Der digitale Konflikt eskaliert: Künstliche Intelligenz erweist sich nicht länger nur als wertvolles Werkzeug für Unternehmen, sondern auch als Turbo für Cyberangriffe. Das zeigt der neueste Threat Hunting Report 2025 des US-Sicherheitsunternehmens CrowdStrike. In dem brisanten Dokument zeichnet sich ein alarmierendes Bild ab: Hackergruppen auf der ganzen Welt nutzen generative KI (GenAI), um ihre Attacken zu automatisieren, auszuweiten – und zunehmend auch gezielt gegen autonome KI-Agenten in Unternehmen zu richten.
Noch nie war künstliche Intelligenz so zentral für die IT-Sicherheit – und gleichzeitig war diese so verwundbar. Der neue CrowdStrike-Report, gestützt auf die Erkenntnisse von weltweit agierenden Bedrohungsjägern und Analytikern des Unternehmens, offenbart eine neue Qualität digitaler Angriffe: Autonome KI-Systeme, die Geschäftsprozesse automatisieren und beschleunigen sollen, werden verstärkt ins Visier von Cyberkriminellen genommen. Besonders brisant: Angreifer attackieren dabei nicht nur mithilfe von KI – sie greifen auch gezielt KI an.
Maschinenidentitäten und agentische KI seien zum neuen digitalen Einfallstor geworden, warnt CrowdStrike. KI-Agenten gelten demnach als besonders lohnende Ziele, weil sie Zugriff auf interne Prozesse, privilegierte Konten und sensible Daten haben – und meist rund um die Uhr aktiv sind. Besonders beunruhigend: Der Report zeigt aiuch auf, wie professionelle und auch minder qualifizierte Angreifergruppen Künstliche Intelligenz mittlerweile einsetzen, um ihre Attacken auf Knopfdruck zu skalieren.
Die nordkoreanische Gruppierung "Famous Chollima" etwa automatisierte einen Insider-Angriff von A bis Z: Mit GenAI wurden Lebensläufe gefälscht, Deepfake-Interviews geführt und technische Aufgaben unter falscher Identität erledigt. Was früher aufwändige Handarbeit war, geschieht heute maschinell – und massenhaft, heißt es. Die russlandnahe Einheit "Ember Bear" nutzte ebenfalls GenAI, um Desinformationskampagnen zu intensivieren und pro-russische Narrative zu verbreiten.
Auch "Charming Kitten", ein langjährig aktiver Angreifer mit Verbindung zum Iran, wurde dabei beobachtet, wie er mit durch KI generierten Phishing-Ködern gezielt westliche Institutionen attackierte. GenAI entwickelt mittlerweile die Malware. Und das ganz ohne menschliche Programmierkünste. Besonders sogenannte "Script Kiddies" und Hacktivisten, also weniger technisch versierte Angreifer, greifen laut dem Report auf KI-Modelle zurück, um sich komplexe Schadsoftware buchstäblich generieren zu lassen.
Zwei Beispiele aus dem CrowdStrike-Bericht sind "Funklocker" und "SparkCat" – Programme, die KI-basiert entwickelt wurden und bereits im Einsatz waren. Für die IT-Sicherheitswelt bedeute das: Der technische Know-how-Vorsprung schrumpft. Jeder mit Zugang zu einem LLM (Large Language Model) kann plötzlich Angriffstools produzieren, die früher Fachwissen auf Elite-Niveau erforderten.
Als besonders aggressiv erwies sich im aktuellen Bericht erneut die Gruppe "Scattered Spider", die bereits in den Vorjahren durch ihre skrupellosen Methoden auffiel. Laut CrowdStrike nutzten die Angreifer dieses Mal eine Kombination aus "Vishing" (Voice Phishing) und Helpdesk-Manipulation, um Anmeldedaten zu entwenden, Sicherheitsabfragen zu umgehen und in Cloud- sowie SaaS-Umgebungen einzudringen. In einem dokumentierten Fall dauerte es nicht einmal 24 Stunden vom ersten Zugriff bis zur vollständigen Ransomware-Verschlüsselung eines Unternehmensnetzwerks.
Ein weiterer beunruhigender Trend ist laut CrowdStrike der massive Anstieg von Angriffen auf Cloud-Infrastrukturen. Laut Report legte die Zahl der Attacken um satte 136 Prozent zu – 40 Prozent davon gehen auf das Konto China-naher Gruppen wie "Genesis Panda" und "Murky Panda". Diese nutzen gezielt Fehlkonfigurationen und "Trusted Access" aus, um unbemerkt in Systeme einzudringen. Cloud-Sicherheit wird damit zur Achillesferse moderner Unternehmen.
Für CrowdStrikes Counter-Adversary-Chef Adam Meyers ist klar: "Jeder KI-Agent ist eine Art übermenschliche Identität: Er ist autonom, schnell und tief integriert, was ihn zu einem besonders wertvollen Ziel macht. Angreifer behandeln diese Agenten wie Infrastruktur und attackieren sie auf die gleiche Weise wie SaaS-Plattformen, Cloud-Konsolen und privilegierte Konten. Der Schutz der KI, die das Business antreibt, wird zum neuen digitalen Schlachtfeld."
