KI-gestützte Cyberangriffe für unter einen Dollar: Wie robuste Verteidigungssysteme reagieren

Früher dauerte es Monate, eine neu entdeckte Software-Schwachstelle in einen Cyberangriff umzuwandeln. Heute reicht dank generativer KI wie im Fall von Anthropic’s Project Glasswing oft schon ein Bruchteil einer Minute – und das für weniger als einen Dollar Rechenzeit in der Cloud.

Während große Sprachmodelle damit eine reale Bedrohung darstellen, bieten sie gleichzeitig eine Chance, die Abwehrkräfte zu stärken. Anthropic berichtet, dass sein Modell Claude Mythos bereits über tausend Zero-Day-Lücken entdeckt hat – darunter Schwachstellen in allen gängigen Betriebssystemen und Webbrowsern. Das Unternehmen koordiniert die Offenlegung und die Behebung der gefundenen Fehler.

Ob KI-gestützte Schwachstellensuche langfristig Angreifern oder Verteidigern in die Hände spielt, ist noch unklar. Doch ein Blick in die Vergangenheit zeigt, wie Organisationen bereits früher auf automatisierte Angriffsvektoren reagiert haben – und welche Lehren sich daraus für die Gegenwart ziehen lassen.

Von Fuzzern zu KI: Eine neue Ära der Schwachstellensuche

Anfang der 2010er-Jahre verbreitete sich eine neue Kategorie von Software, die Programme mit Millionen zufälliger, fehlerhafter Eingaben testete – ähnlich einem Affen, der auf einer Schreibmaschine herumtippt, bis eine Schwachstelle gefunden ist. Diese sogenannten Fuzzer, wie etwa American Fuzzy Lop (AFL), deckten kritische Fehler in allen großen Browsern und Betriebssystemen auf.

Die Reaktion der Sicherheitsbranche war aufschlussreich: Statt in Panik zu verfallen, industrialisierte sie die Verteidigung. Google entwickelte beispielsweise OSS-Fuzz, ein System, das Fuzzer rund um die Uhr auf tausenden Softwareprojekten einsetzt. So konnten Entwickler Fehler bereits vor der Veröffentlichung erkennen – statt sie erst nach einem Angriff beheben zu müssen.

Experten erwarten, dass die KI-gestützte Schwachstellensuche einen ähnlichen Verlauf nehmen wird: Organisationen werden die Tools in ihre Entwicklungsprozesse integrieren, sie kontinuierlich einsetzen und damit einen neuen Sicherheitsstandard etablieren.

Ein entscheidender Unterschied: Komplexität vs. Einfachheit

Doch der Vergleich hat Grenzen. Fuzzer erforderten damals erhebliches technisches Know-how – sie waren Werkzeuge für Spezialisten. Eine KI hingegen findet Schwachstellen mit einer einfachen Eingabeaufforderung. Das schafft eine gefährliche Asymmetrie: Angreifer benötigen keine tiefen technischen Kenntnisse mehr, um Code auszunutzen, während robuste Verteidigungssysteme weiterhin auf erfahrene Ingenieure angewiesen sind, die die von KI gefundenen Schwachstellen analysieren und beheben müssen.

Die Kosten für das Auffinden und Ausnutzen von Fehlern könnten damit gegen null tendieren – doch die Behebung bleibt aufwendig und teuer.

KI findet Fehler – doch wer repariert sie?

In seinem Buch Engineering Security schrieb Peter Gutmann einst:

„Viele heutige Sicherheitstechnologien gelten nur deshalb als sicher, weil sich noch niemand die Mühe gemacht hat, sie genauer zu untersuchen.“

Ein Fehler in einer Open-Source-Bibliothek kann verheerende Folgen haben. Ein Beispiel ist die Log4j-Lücke aus dem Jahr 2021, eine kritische Schwachstelle in einer Logging-Bibliothek, die von nur wenigen Freiwilligen gewartet wurde. Die weitverbreitete Nutzung von Log4j führte dazu, dass eine einzige ungesicherte Bibliothek zu einer der größten Software-Schwachstellen aller Zeiten wurde.

Log4j ist nur ein Beispiel für das größere Problem: Kritische Abhängigkeiten, die nie ernsthaft überprüft wurden. Die Frage ist nicht mehr, ob KI-gestützte Angriffe kommen, sondern wie schnell Unternehmen darauf reagieren müssen – und welche Strategien sie entwickeln, um sich zu schützen.