Cybersecurity steht aktuell vor einer spürbaren Veränderung. Künstliche Intelligenz verändert dabei weniger die Prinzipien von Angriff und Verteidigung, sondern vor allem Geschwindigkeit, Skalierung beim Aufspüren von Sicherheitslücken und die Zugänglichkeit von Angriffstechniken.
Was früher spezialisiertes Wissen, erhebliche finanzielle und hohe manuelle Aufwände erforderte, lässt sich heute teilweise automatisieren. Phishing wird präziser und kontextbezogener, Social Engineering individuell skalierbarer, die Analyse von Code und Schwachstellen deutlich schneller. Gleichzeitig sinken die Hürden für Angreifer erheblich. Bislang bestand eine wesentliche Hürde darin, nach der Identifikation einer Schwachstelle auch einen funktionierenden Exploit, also ein konkretes Angriffswerkzeug, entwickeln zu müssen. Genau dieser Schritt lässt sich zunehmend durch KI-Modelle unterstützen oder teilweise automatisieren.
Damit verändert sich weniger die Natur von Cyberangriffen als deren Taktung, Frequenz und Reichweite. KI hebt etablierte Sicherheitsprinzipien nicht auf. Gute Architekturen bleiben wirksam: Segmentierung, Identitätskontrollen, Härtung, Monitoring und Incident Response behalten ihre zentrale Rolle.
Verteidigung unter neuen Vorzeichen
Auch auf der Verteidigungsseite spielt KI eine wachsende Rolle. Sie unterstützt bei Anomalieerkennung, Datenanalyse und der Identifikation von Schwachstellen.
Parallel entstehen neue Ansätze in der Sicherheitsforschung. Projekte wie „Mythos“ von Anthropic zeigen, wie leistungsfähig spezialisierte KI-Modelle bei der automatisierten Identifikation von Zero-Day-Schwachstellen und der Analyse komplexer Angriffspfade inzwischen geworden sind. Modelle wie „Opus“ werden gleichzeitig zunehmend genutzt, um große Codebasen, Sicherheitsdaten und Architekturinformationen schneller auszuwerten und Security-by-Design früher in Entwicklungsprozesse zu integrieren.
Die grundlegende Asymmetrie bleibt jedoch bestehen: Angreifer brauchen nur einen einzigen erfolgreichen Einstiegspunkt. Verteidiger müssen alle möglichen Eintrittspunkte absichern und gleichzeitig den Betrieb stabil halten.
KI verschärft dieses Ungleichgewicht zusätzlich. Modelle werden gezielt darauf trainiert, Schwachstellen zu identifizieren und passende Angriffswerkzeuge abzuleiten. Deutlich weniger automatisiert ist dagegen bislang die Schwachstellenbehebung, etwa durch automatisierte Funktionstests oder sichere Codevalidierung in komplexen Umgebungen. Die technologische Balance zwischen Angriff und Verteidigung lässt sich folglich noch nicht vollständig herstellen. Umso wichtiger wird eine konsequente Ausrichtung auf Resilienz.
Zero-Day wird zum Dauerzustand
Besonders deutlich zeigt sich die Veränderung im Umgang mit Schwachstellen. KI-gestützte Analysen ermöglichen es, große Codebasen schneller auf Schwachstellen zu prüfen. Dadurch verkürzt sich der Zeitraum zwischen Entdeckung und möglicher Ausnutzung weiter. Sicherheit wird zunehmend zu einem Zustand permanenter Unsicherheit.
Der Begriff „Day-Zero-Normal“ beschreibt genau diese Realität: Systeme sind nicht mehr „fertig sicher“, sondern dauerhaft potenziell angreifbar. Wichtig ist dabei jedoch die richtige Einordnung: Eine Schwachstelle führt nicht automatisch zu einem erfolgreichen Angriff. Organisationen mit belastbaren Sicherheitsstrukturen können auch unbekannte Schwachstellen häufig wirksam isolieren oder Angriffe früh unterbrechen.
Der Fokus verschiebt sich daher zunehmend von der Idee vollständiger Prävention hin zu Resilienz. Unternehmen müssen davon ausgehen, dass Systeme kompromittiert werden können (Assume Breach).
Entscheidend wird damit die Fähigkeit,
- den möglichen Schaden (Blast Radius) zu begrenzen,
- Angriffe schnell zu erkennen,
- möglichst automatisiert einzudämmen,
- und die betroffene Infrastruktur kurzfristig wiederherzustellen.
Sicherheit bedeutet im „Day-Zero-Normal“ nicht, jeden Angriff verhindern zu können, sondern auch unter Angriff handlungsfähig zu bleiben.
Verschiebung der Sicherheitsdisziplinen
In der aktuellen Situation gewinnen klassische Sicherheitsdisziplinen noch weiter an Bedeutung:
- saubere Netzwerksegmentierung
- konsequente, risikobasierte Härtung
- Identity-Tiering und Berechtigungsmodelle
- phishing-resistente Multifaktor-Authentifizierung (MFA)
- Transparenz über Systeme und Identitäten
- belastbare, getestete Incident Response
Gerade identitätszentrierte Sicherheitsmodelle entwickeln sich dabei stärker zum Kern wirksamer Sicherheitsarchitekturen. Denn viele erfolgreiche Angriffe entstehen heute weniger durch einzelne kritische Schwachstellen als durch die Kombination aus schwachen Berechtigungsmodellen und mangelnder Transparenz über Systeme, Identitäten und Kommunikationsbeziehungen. Der Fokus verschiebt sich deshalb von CVSS-getriebenem Schwachstellenmanagement hin zur Bewertung der realen Ausnutzbarkeit der Schwachstellen im tatsächlichen Kontext.
Was das für Security-Strategien bedeutet
Für CISOs und IT-Entscheider verändert sich vor allem die Priorisierung. Nicht mehr ausschließlich die Frage nach vollständiger Absicherung steht im Vordergrund, sondern die Fähigkeit zur schnellen Bewertung und Reaktion.
Assume Breach wird zur realistischen Planungsgrundlage. Damit verändert sich auch die Rolle der Sicherheitsorganisation selbst. Security wird operativer:
- SOC, IAM und Application Security wachsen enger zusammen
- Vulnerability Operations wird zur Kernfunktion
- Governance muss schneller und entscheidungsfähiger werden
Gleichzeitig zeigt sich, dass viele klassische Sicherheitsmechanismen unter KI-beschleunigten Bedingungen an Grenzen stoßen. Rein periodische Pentests, statische SIEM-Regeln oder ausschließlich CVSS-basierte Priorisierung reichen verstärkt nicht mehr aus.
Technologisch verschieben sich die Schwerpunkte in Richtung:
- Identity & Access Management sowie entsprechende Absicherung
- Governance nicht-menschlicher Identitäten wie Service Accounts oder KI-Agenten
- Transparenz über alle Prozesse und Systeme, Cloud und On-Premise (CAASM und EASM)
- Attack-Path-Analysen
- Automatisierte Incident Response
Automatisierung wird dabei zentral. Security-Systeme müssen zunehmend in der Lage sein, kompromittierte Identitäten zu isolieren, Systeme temporär abzuschotten oder verdächtige Aktivitäten automatisiert einzudämmen – ohne manuelle Verzögerung. Governance wird damit weniger eine Toolfrage als eine Frage klar definierter Entscheidungsstrukturen.
KI als Teil der Lösung
Mit regulatorischen Entwicklungen wie dem Cyber Resilience Act steigt der Druck, Sicherheitsprozesse nachvollziehbar, belastbar und über den gesamten Lebenszyklus hinweg dokumentierbar zu gestalten. Security-by-Design rückt stärker in den Fokus. Sicherheit muss früher integriert werden, nicht nachgelagert.
Hierbei eröffnet KI neue Möglichkeiten:
- Entlastung von Security-Teams bei Analyse- und Routineaufgaben insbesondere vor dem Hintergrund des zunehmenden Fachkräftemangels auf Verteidigerseite
- Unterstützung bei Code-Analysen und automatisierter Auswertung großer Datenmengen
- schnellere Identifikation potenzieller Schwachstellen und Unterstützung bei der Schwachstellenbehebung, etwa durch KI-gestützte Codevalidierung oder automatisierte Funktionstests
- effizientere Sicherheitsdokumentation und Risikobewertung
KI ersetzt jedoch keine belastbare Produktarchitektur. Richtig eingesetzt kann sie aber helfen, Entwicklungsprozesse schneller, konsistenter und transparenter zu machen.
Das gilt auch für Legacy-Systeme. Historisch gewachsene oder nicht mehr unterstützte Systeme können nicht länger pauschal als „nicht absicherbar“ betrachtet werden. KI-gestützte Analyse- und Reverse-Engineering-Verfahren ermöglichen gezieltere Risikoanalysen und zusätzliche Härtungsmaßnahmen auch für ältere Umgebungen.
Gerade in Europa wird dabei die Frage technologischer Souveränität immer relevanter. Wer Sicherheitsanalysen, Quellcode oder kritische Betriebsdaten in externe Modelle überführt, muss auch Fragen zu Datenschutz, Kontrolle über geistiges Eigentum und langfristiger Abhängigkeit beantworten. Perspektivisch wird deshalb der Aufbau leistungsfähiger europäischer Modelle und Plattformen zunehmend strategische Bedeutung gewinnen.
Einordnung
Die aktuelle Entwicklung sollte weder unterschätzt noch dramatisiert werden. KI erhöht Geschwindigkeit und Automatisierung von Angriffen erheblich. Gleichzeitig bleiben die grundlegenden Prinzipien wirksamer Cybersecurity aber weitgehend stabil. Organisationen mit klaren Strukturen, segmentierten Netzen, soliden Identitätsmodellen, guter Sichtbarkeit und trainierten Reaktionsprozessen bleiben auch unter veränderten Bedrohungsbedingungen deutlich resilienter.
Für CISOs bedeutet das perspektivisch einen Denkwandel: weg von Prävention- und Compliance-Fokus hin zu stärker Resilienz-getriebener Steuerung mit Fokus auf Business Continuity unter Angriff.
Die zentrale Leitlinie: Wegen der aktuellen KI-Entwicklung nicht alles neu denken, sondern vielmehr schon bestehende Sicherheitsprinzipien konsequenter umsetzen.
Possehl Secure begleitet Unternehmen dabei, diese Entwicklung nicht nur zu beobachten, sondern in belastbare und operativ tragfähige Security zu übersetzen.
In den kommenden Wochen werden wir uns detaillierter mit den Auswirklungen der aktuellen KI-Entwicklung auf Themen und Bereiche der Cybersecurity beschäftigen. Bleiben Sie dran.