Künstliche Intelligenz verändert die Welt der Cyberangriffe schneller, als viele Sicherheitsverantwortliche es sich vorstellen. Das zeigt der neue Global Threat Report 2026 von CrowdStrike. Demnach nutzen Angreifer KI-Systeme nicht nur zur Planung und Verschleierung ihrer Attacken, sondern greifen auch gezielt KI-Entwicklungsplattformen selbst an. Die Zahlen sind alarmierend: KI-gestützte Angriffe stiegen im Vergleich zum Vorjahr um 89 Prozent. Gleichzeitig sank die sogenannte Breakout-Time – also die Zeit, die ein Angreifer benötigt, um sich lateral in einem Netzwerk zu bewegen – auf durchschnittlich 29 Minuten. Die schnellste beobachtete Attacke dauerte gerade einmal 27 Sekunden.
Der Bericht zeigt deutlich, dass Angreifer immer häufiger KI nutzen, um ihre Operationen effizienter zu machen. Bei über 90 Unternehmen wurden gezielt schädliche Prompts in seriöse KI-Tools eingeschleust, um Anmeldedaten zu stehlen oder Kryptowährungen zu entwenden. Gleichzeitig werden KI-Plattformen als Ausgangspunkt für Ransomware oder als Tarnung für bösartige Server missbraucht. "Die Breakout-Time ist das deutlichste Signal, wie sich die Angriffe verändert haben", erklärt Adam Meyers, Head of Counter Adversary Operations bei CrowdStrike. "KI verkürzt die Zeit zwischen Intention und Durchführung und macht gleichzeitig KI-Systeme in Unternehmen zu Zielen." Umso schneller müssen Unternehmen reagieren.
Neben eCrime-Gruppen setzen auch Staaten auf KI. Russland-nahe Akteure wie "Fancy Bear" verwenden LLM-fähige Malware namens "Lamehug", um Dokumente zu sammeln und Daten automatisiert auszulesen. Nordkorea-nahe Gruppen wie "Famous Chollima" setzen KI-Personas ein, um Insider-Operationen zu skalieren. Auch China-nahe Akteure haben Aktivitäten deutlich gesteigert: Laut CrowdStrike nahmen die Angriffe 2025 um 38 Prozent zu, die Logistikbranche war besonders betroffen. 67 Prozent aller von China-nahen Akteuren genutzten Schwachstellen führten direkt zu einem Systemzugriff, 40 Prozent zielten auf internetfähige Edge-Geräte. Nordkorea-nahe Angriffe stiegen sogar um mehr als 130 Prozent.
Einer der spektakulärsten Fälle: "Famous Chollima" gelang es, Kryptowährungen im Wert von 1,46 Milliarden Dollar zu stehlen – der bislang größte gemeldete Finanzraub dieser Art. Besonders gefährlich ist die Kombination aus KI und Zero-Day-Exploits, so CrowdStrike. Der Report zeigt, dass 42 Prozent der Sicherheitslücken von Angreifern bereits vor ihrer öffentlichen Bekanntgabe ausgenutzt wurden. Dabei dienten diese Exploits als Initialzugang, für Remote-Code-Ausführung oder zur Erweiterung von Rechten innerhalb der Systeme. Auch Cloud-Umgebungen geraten stärker ins Visier: Cloud-bewusste Attacken stiegen insgesamt um 37 Prozent, staatliche Akteure nutzten sie sogar 266 Prozent häufiger.
CrowdStrike macht damit klar, dass die Geschwindigkeit, mit der Angreifer KI einsetzen, eine neue Dimension erreicht. KI ist inzwischen nicht nur Werkzeug, sondern selbst Ziel von Cyberangriffen. Unternehmen müssen daher nicht nur ihre Sicherheitsmaßnahmen verbessern, sondern auch die Reaktionszeiten massiv verkürzen. Meyers mahnt: "Dies ist ein Wettrüsten im Bereich der Künstlichen Intelligenz. Wer zu langsam reagiert, riskiert, dass Angreifer bereits nach wenigen Minuten Daten entwenden oder Systeme kompromittieren."
Der Report basiert auf den Analysen der CrowdStrike-Experten, die mehr als 280 namentlich bekannte Angreifergruppen weltweit verfolgen. Dabei wird deutlich, dass moderne Angriffe zunehmend über vertrauenswürdige Identitäten, Cloud-Dienste und SaaS-Anwendungen ablaufen. So verschmelzen normale Geschäftsaktivitäten mit kriminellen Operationen, was die Arbeit der Sicherheitsteams weiter erschwert.
