KI-Treibstoff für die Cyberkriminalität: Warnung vor neuer Angriffswelle

Die britische Cybersicherheitsbehörde NCSC schlägt Alarm: Künstliche Intelligenz treibt die Entdeckung von Sicherheitslücken und den Diebstahl von Zugangsdaten massiv voran.

Am 1. Mai 2026 warnte der britische NCSC-Cheftechnologe Ollie Whitehouse vor einer bevorstehenden „Patch-Welle". Die rasche Integration von KI in kriminelle Werkzeuge lege die technischen Schulden offen, die sich in Open-Source-, kommerzieller und Cloud-Software angesammelt hätten. Das Risiko von Massenausbeutung steige dramatisch. Die Warnung fällt zusammen mit einer Reihe prominenter Angriffe auf kritische Infrastruktur und der Entdeckung einer schwerwiegenden Schwachstelle im Linux-Kernel, die traditionelle Sicherheitsgrenzen umgeht.

Angesichts der zunehmenden Angriffe auf Software-Infrastrukturen suchen viele Nutzer nach sichereren Alternativen zu herkömmlichen Systemen. Das kostenlose Linux-Startpaket zeigt Ihnen, wie Sie mit Ubuntu eine stabile und virenresistente Umgebung parallel zu Windows testen können. Kostenloses Linux-Startpaket mit Ubuntu-Vollversion sichern

Angriffe auf die Lieferkette: Im Visier der Entwickler

Ein deutlicher Wandel der Taktiken von Angreifern zeigt sich in den letzten Wochen: Sie zielen zunehmend auf die Werkzeuge ab, die Entwickler zur Verwaltung sicherer Umgebungen nutzen.

Am 22. April 2026 wurde das Bitwarden-CLI-npm-Paket für 95 Minuten kompromittiert. Angreifer injizierten bösartigen Code in Version 2026.4.0. Ziel des Angriffs auf die Lieferkette war der Diebstahl hochwertiger Werte: npm-Tokens, GitHub-Authentifizierungstokens, SSH-Schlüssel und Cloud-Anmeldedaten for AWS, Azure und Google Cloud Platform. Bitwarden bestätigte, dass die Tresordaten sicher blieben – der Vorfall zeigt jedoch die Verwundbarkeit der Werkzeuge, die eigentlich sichere Authentifizierung ermöglichen sollen.

Dieser Vorfall reiht sich in einen breiteren Trend ein. Ende April zielte ein separater Angriff namens „Mini Shai-Hulud" auf SAP-bezogene npm-Pakete. Die Kampagne nutzte KI-basierte Programmieragenten, um sich über mehr als 1.200 kompromittierte Repositories zu verbreiten. Die bösartigen Pakete sollten Cloud-Geheimnisse und GitHub-Tokens abgreifen und nutzten fehlkonfigurierte Authentifizierungsprotokolle für unbefugten Zugriff. Branchenbeobachter stellen fest: Durch gezielte Schläge gegen das Entwickler-Ökosystem umgehen Angreifer die standardmäßige Zwei-Faktor-Authentifizierung (2FA), indem sie aktive Sitzungstokens und Administratorschlüssel direkt an der Quelle stehlen.

KI-gestütztes Phishing und die „Quishing"-Welle

Die traditionelle Wirksamkeit von 2FA wird durch die Skalierung KI-gesteuerter Kriminalitätswerkzeuge weiter untergraben. Der Fortinet Global Threat Landscape Report 2026 zeigt: Die Zahl bestätigter Ransomware-Opfer stieg 2025 auf 7.831 – ein Anstieg von 389 Prozent gegenüber dem Vorjahr. Marktforscher vermuten, dass Werkzeuge wie WormGPT und BruteForceAI die Einstiegshürde für Cyberkriminelle gesenkt haben. Die Zeit bis zur Ausnutzung neuer Schwachstellen schrumpft auf nur noch 24 bis 48 Stunden.

Auch die Phishing-Taktiken haben sich im Frühjahr deutlich weiterentwickelt. Microsoft meldete einen Anstieg von „Quishing" – Phishing über bösartige QR-Codes – um 146 Prozent allein im März 2026, auf 18,7 Millionen dokumentierte Angriffe. Viele dieser Versuche nutzen QR-Codes in PDF-Dokumenten, um traditionelle E-Mail-Filter zu umgehen. Darüber hinaus wurden ausgeklügelte Phishing-Kits wie „Tycoon 2FA" beobachtet, die Multi-Faktor-Authentifizierungscodes in Echtzeit abfangen. Eine großangelegte Strafverfolgungsaktion im März 2026 führte zwar zu einem Rückgang der Tycoon-Aktivitäten um 15 Prozent – das Kit hatte jedoch bereits schätzungsweise 96.000 Opfer weltweit getroffen.

Die deutsche Bundesregierung äußerte kürzlich Besorgnis über „Mythos", ein neues KI-Modell aus den USA. Der Nationale Sicherheitsrat warnte, dass die Anpassungsfähigkeit solcher Modelle es Kriminellen ermögliche, hochgradig überzeugende Phishing-Inhalte zu erstellen und die Ausnutzung von Authentifizierungsprotokollen zu automatisieren. Beamte des Bundeskriminalamts (BKA) schlugen in die gleiche Kerbe.

Infrastruktur unter Beschuss: Kernel-Schwachstelle entdeckt

Während der Diebstahl von Anmeldedaten das primäre Ziel bleibt, greifen Angreifer auch die zugrundeliegende Infrastruktur des Internets an. Seit dem 30. April 2026 ist die Web-Infrastruktur von Canonical, dem Herausgeber des Ubuntu-Betriebssystems, Ziel eines anhaltenden DDoS-Angriffs. Eine pro-iranische Hacktivistengruppe namens „313 Team" bekannte sich zu der Störung, die Dienste wie den Snap Store und Launchpad lahmlegte. Obwohl das Ubuntu-Betriebssystem und die Kern-Repositories nicht betroffen waren, zeigt der Vorfall die anhaltende Verwundbarkeit zentraler Authentifizierungs- und Vertriebsknotenpunkte.

Verschärft wird die Lage durch die Entdeckung einer kritischen Schwachstelle im Linux-Kernel, identifiziert als CVE-2026-31431. Entdeckt von Forschern mit KI-gestützten Scan-Werkzeugen, existiert der „Copy-Fail"-Fehler seit 2017 in verschiedenen Distributionen. Er erlaubt einem lokalen Benutzer mit minimalen Rechten, durch einen trivialen 4-Byte-Schreibexploit vollen Root-Zugriff zu erlangen. Bis zum 30. April 2026 warteten die meisten großen Distributionen – darunter Ubuntu, Red Hat Enterprise Linux und SUSE – noch auf einen umfassenden Patch. Systeme bleiben damit anfällig für lokale Rechteausweitung, die viele sekundäre Sicherheitsebenen umgehen kann.

Regulierung und Unternehmensreaktionen unter Druck

Die rasche Eskalation der Bedrohungen setzt sowohl Regulierungsbehörden als auch Technologieanbieter massiv unter Druck. Im April 2026 erlitt das EU-Reformpaket „Digital Omnibus" einen Rückschlag, als die Trilog-Verhandlungen scheiterten. Dies schafft rechtliche Unsicherheit für Unternehmen, die KI-gestützte Sicherheitsabwehr implementieren wollen – die Compliance-Frist für Hochrisiko-KI-Systeme bleibt der 2. August 2026. Die Umsetzung der NIS-2-Richtlinie im Dezember 2025 hat jedoch bereits die persönliche Haftung von Managern für Cybersicherheitsstandards erhöht und viele Organisationen zu höheren Sicherheitsbudgets gezwungen.

In Polen identifizierte Vize-Premierminister Gawkowski das Land als das am häufigsten in der EU angegriffene. Die Regierung hat für 2026 umgerechnet rund 1,17 Milliarden Euro für Cybersicherheit bereitgestellt. Die Mittel sind Teil einer Strategie, den Schutz bis 2029 von einigen hundert auf über 40.000 Einrichtungen auszuweiten.

Auch die technologischen Gegenmaßnahmen verlagern sich hin zu „phishing-resistenten" Standards. Microsoft kündigte kürzlich neue FIDO2-Provisionierungs-APIs für Entra ID an. Administratoren können damit Hardware-Sicherheitsschlüssel wie YubiKeys für ihre Mitarbeiter einrichten. Ziel ist es, Unternehmen von verwundbaren SMS- oder App-basierten 2FA-Methoden wegzubewegen – hin zu physischen Tokens, die deutlich schwerer abzufangen oder zu fälschen sind.

Während neue Standards wie FIDO2 die Sicherheit in Unternehmen erhöhen, müssen auch die rechtlichen Rahmenbedingungen für Künstliche Intelligenz beachtet werden. Dieser kostenlose Umsetzungsleitfaden zur EU-KI-Verordnung hilft Ihnen, Risikoklassen und Dokumentationspflichten frühzeitig zu verstehen. Gratis E-Book zum EU AI Act herunterladen

Ausblick: Automatisierung und widerstandsfähige Authentifizierung

Während sich die Branche auf den Rest des Jahres 2026 vorbereitet, verschiebt sich der Fokus auf Automatisierung und widerstandsfähige Authentifizierung. Das NCSC empfiehlt Unternehmen, automatisierte Updatesysteme zu priorisieren, um mit der KI-getriebenen „Patch-Welle" Schritt zu halten, und eine „Secure-by-Default"-Politik für alle internetfähigen Systeme zu übernehmen.

Der Trend zum Diebstahl von Anmeldedaten wird voraussichtlich die kommenden Sicherheitsbriefings dominieren. Ein für den 7. Mai 2026 angekündigter Branchenbericht soll zeigen, dass Angriffe auf Kollaborationsplattformen wie Microsoft Teams um 41 Prozent gestiegen sind, während der Diebstahl von Anmeldedaten in Microsoft-365-Umgebungen um 139 Prozent zugenommen hat.

Auch die Rechtslandschaft wird sich weiterentwickeln. Mit dem Cyber Resilience Act (CRA), der im Dezember 2027 vollständig in Kraft treten soll, beginnen Unternehmen, ihre Produktsicherheit an den neuen europäischen Standards auszurichten. In der Zwischenzeit warnen Strafverfolgungsbehörden weiterhin vor staatlich geförderten Akteuren, die Tausende von Heim- und Kleinunternehmens-Routern infiltrieren. Diese Behörden betonten im April 2026, dass ein einfacher Neustart oft nicht ausreicht, um persistente Malware zu entfernen. Sie empfehlen einen vollständigen Werksreset für betroffene Geräte, um sicherzustellen, dass Authentifizierung und Datenverkehr sicher bleiben.

de | wissenschaft | 69269722 |