AI-gesteuerte Cyberangriffe - raffinierter denn je

20 Sep 2025

KI vs. KI: Wie Cyberkriminelle Künstliche Intelligenz gegen KMU einsetzen

Eigentlich war Fabian, IT-Verantwortlicher in einem Maschinenbau-Unternehmen, fest davon überzeugt, einen guten Job zu machen. Er hatte einen Virenscanner eingerichtet, der regelmässig aktualisiert wurde, eine Firewall steuerte den Internetzugriff des Betriebs und in halbjährlichen Schulungen klärte er die Angestellten über Cybersicherheit auf. Umso grösser war der Schock, als das Unternehmen vor Kurzem gehackt wurde. Der Schaden war enorm – auch, weil sensible Kundendaten entwendet wurden, wodurch der Ruf stark geschädigt wurde. Wie konnte das passieren? Im Nachhinein stellte sich heraus, dass die Angreifer einen AI-gesteuerten Multi-Channel-Angriff mit Spear-Phishing, Voice-Deepfake und MFA-Fatigue durchgeführt hatten. Der Einsatz von Künstlicher Intelligenz bei Cyberangriffen wird dabei zunehmend zum Standard. Was es damit auf sich hat und wie du dein KMU vor einem solchen Angriff bewahren kannst, erfährst du hier.

Welche Methoden nutzen Hacker für AI Cyberangriffe auf KMU?

KI-basiertes Hacking kennt viele Methoden, zum Beispiel Spear-Phishing. Im Grunde handelt es sich dabei um klassisches Phishing - nur viel, viel authentischer. Hacker nutzen KI hier nämlich im Vorfeld, um möglichst viele Informationen über das KMU zu sammeln. Das Ergebnis: E-Mails, die täuschend echt wirken - und Mitarbeiter zu unvorsichtigem Handeln verleiten.

Eine weitere Methode sind sogenannte Deepfakes. Dabei fälschen Hacker mithilfe von KI die Stimme oder sogar Videos von Führungskräften im Unternehmen. An die Mitarbeiter wird dann eine Voicemail oder ein kurzer Videoclip verschickt, der dazu auffordert, sofort den Anweisungen einer Mail zu folgen oder sofort einem bestimmten Programm mehr Zugriffsrechte zu verleihen oder sofort etwas zu installieren. Diese Kombination - zeitlicher Druck und Weisungen eines Vorgesetzten - veranlassen die meisten Mitarbeiter dazu, den Aufforderungen blindlings zu folgen.

Eine weitere beliebte Strategie bei AI Cyberangriffen auf KMU bezeichnet man als MFA-Fatigue. Dabei stürmen Hacker immer wieder die Multifaktorauthentifizierung von Mitarbeitern, bis diese schliesslich mürbe und unvorsichtig werden und einen unauthentifizierten Vorgang freigeben.

Weitere automatisierte Angriffe entstehen durch KI-basierte Recons, also automatisiertes Sammeln von Informationen über das Zielunternehmen, eine Exploit-Auswahl, bei der die KI systematisch nach Schwachstellen in einem Netzwerk sucht und diese sofort ausnutzt, und Passwort-Spraying in Kombination mit machine-learning, wobei gängige Passwörter für sämtliche Benutzerkonten eines Unternehmens getestet werden.

Welche typischen Schwachstellen von KMU begünstigen automatisierte Angriffe?

In der Regel sind es immer wieder dieselben Schwachstellen, die den Erfolg von AI-gesteuerten Cyberangriffen begünstigen. Dazu gehören verwaiste Konten, die niemand mehr nutzt, kontrolliert und aktualisiert. Bei einem solchen Konto fällt es natürlich auch nicht auf, wenn es immer wieder Zugriffsversuche gibt.

Ein weiterer Schwachpunkt sind wiederverwendete oder schwache Passwörter, häufig in Kombination mit fehlender Zweifaktorauthentifizierung beziehungsweise fehlenden Passkeys. Hierbei bedrohen vor allem KI-gestützte Attacken durch maschinelles Lernen die Cybersecurity.

Auch unsichere oder ungetestete Backups werden zunehmend zur Zielscheibe für automatisierte Angriffe. Hacker wissen, welche Bedeutung die Datensicherung für Unternehmen hat - und setzen gerade deshalb hier an. Sobald sie sich Zugriff verschafft haben, folgt häufig ein klassischer Ransomware-Angriff mit Lösegeldforderung. Nicht zuletzt laden auch exponierte SaaS-Zugänge und API-Secrets zu Cyberangriffen ein

Welche Tools ermöglichen AI-gesteuerte Cyberangriffe?

Vielleicht stellst du dir jetzt die Frage, wie Hacker überhaupt zu all diesen Methoden fähig sind. Dafür steht ihnen eine ganze Palette an Tools zur Verfügung:

Autonome KI-Agents: Diese intelligenten Tools können komplexe Anweisungen befolgen und selbstständig durchführen. Hacker nutzen sie beispielsweise für die zielgerichtete Informationsgewinnung.
LLM-Bots: Dabei handelt es sich um KI-Agents, die in sprachgesteuerten Systemen, sogenannten Large Language Models (LLM), interagieren. Solche Systeme stecken unter anderem hinter automatisierten Chats für Kundenanliegen.
Prompt-Kits: Prompts sind Anweisungen für LLMs. Durch geschickte Manipulation gelingt es Hackern zunehmend, eigene Prompts in die Systeme einzuschleusen und diese so für sich zu nutzen.
Deepfake-Services: Darunter versteht man Programme, die Deepfakes erzeugen. Mittlerweile haben sich sogar Deepfake-as-a-Service-Geschäftsmodelle etabliert, die Hackern, aber auch anderen Kriminellen Betrug im grossen Stil ermöglichen.
KI-gestützte Evasion in Malware: Damit sind Techniken und Tools gemeint, die KI nutzen, um Schadsoftware permanent zu verändern und zu verschleiern. Gerade klassische Anti-Viren-Programme, wie sie auch Fabian genutzt hat, haben dagegen keine Chance.

Wie lässt sich AI gesteuerte Cyber Security zur Verteidigung nutzen?

Um es kurz zu machen: Gegen die neuen AI Cyberangriffe auf KMU hilft nur eine ebenso effiziente AI Verteidigung; KI gegen KI also. Konkret tragen die folgenden Massnahmen zu einer AI gesteuerten Cyber Security bei:

E-Mail-Security mit machine-learning: Es reicht nicht mehr aus, mit herkömmlichen Spamfiltern zu arbeiten. Stattdessen sollte ein Programm genutzt werden, das automatisiertes machine-learning beinhaltet, sodass der Schutz gegen betrügerische Mails immer up-to-date und effizient bleibt.
EDR/XDR: EDR steht für Endpoint Detection and Response, XDR hingegen ist die Abkürzung für Extended Detection and Response. KI-basierte EDR-Tools nutzen Künstliche Intelligenz, um ungewöhnliche Aktivitäten frühzeitig zu erkennen. XDR setzt sogar noch einen drauf und kontrolliert nicht nur die Endpoints, sondern auch weitere potenzielle Angriffspunkte.
Anomalie-Erkennung: Für die Aufdeckung von Anomalien innerhalb eines Netzwerks sind KI-basierte Lösungen regelrecht prädestiniert. Das hilft, Angriffe frühzeitig zu erkennen und rechtzeitig Gegenmassnahmen einzuleiten.

Neben diesen AI gesteuerten Cyber Security Tools bleiben aber auch die Basics der Cybersicherheit aktuell. Dazu gehören:

Multifaktorauthentifizierungen oder Passkeys zum Schutz von Konten
Least-Privilege-Strategien, die jedem Benutzer nur die für ihn nötigen Zugriffsrechte einräumen
Secrets-Management, also die sichere Speicherung von Kennwörtern oder Schlüsseln
Zero-Trust-Denken, das grundsätzlich keinem Benutzer, Gerät oder Netzwerk ungeprüft vertraut

Welche Massnahmen sollten KMU jetzt zur Erhöhung ihrer Cybersecurity umsetzen?

Grosse Aufgaben wie die Anpassung der eigenen IT-Sicherheit an KI-basiertes Hacking erscheinen oft wie ein riesiger Berg, der unbezwingbar wirkt. Besser geeignet sind deshalb 30/60/90-Pläne, die Massnahmen enthalten, die du in den nächsten 30, den nächsten 60 und den nächsten 90 Tagen umsetzen kannst.

Zum 30-Tage-Plan sollte auf jeden Fall die Erstellung eines Asset-Inventars gehören. Das bedeutet, du notierst zunächst alle IT-Ressourcen, die in deinem Unternehmen zum Einsatz kommen - vom Computer über die Netzwerke bis hin zu den Anwendungen. Diese Liste verschafft dir einen Überblick darüber, was überhaupt geschützt werden muss. Eine weitere Aufgabe in den ersten 30 Tagen sollte das Einholen von Informationen über Patch-Zyklen sein, also über die Häufigkeit von Updates der einzelnen Anwendungen.

Innerhalb von 60 Tagen solltest du Backups mit immutablen Snapshots anlegen. Immutable Snapshots sind unveränderliche Backups, die demnach durch AI Cyberangriffe auf KMU nicht kompromittiert werden können. Nichtsdestotrotz solltest du dieses Backup testen, um sicherzugehen, dass nicht schon die Sicherungskopie beim Anlegen infiltriert wurde. Auch Phishing-Simulationen lassen sich in zwei Monaten gut realisieren, um deine Mitarbeiter für entsprechende Cyberangriffe zu sensibilisieren.

Ein mögliches Ziel für die nächsten drei Monate könnte die Erstellung eines detaillierten Berechtigungskonzepts sein, das man auch Rollen-/Rechte-Review nennt. Darin ist klar definiert, wer welche Verantwortlichkeiten und Zuständigkeiten innerhalb des Unternehmens besitzt und welche Rechte damit einhergehen. Ausserdem solltest du in diesem Zeitraum ein wirkungsvolles Frühwarnsystem implementieren, das verdächtige Aktivitäten bemerkt und weitermeldet.

Wie können sich KMU optimal auf Cyberangriffe vorbereiten?

Es gibt leider keine Möglichkeit, wie du dein Unternehmen hundertprozentig gegen Cyberangriffe schützen kannst. Deshalb solltest du dein KMU und deine Mitarbeiter grundsätzlich auch auf potenzielle Attacken vorbereiten. Eine klare Rollenverteilung und eindeutige Kommunikationswege verhindern im Ernstfall kopflose Aktionen. Ausserdem sollten die Verantwortlichen mit den nötigen rechtlichen Schritten und den offiziellen Meldewegen bei einem Angriff vertraut sein. Mit regelmässigen Tabletop-Übungen, die den Ernstfall möglichst realistisch simulieren, kannst du zudem dein Team schulen und Verbesserungspotenzial in eurer Abwehr aufdecken.

Du möchtest wissen, wie es um die IT-Sicherheit deines Unternehmens bestellt ist? Dann teste jetzt dein IT‑Sicherheits‑Know‑how bei einer Überprüfung deiner IT-Infrastruktur auf Sicherheitslücken! Wir unterstützen dich kompetent und zuverlässig dabei - sowohl bei der Analyse deiner aktuellen Cybersecurity Strategie als auch bei der Implementierung von zusätzlichen Schutzmassnahmen!

Jetzt für mehr Sicherheit im Unternehmen sorgen

FAQ

Woran erkennen KMU einen AI-gesteuerten Angriff und welche Warnsignale gibt es?

Alle Unregelmässigkeiten innerhalb des Netzwerks sind Warnsignale. Um diese zuverlässig zu erkennen, müsste jedoch ein Mitarbeiter rund um die Uhr mit der Beobachtung der Netzwerkaktivitäten beschäftigt sein. Da das nahezu unmöglich ist, sollte für diese Aufgabe Künstliche Intelligenz eingesetzt werden.

Was sollte man im Ernstfall tun? Zahlen oder nicht?

Das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI rät von Lösegeldzahlungen ab. Zum einen kann es sich dabei um einen Straftatbestand (Unterstützung einer kriminellen Vereinigung) handeln, zum anderen machen sich Unternehmen durch Lösegeldzahlungen häufig zur Zielscheibe für weitere Cyberangriffe - schliesslich wissen die Täter, dass es hier etwas zu holen gibt. Hinzu kommt, dass Unternehmen oft trotz Zahlung nicht mehr an ihre verschlüsselten Daten gelangen.

Wie oft sollten Systeme, Prozesse und Mitarbeitende geprüft oder getestet werden?

Das kommt auf verschiedene Aspekte an, unter anderem das Gefährdungspotenzial und die Branche des Unternehmens. Als absolutes Mindestmass sollten allerdings einmal pro Jahr entsprechende Tests durchgeführt werden - häufiger geht aber natürlich immer und erhöht die Cybersicherheit.

Quellenangaben: