CyberStrikeAI: KI-gesteuerte Angriffswelle trifft Tausende Firmen-Netzwerke

KI-Werkzeug automatisiert Angriffe auf Hunderte Fortinet-Sicherheitsgeräte weltweit und senkt die Einstiegshürde für Cyberkriminelle radikal. Die Sicherheitslandschaft erlebt eine gefährliche Eskalation automatisierter Angriffe auf Unternehmensnetzwerke. Seit Ende Januar 2026 nutzen Bedrohungsakteure die Open-Source-Plattform CyberStrikeAI, um gezielt Tausende von Fortinet Firewalls und VPN-Gateways zu kompromittieren. Diese Entwicklung markiert einen Wendepunkt: Künstliche Intelligenz wird nun massenhaft für offensive Cyberangriffe eingesetzt.

KI als Angriffsbeschleuniger: So funktioniert CyberStrikeAI

Die Bedrohungsanalyse-Firma Team Cymru enthüllte am 3. März 2026 die Details der Kampagne. Demnach nutzen Angreifer eine in der Programmiersprache Go entwickelte Plattform, die über 100 traditionelle Hacking-Tools mit einem KI-Orchestrierungsmotor verbindet. Kern der Software sind große Sprachmodelle wie Claude und DeepSeek. Sie automatisieren den gesamten Angriffszyklus – von der Schwachstellensuche über die Exploit-Auswahl bis hin zur dauerhaften Infiltration.

Angesichts der rasanten Zunahme automatisierter KI-Angriffe stehen viele Unternehmen vor völlig neuen Herausforderungen bei der Absicherung ihrer digitalen Infrastruktur. Dieser Experten-Report zeigt auf, warum viele Betriebe unvorbereitet sind und wie Sie teure Konsequenzen wirksam vermeiden können. Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind

„Historisch benötigten Massenangriffe manuellen Aufwand, um Scan-Ergebnisse auszuwerten und Exploits anzupassen“, erklärt ein Sicherheitsexperte. „Diese KI-Plattform beseitigt diese Engpässe.“ Das System füttert Netzwerkantworten direkt in die integrierten Sprachmodelle. Diese passen die Taktik autonom an, entschlüsseln Fehlermeldungen und wählen den optimalen Angriffspfad für die jeweilige Gerätekonfiguration aus.

Kritische Lücken bei Fortinet: Das Einfallstor für die Angriffe

Die CyberStrikeAI-Kampagne nutzt vor allem offene Management-Ports und schwache Ein-Faktor-Authentifizierung. Doch sie operiert vor dem Hintergrund schwerwiegender, kürzlich bekannt gewordener Sicherheitslücken bei Fortinet.

Mitte Februar 2026 wurde die kritische Schwachstelle CVE-2026-22153 publik. Sie ermöglicht es Angreifern, die LDAP-Authentifizierung in FortiOS-Versionen 7.6.0 bis 7.6.4 zu umgehen und unberechtigt auf interne Netzwerkressourcen zuzugreifen. Bereits Ende Januar hatte die US-Cybersicherheitsbehörde CISA zur sofortigen Installation des Patches für CVE-2026-24858 gedrängt – eine weitere kritische Lücke im FortiCloud Single Sign-On.

Die Kombination aus diesen ungepatchten Schwachstellen und KI-gesteuerten Orchestrierungswerkzeugen schafft eine hochgefährliche Bedrohungslage. Jedes Fortinet-Gerät ohne aktuellste Firmware und strenge Zwei-Faktor-Authentifizierung ist unmittelbar gefährdet.

Globale Dimension: Über 600 kompromittierte Geräte in 55 Ländern

Die geografische Verteilung der Angriffe zeigt das wahre Ausmaß. Innerhalb von fünf Wochen wurden mehr als 600 FortiGate-Geräte in 55 Ländern erfolgreich angegriffen. Die Server, die CyberStrikeAI hosten, stehen vorwiegend in China, Singapur und Hongkong. Weitere Knotenpunkte wurden in den USA, Japan und der Schweiz identifiziert.

Die Herkunft des Tools wirft Fragen auf. Der Entwickler, der unter dem Alias „Ed1s0nZ“ auftritt, gab früher an, einen Beitragspreis der chinesischen National Vulnerability Database erhalten zu haben – einer vom Ministerium für Staatssicherheit beaufsichtigten Stelle. Diese Referenzen wurden zwar kürzlich aus seinem Profil entfernt. Doch die ausgefeilte Architektur der Plattform und ihre schnelle Verbreitung deuten auf eine hochorganisierte Anstrengung hin, Netzwerkzugänge zu sammeln und zu weaponisieren.

Paradigmenwechsel: Was bedeutet die KI-Waffe für die Cybersicherheit?

Die aktuelle Kampagne illustriert einen fundamentalen Wandel. Während KI lange als defensives Werkzeug vermarktet wurde, setzen Bedrohungsakteure sie nun erfolgreich ein, um ihre Angriffe zu skalieren.

Diese Entwicklung verkürzt das Zeitfenster für Gegenmaßnahmen nach einer Schwachstellenveröffentlichung dramatisch. Sobald ein Proof-of-Code für eine Lücke wie die LDAP-Umgehung vom Februar 2026 veröffentlicht wird, können KI-Tools ihn sofort integrieren und mit dem globalen Scannen beginnen. Experten fordern daher eine Neubewertung der Perimeter-Verteidigung. Traditionelle, reaktive Patch-Zyklen reichen nicht mehr aus, wenn Gegner autonome Systeme einsetzen.

Während Angreifer ihre Methoden durch KI-Orchestrierung immer weiter automatisieren, benötigen Firmen effiziente Strategien zur proaktiven Stärkung der eigenen IT-Sicherheit. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie Ihr Unternehmen bereits mit einfachen Maßnahmen ohne hohe Investitionen schützen können. IT-Sicherheit stärken ohne teure neue Mitarbeiter einzustellen

Schutzmaßnahmen: So müssen Unternehmen jetzt reagieren

Für Unternehmen birgt diese globale Bedrohung erhebliche Risiken für den Datenschutz und die Compliance. Kompromittierte VPN-Geräte sind ein erster Brückenkopf für die seitliche Bewegung im Netzwerk, Industriespionage, Datendiebstahl und Ransomware.

Die Sicherheitsempfehlungen sind klar:
1. Sofortige Patches: Die neuesten Firmware-Updates von Fortinet, insbesondere für die Authentifizierungs-Umgehungen aus Januar und Februar 2026, müssen umgehend installiert werden.
2. Zwei-Faktor-Authentifizierung erzwingen: Für alle VPN- und Administrationsschnittstellen ist eine strenge Mehr-Faktor-Authentifizierung unabdingbar. Die aktuellen KI-Kampagnen nutzen gezielt Schwächen bei der Ein-Faktor-Authentifizierung aus.
3. Unnötige Features deaktivieren: Das FortiCloud Single Sign-On-Login sollte deaktiviert werden, wenn es nicht zwingend benötigt wird. Es war wiederholt Einfallstor für Netzwerkkompromittierungen.
4. Proaktive Überwachung: Firmen müssen in KI-gestützte Verhaltensüberwachung investieren, um die subtilen Anomalien automatischer Angriffs-Orchestratoren zu erkennen. Die defensiven Fähigkeiten müssen mit dem Werkzeugkasten der Angreifer Schritt halten.