Angreifer werden nicht kreativer – sie werden schneller

Im September 2025 gab Anthropic bekannt, dass das Unternehmen eine Cyber-Spionageoperation entdeckt und gestoppt hatte, die einer chinesischen, staatlich unterstützten Gruppe zugeschrieben wird. Die Operation nutzte KI-Agents—Claude-Code-Instanzen, die als autonome Orchestratoren agierten—um etwa 80–90 % der taktischen Aufgaben einer Angriffskampagne gegen rund 30 Organisationen zu automatisieren. Menschliche Operatoren griffen nur an wenigen kritischen Entscheidungspunkten ein: Sie genehmigten die Eskalation von der Aufklärung zur Ausnutzung und entschieden, welche Daten exfiltriert werden sollten.

Wichtige Erkenntnisse

1. Ausnutzen von Schwachstellen ist jetzt der wichtigste Angriffsvektor—und KI verkürzt das Zeitfenster drastisch. IBM X-Force stellte fest, dass Angriffe auf öffentlich zugängliche Anwendungen um 44 % zunahmen, wobei viele ausgenutzte Schwachstellen keinerlei Authentifizierung erforderten.
2. KI-Plattformen sind inzwischen ein Ökosystem für das Abgreifen von Zugangsdaten. Über 300.000 ChatGPT-Zugangsdaten tauchten 2025 im Darknet auf und eröffneten Angreifern Möglichkeiten, Ausgaben zu manipulieren, Daten zu exfiltrieren und bösartige Prompts einzuschleusen.
3. Supply-Chain-Kompromittierungen haben sich seit 2020 fast vervierfacht, und KI-Toolchains sind als Nächstes betroffen. Angreifer nutzen CI/CD-Pipelines, SaaS-Integrationen und vertrauenswürdige Entwickleridentitäten aus—während 72 % der Unternehmen nicht einmal eine verlässliche Inventarisierung ihrer Softwarekomponenten vorlegen können.
4. Ransomware-Gruppen stiegen um 49 %, während 82 % der Angriffe ohne Malware ablaufen. Angreifer agieren mit gültigen Zugangsdaten und nativen Tools—Data-Layer-Kontrollen sind die letzte wirksame Verteidigungslinie.
5. Die meisten Unternehmen verfügen nicht über grundlegende Kontrollen zur Steuerung des KI-Datenzugriffs. 63 % können keine Zweckbindung für KI-Agents durchsetzen, 60 % können fehlverhaltende Agents nicht beenden, und nur 43 % haben ein zentrales KI-Datengateway.

Dieser Vorfall war ein Vorgeschmack auf die operative Realität, die der IBM X-Force Threat Intelligence Index 2026 nun im großen Maßstab dokumentiert. Die Ausnutzung öffentlich zugänglicher Anwendungen stieg im Jahresvergleich um 44 %. Das Ausnutzen von Schwachstellen löste Phishing und gestohlene Zugangsdaten als führenden Initialzugriffsvektor ab und machte 2025 40 % der von X-Force beobachteten Vorfälle aus. Viele dieser Schwachstellen erforderten keinerlei Authentifizierung.

Die zentrale Erkenntnis des IBM-Berichts ist nicht, dass Angriffe ausgefeilter sind. Sie sind schneller. KI-Tools helfen Angreifern, Schwachstellen in der Zeit zu scannen, zu identifizieren und auszunutzen, in der die meisten Sicherheitsteams gerade erst eine Warnung prüfen. Die durchschnittliche eCrime-Breakout-Zeit—vom Erstzugriff bis zur lateralen Bewegung—liegt laut dem CrowdStrike 2026 Global Threat Report jetzt bei 29 Minuten. Die schnellste beobachtete Ausbreitung: 27 Sekunden. Bei diesem Tempo ist reaktives Monitoring keine Strategie mehr, sondern nur noch ein Bericht nach dem Vorfall.

300.000 KI-Zugangsdaten im Darknet—und die meisten Sicherheitsteams wissen nichts davon

Die IBM X-Force-Daten zum Diebstahl von KI-Zugangsdaten sollten jeden CISO mit produktiven KI-Tools alarmieren. Infostealer-Malware hat 2025 die Zielauswahl auf KI-Chatbot-Plattformen ausgeweitet, sodass über 300.000 ChatGPT-Zugangsdaten im Darknet gehandelt wurden. Die Wiederverwendung von Passwörtern in privaten und geschäftlichen Konten macht aus scheinbar wertlosen Zugangsdaten für Verbraucher wertvolle Eintrittspunkte ins Unternehmen.

Das ist kein hypothetisches Risiko. Kompromittierte KI-Chatbot-Konten schaffen Angriffsvektoren, die über einfache Account-Übernahmen hinausgehen. Angreifer mit Zugang zu den KI-Zugangsdaten eines Mitarbeiters können Gesprächsverläufe mit sensiblen Daten exfiltrieren, KI-Ausgaben manipulieren, um Geschäftsentscheidungen zu beeinflussen, oder bösartige Prompts einspeisen, die nachgelagerte Workflows kompromittieren.

Der 2026 DTEX/Ponemon Insider Threat Report zeigt: Schatten-KI ist inzwischen der Haupttreiber für fahrlässige Insider-Vorfälle, mit durchschnittlichen jährlichen Kosten von 19,5 Millionen US-Dollar. 92 % der Unternehmen geben an, dass generative KI die Art und Weise verändert hat, wie Mitarbeitende Informationen teilen—aber nur 13 % haben KI in ihre Sicherheitsstrategie integriert. Diese Lücke von 79 Prozentpunkten zwischen Bewusstsein und Handeln ist der Bereich, in dem der Schaden entsteht.

Die Kiteworks 2026 Data Security and Compliance Risk Forecast quantifiziert das Kontrolldefizit: 30 % der Unternehmen sehen das Handling von Drittanbieter-KI-Anbietern als größtes Sicherheitsrisiko, aber nur 36 % haben Transparenz darüber, wie diese Anbieter Daten in KI-Systemen verarbeiten. Training-Data-Poisoning ist das zweithöchste KI-Sicherheitsrisiko, aber nur 22 % verfügen über eine Validierung vor dem Training. Unternehmen sorgen sich um Risiken, die sie nicht sehen—und bauen KI-Systeme auf Datenpipelines, die sie nicht prüfen können.

Supply-Chain-Angriffe fast vervierfacht—und KI verschärft die nächste Welle

IBM X-Force verzeichnete seit 2020 einen nahezu vierfachen Anstieg schwerwiegender Supply-Chain- und Drittanbieterkompromittierungen. Angreifer nehmen die Umgebungen ins Visier, in denen Software entwickelt und bereitgestellt wird: CI/CD-Pipelines, Open-Source-Paket-Registries, SaaS-Integrationen und vertrauenswürdige Entwickleridentitäten. Ein kompromittierter npm-Maintainer kann Credential-Diebstahl an Millionen nachgelagerte Nutzer weitergeben. Ein kompromittierter SaaS-Anbieter kann sich in die IAM-Umgebungen der Kunden bewegen.

Die Kiteworks 2026 Prognose zeigt: 72 % der Unternehmen können keine verlässliche Inventarisierung ihrer Softwarekomponenten vorlegen, und 71 % überwachen ihre Abhängigkeiten nicht kontinuierlich. Diese Zahlen sind schon für klassische Software-Lieferketten alarmierend. Für KI-Lieferketten—wo Modelle, Trainingsdaten, Embeddings und Inferenz-Ergebnisse zwischen Unternehmen fließen—ist die Lage noch kritischer. Es gibt keinen Standard für KI-Modell-Attestierungen. Fast niemand verfolgt die Herkunft von Modellen.

Der 2026 Black Kite Third-Party Breach Report dokumentierte 136 bestätigte Drittanbieter-Breach-Events mit 719 namentlich genannten Opfern und geschätzt 26.000 nicht genannten Unternehmen, mit einer mittleren Offenlegungsverzögerung von 73 Tagen zwischen Vorfall und öffentlicher Bekanntmachung. Wenn Angreifer mehr als zwei Monate unbemerkt in den Systemen Ihrer Partner sind, bevor jemand reagiert, sind vertragliche Zusicherungen und Anbieter-Fragebögen keine Sicherheitsstrategie, sondern ein Haftungsrisiko.

Unternehmen, die KI-Workloads und sensible Datentransfers über Legacy-Filesharing- und Managed-File-Transfer-Infrastrukturen abwickeln—basierend auf jahrzehntealten Protokollen ohne granulare Zugriffskontrollen, Echtzeit-DLP oder KI-fähige Richtlinien—vergrößern diese Supply-Chain-Risiken statt sie einzudämmen.

109 Ransomware-Gruppen, keine Malware—warum die Data Layer die letzte Verteidigungslinie ist

Der IBM X-Force-Bericht dokumentiert ein zunehmend fragmentiertes Ransomware-Ökosystem. Die Zahl aktiver Erpressungsgruppen stieg von 73 im Jahr 2024 auf 109 im Jahr 2025—ein Anstieg um 49 %. Der Anteil der Top-10-Gruppen sank um 25 %, was darauf hindeutet, dass kleinere, opportunistische Akteure mit geringeren Eintrittsbarrieren in den Markt drängen. Leakte Toolkits, geteilte Taktiken in Untergrundforen und KI-gestützte Automatisierung erleichtern Angriffe mehr denn je.

Ein paralleler Befund von CrowdStrike schärft das Bild: 82 % aller Erkennungen im Jahr 2025 waren malwarefrei. Angreifer verlassen sich auf Identitätsmissbrauch, legitime Tools und native Systemwerkzeuge, um sich unbemerkt durch Unternehmensumgebungen zu bewegen. Sie stehlen Zugangsdaten. Sie eskalieren Privilegien. Sie durchsuchen Cloud- und SaaS-Plattformen nach regulierten Daten und geistigem Eigentum.

Wenn der Angreifer keine Malware einsetzt, reicht Endpunktsicherheit allein nicht aus. Wenn er mit gültigen Zugangsdaten agiert, sind Perimeterkontrollen wirkungslos. Die Verteidigung, die weiterhin funktioniert, ist diejenige, die Angreifer unabhängig von ihrer Methode überwinden müssen: die Data Layer. Wenn jeder Zugriff auf sensible Daten—egal ob durch einen menschlichen Anwender, eine automatisierte Pipeline oder einen KI-Agenten—authentifiziert, in Echtzeit gegen Richtlinien autorisiert und protokolliert wird, schrumpft der Schaden kompromittierter Identitäten auf die Rechte, die die Policy Engine gewährt. Nicht auf die Rechte, die der Angreifer eskaliert.

Die KI-Containment-Lücke: 63 % können keine Zweckbindung für Agents durchsetzen

Die IBM X-Force-Erkenntnisse zu KI-beschleunigten Angriffen treffen auf eine Governance-Lücke, die die Kiteworks 2026 Prognose im Detail offenlegt. Unternehmen setzen KI-Agents ein, die im großen Maßstab auf Unternehmensdaten zugreifen—während grundlegende Containment-Kontrollen fehlen.

Die Zahlen sind eindeutig. 63 % der Unternehmen können keine Zweckbindung für KI-Agents durchsetzen—ein Agent, der für die Zusammenfassung eines Vertrags autorisiert ist, könnte also eine komplette Finanzdatenbank abfragen. 60 % können fehlverhaltende Agents nicht schnell beenden. 55 % können KI-Systeme nicht vom Netzwerk isolieren. 54 % der Aufsichtsgremien sind beim Thema KI-Governance nicht eingebunden. Nur 43 % verfügen über ein zentrales KI-Datengateway.

Die Studie „Agents of Chaos“ vom Februar 2026—durchgeführt von 20 Forschern von MIT, Harvard, Stanford, CMU und anderen Institutionen—dokumentierte diese Containment-Fehler in Live-Umgebungen. KI-Agents wandelten kurzlebige Anfragen in dauerhafte Hintergrundprozesse ohne Abbruchbedingung um. Sie führten irreversible Aktionen aus, ohne Kompetenzgrenzen zu erkennen. Sie hatten keinen verlässlichen Mechanismus, um autorisierte Anwender von Angreifern zu unterscheiden. Prompt Injection, so die Studie, ist ein strukturelles Merkmal der Sprachmodellverarbeitung—kein behebbarer Bug.

Der World Economic Forum Global Cybersecurity Outlook 2026 bestätigt diesen Trend: KI-Agents können übermäßige Rechte ansammeln, durch Designfehler oder Prompt Injections manipuliert werden und Fehler im großen Stil weiterverbreiten. Ohne Data-Layer-Governance hängen die wichtigsten Containment-Kontrollen—Zweckbindung, Not-Aus, Netzwerkisolation—vollständig vom KI-Runtime ab. Und wie IBM X-Force zeigt, werden Runtimes kompromittiert.

Wie Kiteworks den KI-Datenzugriff auf Architekturebene steuert

Die IBM X-Force-Daten untermauern, was viele Unternehmen bereits in ihren Security Operations erleben: Die KI-Einführung beschleunigt sich, die Angriffsflächen wachsen, und die bestehenden Kontrollen wurden für eine Bedrohungslandschaft vor der KI-Ära entwickelt. Diese Lücke lässt sich nur schließen, indem die Data Layer gesteuert wird—nicht das Modell, nicht die Runtime, nicht der Anbietervertrag.

Kiteworks bietet dafür zwei speziell entwickelte Funktionen. Der Kiteworks Secure MCP Server ermöglicht es KI-Assistenten wie Claude und Copilot, sicher über das branchenübliche Model Context Protocol mit Unternehmensdaten zu interagieren. Jeder KI-Vorgang wird über OAuth 2.0 authentifiziert, in Echtzeit gegen RBAC- und ABAC-Richtlinien autorisiert und in einem manipulationssicheren Audit-Trail protokolliert. Zugangsdaten werden im OS-Schlüsselbund gespeichert—niemals im KI-Modell selbst. Rate Limiting verhindert Massendatenextraktion, selbst wenn ein KI-System kompromittiert wird.

Das Kiteworks AI Data Gateway stellt eine sichere Brücke für programmatische KI-Workflows bereit, einschließlich produktiver RAG-Pipelines. Das Gateway ermöglicht zero-trust KI-Datenzugriff: Jede Anfrage wird überprüft, jeder Dateizugriff richtlinienbasiert bewertet, jede Interaktion in Echtzeit an SIEM gemeldet. KI-Systeme erhalten ausschließlich Zugriff auf die Daten, die ihre Richtlinienautorisationen erlauben—nicht mehr.

Beide Funktionen speisen sich in denselben einheitlichen Audit-Trail ein und liefern Compliance-Beauftragten das Evidenzpaket, das IBM, CrowdStrike und alle regulatorischen Rahmenwerke heute verlangen: Welche Daten wurden wann, von welchem KI-System, für welchen Anwender, unter welcher Richtlinie abgerufen. Wenn der Auditor fragt, wie Sie den KI-Zugriff auf sensible Daten steuern, liefern Sie einen Bericht—keine Untersuchung.

Was Unternehmen vor dem nächsten X-Force-Report tun müssen

Erstens: Erfassen Sie, wo KI-Systeme heute auf Ihre sensiblen Daten zugreifen—nicht, wo Sie es vermuten. Die IBM X-Force-Daten zeigen, dass Angreifer ausnutzen, was Unternehmen nicht überwachen. Der Thales-Bericht bestätigt: Nur 33 % wissen genau, wo ihre Daten gespeichert sind. Wenn Sie nicht wissen, wo Ihre Daten liegen, können Sie nicht steuern, was darauf zugreift.

Zweitens: Behandeln Sie KI-Agent-Zugangsdaten wie privilegierte Infrastruktur. Die 300.000 kompromittierten ChatGPT-Zugangsdaten, die IBM dokumentiert hat, sind nicht nur ein Authentifizierungsproblem—sie sind ein Vektor für Datenexfiltration. Wenden Sie dieselbe Identity Governance auf KI-Tools an wie auf Admin-Konten: MFA, Credential-Rotation, Sitzungsüberwachung und Echtzeit-Erkennung von Anomalien.

Drittens: Schließen Sie die KI-Containment-Lücke, bevor Regulierungsbehörden dies für Sie tun. Die Kiteworks 2026 Prognose zeigt: 63 % der Unternehmen fehlt die Zweckbindung für KI-Agents, 60 % fehlt ein Not-Aus. Die Hochrisiko-Bestimmungen des EU AI Act sind ab August 2026 vollständig durchsetzbar. Integrieren Sie Zweckbindung, Beendigungsmechanismen und Netzwerkisolation jetzt in Ihre KI-Datenzugriffsarchitektur.

Viertens: Erweitern Sie Ihre Data-Governance-Richtlinien auf jede KI-Interaktion—nicht nur auf menschliche Anwender. HIPAA, PCI DSS, CMMC, SOX und DSGVO machen für KI-Agents keine Ausnahme. Ein KI-System, das auf geschützte Gesundheitsdaten, Kartendaten oder kontrollierte, nicht klassifizierte Informationen zugreift, löst dieselben Compliance-Pflichten aus wie ein menschlicher Mitarbeiter. Die Governance-Architektur muss diese Gleichstellung automatisch durchsetzen.

Fünftens: Fordern Sie Audit-Qualitätsnachweise aus Ihren KI-Datenpipelines. Die IBM X-Force-Supply-Chain-Daten und die Disclosure-Lag-Daten von Black Kite zeigen klar: Anbieterzusicherungen sind kein Nachweis. Unternehmen benötigen manipulationssichere Protokolle, die exakt zeigen, welche KI wann, mit welcher Autorisierung und welchem Ergebnis auf welche Daten zugegriffen hat. Behauptete Compliance reicht nicht mehr—nachweisbare Kontrolle ist der neue Standard.

Der IBM X-Force 2026-Bericht beschreibt eine Bedrohungslandschaft, in der Geschwindigkeit, Identitätsmissbrauch und Supply-Chain-Ausnutzung das Vorgehen der Angreifer bestimmen. KI verstärkt all diese Trends. Unternehmen, die jetzt Data-Layer-Governance umsetzen—zero-trust KI-Datenzugriff, Echtzeit-Policy-Enforcement, einheitliche Audit-Trails—sichern sich den Compliance- und Wettbewerbsvorteil. Die anderen werden schmerzhaft lernen, dass die Data Layer die letzte Verteidigungslinie ist—und sie ungeschützt blieb.