Wie Cyberkriminelle KI zu einer Waffe gemacht haben

Die letzten Jahre haben sich in puncto Sicherheit anders angefühlt, auch wenn es einige Zeit gedauert hat, bis ich verstanden habe, warum. Es gab keinen bestimmten Moment, auf den man hätte verweisen können. Keine Schlagzeile, die dies auf den Punkt gebracht hätte. Nur das wachsende Gefühl, dass sich etwas Subtiles verändert hatte.

Als generative KI Ende 2022 allgemein zugänglich wurde, empfand man sie eher als Neuheit denn als Bedrohung. Nützlich, manchmal beeindruckend, gelegentlich beunruhigend, aber nichts, was die Funktionsweise von Angriffen grundlegend verändert hätte. Erste Anzeichen im Jahr 2023 bestätigten diese Einschätzung. Phishing nahm zu, die Generierung von Inhalten beschleunigte sich und Kampagnen mit geringem Aufwand vermehrten sich. Es handelte sich um bekannte Muster, die sich lediglich beschleunigt hatten.

Mit der Zeit wurde das Muster immer schwerer zu ignorieren.

Ich habe viel Zeit damit verbracht, zu verstehen, was tatsächlich unter der Oberfläche vor sich ging. Ich habe nicht jeden Bericht von Anfang bis Ende gelesen, aber ich habe den wichtigen Berichten besondere Aufmerksamkeit geschenkt – Vorfallberichten, Offenlegungen von Anbietern, akademischen Forschungsarbeiten und gelegentlich auch Diskussionen im Dark Web, in denen Kriminelle viel ehrlicher darüber sprachen, was funktionierte und was nicht. Wenn man genügend dieser Signale zusammenfasst, ergibt sich ein klares Bild.

Diese Analyse stützt sich auf Geheimdienstdokumente, dokumentierte Vorfälle und nachverfolgte Verluste in Höhe von etwa 30 bis 40 Milliarden US-Dollar in den G7-Staaten. Die Daten sind nicht perfekt. Einige Fälle überschneiden sich. Einige Verluste sind Schätzungen. Wenn jedoch in Berichten von Anbietern, wissenschaftlichen Studien, Veröffentlichungen von Strafverfolgungsbehörden und gelegentlichen Informationen aus dem Dark-Web-Marktplatz dieselben Muster auftreten, lässt sich dieses Signal nur schwer ignorieren.

KI kam nicht von Anfang an als Waffe zum Einsatz. Sie wurde schrittweise eingeführt, zunächst als Hilfsmittel, dann als Multiplikator und schließlich als etwas, das einem Operator nahekommt. Fähigkeiten, die früher Zeit, Geschick und Koordination erforderten, wurden zu einem einzigen Arbeitsablauf zusammengefasst. Aufgaben, die Angreifer früher einschränkten, wurden stillschweigend eingestellt.

Vor zwei Jahren erforderten realistische, adaptive Kampagnen mit hohem Volumen noch einen erheblichen Aufwand. Heute ist dieser Aufwand weitgehend entfallen. Nicht weil Angreifer plötzlich fähiger geworden sind, sondern weil KI einen Großteil der Komplexität übernommen hat.

Warum diese Periode wichtig ist

Keine dieser Angriffstechniken ist neu. Phishing, Sprachbetrug, malware und Social Engineering gibt es schon seit Jahrzehnten.

Was sich geändert hat, ist die gleichzeitige Aufhebung von drei Einschränkungen:

1. Die Kosten sind eingebrochen. Vorgänge , für die zuvor 50.000 bis 100.000 Dollar an Infrastruktur und Fachwissen erforderlich waren, kosten nun etwa 5.000 Dollar – eine Reduzierung um 80 bis 90 Prozent. Abonnements für kriminelle KI sind bereits ab 200 Dollar pro Monat erhältlich.
2. Die Zeit brach zusammen. Die einwöchige Vorbereitung der Kampagne wurde auf wenige Minuten verkürzt. Trial-and-Error-Schleifen, die früher Tage dauerten, sind jetzt in Sekundenschnelle abgeschlossen.
3. Fähigkeiten brachen zusammen. Fähigkeiten , die jahrelange Erfahrung erforderten, wurden durch Point-and-Click-Schnittstellen und Befehle in natürlicher Sprache zugänglich.

Wenn Kosten-, Zeit- und Qualifikationsbeschränkungen gleichzeitig wegfallen, nehmen Angriffsvolumen und -komplexität exponentiell zu. Das unterscheidet die Jahre 2023–2025 strukturell von früheren Automatisierungswellen. Die Techniken sind nicht neu. Neu ist das Fehlen von einschränkenden Faktoren.

Was sich geändert hat, war nicht nur phishing.

Stimmklonen umging Authentifizierungssysteme. Deepfake-Videos täuschten Finanzteams in Telefonkonferenzen. Malware , in Echtzeit dynamisch Umgehungstechniken zu generieren und anzupassen. Multimodale Angriffe kombinierten Text, Sprache und Video, um alle Verifizierungsebenen gleichzeitig zu überwinden. Im September 2025 schätzte Anthropic, dass eine Operation eines Nationalstaates einen hohen Grad an Autonomie erreicht hatte – schätzungsweise 80 bis 90 % der Lebenszyklus-Schritte wurden ohne direkte menschliche Eingriffe ausgeführt –, während Menschen weiterhin die Genehmigungsinstanzen behielten und die operative Sicherheit verwalteten.

Dieser Blog ist Teil 1 einer dreiteiligen Serie. Das Ziel hier ist es, den Zeitrahmen festzulegen – wer KI zuerst eingeführt hat, wie sich die Nutzung über mehrere Angriffsbereiche hinweg entwickelt hat und wo der Übergang vom Experimentieren zur tatsächlichen Bewaffnung stattgefunden hat. Teil 2 wird die technischen Schwachstellen untersuchen, die diese Entwicklung ermöglicht haben. Teil 3 wird sich darauf konzentrieren, was Verteidiger realistisch tun können, jetzt, da viele der alten Annahmen nicht mehr gelten.

Wichtige Begriffe, die in dieser Analyse verwendet werden

Autonomie

Der Prozentsatz der Schritte im Angriffszyklus, die von der KI ohne direkte menschliche Eingabe pro Entscheidung ausgeführt werden. Menschen können weiterhin strategische Vorgaben machen, Genehmigungen erteilen und die operative Sicherheit überwachen.

Beispiel: Anthropic bewertete GTG-1002 mit einer geschätzten Autonomie von ~80–90 % – das bedeutet, dass die meisten Schritte der Aufklärung, Schwachstellensuche und Ausnutzung ohne menschliche Entscheidungen zwischen den einzelnen Aktionen abliefen, wobei Menschen jedoch an wichtigen Entscheidungspunkten die Aufsicht und Genehmigungsbefugnis behielten.

Bewaffnung

KI ist in Live-Angriffs-Workflows integriert, nicht nur in die Erstellung von Inhalten oder die Recherche. Als Waffe eingesetzte KI führt Aktionen direkt aus – Netzwerke scannen, malware einsetzen, Daten exfiltrieren – anstatt Berichte zu erstellen, auf deren Grundlage Menschen dann handeln.

Beispiel: PROMPTSTEAL fragt LLMs während aktiver Infektionen in Echtzeit ab, um Ausweichtechniken zu generieren.

Multimodaler Angriff

Operationen, bei denen mehrere KI-generierte Medientypen ( Text, Sprache, Video) in einer einzigen koordinierten Aktion kombiniert werden .

Beispiel: UNC1069 nutzte KI-generierte spanische Texte für Social Engineering, Deepfake-Videos, um sich als Führungskräfte auszugeben, und Sprachsynthese für die telefonische Verifizierung – und überwand damit gleichzeitig Sprachbarrieren und visuelle Vertrauenssignale.

Operator vs. Multiplikator

Ein Multiplikator beschleunigt von Menschen ausgeführte Aufgaben (2023: KI half Angreifern, schneller zu arbeiten). Ein Operator führt Aufgaben autonom aus (2025: KI führt Aufklärung und Ausnutzung durch, während Menschen die strategische Aufsicht übernehmen).

Der Wechsel vom Multiplikator zum Operator ist die zentrale These von Teil 1.

1. Die Anfänge: Als KI nur Lärm war

Die Veränderung kündigte sich nicht an.

Es gab keine Warnung, keinen eindeutigen Wendepunkt, keinen Moment, in dem jemand aus dem Sicherheitsbereich mit Sicherheit sagen konnte, dass sich alles geändert hatte. Stattdessen gab es kleine Unstimmigkeiten. Phishing sahen etwas sauberer aus als sonst. Malware etwas anders als üblich. Die Vorfälle kamen einem bekannt vor, verliefen jedoch schneller als erwartet.

Damals waren diese Signale leicht zu ignorieren. Sicherheitsteams stoßen täglich auf Anomalien, von denen die meisten jedoch keine Bedeutung haben.

Rückblickend war dies das erste Anzeichen, aber zum Zeitpunkt des Geschehens wurde es nicht als solches wahrgenommen.

November 2022: Als sich die Tür leise öffnete

Als ChatGPT Ende 2022 auf den Markt kam, wurde es nicht als Sicherheitsereignis dargestellt. Es war eine Produkteinführung. Eine Neuheit. Ein Blick darauf, wie dialogorientierte KI in Zukunft aussehen könnte. Für Verteidiger gab es keinen unmittelbaren Grund zur Sorge. Das Modell hatte Sicherheitsvorkehrungen. Es lehnte böswillige Anfragen ab. Es halluzinierte. Es machte offensichtliche Fehler.

Die Angreifer bemerkten noch etwas anderes.

Wichtig war nicht, dass das Modell perfekt war. Das war es nicht. Wichtig war, dass es zugänglich, schnell und kostenlos war. Innerhalb weniger Wochen stieg phishing dramatisch an. Nicht weil die Nachrichten ausgeklügelt waren, sondern weil sie mühelos zu erstellen waren. Sprachbarrieren verschwanden über Nacht. Grammatik war kein limitierender Faktor mehr. Zeit war kein Hindernis mehr.

Das war noch keine Militarisierung.

Es war Beschleunigung.

Und zu diesem Zeitpunkt hatten die Verteidiger noch die Oberhand.

2023: KI als Stütze, nicht als Bedrohung

Im Laufe des Jahres 2023 blieb KI fest in der Kategorie„nützlich, aber fehlerhaft” verankert. Kriminelle nutzten sie auf dieselbe Weise wie viele legitime Nutzer: zum Verfassen von E-Mails, Übersetzen von Inhalten, Zusammenfassen von Daten und Beschleunigen von Recherchen.

Studien aus dieser Zeit zeigten, dass durch KI generierte phishing immer noch deutlich weniger effektiv phishing als von Menschen verfasste Nachrichten. Schneller, ja. Überzeugend, nein.

Aus defensiver Sicht bestätigte dies die richtigen Instinkte. Erkennungsmodelle wurden angepasst. Schulungen zum Sicherheitsbewusstsein wurden weiterentwickelt. Bekannte Signale waren weiterhin vorhanden: oberflächlicher Kontext, allgemeine Formulierungen, subtile Unbeholfenheit. Die KI hatte Nuancen noch nicht gelernt.

Am wichtigsten war jedoch, dass die Menschen weiterhin eindeutig die Kontrolle hatten.

KI half den Angreifern, schneller vorzugehen, ersetzte sie jedoch nicht. Dieser Unterschied war wichtig. Die Bedrohung schien beherrschbar.

Was wir unterschätzt haben, war, wie viel Einfluss Geschwindigkeit allein hat, wenn alle anderen Faktoren gleich bleiben. Wir gingen davon aus, dass Qualität der entscheidende Faktor bleiben würde. Wir haben noch nicht erkannt, wie schnell die Größe die Regeln neu schreiben würde.

2. Der Wandel: Als Größe eine Rolle zu spielen begann

Anfang 2024 hatte sich etwas Subtiles verändert.

KI beschränkte sich nicht mehr nur auf oberflächliche Beschleunigungen. Sie tauchte zunehmend in Bereichen auf, in denen Wiederholungen wichtiger waren als Kreativität. Diese Veränderung war nicht anhand eines einzelnen Vorfalls erkennbar. Sie vollzog sich langsam, anhand von Geheimdienstberichten, Angaben von Anbietern und Mustern, die nur sichtbar wurden, wenn man weit genug zurücktrat.

Da tauchten die ersten ernsten Anzeichen auf.

Anfang 2024: KI wird einsatzbereit

Im Februar 2024 veröffentlichten Microsoft und OpenAI die erste öffentliche Zuordnung von Akteuren aus Nationalstaaten, die KI in realen Operationen einsetzen. Fünf Gruppen wurden namentlich genannt. Zu diesem Zeitpunkt waren die Ergebnisse bewusst vorsichtig formuliert. KI wurde als Assistent und nicht als Operator beschrieben, der für Forschung, Programmierhilfe und OSINT-Beschleunigung eingesetzt wird, nicht für den autonomen Einsatz.

‍

Diese Darstellung war zwar zutreffend, aber unvollständig.

Wichtig war nicht, was die Modelle taten, sondern wo sie eingesetzt wurden.
‍Aufklärungs-Pipelines. Schwachstellenforschung. Workflows Malware . In diesen Umgebungen musste KI nicht außergewöhnlich sein. Sie musste unermüdlich sein.

Nationalstaatliche Gruppen behandelten KI wie einen fähigen Praktikanten. Die Entscheidungen wurden weiterhin von Menschen getroffen. Die Angriffe wurden weiterhin von Menschen ausgeführt. Aber die langsame, sich wiederholende Vorarbeit wurde drastisch verkürzt.

In diesem Moment kam leise die Skala ins Spiel.

Kriminelle Ökosysteme holen auf

Die organisierte Cyberkriminalität entwickelte sich noch schneller.

Während die Nationalstaaten vorsichtig experimentierten, entwickelten sich kriminelle Märkte aggressiv weiter. Die Tools des Dark Webs wurden ausgereifter.

Jailbreak-Techniken wurden zuverlässig.
Eine unabhängige Analyse von GitHub identifizierte 285 dokumentierte Jailbreak-Repositorys (November 2024–November 2025). Separate Tests von Cisco Talos ergaben, dass Multi-Turn-Jailbreak-Angriffe bei verschiedenen Open-Weight-Modellen Erfolgsraten zwischen 25,86 % und 92,78 % erzielten, wobei Mistral Large-2 und Alibaba Qwen3-32B mit 92,78 % die höchste Anfälligkeit aufwiesen (November 2025). Die Erfolgsraten variieren je nach Modell, Sicherheitsoptimierung und Bewertungskriterien (Single-Shot vs. Multi-Turn, Zielrichtlinie und Testumgebung), sodass diese Zahlen den Stand der öffentlichen Tools und Testergebnisse beschreiben – und keine universelle Umgehungsgarantie darstellen.

Gleichzeitig machten uneingeschränkte Modelle die Umgehung von Schutzvorrichtungen vollständig überflüssig. WormGPT, FraudGPT, DarkBERT. Speziell für kriminelle Zwecke entwickelt, kein Jailbreak erforderlich. Open-Source-Repositorys vermehrten sich. Tools, die früher tiefgreifende Fachkenntnisse erforderten, wurden durch Point-and-Click-Oberflächen nutzbar. Nichts davon sorgte für Schlagzeilen, aber zusammen senkten sie die Einstiegshürden in alarmierendem Tempo.

Was sich geändert hat, war nicht die Raffinesse.

Es war der Durchsatz.

Einzelne Betreiber konnten nun mehrere Kampagnen parallel durchführen. Recherchen, die früher Stunden dauerten, waren nun in wenigen Minuten erledigt. Der Prozess des Ausprobierens wurde verkürzt. Fehlschläge waren nicht mehr mit hohen Kosten verbunden.

Zu diesem Zeitpunkt hatten die Menschen noch die Kontrolle über die Ausführung. KI beschleunigte die Vorbereitung und Iteration, aber die Entscheidungsfindung blieb in menschlicher Hand.

Die Wirtschaftlichkeit veränderte sich schneller, als den meisten bewusst war. Vorgänge, für die früher über einen Zeitraum von sechs Monaten 50.000 bis 100.000 Dollar an Infrastruktur und Fachwissen erforderlich waren, kosten heute nur noch etwa 5.000 Dollar. Abonnements für kriminelle KI waren bereits ab 200 Dollar pro Monat erhältlich. Die Eintrittsbarriere sank um schätzungsweise 80 bis 90 Prozent.

Signale, die wir unterschätzt haben

Rückblickend gab es durchaus Warnsignale.

Die Erfolgsquote von Jailbreaks stieg rapide an. Offene Modelle verschlechterten sich unter anhaltender Multi-Turn-Interaktion. Kontextfenster weiteten sich weit über das hinaus aus, was die meisten Sicherheitsbewertungen berücksichtigten. Gleichzeitig nahm das Volumen KI-gestützter Angriffe zu, ohne dass es zu einem entsprechenden Anstieg der offensichtlichen Indikatoren kam.

Die Verteidiger bemerkten, dass die Angriffe schneller wurden, aber Geschwindigkeit allein löst selten Alarm aus. Wir sind darauf trainiert, nach Neuem Ausschau zu halten, nicht nach Beschleunigung. Wir konzentrieren uns auf neue Techniken, nicht auf die stille Beseitigung von Einschränkungen.

Bis Ende 2024 hatte KI menschliche Angreifer nicht ersetzt. Aber sie hatte bereits die Ökonomie der Angriffe verändert. Die Vorbereitung wurde kostengünstig. Die Iteration wurde mühelos. Der Umfang wurde nicht mehr durch die Anzahl der Mitarbeiter begrenzt.

Das System stand schon lange unter Belastung, bevor es sichtbar zusammenbrach.

3. März 2025: Als die KI den Menschen überholte

Im Nachhinein ist der März 2025 leicht zu übersehen. Es gab keinen dramatischen Verstoß. Keine einzelne Kampagne, die die Schlagzeilen beherrschte. Aber aus defensiver Sicht war dies der Moment, in dem eine unserer letzten Annahmen nicht mehr zutraf. Zum ersten Mal phishing KI-generiertes phishing phishing einer kontrollierten, groß angelegten Studie phishing von Menschen erstellte phishing . Nicht nur geringfügig, sondern um 24 Prozent.

‍

Zwei Jahre zuvor war das Gegenteil der Fall gewesen. Im Jahr 2023 phishing etwa 31 Prozent weniger effektiv als menschliche Bemühungen. Der Schwankungsbereich zwischen diesen beiden Punkten ist der entscheidende Faktor. Innerhalb von etwa 24 Monaten hat sich die Lücke nicht geschlossen. Sie hat sich umgekehrt. Es kam zu einer Schwankung von 55 Punkten , ohne dass sich die meisten Abwehrmaßnahmen entsprechend verändert hätten.

Dies war das erste Mal, dass ein KI-System Menschen bei einer Aufgabe übertraf, die wir als typisch menschlich betrachteten.

Über Phishing hinaus: Das umfassendere Muster

Der phishing im März 2025 war kein Einzelfall.

Es war ein Zeichen für etwas Größeres. KI überschritt etwa zur gleichen Zeit in mehreren Bereichen die Schwelle zur Wirksamkeit. Phishing lediglich der erste Fall, bei dem die Messung einfach war.

Stimmklonen und Deepfake-Betrug

Bis 2025 hatte sich das Klonen von Stimmen von einer theoretischen Bedrohung zu einer operativen Bedrohung entwickelt. Mehr als 3.500 dokumentierte Vorfälle. Über 1 Milliarde US-Dollar an bestätigten Verlusten laut kombinierten Berichten des FBI und von Europol. Der Schulungsaufwand sank von mehreren Stunden Audioaufnahmen auf weniger als eine Minute. In kontrollierten Tests war die Qualität nicht mehr von menschlicher Sprache zu unterscheiden.

Der bedeutendste Einzelfall ereignete sich im Februar 2024. Ein Finanzteam eines multinationalen Unternehmens nahm an einer ihrer Meinung nach routinemäßigen Videokonferenz mit ihrem CFO und vier weiteren Führungskräften teil. Sie überprüften die Identitäten visuell. Sie hörten vertraute Stimmen. Sie befolgten die üblichen Genehmigungsverfahren.

Alle fünf Teilnehmer des Telefonats waren Deepfakes. Die Angreifer erbeuteten 25,6 Millionen Dollar.

Bis November 2025 hatte sich die Angriffsfläche über Finanzbetrug hinaus ausgeweitet. Der erste dokumentierte Fall von Stimmklonung bei einem IT-Helpdesk ereignete sich in Spanien. Ein Angreifer nutzte die geklonte Stimme eines Mitarbeiters, um Systemzugriff zu beantragen. Die Bedrohung beschränkte sich nicht mehr nur auf Überweisungen.

Malware

Akteure aus Nationalstaaten begannen mit dem operativen Einsatz von KI-gestützten malware .

Russlands APT28 hat ein System namens PROMPTSTEAL als Waffe eingesetzt, das Open-Source-Sprachmodelle in Echtzeit abfragt, um das Ausweichverhalten anzupassen. Die Threat Intelligence Group von Google dokumentierte bis Ende 2025 fünf ähnliche Familien: PROMPTFLUX, PROMPTSTEAL, FRUITSHELL, PROMPTLOCK und QUIETVAULT. Diese Systeme basieren nicht auf vorprogrammierter Umgehungslogik. Sie generieren diese dynamisch, wodurch die signaturbasierte Erkennung zunehmend unzuverlässig wird.

Multimodaler Betrieb

Die nordkoreanische Gruppe UNC1069 führte den offenbar ersten vollständig multimodalen KI-Angriff durch. Textgenerierung für Social Engineering. Deepfake-Video zur visuellen Verifizierung. Sprachsynthese zur akustischen Bestätigung. Die Operation richtete sich gegen Führungskräfte aus dem Bereich Kryptowährungen und überwand in einer einzigen koordinierten Aktion sowohl Sprachbarrieren als auch visuelle Vertrauenssignale.

Der Wendepunkt phishing war wichtig, weil er messbar war.

Aber das war kein Einzelfall. KI übertraf die menschliche Leistungsfähigkeit über den gesamten Angriffszyklus hinweg. Im März 2025 konnten wir dieses Muster einfach nicht mehr ignorieren.

Phishing wurde schon immer als menschliches Problem behandelt . Sprache, Tonfall, Timing, Kontext. Verteidiger entwickelten Kontrollmechanismen, die darauf basierten, dass Angreifer irgendwann Fehler machen würden. Unnatürliche Formulierungen. Kulturelle Unstimmigkeiten. Schlampige Personalisierung.

Diese Annahmen wurden stillschweigend widerlegt.

Gleichzeitig veränderte sich die zugrunde liegende Technologie in einer Weise, die die Auswirkungen noch verstärkte. Es kamen Modelle mit langem Kontext auf. Die Kontextfenster wurden von Tausenden von Tokens auf Hunderttausende und in einigen Fällen sogar auf über eine Million erweitert. Das phishing nicht nur phishing , sondern machte es auch skalierbar.

Ein KI-Modell könnte Posteingänge, öffentliche Profile und Dokumente in einem einzigen Durchgang erfassen. Es könnte Beziehungen abbilden. Unterhaltungen verfolgen. Einzigartige, hochgradig personalisierte Nachrichten für große Zielgruppen auf einmal generieren. Was früher sorgfältige, manuelle Social-Engineering-Arbeit war, wurde zu einem Batch-Prozess.

Qualität und Umfang haben gemeinsam die Schwelle überschritten.

Der stille Zusammenbruch eines Verteidigungsvorteils

Hier begann der Vorteil der Verteidiger strukturell zu schwinden.

Nicht weil die Angriffe kreativer wurden, sondern weil sie von legitimer Kommunikation in großem Umfang nicht mehr zu unterscheiden waren. Sprachliche Signale verloren an Zuverlässigkeit. Die Ermüdung verschwand. Menschliches Versagen war kein limitierender Faktor mehr.

Zu diesem Zeitpunkt schien diese Veränderung keine Katastrophe zu sein. Phishing bereits ein Problem. Die Verluste waren bereits hoch. Von außen betrachtet schien der März 2025 nur ein weiterer Datenpunkt in einem lang anhaltenden Trend zu sein.

Von innen betrachtet war es der Moment, in dem das System kippte.

Alles, was folgte – Autonomie, Wirtschaft, industrialisierte Angriffe – war eine Folge dieses Bruchs.

4. Von der Unterstützung zur Selbstständigkeit

Sobald die KI die Schwelle der menschlichen Leistungsfähigkeit überschritten hatte, verlief der Rest ruhig und schnell. Nicht weil die Angreifer plötzlich ehrgeiziger wurden, sondern weil Zurückhaltung wirtschaftlich keinen Sinn mehr machte.

Bis Mitte 2025 hatte sich das kriminelle KI-Ökosystem zu einem funktionierenden Dark-Web-KI-Marktplatz entwickelt, der jährlich schätzungsweise 20 bis 40 Millionen US-Dollar umsetzte. Für ein paar hundert Dollar im Monat konnten Angreifer auf Tools zugreifen, die Recherchen automatisierten, malware generierten, phishing großem Maßstab personalisierten und sich in Echtzeit anpassten. Die Einstiegskosten sanken drastisch. Fähigkeiten waren nun kein limitierender Faktor mehr.

Zu diesem Zeitpunkt waren Menschen nicht mehr der effizienteste Teil des Betriebs.

Autonomie war kein Sprung. Es war eine Optimierung.

Was Autonomie möglich gemacht hat

Langzeitkontextmodelle boten zwar Skalierbarkeit, reichten jedoch für eine echte operative Autonomie nicht aus.

Das erforderte Infrastruktur.

Die Operation GTG-1002 basierte auf dem sogenannten Model Context Protocol, einem System, das es KI ermöglicht, auf externe Tools zuzugreifen. Dabei wurden nicht nur Texte analysiert, sondern auch Netzwerkscanner, Web-Scraper und Exploitation-Frameworks direkt aufgerufen. Die KI empfahl nicht nur Maßnahmen, sondern führte diese auch aus.

Die Retrieval-Augmented Generation spielte eine ähnliche Rolle. Anstatt sich ausschließlich auf Kontextfenster zu stützen, fragen diese Systeme externe Wissensdatenbanken in Echtzeit ab. Ausbeutungsdatenbanken. CVE-Repositorys. Dokumentation von Angriffstechniken. Die effektive Wissensbasis wird unbegrenzt.

Agenten-Orchestrierungs-Frameworks wie LangChain und AutoGPT verbinden alles miteinander. Die Aufklärung führt zur Entdeckung von Schwachstellen. Die Entdeckung von Schwachstellen generiert Exploits. Exploits setzen Payloads ein. Payloads ermöglichen laterale Bewegungen. Jeder Schritt führt ohne menschliche Koordination zum nächsten.

Langer Kontext plus Tool-Zugriff plus Orchestrierung.

Diese Kombination ermöglichte die Autonomieschwelle.

Teil 2 wird untersuchen, warum sich diese Systeme als weit weniger sicher erwiesen haben, als ihre Entwickler erwartet hatten.

September 2025: Überschreiten einer sichtbaren Schwelle

Diese Optimierung überschritt im September 2025 eine sichtbare Schwelle.

Anthropic bewertete eine von China staatlich geförderte Operation (GTG-1002) als Cyberoperation mit einer geschätzten Autonomie von ~80–90 % – das bedeutet, dass die meisten Schritte der Aufklärung, Netzwerkkartierung, Erkennung von Ressourcen, Schwachstellenscans, Auswahl von Exploits und Bereitstellung ohne direkte menschliche Eingriffe zwischen den Aktionen erfolgten, während Menschen die Genehmigungsbefugnis behielten und die operative Sicherheit in rund 30 Zielorganisationen verwalteten.

Der Vorgang lief mit Maschinengeschwindigkeit ab. Tausende von Anfragen. Mehrere pro Sekunde. Eine Ausführung, die für menschliche Bediener physisch unmöglich gewesen wäre, manuell zu koordinieren.

Die Menschen behielten die endgültige Entscheidungsgewalt und verwalteten die Betriebssicherheit. Aber die Arbeit selbst, die eigentliche Ausführung, wurde maschinengesteuert.

Mehrere Forscher stellten später in Frage, ob dies eine echte operative Autonomie darstellte, und verwiesen dabei auf die begrenzte Offenlegung und das Fortbestehen menschlicher Entscheidungspunkte.

Diese Kritik ist berechtigt.

Die Bedeutung liegt nicht darin, dass vollständig autonome Cyberoperationen mittlerweile Routine sind. Das sind sie nicht. Die Bedeutung liegt darin, dass die für die Autonomie erforderlichen technischen und wirtschaftlichen Voraussetzungen weitgehend gegeben sind. Die verbleibenden Lücken sind kleiner, als viele Verteidiger annehmen.

Sobald die Ausführung autonom wird, sind der Skalierbarkeit keine Grenzen mehr gesetzt. Einzelne Vorgänge fragmentieren sich in Dutzende von scheinbar unabhängigen Ereignissen. Kontrollen, die auf Bedrohungen im menschlichen Tempo ausgerichtet sind, versagen, nicht weil sie schlecht konzipiert sind, sondern weil ihre Annahmen nicht mehr zutreffen.

Warum dies für Security Teams wichtig ist

Wenn Sie in einem SOC arbeiten, ist die wichtigste Erkenntnis folgende: Sie konkurrieren nicht mehr mit menschlichen Angreifern. Sie konkurrieren mit Orchestrierungs-Pipelines, die mit Maschinengeschwindigkeit laufen, niemals müde werden und denselben Fehler niemals zweimal machen.

Und wir haben noch nicht einmal den Höhepunkt erreicht.

Wo wir als Nächstes hingehen

Teil 2 befasst sich mit den technischen Hintergründen all dessen. Die Jailbreak- Krise. Die Fehler bei der Modellkontextisolierung. Die ersten autonomen malware ohne C2. Alle Mechanismen, die es Angreifern ermöglichten, einen Sprung nach vorne zu machen, während die Verteidiger noch die Playbooks aus dem Jahr 2021 aktualisierten.

Teil 3 wird der schwierigste sein. Wir werden darüber sprechen, was Verteidiger heute tatsächlich tun können, in einer Welt, in der die Geschwindigkeit von Angreifern in Sekunden und nicht mehr in Stunden gemessen wird.

Die Schlussfolgerung ist vorerst einfach: KI hat Cyberkriminalität nicht nur beschleunigt. Sie hat deren Natur verändert. Sie hat Werkzeuge zu Waffen gemacht und Angreifer zu Betreibern zunehmend autonomer Systeme.

Wir kämpfen nicht mehr nur gegen Menschen.

Wir haben es mit Systemen zu tun, die bereits mit Maschinengeschwindigkeit arbeiten – und mit jeder Modellgeneration sind weniger menschliche Eingriffe erforderlich, um sie am Laufen zu halten.

Um es klar zu sagen: Auch Verteidiger nutzen KI. Bedrohungserkennung. Reaktion auf Vorfälle. Schwachstellenmanagement. Die Tools stehen beiden Seiten zur Verfügung.

Die Asymmetrie liegt nicht in den Fähigkeiten, sondern in der Wirtschaftlichkeit.

Ein einzelner Angreifer mit KI kann Tausende von Organisationen gleichzeitig angreifen, parallel iterieren und sich in Echtzeit anpassen. Die Verteidigung lässt sich nicht in gleichem Maße skalieren. Dieses Ungleichgewicht macht diesen Wandel strukturell und nicht nur vorübergehend.

---

Datenbeschränkungen

Wir erkennen mehrere Einschränkungen an:

• Die Zahlen zu den finanziellen Verlusten basieren auf Selbstauskünften der Opfer (wahrscheinlich zu niedrige Angaben).
• Die Zuordnung einiger Vorfälle (insbesondere hybrider Akteure) bleibt ungewiss.
• Die Autonomieangaben für GTG-1002 wurden nicht unabhängig überprüft.
• Die Nutzerzahlen im Dark Web sind Schätzungen, die auf Marktplatzanalysen basieren.

Referenz

1. Anthropic. (13. November 2025). Anthropic unterbricht staatlich geförderte Cyberoperation. Anthropic Security Blog.
2. Hoxhunt. (2023, 2025). Studien Phishing . Mehrere Berichte.
3. SPRF Indien. (Juli 2025). Analyse digitaler Bedrohungen. Forschungsbericht.
4. SlashNext. (2023). Generative KI & Cybersicherheit und damit verbundene Presseberichte über phishing nach ChatGPT (z. B. Decrypt).
5. Microsoft Threat Intelligence & OpenAI. (14. Februar 2024). Bedrohungsakteuren im Zeitalter der KI einen Schritt voraus sein. Microsoft Security Blog.
6. Google Threat Intelligence Group. (November 2025). Fortschritte bei der Nutzung von KI-Tools durch Bedrohungsakteure. GTIG-Bericht, 18 Seiten.
7. Zscaler ThreatLabz. (2024). 2024 ThreatLabz AI Security Report. 536,5 Milliarden analysierte KI-/ML-Transaktionen (Februar bis Dezember 2024).
8. ENISA. (2024). Bericht zur Bedrohungslage 2024. Agentur der Europäischen Union für Cybersicherheit.
9. Cisco Talos. (November 2024). Tod durch tausend Eingabeaufforderungen: Erfolgsraten von Multi-Turn-Jailbreaks. Forschungsarbeit.
10. Analyse des Autors. (2025). Informationen zum KI-Marktplatz im Dark Web. Basierend auf Daten von Group-IB, Recorded Future und Trend Micro.
11. Preisinformationen aus dem Dark Web. (2025, Juni–November). Marktanalyse von WormGPT.
12. Analyse des Autors. (24. November 2025). Modelle mit langem Kontextfenster – Analyse der Auswirkungen auf die Sicherheit.