1. Der bevorstehende Paradigmenwechsel
Offensive Operationen und Red Teaming erleben derzeit einen Paradigmenwechsel: Was früher in erster Linie von Menschen gesteuert wurde, wird zunehmend autonom und ereignisgesteuert und durch agentenbasierte Frameworks vermittelt, die mit minimaler Aufsicht planen, handeln und koordinieren können. Unsere Forschung zum Model Context Protocol-gestützten Swarm Command-and-Control beschreibt diesen Wandel nicht als hypothetische Zukunft, sondern als eine sich abzeichnende operative Realität. Im vorherigen Blogbeitrag wird das Model Context Protocol (MCP) als neues Command-and-Control-Substrat (C2) behandelt , das auf das Zeitalter der Agenten zugeschnitten ist und es KI-Agenten ermöglicht, mit Betreibern und untereinander auf eine Weise zu kommunizieren, die zunehmend den alltäglichen KI-Aktivitäten in Unternehmen ähnelt.
Das klassische Command-and-Control-Modell hat einen unverwechselbaren Fingerabdruck: periodisches Beaconing, regelmäßige oder unregelmäßige Intervalle, vorhersehbare Infrastrukturmuster und eine vom Menschen bestimmte Aufgabenausführung. Angreifer können Sleep-Timer randomisieren oder C2- -Domänen rotieren, aber Verteidiger nutzen in der Regel die zugrunde liegende Anforderung aus, dass Implantate oft genug „nach Hause zurückrufen“ müssen, damit der Kommunikationskanal nutzbar bleibt. Das MCP-Modell stellt diese Annahme in Frage. Denn MCP ist für kurzlebige, bedarfsorientierte Austausche zwischen Modellen und externen Tools konzipiert und unterstützt daher natürlich ereignisgesteuertes C2: Agenten können sich kurz verbinden, um eine Aufgabe abzurufen, die Verbindung zur Ausführung trennen und sich dann nur wieder verbinden, wenn Ergebnisse oder ein neuer Kontext verfügbar sind. Selbst wenn das KI-Kommunikationsprotokoll selbst legitim ist, kann die Absicht hinter diesem Datenverkehr böswillig sein.
Die Swarm-C2-Idee verstärkt diesen Vorteil noch. Anstelle eines einzigen autonomen Agenten, der eine lineare Kill Chain ausführt, können viele Agenten parallel koordiniert werden, wobei sie sich spezialisieren oder rollenbasiert agieren. So kann sich beispielsweise ein Agent auf die Aufklärung konzentrieren, während ein anderer sich auf die Erforschung von Schwachstellen konzentriert, und diese Erkenntnisse werden über MCP ausgetauscht und mit maschineller Geschwindigkeit zu neuen Arbeitsergebnissen kombiniert. Die Swarm-Kommunikation kann auch zu Redundanz und Variation im Datenverkehr führen. Mit anderen Worten: MCP-fähige Agentenschwärme automatisieren nicht nur die Schritte offensiver Operationen, sondern können auch das Betriebsmodell selbst automatisieren. Wo Angreifer früher qualifizierte Mitarbeiter benötigten, um Aufgaben kontinuierlich zu koordinieren, Telemetriedaten zu interpretieren und Aktionen zu sequenzieren, können Schwärme dies nun größtenteils autonom übernehmen, sodass die Komponente „Human-in-the-Loop” einer Person überlassen bleibt, die strategische Ziele festlegt und gelegentlich in Grenzfällen eingreift.
Der bevorstehende Wandel umfasst nicht nur höhere Geschwindigkeit, sondern auch Autonomie, Koordination, ein breiteres Wissensspektrum und Tarnung.
2. Das New-Age-Bedrohungsmodell
Wie in unserem Artikel erläutert, bietet MCP eine legitime, rauscharme Kommunikationsstruktur. Schwärme sorgen für Parallelität, Anpassungsfähigkeit und Fehlertoleranz. In Kombination mit leistungsfähigen Schlussfolgerungsmodellen entstehen offensive Systeme, die bis zum Zeitpunkt ihres Einsatzes legitimen KI-Operationen ähneln.
Die Folgen davon sind folgende:
- C2-Datenverkehr wird semantisch mehrdeutig: Herkömmliche Erkennungspipelines suchen nach anomalen Netzwerkmustern: periodische Rückrufe, verdächtige Domains, seltsame User-Agents oder bekannte C2-Frameworks. Im Gegensatz dazu kann MCP-Datenverkehr auf Transportebene völlig legitim und von der internen „Nutzung von KI-Tools“ nicht zu unterscheiden sein. Wenn ein Unternehmen MCP bereits für Produktivitätsagenten, Sicherheits-Copiloten oder Code-Assistenten einsetzt, können sich feindliche MCP-Aufgaben in den Hintergrund einfügen.
- Kill Chain komprimiert und überlagert: Agentenschwärme ermöglichen parallele Operationen über Ziele, Techniken und Umgebungen hinweg. Aufklärung und Exploit-Entwicklung müssen nicht mehr sequenziell erfolgen; ein Agent kann einen Exploit recherchieren, während ein anderer bereits laterale Bewegungspfade testet und ein dritter Anmeldedaten sammelt.
- Autonomie erweitert das Bedrohungsmodell: KI kann die meisten taktischen Schritte übernehmen, was bedeutet, dass die Einstiegshürde für Angreifer niedriger ist (d. h. was früher als APT-Bedrohungsniveau galt, kann heute von einem Script-Kiddie ohne technische Kenntnisse durchgeführt werden). Darüber hinaus sinkt die Belastung für den Betreiber, was mehr Kampagnen und mehr Ziele ermöglicht.
Diese drei Schlüsselelemente modifizieren das traditionelle Bedrohungsmodell, das in den meisten Cybersicherheitsmaßnahmen verwendet wurde.
3. Anthropics KI-gesteuerter Angriff: Eine Bestätigung aus der realen Welt
Das in dem Papier hypothetisch dargestellte Bedrohungsprofil wurde fast unmittelbar durch die Untersuchung von Anthropic bestätigt, die sich mit einer staatlich gelenkten Spionagekampagne befasste, bei der agierende KI als primärer Operator eingesetzt wurde. Anthropic berichtet mit hoher Sicherheit, dass eine vom chinesischen Staat geförderte Gruppe (in öffentlichen Berichten als GTG-1002 bezeichnet) ein autonomes Framework rund um Claude Code aufgebaut hat, das nicht als Hilfsmittel, sondern als zentraler Ausführender der Kampagne eingesetzt wurde. Zwei Aspekte des Anthropic-Falls sind für Verteidiger besonders wichtig:
- Das Betriebsmuster: Laut Anthropic führte das KI-System die meisten Phasen der Kill Chain durch: Aufklärung, Aufdeckung von Schwachstellen, Recherche und Programmierung von Exploits, Sammeln von Anmeldedaten, Ausweitung von Berechtigungen, Einrichten einer Hintertür oder eines Zugriffspunkts und versuchte Exfiltration. Menschen griffen nur bei einer kleinen Minderheit der Entscheidungen ein. Berichten zufolge wurden schätzungsweise 80 bis 90 % der taktischen Operationen von der KI durchgeführt, und zwar mit einer Geschwindigkeit, die für einen menschlichen Bediener unmöglich zu halten wäre.
- Die Manipulationsstrategie: Die Kampagne war zunächst erfolgreich, indem sie Claude Code durch gezielte Aufgabenteilung „geknackt“ hat. Böswillige Ziele wurden in harmlos erscheinende Teilaufgaben zerlegt, die als defensive Forschung oder routinemäßige Sicherheitstests getarnt wurden. Dies entspricht einem allgemeineren und besorgniserregenden Versagensmodus von Agenten: Wenn ein KI-System so optimiert ist, dass es bei lokal sinnvollen Aufgaben hilfreich ist, können Gegner ihre Absichten über den gesamten Aufgabengraphen hinweg verbergen.
Anthropic hat ebenfalls erkannt, dass sich die Cybersicherheitslandschaft aufgrund dieser KI-Modelle und -Frameworks verändert hat. Die logische Schlussfolgerung ist jedoch nicht, die Veröffentlichung von Modellen einzustellen, sondern Cybersicherheitsexperten zu befähigen, diese Modelle für defensive Maßnahmen zu nutzen, um sich auf Angriffe wie diesen vorzubereiten.
4. Was kommt als Nächstes?
Ist mit weiteren Angriffen dieser Art zu rechnen? Ja. In der Vergangenheit hat sich gezeigt, dass sich eine Technik, sobald sie sich bei einem staatlichen Akteur bewährt hat, weiter verbreiten kann (z. B. EternalBlue zu WannaCry).
Darüber hinaus muss nicht jeder Angreifer einen eigenen Schwarm aufbauen. Viele böswillige Akteure umhüllen einfach handelsübliche Agent-Frameworks mit vorhandenen Playbooks: phishing , Exploit-Ketten, ransomware . Das Problem ist nicht das KI-Modell an sich, sondern das wachsende Ökosystem aus MCP-Servern, Plugins und Agent-Toolchains. Da immer mehr Unternehmen interne Tools für legitime Zwecke über MCP offenlegen, werden dieselben Schnittstellen zu attraktiven Angriffsflächen.
Die MCP-Sicherheitsliteratur warnt bereits vor nicht verifizierten Kontextanbietern, Missbrauch von Toolketten und blinden Flecken auf Protokollebene. MCP als Command-and-Control-Kanal sollte nicht unsere einzige Sorge sein, aber MCP als Lieferkette wird zu einem hochkarätigen Ziel werden.
Da der MCP-Datenverkehr dem normalen täglichen KI-Datenverkehr in Unternehmen ähnelt, kann es außerdem zunehmend zu Konflikten zwischen Erkennungswarnungen und der normalen KI-Nutzung kommen. Hier muss sich die Verteidigungsstrategie weiterentwickeln, um mit dem neuen Paradigmenwechsel Schritt zu halten:
- Absicht erkennen: Um gezielte Angriffe zu erkennen, müssen Modell- oder Tool-Telemetriedaten mit Identitäts-, endpoint und Netzwerksignalen verknüpft werden. Die Erkennung muss das Verhalten verstehen und folgende Fragen beantworten: Warum führt dieser Agent dieses Tool gerade jetzt aus, und stimmt das mit der Identität und dem geschäftlichen Kontext überein?
- Sicherung der MCP-Infrastruktur: MCP-Server sollten als privilegierte Integrationspunkte des Unternehmens behandelt und entsprechend gesichert werden (z. B. strenge Authentifizierung, Ausführung von Sandbox-Tools, Trennung der Protokollierung von Agent-Aufrufen).
- Angenommene Angriffe mit maschineller Geschwindigkeit: Playbooks für die Reaktion auf Vorfälle müssen stark verkürzte Zeitpläne berücksichtigen. Das bedeutet, dass schnellere Eindämmungsoptionen und widerstandsfähige Maßnahmen erforderlich sind, um schnelle laterale Bewegungstechniken zu stoppen.
Die Botschaft ist daher klar: MCP-fähige, agentenbasierte Schwärme stellen die nächste Generation der offensiven Sicherheit dar und bieten verstecktere C2-Frameworks, schnellere Ausnutzung sowie adaptive und verteilte Ausführung. Verteidiger müssen nun davon ausgehen, dass autonome Agenten Teil der Bedrohungslandschaft sind, da die Grenze zwischen dem KI-Datenverkehr von Unternehmen und dem agentenbasierten C2-Datenverkehr zunehmend verschwimmt.
Weitere Details zu dieser Art von Angriffen finden Sie in dem kürzlich veröffentlichten technischen Vorabdruck auf Arxiv.