Was die Daten der Angreifer-KI von Anthropic für die Erkennung bedeuten
Den Blog lesen
Vectra AIwurde im Gartner Magic Quadrant für NDR 2026 als einer der führenden Anbieter eingestuft
Bericht lesen
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
  1. Blogs
    >
  2. AI-Sicherheit

Was die Daten der Angreifer-KI von Anthropic für die Erkennung bedeuten

June 18, 2026
6/18/2026
Lucie Cardiet
Manager für Cyberbedrohungsforschung
Was die Daten der Angreifer-KI von Anthropic für die Erkennung bedeuten

Artikel verfasst von ZackAbzug, Fabien Guillot und Alex Groyz.

---

Am 3. Juni 2026 veröffentlichte Anthropic den „LLM ATT&CK Navigator“ – eine Zusammenstellung der tatsächlichen Angreiferaktivitäten eines ganzen Jahres aus 832 Konten, die das Unternehmen wegen böswilliger Nutzung gesperrt hatte, abgeglichen mit MITRE ATT&CK. Es handelt sich dabei um die bislang aussagekräftigste öffentlich zugängliche Aufstellung darüber, wozu Angreifer ein KI-Modell tatsächlich auffordern. Wir haben den Bericht genau gelesen, unsere Erkenntnisse verglichen, und dabei sind uns zwei Aspekte aufgefallen, die für die Erkennung von Bedeutung sind.

  • Erstens konzentriert sich der Einsatz der Angreifer-KI nach wie vor auf Bereiche, die für Sie nicht einsehbar sind: auf den eigenen Rechnern der Angreifer, wo sie die malware die Tools entwickeln, mit denen sie Ihre Abwehrmechanismen überwinden.
  • Zweitens: Wenn KI dazu eingesetzt wird, Verhaltensweisen nach einem Sicherheitsvorfall zu unterstützen, handelt es sich dabei um dieselben Verhaltensweisen, die auch gewöhnliche Angreifer an den Tag legen – und genau diese Verhaltensweisen sollen durch Netzwerk- und Identitätserkennung aufgedeckt werden.

Im weiteren Verlauf dieses Beitrags werden drei wichtige Erkenntnisse aus den Daten vorgestellt und erläutert, wie gut die Erkennung funktioniert, sobald ein Angriff Ihre Umgebung erreicht hat.

Erkenntnis 1: KI wird hauptsächlich dazu genutzt, Zugang zu erhalten, und das funktioniert

Die mit Abstand häufigste Anwendung von KI im Datensatz war die Entwicklung von Funktionen, vor allem das Schreiben malware: 69 % der untersuchten Akteure. Dicht dahinter folgten die Verschleierung von Code (64,7 %), das Abrufen von Daten aus den eigenen Systemen des Angreifers (55,9 %) und die Beeinträchtigung von Abwehrmaßnahmen (54,9 %). Die Umgehung von Abwehrmaßnahmen war insgesamt die am häufigsten eingesetzte Taktik und kam bei 84,4 % der Akteure zum Einsatz.

Führt man all das zusammen, ergibt sich ein Gesamtbild. Der Großteil der heute eingesetzten Angreifer-KI zielt auf eine einzige Sache ab: die Entwicklung von malware endpoint umgeht und in eine Umgebung eindringt. Das ist Vorbereitung, und sie findet auf einer Infrastruktur statt, die Ihnen nicht gehört. Sie durchläuft weder Ihr Netzwerk, noch berührt sie Ihren Identitätsanbieter, noch taucht sie in Ihren Protokollen auf. Sie können ein Modell, das eine Payload auf einem Rechner schreibt, den Sie nicht kontrollieren, nicht erkennen – und das müssen Sie auch nicht.

Es gibt jedoch eine Konsequenz, die Sie einkalkulieren müssen. Wenn KI Angreifer dabei unterstützt, schneller und besser Lösungen zu entwickeln, die EDR übertrumpfen, gelangen mehr von ihnen ins System. Realistisch gesehen muss man davon ausgehen, dass ein System kompromittiert wird. Die Frage lautet dann nicht mehr, ob etwas durchkommt, sondern was man erkennen kann, sobald dies geschieht. Dies gilt insbesondere für eine Erkennungsschicht, die innerhalb der Umgebung nach dem ersten Zugriff auf der Grundlage von Verhaltensmustern statt anhand von Signaturen arbeitet.

Erkenntnis 2: KI dringt immer weiter in die „Kill Chain“ vor

Die ersten Daten sind eine Momentaufnahme, kein Endziel. Vergleicht man das erste mit dem zweiten Halbjahr, so zeigt der Bericht, dass Angreifer erst in einer späteren Phase des Angriffs auf KI zurückgreifen, nämlich bei den praktischen Aktivitäten, die nach dem Eindringen in das System stattfinden. Sowohl die Erkennung von Konten als auch die automatisierte Exfiltration nahmen in der zweiten Jahreshälfte zu.

Dies ist der entscheidende Aspekt für ein SOC, denn gerade die seltenen Techniken sind die gefährlichsten. Der Einsatz von KI für laterale Bewegungen war das mit Abstand stärkste Indiz für einen hochriskanten Akteur: Die 54 Akteure, die dies taten, wiesen einen durchschnittlichen Risikowert von 56,4 auf, fast zehn Punkte über dem Mittelwert von 46,8. Auf der Ebene der Techniken stützten sich die Akteure mit dem höchsten Risiko auf Remote-Dienste wie SSH und SMB, gültige Konten, das Dumping von Anmeldedaten und das Vorbereiten von Daten, um Informationen zu exfiltrieren. Jede dieser Techniken kam bei ihnen drei- bis fünfmal häufiger vor als bei den übrigen Akteuren.

Ein Fall verdeutlicht dies. Anthropic beschreibt GTG-1002, den Betreiber einer KI-gesteuerten Spionagekampagne, die das Unternehmen im November 2025 zerschlug und die auf Ziele in Regierungsbehörden und kritischen Infrastrukturen abzielte. Die Liste der eingesetzten Techniken war unspektakulär. Was ihn auszeichnete, war die Koordination: Der Betreiber führte Claude Code auf einem Kali-Linux-Rechner aus, bündelte Penetrationstest-Tools als MCP-Server und ließ das Modell scannen, eine Schwachstelle ausnutzen, um ins interne Netzwerk zu gelangen, Zugangsdaten sammeln und sich lateral bewegen, während ein Mensch lediglich die Richtung vorgab. Die Aufklärung und der Weg zum Einstiegspunkt wurden von Anfang an KI-gesteuert.

Active-Directory-Aufklärung, Erkennung von Konten, laterale Bewegung, Exfiltration: Das ist das Spezialgebiet der Netzwerkerkennung. Da immer mehr Akteure KI in diese späteren Phasen einbeziehen – und der Trend geht eindeutig in diese Richtung –, gewinnt die Netzwerk- und Identitätserkennung zunehmend an Bedeutung, statt an Bedeutung zu verlieren.

Der rote Faden: Identität

Beide Teile verbindet ein gemeinsames Thema, nämlich die Identität. Cloud KI-Workflows laufen über Benutzer, Service-Principals und verwaltete Identitäten. Die Daten von Anthropic zeigen, dass gültige Konten zu den Techniken gehören, die am stärksten mit risikoreichen Akteuren in Verbindung gebracht werden, und ein Agent, der in Ihrer Umgebung agiert, muss sich dennoch authentifizieren, auf Dienste zugreifen und sich wie ein Konto verhalten.

Das ist wichtig, weil es nicht von einer bestimmten Produktoberfläche abhängt. Ob es sich bei einem Angreifer um einen Menschen oder einen Bot handelt, ob es sich bei der Arbeitslast um eine cloud oder einen KI-Dienst handelt – das verräterische Merkmal ist immer dasselbe: Eine Identität, die von einem unbekannten Ort aus genutzt wird, auf etwas zugreift, mit dem sie bisher keine Verbindung hatte, und sich ungewöhnlich verhält. Die Erkennung verdächtiger Identitäten und Verhaltensweisen ist der zentrale Punkt, an dem sich alles zusammenläuft.

Wo die Deckung greift

Da Anthropic seine Erkenntnisse den MITRE-Technik-IDs zugeordnet hat und Vectra jede Erkennung mit denselben IDs kennzeichnet, stimmen beide überein. Bei den Techniken nach dem Einbruch, die auf gefährliche Akteure hinweisen, ist die Abdeckung sehr gut. Die KI-lastigen Anfangsphasen können Sie zwar nicht einsehen, doch sobald eine KI-gestützte Operation in Ihrem Netzwerk aktiv wird, erzeugt sie ein Verhalten, auf dessen Erkennung Vectra ausgelegt ist.

Risikoreiche Technik ATT&CK-ID So sieht es in Ihrer Umgebung aus Wo es zum Vorschein kommt
Fernzugriffsdienste (SSH/SMB) T1021 Ein Konto nutzt Administratorprotokolle, um auf Systeme zuzugreifen, mit denen es bisher noch keine Verbindung hatte. Verdächtige Remote-Ausführung, verdächtiger Remote-Desktop, verdächtiger Administrator
Gültige Konten T1078 Ein echtes Konto wird von einem ungewöhnlichen Host, Standort oder für einen ungewöhnlichen Dienst genutzt Berechtigungsanomalie (ungewöhnlicher Host, ungewöhnliches Konto auf dem Host, ungewöhnlicher Dienst, ungewöhnliches Trio), verdächtige Anmeldung bei Azure AD, vermutete Kompromittierung des Zugriffs bei Azure AD
OS-Anmeldedaten-Dumping T1003 Die Anmeldedaten werden von den Hosts erfasst Erkennung von Berechtigungsanomalien
Archiv gesammelte Daten T1560 Die Daten werden zwischengespeichert und komprimiert, bevor sie das System verlassen Datenschmuggler, Einbruchdiebstahl
Ausnutzung von Ferndiensten T1210 Ein interner Host überträgt einen Exploit an einen anderen und lädt eine Folgestufe herunter Automatisierte Replikation, Stage Loader
Kontoerkennung T1087 Schnelle Erfassung von Konten über Kerberos, SMB, LDAP oder RPC Kerberos-Konto-Scan, SMB-Konto-Scan, verdächtige LDAP-Abfrage, RPC-Erkundung
Automatisierte Exfiltration T1020 Umfangreiche oder automatisierte ausgehende Übertragung an ein nicht vertrauenswürdiges Ziel Einbruchdiebstahl, Datenschmuggler

Eine Technik erfordert eine Fußnote. Für die Bereitstellung von Web-Shells (T1505.003) gibt es keine spezielle Vectra-Erkennung: Die Installation erfolgt häufig endpoint, obwohl der dadurch erstellte Command-and-Control-Kanal unter „Versteckter HTTPS-Tunnel“ oder „Externer Fernzugriff“ auftaucht. Die Domain-Replikationsangriffe DCSync und DCShadow tauchen unter „Verdächtige Active Directory-Vorgänge“ auf, die Vectra T1207 und der Taktik „Zugriff auf Anmeldedaten“ zuordnet.

GTG-1002 passt in dieses Muster. SSH-Remote-Dienste, das Ausnutzen von Remote-Diensten, das Sammeln von Anmeldedaten sowie „Archive-and-Stage“-Angriffe sind Verhaltensweisen, auf deren Aufdeckung diese Erkennungsmechanismen ausgelegt sind – unabhängig davon, ob es sich bei dem Betreiber um eine Person oder um ein Modell handelt, das über einen MCP-Server agiert.

KI-gestützte Angriffstechniken und ab wann sie erkennbar werden

Wie sich der Einsatz von Angreifer-KI über ein Jahr hinweg auf das Verhalten innerhalb eines Netzwerks auswirkt.

Als vernetzter Vorgang erkannt Teilweise oder angrenzende Abdeckung Auf Angreiferseite, in Ihrer Umgebung nicht beobachtbar
Als Verhalten innerhalb des Netzwerks erkannt: 7 Techniken
T1021
Fernzugriffsdienste (SSH/SMB) –hohes Risiko
Seitliche Bewegung · stärkster Hochrisikomarker
T1078
GültigeKonten – hohes Risiko
Zugang
T1003
Auslesen von Betriebssystem-Anmeldedaten – hohesRisiko
Zugang zu Anmeldeinformationen
T1560
Archiv der gesammelten Daten –hohes Risiko
Sammlung
T1210
Ausnutzung von Ferndiensten
Seitliche Bewegung
T1087
Kontoerkennung –im Aufschwung
Entdeckung · in der zweiten Jahreshälfte
T1020
Zunahme automatisierterDatenexfiltration
Exfiltration · Anstieg in der zweiten Jahreshälfte
Techniken zur partiellen oder angrenzenden Abdeckung 2
T1505.003
Web-Shell –hohes Risiko
Persistenz
Es gibt keine spezielle Erkennung; der dadurch erstellte Command-and-Control-Kanal ist im Netzwerk weiterhin sichtbar.
T1207
Rogue-Domänenkontrolle (DCSync / DCShadow)
Zugang zu Anmeldeinformationen
Abdeckung für den angrenzenden Zugangsbereich mit Zugangsdaten.
KI-intensiv, jedoch auf der Angreiferseite und in Ihrer Umgebung nicht beobachtbar – 5 Techniken
T1587
Fähigkeiten ausbauen
Ressourcenentwicklung · 69 % der Akteure
Umfasst malware (T1587.001). Findet auf dem eigenen Rechner des Angreifers statt.
T1027
Verschleierte Dateien oder Informationen
Vermeidung von Angriffen · 64,7 %
Endpoint Angreiferseite.
T1005
Daten aus dem lokalen System
Inkasso · 55,9 %
Endpoint Angreiferseite.
T1562
Abwehrmechanismen beeinträchtigen
Vermeidung von Angriffen · 54,9 %
Hauptsächlich endpoint EDR-Bereich.
T1055
Prozessinjektion
Vermeidung von Angriffen · 30,3 %
Endpoint EDR-Bereich.

Quelle: Anthropic, LLM ATT&CK Navigator (3. Juni 2026), 832 Konten, die MITRE ATT&CK zugeordnet sind. Die Tabelle enthält die Vectra-Erkennungen zu den einzelnen Techniken.

Erkenntnis 3: Das Modell, das dem Angriff zugrunde liegt, wird bald schwerer zu erkennen sein

Es gibt Grund zu der Annahme, dass sich die anfängliche „blinde Stelle“ vergrößern wird. Anbieter wie Anthropic investieren massiv in Sicherheitsvorkehrungen, Überwachung und Erkennung, um zu verhindern, dass ihre Modelle für böswillige Zwecke genutzt werden, und sie werden dabei immer besser. Die wahrscheinliche Reaktion darauf ist, dass einige Akteure auf Open-Source-Modelle umsteigen, die sie selbst betreiben können – ohne Sicherheitsvorkehrungen und ohne Aufsicht durch einen Anbieter. Berichte wie dieser „Navigator“ existieren, weil Anthropic Einblick in seine eigenen Systeme hat. Selbst gehostete Modelle bieten keinen solchen Einblick, und die Transparenz hinsichtlich dieser Entwicklung ist derzeit gering.

Dies ist das stärkste Argument dafür, die Erkennung am Verhalten und nicht am Tool auszurichten. Ein Bericht, der sich auf die Daten eines bestimmten Anbieters stützt, kann nicht Ihre Erkennungsstrategie sein, da der nächste Betreiber diesen Anbieter möglicherweise gar nicht nutzt. Was sich nicht ändert, ist das, was der Angreifer innerhalb Ihrer Umgebung tun muss. Ein Konto, das sich von einem unbekannten Ort aus anmeldet und auf einen Dienst zugreift, den es zuvor noch nie genutzt hat, sieht immer gleich aus – unabhängig davon, ob es von einem Menschen, einem „Frontier“-Modell oder einem selbst gehosteten Modell gesteuert wird. Anthropic räumt offen ein, dass ATT&CK noch nicht erfasst, was GTG-1002 so außergewöhnlich machte – nämlich die autonome Orchestrierung, die Techniken mit maschineller Geschwindigkeit miteinander verknüpfte –, und erklärt, dass man mit MITRE im Gespräch darüber sei, Kategorien für agentisches Verhalten hinzuzufügen. Bis dieses Vokabular existiert, ist die Erkennung, die Bestand hat, jene, die sich nie auf die Benennung des Tools verlassen hat.

Was sich nicht ändert

Angreifer nutzen KI, um schneller einzudringen und – zunehmend – auch die eigentliche Arbeit zu erledigen, sobald sie sich im System befinden. Daraus ergeben sich gleich zwei Tatsachen: Sie werden den Teil, der auf den Rechnern der Angreifer abläuft, nicht sehen – und das müssen Sie auch nicht. Sie können jedoch den Teil erkennen, der auf Ihren eigenen Rechnern abläuft, wenn Sie das Verhalten über das Netzwerk und die Identitäten hinweg beobachten, anstatt dem jeweiligen Tool hinterherzujagen, das es verursacht hat. Gehen Sie von einer Kompromittierung aus, beobachten Sie das Verhalten – und die KI auf Seiten des Angreifers verändert lediglich die Geschwindigkeit des Problems, nicht die Art der Lösung.

FAQ