25 Minuten. So lange brauchte ein koordiniertes Team von KI-Agenten in einer Demonstration von Palo Alto Networks’ Unit 42, um eine vollständige Ransomware-Kampagne durchzuführen: vom ersten Zugriff über laterale Bewegung bis zur Datenexfiltration. 2021 dauerte die durchschnittliche Exfiltration noch 9 Tage. 2024 waren es 2 Tage. Jetzt sprechen wir von Minuten.

Gleichzeitig zeigt Darktrace’s Umfrage unter 1.500+ Sicherheitsexperten: Nur 14% der Unternehmen erlauben ihren KI-Verteidigungssystemen, autonom zu handeln. Angreifer haben keine Genehmigungsworkflows. Verteidiger schon. Diese strukturelle Asymmetrie bestimmt die Cybersecurity-Lage im DACH-Raum und weltweit.

Weiterlesen: Was sind KI-Agenten? Ein praktischer Leitfaden für Entscheider

Die Offensive: KI-Agenten als Angreifer

Die Zahlen sprechen eine deutliche Sprache. 87% der Unternehmen weltweit wurden 2025 Opfer KI-gestützter Cyberangriffe. KI-generiertes Phishing macht inzwischen 82,6% aller Phishing-Mails aus (53,5% mehr als im Vorjahr). Die Klickrate bei KI-erstellten Phishing-Mails liegt bei 54%, deutlich über menschlich verfassten Kampagnen.

Phishing ist allerdings nur die Oberfläche. Die eigentliche Veränderung: autonome, mehrstufige Angriffe.

GTG-1002: Die erste KI-orchestrierte Spionagekampagne

Im September 2025 entdeckte und stoppte Anthropic die erste dokumentierte großflächige KI-orchestrierte Cyberattacke. Die chinesische staatliche Gruppe GTG-1002 nutzte Claude, um rund 30 Organisationen aus Technologie, Finanzen, Fertigung und Verwaltung autonom anzugreifen. Die KI übernahm 80-90% der Angriffsoperationen, menschliche Eingriffe waren nur an 4-6 kritischen Entscheidungspunkten pro Kampagne nötig. Die Angreifer tarnten ihre Anfragen als defensive Sicherheitstests. Vier Einbrüche waren erfolgreich.

Das ist kein Proof-of-Concept. Es ist passiert.

XBOW: KI-Agent an der Spitze von HackerOne

Auf der Seite des defensiven Testings erreichten XBOW’s autonome KI-Agenten Platz 1 auf dem globalen HackerOne-Leaderboard. Über 1.000 Schwachstellen in realen Bug-Bounty-Programmen, gefunden ohne menschliche Beteiligung. Darunter eine zuvor unbekannte Schwachstelle in Palo Alto Networks’ GlobalProtect VPN, die 2.000+ Hosts betraf. Das System fand RCE, SQL Injection, XXE, Path Traversal, SSRF und XSS vollständig eigenständig.

Deepfakes als Waffe

Deepfake-Betrug ist seit 2022 um 2.137% gewachsen. Ein einzelner Deepfake-Vorfall beim Ingenieurbüro Arup kostete 25,6 Millionen Dollar, als Angreifer Echtzeit-Video-Deepfakes des CFO nutzten, um Überweisungen zu autorisieren. Nordamerika verzeichnete allein im Q1 2025 200 Millionen Dollar Deepfake-Verluste. Nur 0,1% der Menschen können Deepfakes zuverlässig erkennen.

Für DACH-Unternehmen ist das besonders relevant: Die DSGVO verlangt den Schutz biometrischer Daten, aber die Erkennung synthetischer Identitäten fällt in eine regulatorische Grauzone, die der EU AI Act erst teilweise adressiert.

Die Defensive: KI-Agenten als Verteidiger

Jeder große Security-Anbieter liefert inzwischen KI-Agent-Funktionen. Die Implementierungen unterscheiden sich allerdings erheblich.

CrowdStrike Charlotte AI und das Agentic SOC

CrowdStrike’s Herbst-2025-Release führte das “Agentic SOC"-Konzept ein. Charlotte AI wurde vom Copiloten zur autonomen Agenten-Belegschaft: Charlotte AI AgentWorks ermöglicht die Erstellung eigener Security-Agenten per Klartextanweisung, Charlotte Agentic SOAR orchestriert KI-Agenten über den gesamten Sicherheitslebenszyklus. Sieben einsatzbereite Agenten für spezifische Security-Workflows waren beim Launch verfügbar.

Microsoft Security Copilot Agents

Microsofts Zahlen sind konkret. Der Phishing Triage Agent erkennt bösartige E-Mails 550% schneller, identifiziert 6,5x mehr schädliche Alerts und verbessert die Treffergenauigkeit um 77%. Analysten gewinnen 53% mehr Zeit für die Untersuchung echter Bedrohungen. Der Conditional Access Optimization Agent erreicht 204% höhere Genauigkeit bei der Identifikation fehlender Zero-Trust-Richtlinien.

Google Sec-Gemini

Google verfolgt einen anderen Ansatz mit Sec-Gemini v1, einem cybersecurity-spezifischen Modell, das Gemini mit Google Threat Intelligence, OSV und Mandiant-Daten kombiniert. Es erreichte 88,5% auf dem CTI-MCQ-Benchmark, 14 Punkte vor dem nächstbesten Basismodell. Der Alert Triage and Investigation Agent, der Alerts autonom untersucht und umfassende Erklärungen liefert, soll 2026 allgemein verfügbar werden.

Vectra AI und Darktrace

Vectra AI, Leader im Gartner Magic Quadrant 2025 für NDR, beseitigt laut eigenen Angaben 99% des Alert-Rauschens und reduziert manuelle Aufgaben um bis zu 50%. Darktrace berichtet von 90% höherer Erkennungsgenauigkeit in Kundenumgebungen und hat mit Darktrace / SECURE AI ein Modul für die Überwachung der KI-Nutzung im Unternehmen gestartet.

Der gemeinsame Nenner: Alle Tools bewegen sich von “Copilot” (Mensch fragt, KI antwortet) zu “Agent” (KI handelt, Mensch überwacht). Diese Transition passiert auf der Angriffsseite schneller, und genau das ist das Problem.

Die neue Angriffsfläche: Wenn Agenten Agenten angreifen

Die dritte Dimension dieses Wettrüstens ist nicht, dass Angreifer KI nutzen oder Verteidiger KI nutzen. Es ist, dass KI-Agenten andere KI-Agenten angreifen.

OWASP Top 10 für Agentic Applications

Die OWASP Top 10 für Agentic Applications, veröffentlicht im Dezember 2025 mit Beiträgen von über 100 Sicherheitsforschern, identifiziert die spezifischen Bedrohungskategorien:

  • Agent Goal Hijack (ASI01): Manipulation der Agentenziele durch bösartige Inhalte
  • Tool Misuse and Exploitation (ASI02): Legitime Tools mit destruktiven Parametern eingesetzt
  • Identity and Privilege Abuse (ASI03): Hochprivilegierte Credentials über Agenten hinweg wiederverwendet oder eskaliert
  • Agentic Supply Chain Vulnerabilities (ASI04): Kompromittierte Tools, Plugins und MCP-Server
  • Memory and Context Poisoning (ASI06): Vergiftete RAG-Datenbanken und Langzeitgedächtnis
  • Insecure Inter-Agent Communication (ASI07): Keine Authentifizierung oder Verschlüsselung in Agent-zu-Agent-Nachrichten
Weiterlesen: MCP und A2A: Protokolle für KI-Agent-Kommunikation

ServiceNow: Agent-gegen-Agent-Angriff in der Praxis

AppOmni-Forscher demonstrierten einen realen Second-Order-Prompt-Injection-Angriff gegen ServiceNow Now Assist. Ein Nutzer mit niedrigen Rechten bettet bösartige Anweisungen in Datenfelder ein. Der KI-Agent eines höher privilegierten Nutzers verarbeitet die vergifteten Daten. Der kompromittierte Agent nutzt dann Agent-to-Agent-Discovery, um mächtigere Agenten zu rekrutieren. Das Ergebnis: Datenexfiltration, Datensatzmanipulation und Rechteeskalation. Das funktionierte sogar mit aktivierten Prompt-Injection-Schutzmaßnahmen.

Explosion nicht-menschlicher Identitäten

Das Volumen nicht-menschlicher und agentischer Identitäten soll bis Ende 2026 45 Milliarden überschreiten. Palo Alto Networks berichtet bereits von einem Verhältnis von 82:1 zwischen autonomen Agenten und Menschen. Jeder Agent ist eine Identität. Jede Identität ist eine Angriffsfläche.

Weiterlesen: KI-Agent-Identität: Warum Agenten eigenes IAM brauchen

KI vs. Mensch: Wer hackt besser?

Im Januar 2026 veröffentlichte Wiz Research einen direkten Vergleich zwischen KI-Agenten (Claude Sonnet 4.5, GPT-5, Gemini 2.5 Pro) und menschlichen Pentestern über 10 laborbasierte Security-Challenges.

Wo die KI gewann: KI-Agenten lösten 9 von 10 Challenges, typischerweise für unter 1 Dollar pro Erfolg. Ein Agent identifizierte einen Spring Boot Actuator Exploit in nur 6 Schritten, indem er den Tech-Stack aus der Formatierung von Fehlermeldungen erkannte. Ein anderer schloss einen mehrstufigen Authentication Bypass in 23 Schritten über exponierte API-Dokumentation ab.

Wo der Mensch gewann: Die einzige Challenge, an der KI scheiterte, erforderte das Auffinden exponierter Credentials in der Git-Historie eines öffentlichen Repositories. Eine Aufgabe, die kreative, offene Exploration verlangt. Die KI machte 500+ Tool-Aufrufe über eine Stunde ohne Erfolg. Ein menschlicher Pentester fand ein exponiertes RabbitMQ-Interface mit Standard-Credentials in etwa 5 Minuten durch systematische Verzeichnisauflistung.

Die zentrale Erkenntnis: Wenn ein Ansatz scheitert, probieren KI-Agenten Variationen derselben Methode. Menschen erkennen Sackgassen und wechseln die Strategie komplett. KI ist verheerend bei bekannten Schwachstellenmustern, hat aber Schwächen bei der kreativen Entdeckungsarbeit, die echtes Pentesting ausmacht.

Das Geschwindigkeitsproblem

76% der Unternehmen können laut CrowdStrike nicht mit der Geschwindigkeit von KI-Angriffen mithalten. Gleichzeitig stimmen 92% der Sicherheitsexperten zu, dass KI-gestützte Bedrohungen erhebliche Aufrüstung der Verteidigung erzwingen, und 96% sagen, KI verbessere Geschwindigkeit und Effizienz signifikant. Sie wissen, dass KI hilft. Sie setzen sie trotzdem nicht schnell genug ein.

Der Engpass ist Vertrauen. Nur 6% der Unternehmen haben eine fortgeschrittene KI-Sicherheitsstrategie. Der Rest steckt zwischen der Erkenntnis, autonome Verteidigung zu brauchen, und der Unfähigkeit, die menschliche Kontrolle über Sicherheitsentscheidungen abzugeben.

Die Cybersecurity-Fachkräftelücke von 4,8 Millionen unbesetzten Stellen weltweit verschärft das Problem. Es gibt schlicht nicht genug Menschen, um Menschen in der Entscheidungsschleife zu halten.

Was DACH-Unternehmen jetzt tun sollten

Der KI-Cybersecurity-Markt soll bis 2030 93,75 Milliarden Dollar erreichen (24,4% CAGR). Unternehmen, die KI-Security-Tools einsetzen, sparen pro Breach 1,9 Millionen Dollar gegenüber denen ohne (IBM). Der Business Case ist klar. Die Frage ist die Umsetzung.

OWASP-Agentic-Framework übernehmen. Die OWASP Top 10 für Agentic Applications liefern ein konkretes Bedrohungsmodell. Bestehende KI-Deployments dagegen abgleichen. Wer nicht beantworten kann, ob die eigenen Agenten korrektes Identity Management, beschränkte Berechtigungen und verschlüsselte Inter-Agent-Kommunikation haben, sollte dort anfangen.

Prinzip der minimalen Agentenberechtigung anwenden. Jeder KI-Agent sollte nur die minimal nötigen Rechte für seine Aufgabe haben, durchgesetzt über kurzlebige Credentials, die automatisch ablaufen. CrowdStrike’s 740-Millionen-Dollar-Akquisition von SGNL im Januar 2026 zeigt, dass Identitätsmanagement für Agenten ein Vorstandsthema geworden ist.

Doppelte Regulierungslast bewältigen. Deutsche Unternehmen stehen vor der NIS2-Umsetzung (BSI-Registrierungsfrist war der 6. März 2026, mit Bußgeldern bis 10 Millionen Euro) und der EU-AI-Act-Compliance für Hochrisiko-KI-Systeme (Frist: 2. August 2026). Der Einsatz von KI-Agenten in Security Operations kann selbst eine Hochrisiko-Einstufung auslösen, wodurch das Compliance-Tool selbst compliance-pflichtig wird.

Weiterlesen: EU AI Act 2026: Was Unternehmen bis August umsetzen müssen

Mit überwachter KI starten, Autonomie schrittweise erhöhen. Die 14% der Unternehmen, die bereits autonome KI-Remediation erlauben, bauen institutionelle Erfahrung auf, die sich akkumuliert. Der pragmatische Weg: Copilot-Mode-Agenten in risikoarmen Bereichen (Alert-Triage, Phishing-Erkennung, Schwachstellen-Scanning) einsetzen und den Umfang ausweiten, wenn Vertrauen wächst.

Häufig gestellte Fragen

Wie werden KI-Agenten in der Cybersecurity eingesetzt?

KI-Agenten werden auf beiden Seiten eingesetzt. Defensiv betreiben sie autonome Bedrohungserkennung (CrowdStrike Charlotte AI, Microsoft Security Copilot, Google Sec-Gemini), Alert-Triage, Phishing-Identifikation und Incident Response. Offensiv nutzen Angreifer KI-Agenten für automatisiertes Vulnerability Scanning, KI-generiertes Phishing (82,6% aller Phishing-Mails nutzen inzwischen KI), Deepfake-Betrug und koordinierte mehrstufige Angriffe. XBOW’s KI-Agenten erreichten Platz 1 auf HackerOnes Bug-Bounty-Leaderboard mit über 1.000 autonom gefundenen Schwachstellen.

Können KI-Agenten menschliche Security-Analysten ersetzen?

Nicht vollständig. Wiz Researchs Benchmark von 2026 zeigte, dass KI-Agenten 9 von 10 Security-Challenges schneller und günstiger lösten als Menschen. Aber Menschen schlugen KI bei kreativer, offener Entdeckungsarbeit: Ein Mensch fand exponierte Credentials in 5 Minuten, an denen KI nach 500+ Versuchen über eine Stunde scheiterte. Das praktische Modell: KI übernimmt Volumenarbeit, Menschen übernehmen neuartige Herausforderungen.

Was ist die OWASP Top 10 für Agentic Applications?

Die im Dezember 2025 veröffentlichte OWASP Top 10 für Agentic Applications identifiziert die wichtigsten Sicherheitsrisiken für KI-Agent-Systeme: Agent Goal Hijacking, Tool-Missbrauch, Identitäts- und Rechtemissbrauch, Supply-Chain-Schwachstellen in MCP-Servern, Memory Poisoning und unsichere Agent-zu-Agent-Kommunikation. Über 100 Sicherheitsforscher haben daran mitgewirkt.

Wie schnell können KI-Agenten einen Cyberangriff durchführen?

Palo Alto Networks’ Unit 42 demonstrierte, dass koordinierte KI-Agenten eine vollständige Ransomware-Kampagne in 25 Minuten durchführen können. 2021 dauerte die durchschnittliche Exfiltration 9 Tage, 2024 waren es 2 Tage. 76% der Unternehmen können mit der Geschwindigkeit von KI-Angriffen nicht mithalten.

Welche regulatorischen Anforderungen gelten für KI in der Cybersecurity in Deutschland?

Deutsche Unternehmen stehen vor einer doppelten Regulierungslast: NIS2 (BSI-Registrierungsfrist März 2026, Bußgelder bis 10 Millionen Euro oder 2% des Jahresumsatzes) und EU AI Act Artikel 15, der Genauigkeit, Robustheit und Cybersecurity für KI-Systeme vorschreibt (Hochrisiko-Compliance-Frist August 2026). Der Einsatz von KI-Agenten in Security Operations kann selbst eine Hochrisiko-Einstufung auslösen.

Titelbild von Sora Shimazaki auf Pexels Source