, APIs und KI-Zugriffe ist günstiger als fünf Einzellösungen.

Steuern Sie auf Datenebene, nicht auf Modellebene. Laut Kiteworks Data Security and Compliance Risk: 2026 Forecast Report haben 7% der Unternehmen keinerlei dedizierte KI-Zugriffskontrollen und 19% setzen auf Ad-hoc-Lösungen. Ein zentrales AI Data Gateway mit ABAC-Policy-Durchsetzung ermöglicht es KI-Agents, nur auf die Daten zuzugreifen, für die sie autorisiert sind – jede Anfrage wird authentifiziert, autorisiert und protokolliert.

CMMC Level 2 setzt bei Zugriffskontrolle, Audit und Identifikation voraus, dass Verteidiger anomale Aktivitäten erkennen und darauf reagieren können. Die AISI-Ergebnisse verkürzen dieses Reaktionsfenster drastisch. Der Kiteworks Data Security and Compliance Risk: 2025 State of CMMC Preparedness in the DIB Report ergab, dass sich nur 46% von 209 befragten DIB-Unternehmen für Level 2 bereit halten und 57% keine NIST 800-171-Gap-Analyse durchgeführt haben. Governance auf Datenebene mit attributbasierter Zugriffskontrolle erfüllt AC-, AU- und IA-Anforderungen gleichzeitig.

Klassisches IAM authentifiziert Anwender und weist Rollen zu. Die Governance von KI-Agents muss den Agenten authentifizieren, den Zugriff auf spezifische Daten autorisieren und jede Interaktion in Echtzeit protokollieren. Der Kiteworks Data Security and Compliance Risk: 2026 Forecast Report beschreibt dies als Control-Plane-Lücke – IAM steuert Menschen, Governance steuert den Datenfluss. Wenn ein Angreifer mit AISI-Fähigkeiten auf einen unzureichend gesteuerten Agenten trifft, wird dieser zum Exfiltrationskanal.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks