Der erfolgreiche Einsatz von KI beginnt mit Transparenz
Den Blog lesen
Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
  1. Blogs
    >
  2. GenAI-Sicherheit

Wie geht es für Unternehmen nach zwei GenAI-Wellen weiter?

April 28, 2026
4/28/2026
Oliver Tavakoli
Chief Technology Officer
Wie geht es für Unternehmen nach zwei GenAI-Wellen weiter?

Das Frühjahr 2026

Wer aus dem Jahr 2020 auf eine Zeitreise käme, um an der RSA 2026 teilzunehmen, würde mit dem Eindruck nach Hause gehen, dass in der Cybersicherheit nur noch GenAI eine Rolle spielt. Auf der diesjährigen RSA lautete das GenAI-Mantra wie folgt:

  • In den meisten Unternehmen drängt die Führungsriege auf eine rasche Einführung von KI. Es herrscht mittlerweile die allgemeine Überzeugung, dass jedes Unternehmen, das dies versäumt, gegenüber seinen Mitbewerbern einen erheblichen Nachteil erleiden wird – ein klassischer Fall von FOMO.
  • Dieser Druck hat zu derselben Dynamik geführt cloud wir cloud bei cloud beobachtet haben cloud Die Einführung erfolgte, ohne dass man sich groß Gedanken über Bedrohungsszenarien und geeignete Sicherheitsmaßnahmen gemacht hätte.
  • CISOs jagen diesem außer Kontrolle geratenen Zug hinterher und versuchen, ihn unter Kontrolle zu bringen, bevor durch unsichere Implementierungen von GenAI zu viele selbstverschuldete Schäden entstehen.
  • Nach NIST-Definition geht es derzeit vor allem darum, GenAI (insbesondere KI-Agenten) zu identifizieren, zu schützen und zu erkennen – Reaktion, Wiederherstellung und Regulierung folgen später.
  • Mittlerweile erweist sich GenAI als hervorragende Technologie für die Automatisierung unterschiedlichster Sicherheitsaufgaben und für das „AI SOC“. Darüber hinaus standen KI-gestützte Arbeitsabläufe generell an vielen Ständen der RSA im Mittelpunkt.

Nach ihrer Rückkehr von dieser RSA-Konferenz am 27. März 2026 konnten sich die CISOs zuversichtlich darauf konzentrieren, (a) den Einsatz von KI in ihrem Unternehmen zu ermitteln und zu schützen sowie (b) KI zur Verbesserung ihrer Sicherheitsabläufe zu nutzen.

Die Atempause dauerte genau 11 Tage. Am 7. April 2026 verkündete Anthropic der Welt die Existenz des Mythos-Preview-Modells – eines Modells, das so mächtig und gefährlich war, dass es nur einer kleinen Zahl sorgfältig ausgewählter Partner im Rahmen eines Programms namens Glasswing zur Verfügung gestellt werden konnte. Es stellt sich heraus, dass Mythos (wir werden diesen Kurznamen verwenden) unter anderem besonders geschickt darin ist, Schwachstellen im Code zu finden, Exploits dafür zu entwickeln, aber auch Patches dafür zu erstellen. Die Idee hinter Glasswing ist es also, wichtigen Infrastruktur- und Sicherheitsanbietern einen Vorsprung zu verschaffen, damit sie ihre Produkte patchen können, bevor diese Fähigkeiten einer breiteren Öffentlichkeit zugänglich werden, deren Motive möglicherweise andere sind.

Natürlich dauerte es nur sieben Tage, bis OpenAI diesem Beispiel folgte – am 14. April 2026 kündigte das Unternehmen die Verfügbarkeit von GPT-5.4-Cyber an. Der Zugang zu diesem Modell ist nicht so eingeschränkt wie der zu Mythos – er ist auf Mitglieder des TAC-Programms (Trusted Access for Cyber) von OpenAI beschränkt, das wesentlich weniger restriktiv ist als Glasswing.

Der Zugang zu diesen Modellen wird also wahrscheinlich zunehmen, und die Bemühungen, zu verhindern, dass „böse Jungs“ sie in die Hände bekommen, werden letztendlich scheitern. Und auch wenn Anthropic und OpenAI derzeit vielleicht die Nase vorn haben, dürften andere wegweisende Modelle in den kommenden Monaten ähnliche Durchbrüche erzielen – weitere Geister werden aus weiteren Flaschen entweichen.

Wo stehen wir nun?

Sicherheitsexperten müssen sich gleichzeitig mit dieser doppelten Bedrohung auseinandersetzen:

  • Wie können Unternehmen alle KI-Systeme in ihrer Organisation identifizieren und sichern und gleichzeitig KI einführen, um ihre eigenen Sicherheitsabläufe grundlegend zu verändern?
  • Wie soll man mit den Implikationen von Mythos (und ähnlichen Programmen) umgehen, die suggerieren, dass sich die Schwachstellen in ihren Systemen mit dem richtigen Modell leicht aufdecken und ausnutzen lassen? Und dass der beste Weg, das Risiko einer solchen Ausnutzung zu verringern, darin besteht, alles, überall und auf einmal zu patchen?

Es stehen uns also ein, zwei oder drei schwierige Jahre bevor.  

Manche Leute verbreiten jedoch die Vorstellung, dass jenseits dieses Chaos alle Software von Grund auf sicher sein wird (jede Version wird von meinen magischen Modellen gescannt und vor der Auslieferung von allen Schwachstellen befreit) und wir uns dann in einem Zustand des Software-Nirwana befinden werden. Diese Darstellung ist in mehrfacher Hinsicht fehlerhaft:

  1. Die Frontier-Modelle werden immer besser

Wenn Sie also Ihre gesamte Software mit Mythos v8 gescannt haben und dann Mythos v9 erscheint, gilt der Code, der derzeit bei all Ihren Kunden im Einsatz ist und zum Zeitpunkt der Auslieferung sicher war, nicht mehr als sicher, da Mythos v9 Schwachstellen aufspüren kann, die v8 nicht erkannt hat. Jedes Mal, wenn ein neueres Modell erscheint, kommt es daher zu einem hektischen Wettlauf, alles überall auf einmal zu patchen.

  1. Das Aufspüren von Sicherheitslücken und deren Behebung ist eine wirtschaftliche Tätigkeit

Selbst wenn man nur eine Version eines Frontier-Modells betrachtet, lassen sich mit einem Token-Budget von 10.000 US-Dollar mehr Schwachstellen aufdecken und mehr funktionierende Exploits generieren als mit einem Budget von 5.000 US-Dollar für dieselbe Aufgabe. Wie hoch sollte also das Token-Budget eines Softwareanbieters sein, um Schwachstellen zu finden und zu beheben? Unabhängig davon, für welchen Token-Einsatz sich ein Softwareanbieter entscheidet, könnte ein Angreifer doppelt so viel einsetzen – oder nur einen Bruchteil dieses Betrags verwenden und ihn auf einen winzigen Bereich des Produkts konzentrieren.

  1. Sicherheitslücken im Code sind nicht das einzige Problem

Social Engineering stellt eine riesige Angriffsfläche dar, die wenig mit Codequalität und Sicherheit zu tun hat. Wie läuft Ihr phishing ? Haben Sie schon annähernd eine Erfolgsquote von 100 % erreicht?

Das Ausnutzen falsch konfigurierter Systeme hat zudem wenig mit der Codequalität zu tun. Wer hat schon einmal eine Conditional Access Policy in Entra ID implementiert und geglaubt, dass er alles genau richtig gemacht hat und keine unbeabsichtigten Sonderfälle übersehen hat, die ausgenutzt werden könnten?

Schließlich gibt es viele Fälle, in denen eine Funktion bereits seit mehreren Jahren auf dem Markt ist und von ihren Entwicklern wie vorgesehen genutzt wird, bevor ein findiger Kopf herausfindet, wie man sie mithilfe von Social Engineering für Angriffe nutzen kann. Und dann kommt es zu hektischen Bemühungen, sie wieder sicher zu machen.

Das beste Szenario für die Zukunft ist eines, in dem offensive und defensive Cybersicherheit ein neues Gleichgewicht finden.  

Die Zeit, die dazwischen liegt, ist besonders gefährlich, wenn man bedenkt, wie schnell sich die Veränderungen vollziehen, denen die Verteidiger ausgesetzt sind. Stellen Sie sich jeden Bereich, der auf den Prüfstand gestellt wird, als ein Wettrennen zwischen Ihnen und Ihren Gegnern vor. Selbst wenn Sie sehr geschickt sind: Je mehr Rennen Sie bestreiten, desto wahrscheinlicher ist es, dass Sie einige davon verlieren.

Und das rasante Tempo der KI-Einführung wird die Lage weiter verkomplizieren. KI-Agenten werden sich immer weiter verbreiten, und es wird keine Option mehr sein, sich aus der KI-Revolution herauszuhalten. Können Sie all diese Agenten aufspüren? Nutzen sie ihre eigenen nicht-menschlichen Identitäten, oder stellen Nutzer ihnen Token zur Verfügung, damit die Agenten Aufgaben in ihrem Namen ausführen können? Lassen sich diese Agenten leicht dazu überreden, etwas zu tun, was nie Teil ihres ursprünglichen Designs war? Die einzige Binsenweisheit in der Cybersicherheit lautet: Neue Technologien (insbesondere die komplizierten) sind schwer zu sichern, weil wir nicht einmal verstehen, wie sie funktionieren, und weil sich die verfügbaren Kontrollmechanismen als unzureichend erweisen.

Was ist jetzt wichtig, und wie Vectra AI dabei helfen?

Auf absehbare Zeit sollte der Großteil Ihres Software-Stacks als mäßig unsicher eingestuft werden. Die ersten modellgesteuerten Maßnahmen zum Scannen nach Sicherheitslücken und zum Patchen werden zunächst eine Flut von Patches auslösen – und ungeachtet des Projekts Glasswing gibt es keine Garantie dafür, dass Ihr Softwareanbieter die Angreifer in jedem solchen Wettlauf schlagen wird.

Du wirst dich also auf das konzentrieren, was du beeinflussen kannst.  

  • Sie werden die Patches so schnell wie möglich installieren, sobald sie verfügbar sind (was angesichts der großen Anzahl an Patches leichter gesagt als getan ist).  
  • Sie werden Ihre Richtlinien verschärfen. Nennen Sie es Zero Trust“. Nennen Sie es „Mikrosegmentierung“. Beseitigen Sie unnötige Sicherheitslücken. Identifizieren Sie Ihre KI-Agenten und schränken Sie deren Handlungsspielraum so weit wie möglich ein.
  • Sie werden Ihre Angriffsfläche verwalten. Welche Systeme sind von außen erreichbar? Sind sie derzeit so sicher wie möglich? Kann eine von einem Angreifer außerhalb Ihrer Sicherheitsgrenzen erstellte Textzeichenfolge problemlos einen KI-Agenten erreichen und an ein LLM weitergeleitet werden?

Da Prävention in dieser Zeit weitaus schwieriger sein wird – und die Vorstellung, dass in ein paar Jahren perfekte Sicherheit herrschen wird, nur eine Illusion ist –, hängt die Widerstandsfähigkeit stark von Ihrer Fähigkeit ab, Gefahren zu erkennen und sie zu stoppen, bevor sie „explodieren“.

Vectra AI mehrere Angriffsflächen (On-Premises,cloud, Identitäten, SaaS, Edge, IoT/OT), informiert Sie über das Verhalten von Angreifern, das sich naturgemäß aus einem erfolgreichen Exploit ergibt, und liefert Ihnen die verlässliche Informationsquelle (wurde 1 GB Daten von System X nach außen gesendet?) – dies wird in den kommenden Jahren von unschätzbarem Wert sein. In einer Welt, in der es viele Schwachstellen und vielfältige Exploits gibt und es unmöglich ist, sie alle zu stoppen, ist die Identifizierung von beständigem Angreiferverhalten nach wie vor der beste Weg, um Angriffe zu stoppen, die Ihre ersten Verteidigungslinien überwinden, bevor sie Ihnen echten Schaden zufügen.

Wie sieht es mit 2030 (oder einem späteren Zeitpunkt) aus?

Wie oben erwähnt, werden wir nach einer Phase relativ umfangreicher Veränderungen (die in der Regel Angreifern zugutekommen) wieder ein neues Gleichgewicht erreichen. Es wird dann wieder etwas schwieriger sein, sich Zugang zu verschaffen. Wir werden über Code verfügen, der weitaus weniger offensichtlich ausnutzbare Fehler enthält. Wir werden strenge Richtlinien eingeführt und die Angriffsfläche verringert haben. Möglicherweise nutzen wir Mythos v7, um sicherzustellen, dass unsere Sicherheitslage keine offensichtlichen Lücken aufweist. Und vielleicht wird Mythos v8 eine Schlüsseltechnologie in unserem deutlich stärker automatisierten SOC sein.

Aber es wird weiterhin ein SOC geben. Denn Angreifer werden sich weiterhin Zugang verschaffen. Und wir werden nach wie vor ein eindeutiges Signal benötigen, das potenzielle Angriffe anzeigt. Und die Netzwerk- und Identitätssysteme werden weiterhin die maßgebliche Informationsquelle sein. Und ein NDR, das lokale Umgebungen,cloud, Identitätsmanagement, SaaS, Edge-Computing sowie IoT/OT abdeckt, wird weiterhin entscheidend sein, um sicherzustellen, dass kleine Eindringversuche nicht zu großen Sicherheitsverletzungen eskalieren.

Haben Sie Fragen zu Claude Mythos und Project Glasswing? Hier geht’s los: Hilfe statt Hype: Claude Mythos, Project Glasswing und die Fragen, auf die CISOs wirklich Antworten suchen

Häufig gestellte Fragen