Im November 2025 veröffentlichte Anthropic, der Hersteller des Sprachmodells Claude, einen ungewöhnlichen Befund: In einer beobachteten Spionagekampagne hatte das eigene Modell zwischen 80 und 90 Prozent der taktischen Arbeit übernommen – die menschlichen Operatoren steuerten nur noch das Ganze. Es war die bislang deutlichste Aussage darüber, wie weit die Verschmelzung von Künstlicher Intelligenz (KI) und Cyberangriff fortgeschritten ist. Sie kam nicht aus dem Nichts. Seit dem Februar des Jahres 2024 veröffentlichen die großen KI-Anbieter – OpenAI und Microsoft, Google, später auch Anthropic – in immer dichterer Folge Berichte darüber, wie Angreifer ihre Sprachmodelle nutzen. Den Anfang machten Beobachtungen staatlicher Angreifer aus Russland, China, Iran und Nordkorea, die ChatGPT von OpenAI für Recherche, Übersetzung, Programmierhilfen und Phishing-Texte einsetzten. Im Januar 2025 stufte Google diese Aktivitäten noch als nicht spielentscheidend ein. Anthropics Befund Ende 2025 markierte eine andere Größenordnung. Am 11. Mai 2026 veröffentlichte Google nun einen neuen Bericht, der einen „sich entwickelnden Übergang von frühen KI-gestützten Operationen hin zur industriellen Anwendung generativer Modelle innerhalb gegnerischer Arbeitsabläufe“ konstatiert. Was bedeutet das für die Cybersicherheit? Wie weit entfernt sind wir vom Heiligen Gral der Angreifer, also einem KI-System, das gezielte Cyberangriffe gegen beliebige Ziele vollautonom vorbereitet und durchführt? Stark vereinfachend könnte man darauf antworten: Auf halber Strecke. Weiter, als der nüchterne Beobachter vermuten würde, aber so weit weg, dass unklar ist, ob er je erreichbar ist. Ein wichtiger Grund dafür liegt darin, dass die KI zwar die Cyberangriffe beschleunigt (ebenso wie die Softwareentwicklung und viele andere Bereiche), aber dabei messbar mehr Fehler produziert als ein qualifizierter Mensch. Was Google berichtet Der aktuelle Google-Bericht kombiniert klassische Bedrohungsanalyse mit einer zweiten, neuen Datenquelle: Google liest die Eingaben mit, mit denen mutmaßliche Angreifer Googles Gemini-Modelle ansprechen. Diese Sichtbarkeit gilt selbstverständlich nicht nur für Angreifer, sondern für alle Nutzer – alles, was an ein solches Modell geschickt wird, wird potentiell gelesen. Solange die leistungsfähigsten Modelle ausschließlich von amerikanischen und chinesischen Anbietern stammen, haben europäische Behörden, Unternehmen und Bürger im Alltag die Wahl zwischen technologischem Anschluss und kommunikativer Überwachung. Das ist kein Randthema für die nächste Bedrohungsanalyse. Sondern ein industriepolitisches Argument für europäische Spitzenmodelle. Konkret beschreibt der Bericht sechs Hauptbefunde: Erstens: einen kriminellen Akteur, der mutmaßlich mit KI-Hilfe ein Angriffsskript gegen eine bislang unbekannte Schwachstelle (einen sogenannten Zero-Day-Exploit) zur Umgehung der Zwei-Faktor-Authentifizierung entwickelt hat – und zwar gegen einen semantischen Logikfehler, also einen Widerspruch in der Authentifizierungslogik der betroffenen Software. Google entdeckte das Skript vor einem geplanten massenhaften Einsatz; nach Aussage der eigenen Analysten hätten zudem Umsetzungsfehler der Angreifer dessen Erfolg ohnehin gefährdet. Solche Fehler sind mit klassischen Testwerkzeugen nur schwer zu finden, was allerdings nicht bedeutet, dass Google hier ein sicheres Anzeichen für überlegene Fähigkeiten der KI gefunden hat. Google konnte nicht die Erzeugung beobachten – tatsächlich schließt Google sogar aus, dass Gemini oder Claude verwendet wurden –, sondern nur das Ergebnis. Darum bleibt unklar, welche Rolle die KI beim Entdecken dieses Fehlers gespielt hat. Zweitens: Details über eine schon früher beobachtete Schadsoftware namens PROMPTSPY auf Android-Smartphones, die zur Laufzeit Gemini um Anweisungen bittet – ein autonomer Software-Agent mit eigener Entscheidungslogik, biometrischem Replay zur Wiederherstellung gestohlener Sitzungen und unsichtbaren Bildschirm-Überlagerungen, die die Deinstallation durch das Opfer architektonisch verhindern; selbst die Steuerinfrastruktur des Angreifers, einschließlich der genutzten Gemini-Schlüssel, lässt sich dynamisch austauschen. Drittens: Schadsoftware der Familien CANFAIL und LONGSTREAM, in denen KI-generierte Tarn-Codeblöcke die eigentliche Schadfunktion verschleiern; Google ordnet sie Russland nahestehenden Akteuren zu, die ukrainische Organisationen ins Visier nehmen. Viertens: Hinweise darauf, dass die China nahestehende Hackergruppe APT27 Gemini für die Entwicklung eines Anonymisierungsnetz zur Verschleierung der eigenen Angriffsinfrastruktur nutzte. Fünftens: einen Angriff auf die Lieferkette eines weit verbreiteten KI-Dienstes namens LiteLLM. Sechstens: ein wachsendes Schwarzmarkt-Ökosystem aus Vermittlungsdiensten, Proxy-Relais und automatisierten Kontenregistrierungen, mit dem Angreifer skalierbar Zugang zu führenden Sprachmodellen erkaufen und die Sicherheitsfilter der Anbieter umgehen. Hier ist KI weniger der autonome Angreifer, sondern die Ressource, die industrialisiert missbraucht und dazu in die IT-Infrastruktur der Angreifer eingebaut wird. Auf einer angrenzenden, aber wichtigen Seite des Spektrums dokumentiert der Bericht zudem KI-generierte Stimmenklons echter Journalisten in pro-russischen Informationskampagnen (Operation Overload) – ein Hinweis darauf, dass die KI-gestützte Bedrohung nicht nur die technische, sondern auch die diskursive Angriffsfläche erweitert. Die Detailtiefe ist neu, das Muster nicht: Angreifer verbessern ihre KI-Fähigkeiten schrittweise, in genau den Bereichen, in denen es zu erwarten war. Der Heilige Gral und seine zwei Hälften Das aus Angreifersicht ideale Endergebnis dieser Entwicklung ist ein KI-System, das zu einem beliebigen Zielobjekt (einem Unternehmen, einer Behörde, einer Person) und einem böswilligen Ziel (Spionage, Sabotage, Betrug oder Erpressung) autonom einen Angriff entwickelt und durchführt. Dieses Szenario zerfällt in zwei unterschiedlich reife Hälften. Die autonome Durchführung ist die kleinere Hürde. Auch sie ist anspruchsvoll, aber zumindest gegen einzelne Fälle kein Neuland. Schon Stuxnet zeigte im Jahr 2010 einen weitgehend autonom ablaufenden Angriff: Die Schadsoftware verbreitete sich über USB-Sticks, erkannte selbständig spezifische iranische Urananreicherungsanlagen und sabotierte sie – ohne menschliche Steuerung im Zielsystem. KI macht solche Ausführungen variabler, robuster und billiger. Von einer autonomen Durchführung gegen beliebige Ziele sind wir aber noch weit entfernt. Das noch größere Problem ist die autonome Vorbereitung. Wer einen Angriff entwickelt, muss das Ziel verstehen, einen Erstzugang konstruieren, maßgeschneiderte Angriffswerkzeuge gegen die individuelle Umgebung bauen und integrieren und einen Plan formulieren, der mit hoher Wahrscheinlichkeit funktioniert. Hiervon sind wir noch sehr weit weg. Wo wir wirklich stehen Die Vorbereitung lässt sich in fünf Bausteine zerlegen. Aufklärung über Organisation, Mitarbeitende und IT-Infrastruktur ist seit Jahren weitgehend automatisiert, anfangs sogar ohne KI: Klassische und auf IT spezialisierte Suchwerkzeuge sammeln den Großteil der Daten in Stunden. KI fügt eine zweite Schicht hinzu, vor allem in der Auswertung offener Quellen. Sie korreliert Datenpunkte zu Personenprofilen und Infrastrukturplänen, übersetzt fremdsprachige Quellen, leitet Organigramme aus Stellenanzeigen ab und wertet – wie der Google-Bericht dokumentiert – sogar Fotos zur Identifikation der eingesetzten Hardware aus. Gegen durchschnittliche Unternehmen, Behörden und Personen ist diese Phase heute weitgehend ausgereift, gegen besser geschützte Organisationen bleibt Aufklärung aber schwierig. Beim Erstzugang ins Netz hilft KI bisher als Werkzeug, nicht als Plattform. Sprachmodelle formulieren überzeugende Phishing-E-Mails und passende Vorwände. Beim Auffinden ausnutzbarer Schwachstellen im konkreten Zielsystem ist die KI weit fortgeschritten. Wenige Organisationen halten ihre Software lückenlos auf dem aktuellen Stand. Bekannte Schwachstellen, für die längst Sicherheitsupdates existieren, reichen für die meisten Angriffe völlig aus, und Angreifer können sie heute mit KI-Werkzeugen binnen weniger Minuten nach Veröffentlichung ausnutzen. Häufig braucht es nicht einmal Schwachstellen – gestohlene oder erratene Zugangsdaten genügen für einen Großteil der Einbrüche. Nur gegen sehr gut gepflegte und gehärtete Ziele, bei denen zudem Phishing-Angriffe erfolglos sind, bleibt die Generierung neuartiger, ziel-spezifischer Zero-Day-Exploits das offene Problem. In der Steuerung der eingesetzten Werkzeuge im laufenden Angriff ist die KI heute schon erstaunlich weit und kann einen Großteil der Arbeit übernehmen. Quelloffene KI-gestützte Angriffsbaukästen orchestrieren das Zusammenspiel von Aufklärung, Ausnutzung und Bewegung im Zielnetz weitgehend autonom. Eine Bestandsaufnahme der Sicherheitsfirma Hadrian zählte im März 2026 rund siebzig solcher Werkzeuge – gegenüber weniger als fünf vor der Einführung von GPT-4 im April 2023. In akademischen Studien aus dem Jahr 2025 haben autonome KI-Systeme menschliche Sicherheitstester in mehrtägigen, realistischen Übungen  geschlagen – zu Kosten von wenigen Dutzend Dollar pro Versuch. Im praktischen Einsatz sind dennoch Menschen diesen KI-Systemen oft überlegen. KI-Agenten halluzinieren, missverstehen Kontext und produzieren während der Code-Generierung dieselben Fehler wie im regulären Entwicklungsalltag. Schon ein einziger erfundener Funktionsaufruf kann eine Erkennung auslösen und einen monatelang aufgebauten Zugang für einen Cyberangriff vernichten. Für hochwertige, nachrichtendienstlich relevante Operationen, in denen Tarnung und Präzision über Geschwindigkeit gehen, werden Angreifer sich daher absehbar nicht vollständig auf KI verlassen. Der Mensch bleibt dort das zentrale Steuerorgan; KI wird zum Beschleuniger der Routine, nicht zum Ersatz des Operateurs. Die durchgängige Kette ohne menschliches Zutun – von der Eingabe des Zielnamens bis zur Datenexfiltration – ist nicht dokumentiert. Sie bleibt das größte offene Problem. In Summe sind von den fünf Bausteinen zwei weitgehend ausgereift, einer ist für den typischen Fall weit fortgeschritten, und zwei zentrale Bausteine fehlen weitgehend: der maßgeschneiderte Erstzugang und die durchgängige Kette ohne Menschen. Nach unserer Einschätzung ist der Heilige Gral damit grob etwas weniger als zur Hälfte erreicht. Anthropics Schätzung von 80 bis 90 Prozent KI-Anteil bezieht sich auf den Anteil der KI an einer einzelnen, bereits vorbereiteten Operation – nicht auf den Reifegrad gegenüber dem Endpunkt-Szenario; beides ist nicht direkt vergleichbar. Was zu tun ist Die Eskalation findet statt, langsamer als die Schlagzeilen suggerieren, aber stetig. KI verbessert die Werkzeuge der Angreifer in jeder Phase, und die Vorbereitung wird sich Stück für Stück automatisieren. Zwei Stoßrichtungen können dem entgegenwirken. Erstens: Cybersicherheit im Betrieb verbessern durch Cyber-Hygiene und IT-Modernisierung. Das Anwenden von Patches ist dabei nur ein Teil. Mindestens ebenso wichtig sind die Grundlagen, an denen viele Organisationen seit Jahren scheitern: ein vollständiges Inventar der eigenen Systeme, das konsequente Härten von Standardkonfigurationen, Mehr-Faktor-Authentifizierung (MFA), das Ablösen veralteter, nicht mehr gewarteter Software, der Umstieg auf moderne Sicherheitsarchitekturen. Wie unsere Lageberichte zur Cybersicherheit in Deutschland am Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE regelmäßig zeigen, ist hier seit Jahren erheblicher Handlungsbedarf – KI verschärft den Befund, sie verursacht ihn nicht. Zweitens: Das Entstehen von Schwachstellen von Anfang an vermeiden, also schon beim Entwurf. Je früher ein Sicherheitsproblem gefunden wird, desto einfacher und kostengünstiger ist es, es zu beheben und desto weniger Angriffsmöglichkeiten gibt es. Dieses Security-by-Design ist ein extrem zeitaufwendiges Problem – wie geschaffen für den Einsatz von KI. Im April berichtete der CEO von Google, dass schon 75 Prozent des neuen Codes bei Google von KI generiert und von Menschen nur noch bestätigt wurde – eine Steigerung von 50 Prozent gegenüber dem Vorjahr. Welchen Einfluss das am Ende auf die Software-Sicherheit hat, ist allerdings fraglich. KI-basierte Testwerkzeuge sind strikt positiv: sie erzeugen Testfälle, decken bekannte Fehlerklassen gut ab, helfen bei der Einschätzung gefundener Fehler und unterstützen bei der Fehlerbehebung. Eher negativ ist das Bild allerdings dort, wo Code nicht nur getestet, sondern generiert wird. Der gegenwärtige Trend zum „Vibe Coding“ – man beschreibt umgangssprachlich, was ein Programm tun soll, und die KI erzeugt es – senkt das Sicherheitsniveau, statt es zu heben, und zwar nicht in Einzelfällen, sondern systematisch. Eine Studie des Sicherheitsanbieters Veracode aus dem Jahr 2025 fand in rund 45 Prozent der KI-generierten Code-Vorschläge Schwachstellen, bei der Programmiersprache Java sogar in über 70 Prozent. Eine andere Untersuchung von über zweihundert mit KI gebauten Anwendungen Anfang 2026 fand in 91,5 Prozent davon mindestens eine Schwachstelle, die der KI zurechenbar ist. Das Sicherheitsunternehmen GitGuardian zählte für 2025 rund 28,7 Millionen unbeabsichtigt in öffentliche Code-Sammlungen geschriebene vertrauliche Zugangsdaten – ein Drittel mehr als im Vorjahr; KI-unterstützte Beiträge sind dabei mehr als doppelt so häufig betroffen wie rein menschliche. Die nüchterne Bilanz lautet daher: Die KI-gestützte Software-Entwicklung produziert derzeit mehr Schwachstellen, als die KI-gestützte Verteidigung schließen kann. Wie sich diese Lücke schließen lässt, gehört in die erste Reihe der offenen Forschungsfragen der nächsten Jahre. Heute werden Sprachmodelle vorrangig auf möglichst funktionierenden Code trainiert; Sicherheit ist ein Nebenprodukt, nicht Trainingsziel. Das Wettrüsten entfaltet sich schrittweise, ohne den einen großen Moment, an dem die Lage kippt. Die Verteidigung gewinnt nicht, indem sie auf die nächste Schlagzeile reagiert, sondern indem sie in derselben Geschwindigkeit dieselben Werkzeuge einsetzt wie die Angreifer – und die eigene IT-Landschaft auf einen Stand bringt, der diesen Werkzeugen möglichst wenig Angriffsfläche bietet. Haya Schulmann ist Professorin für Cybersicherheit am Institut für Informatik der Goethe-Universität Frankfurt am Main und Mitglied im Direktorium des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE. Michael Waidner ist Professor für Sicherheit in der Informationstechnologie im Fachbereich Informatik der Technischen Universität Darmstadt, Leiter des Fraunhofer-Instituts für sichere Informationstechnologie SIT und CEO von ATHENE.