BSI und CISA warnen: Autonome KI-Angriffe kommen 2026

Berlin/Washington – Die Cybersicherheit steht vor einem Wendepunkt: Während internationale Behörden erstmals einheitliche Standards für KI in kritischer Infrastruktur veröffentlichen, warnen Sicherheitsforscher vor einer neuen Generation autonomer Cyberangriffe. Die Bedrohung ist konkret – und Deutschland steht im Fokus.

Gleich zwei wegweisende Entwicklungen erschütterten diese Woche die IT-Sicherheitsbranche: Am Donnerstag präsentierten das deutsche BSI, die US-Behörde CISA und fünf weitere Nationen einen gemeinsamen Rahmen zum Schutz industrieller Steuerungssysteme. Nur zwei Tage später schlugen Experten des HP Security Lab Alarm: 2026 werden Cyberkriminelle erstmals KI-Agenten einsetzen, die eigenständig komplexe Angriffe planen und durchführen – ohne menschliches Zutun.

Das 25-seitige Strategiepapier vom 4. Dezember richtet sich direkt an Betreiber kritischer Infrastruktur. Neben dem BSI und CISA beteiligten sich Behörden aus Großbritannien, Kanada, den Niederlanden und Neuseeland. Im Kern geht es um Operational Technology (OT) – jene Systeme, die Kraftwerke, Wasserwerke und Produktionsanlagen steuern.

Die vier kernprinzipien:

• Risiken verstehen: Mitarbeiter müssen die spezifischen Gefahren von KI in Industrieumgebungen kennen
• Einsatz bewerten: Vor der Implementierung sind Geschäftsmodell und Datensicherheit streng zu prüfen
• Governance etablieren: Kontinuierliche Tests sollen KI-Modelle dauerhaft compliant und sicher halten
• Sicherheit verankern: Transparenz schaffen und KI-Fehlerszenarien in Notfallpläne integrieren

“Die Integration von KI in kritische Infrastruktur birgt Chancen und Risiken”, heißt es in der CISA-Mitteilung. Für deutsche Unternehmen ergänzt die Guidance den EU AI Act um eine technische Roadmap – besonders relevant für Energieversorger und Industriekonzerne wie Siemens oder BASF, die bereits KI für vorausschauende Wartung einsetzen.

Viele Unternehmen stehen durch neue KI-Regeln und freiwillige Guidance vor erheblichen Haftungs- und Compliance-Fragen. Dieser kostenlose Umsetzungsleitfaden erklärt kompakt, welche Pflichten, Risikoklassen und Übergangsfristen jetzt relevant sind und welche technischen sowie dokumentarischen Schritte Sie sofort umsetzen sollten. Mit praktischen Checklisten und Vorlagen für die Umsetzung – ideal für IT-Leiter und Compliance-Teams in Industrieunternehmen. Jetzt KI-Umsetzungsleitfaden herunterladen

Die Ära der “Agentischen KI” beginnt

Während Regulierer Verteidigungsstrategien entwickeln, eskaliert die Bedrohungslage rasant. Das HP Security Lab warnt in seinem heute veröffentlichten Bericht vor Agentic AI – halbautonomen Systemen, die komplexe Angriffe selbstständig durchführen können.

“Angreifer werden KI nicht länger nur für simple Aufgaben nutzen”, erklärt Alex Holland, Principal Threat Researcher bei HP. “Sie setzen sie für komplexe Aufgaben wie das Aufspüren von Sicherheitslücken ein.”

Der entscheidende Unterschied: Bisherige KI-Tools schreiben Phishing-Mails oder generieren Code-Schnipsel. Agentische KI hingegen plant mehrstufige Angriffe eigenständig, passt Strategien an und lernt aus Abwehrmaßnahmen. Die Forscher erwarten für 2026 eine Explosion solcher Attacken.

Cookie-Diebstahl als neue Hauptwaffe

Die HP-Analyse identifiziert eine besonders perfide Angriffsmethode: automatisierter Token-Diebstahl. Da Zwei-Faktor-Authentifizierung (2FA) mittlerweile Standard ist, umgehen Kriminelle sie einfach – indem KI-gesteuerte Malware aktive Session-Tokens aus Browsern extrahiert.

Diese Authentifizierungs-Cookies für Cloud-Verwaltungsportale gewähren Zugriff ohne Passwort. Die KI-Agenten erkennen hochwertige Tokens, stehlen sie vor Ablauf und verschaffen Angreifern dauerhaften Zugang. Klassische 2FA läuft ins Leere.

Für Unternehmen bedeutet das: Multi-Faktor-Authentifizierung allein reicht nicht mehr. Hardwarebasierte Authentifizierung und “Zero Trust”-Browser-Architekturen werden zur Pflicht.

BRICKSTORM: China-Malware in kritischer Infrastruktur

Die Dringlichkeit der neuen Richtlinien unterstreicht eine weitere Warnung vom 4. Dezember: CISA, die NSA und kanadische Cyberabwehr alarmierten gemeinsam vor BRICKSTORM – einer hochentwickelten Malware-Kampagne, die mutmaßlich von chinesischen Staatsakteuren gesteuert wird.

Die Schadsoftware zielt auf kritische Infrastruktur und soll bösartigen Code für künftige Sabotage platzieren. BRICKSTORM ist speziell für OT-Netzwerke konzipiert, tarnt sich geschickt und sichert langfristige Persistenz in industriellen Steuerungssystemen. Genau hier könnten die empfohlenen KI-Anomalie-Erkennungssysteme aus der neuen Guidance entscheidend werden.

Parallel dazu meldeten britische Behörden am 3. Dezember, ihre Telekommunikations-Abwehr habe im vergangenen Jahr über eine Milliarde bösartige Zugriffsversuche blockiert – ein Beleg für die schiere Masse automatisierter Bedrohungen.

Von Compliance zu operativer Resilienz

Die zeitliche Bündelung dieser Entwicklungen markiert einen Paradigmenwechsel. 2024 und Anfang 2025 dominierte die Debatte um Gesetzesrahmen wie den EU AI Act. Nun, Ende 2025, verschiebt sich der Fokus auf operative Widerstandsfähigkeit und technische Umsetzung.

Deutschlands Beteiligung an der internationalen Guidance ist bedeutsam: Sie zeigt eine Harmonisierung zwischen dem EU-Regulierungsansatz und der bedrohungszentrierten Denkweise der “Five Eyes”-Staaten. Compliance bedeutet nicht mehr nur Dokumentation für den AI Act – sondern aktive technische Verteidigung gegen KI-spezifische Risiken.

“Industrielle Cybersicherheit lebte lange im Schatten von Abhak-Compliance”, kommentierten Analysten des Fachportals Industrial Cyber. “Doch wenn digitale und physische Bedrohungen verschmelzen, bricht diese Denkweise zusammen.”

Was 2026 kommt

Die nächsten Monate werden zeigen, wie ernst Unternehmen die Warnungen nehmen. Versicherer und Wirtschaftsprüfer dürften die vier Prinzipien vom 4. Dezember schnell als Mindeststandard für Haftungsfragen bei OT-Vorfällen etablieren.

Gleichzeitig zeichnet sich ein technisches Wettrüsten ab: Während Unternehmen KI zur Verteidigung einsetzen, nutzen Angreifer agentische KI zum Aushebeln dieser Abwehr. Die vorhergesagte Welle von Cookie-Diebstählen erfordert ein Umdenken über 2FA hinaus.

Nach dem EU-Kommissions-Vorschlag vom November, bestimmte Hochrisiko-Bestimmungen des AI Act möglicherweise bis 2027 zu verschieben, dient die freiwillige Guidance dieser Woche faktisch als Sofort-Standard. Auf finale Regulierungstermine können Unternehmen nicht warten – die Bedrohungen sind bereits aktiv.

PS: Unternehmen haben nur begrenzte Zeit, um technische und organisatorische Maßnahmen an neue KI-Anforderungen anzupassen. Der kostenlose Leitfaden liefert praxisnahe Schritte zur Klassifikation von KI-Systemen, zur Erstellung der notwendigen Dokumentation und zu Beweismitteln für Compliance-Audits – inklusive konkreter Maßnahmen für OT-Umgebungen. So minimieren Entscheider Haftungsrisiken und handeln schnell und rechtssicher. Gratis KI-Umsetzungsleitfaden anfordern