Five Eyes warnen vor der KI-induzierten Sicherheitskrise – Teil I

Veröffentlicht am 23. Juni 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Eindringliche Warnung der Leiter der als "Five Eyes" bekannten Geheimdienste von Australien, Kanada, Neuseeland, USA und Großbritannien. Die Geheimdienstler fordern die Führungskräfte von Unternehmen (und letztendlich auch die politischen Entscheidungsträger) dazu auf, die "Grundlagen der Cybersicherheit" zu gewährleisten. Andernfalls könnten Staaten und Gesellschaften Opfer verheerender KI-gestützter Angriffe werden. Auch das BSI hat eine Warnung vor KI-Sicherheitsrisiken veröffentlicht.

Call to Action-Aufruf an Verantwortliche

Die Information ist mir die Nacht über verschiedene Tweets wie den nachfolgenden untergekommen. Das zum 22. Juni 2026 veröffentlichte Dokument trägt den Titel Five Eyes cyber security agencies statement und gibt im Untertitel "Der Wandel der Cyberrisiken durch KI: Warum Führungskräfte jetzt handeln müssen" die Stoßrichtung vor.

AI-Warnung Five Eyes

In der "A call to action" (Aufruf zum Handeln) bezeichneten Einleitung heißt es, dass KI "uns" zwar im Laufe der Zeit dabei helfen werde, die Cyberabwehr zu verbessern. Doch die KI-Modelle beschleunigen zugleich die Geschwindigkeit, das Ausmaß und die Raffinesse von Cyberbedrohungen. Das Dokument enthält die Einschätzung, dass bahnbrechende KI-Modelle "die aktuellen Erwartungen der Branche übertreffen und sowohl die offensiven als auch die defensiven Cyberfähigkeiten grundlegend verändern werden". Der Zeitrahmen betrage nicht Jahre, sondern Monate.

Anthropic-NSA Alarm

Ich kann es nicht beschwören, aber der in obigem Tweet kolportierte Sachverhalt, dass das neue Mythos 5-KI-Produkt von Anthropic laut NSA und Cyber Command Chief, Joshua Rudd, in der Lage war, binnen Stunden über Schwachstellen in alle NSA-Systeme einzubrechen, könnte der Trigger für obigen "Brandbrief" gewesen sein. Die US-Regierung hat darauf hin ja die Exportkontrolle für die neuesten Anthropic KI-Produkte verhängt (siehe US-Regierung belegt Anthropic Fable und Mythos mit Export-Kontrolle).

Jedenfalls zeigen sich die Leiter der Cybersicherheitsbehörden der "Five Eyes"-Allianz im Aufruf zum Handeln einig: Die sich wandelnde Landschaft der künstlichen Intelligenz (KI) verändere die Cyberrisiken rasant, und "man müsse rasch handeln, um weiterhin die Oberhand zu behalten".

Cyber-Resilienz von entscheidender Bedeutung

Cyber-Resilienz sei von entscheidender Bedeutung für die Gewährleistung der  Geschäftskontinuität, des Marktvertrauens und des langfristigen Unternehmenswerts von Firmen und Institutionen, heißt es. Im Brandbrief fordern die Leiter der Cybersicherheitsbehörden die Führungskräfte (von Unternehmen und Behörden) dringend zum Handeln auf. Die Führungskräfte sind aufgefordert:

  • zu verstehen, wo die Risiken und die Verantwortlichkeiten liegen und dann das Ganze in den Konsequenzen zu bewerten
  • grundlegende Cybersicherheitsmaßnahmen und -kontrollen zu priorisieren
  • Cyber-Verantwortliche mit Befugnissen und Ressourcen auszustatten
  • angesichts sich weiterentwickelnder Bedrohungen und Leitlinien aktiv an den Prozessen zur Absicherung teilzunehmen

Es gelte, schnell zu handeln und die Grundlagen richtig umzusetzen, Cybersicherheit müssen in die Kernstrategie des Unternehmens integriert werden. Wer dies nicht tue, werde mit zunehmenden operativen und strategischen Nachteilen konfrontiert sein. KI sei kein Zukunftsthema, sondern bereits Realität. KI senke die Hürden für böswillige Akteure und erhöhe die Geschwindigkeit und Komplexität von Angriffen. Das Zeitfenster zwischen der Entdeckung einer Schwachstelle und deren Ausnutzung verkürze sich immer weiter.

Aufruf zum schnellen Handeln

Der Aufruf zum Handeln enthält konkrete Vorgaben, was dringend erforderlich sei, um nicht nur technische Risiken, sondern auch operative, finanzielle und rufschädigende Risiken zu verringern:

  • Verringern der Angriffsfläche: Beschränken unnötiger Systemzugriffe und externe Verbindungen.
  • Hinterfragen, ob Systeme überhaupt nach außen exponiert sein müssen, und isolieren  diejenigen Systeme, wo dies nicht der Fall ist.
  • Beschleunigen Sie die Patch-Prozesse: KI verkürzt die Zeit zwischen der Entdeckung einer Schwachstelle und deren Ausnutzung. Verzögerungen bei der Installation von Patches erhöhen das Risiko, insbesondere bei operativen Systemen mit langen Update-Zyklen. Sicherheitsupdates seien entsprechend zu priorisieren, um Risiken zu bewältigen.
  • Man solle sich um Altsysteme kümmern, denn nicht mehr unterstützte Systeme seien leichte Ziele. Sie seien nicht nur technische Schulden, sondern strategische Belastungen.
  • Überprüfen und verstärken der Identitäts- und Zugriffskontrollen: Beschränken der Zugriffe auf kritische Systeme. Es solle der Einsatz starker Authentifizierung durchgesetzt werden und die Berechtigungen seien regelmäßig zu überprüfen.

Unternehmen und Organisationen sollen sich auf Vorfälle vorbereiten, bevor diese eintreten. Reaktionspläne seien zu testen, die Mitarbeiter zu schulen und Teams vorzubereiten. Denn man solle davon ausgehen, dass Sicherheitsverletzungen auftreten werden. Unternehmen und Organisationen sollten sich auf schnelle Eindämmung und Wiederherstellung konzentrieren.

Der Fisch stinkt vom Kopf her

Dann kommt das auf den Tisch, was mir Administratoren seit Jahren erzählen "die Geschäftsführung sieht das nicht ein und wurschtelt sich durch". Letztmalig ist mir das im Umfeld der NIS-2-Umsetzung untergekommen. Im "Brandbrief" sprechen deren Verfasser eigentlich Banalitäten aus: Es bedarf einer unternehmens- und gesamtgesellschaftsweiten Reaktion. Cyberrisiken können nicht länger als rein technisches Problem betrachtet werden. Denn es handelt sich hierbei um ein zentrales Geschäftsrisiko und eine Aufgabe der Unternehmensführung. Vorstände und Führungskräfte sollten sicherstellen, dass Cyber-Resilienz vorhanden ist und auch unter Druck funktioniert.

Es reicht nicht aus, lediglich Kontrollmechanismen zu haben. Führungskräfte müssen darauf vertrauen können, dass diese Kontrollmechanismen im Falle eines tatsächlichen Vorfalls ihre Funktion erfüllen. Dies erfordert eine Neubewertung langjähriger Kompromisse und den gezielten Einsatz von KI zur Stärkung der Abwehr – nicht nur zur Verbesserung der Effizienz, heißt es im "Brandbrief". Mir fällt dazu nur die Diskussion um NIS-2 ein, wo es hieß "wir schreiben ein schönes Papier für den Aktenordner" – und damit sind wir beim Kopf des Fisches.

Das Kind ist längst in den Brunnen gefallen

Persönlich habe ich mit einem Grinsen im Gesicht die Empfehlungen der "Five Eyes" zu den "wichtigen Maßnahmen für Führungskräfte und den Grundprinzipien" gelesen:

  • "Secure-by-Design" und "Secure-by-Default" müssen zur Standardpraxis werden – und dürfen kein bloßes Ziel bleiben.
  • Resilienz darf nicht von einer einzigen Lösung oder Technologie abhängen. Eine mehrschichtige Verteidigung bleibt unerlässlich.

Diese Aussagen wird jeder aus der Leserschaft, sowie meine Wenigkeit, sofort unterschreiben. Aber zwischen Wunsch und Wirklichkeit klaffen imho Lichtjahre. Bei aktueller Software sehe ich da doch arge Probleme – Vibe-Coding, Hype beim KI-Einsatz (Digitalisierung first, Bedenken second), Featuritis bei Software etc. sind genau das Gegenteil von "Secure-by-Design" und "Secure-by-Default".

Mit der Weiterentwicklung von KI-Systemen werden neue und bisher unbekannte Schwachstellen, darunter auch Zero-Day-Schwachstellen, auftreten und dann Sicherheitsverletzungen  verursachen, schreiben die Five Eyes, was auch keine Neuigkeit ist. Durch gute Vorbereitung können Sie diese schnell eindämmen und eine Eskalation verhindern, damit schwerwiegende operative und finanzielle Krisen vermieden werden.

Auch das BSI warnt

Damit es nicht nur heißt: Das sind die englischsprachigen Länder, in denen gewarnt wird. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zum 22. Juni 2026 eine Warnung Auswirkungen auf die Cybersicherheit von Organisationen durch die Entwicklung im Bereich Künstlicher Intelligenz herausgegeben, die im Prinzip das Gleiche beinhaltet.

BSI-AI-Warnung

Das BSI verweist auf seine BSI-IT-Sicherheitsinformation (BITS), die Handreichungen für die Unternehmen enthält.

Meine zwei Cents

Ich unterschreibe alles, was die hohen Herren in ihrem Brandbrief so von sich geben  – und die Leserschaft wird da auch nicht "alles Unsinn" rufen. Aber der Brandbrief hat für mich alles etwas von "Eulen nach Athen tragen". Als Bauernsohn ist da immer noch die Erkenntnis: "Wenn Du auf einem hohen Haufen Mist sitzt, kannst Du noch so viel Blumen um den Misthaufen pflanzen. Du hast immer noch einen Haufen Mist."

Sprich: Die technische Hypothek, die die Unternehmen und die Gesellschaft in den letzten drei Jahrzehnten eingegangen ist und immer noch bereits ist einzugehen, wird für den entsprechenden Fallout sorgen.

Ich erinnere nur an den KI-Hype – wer mahnte "schaut euch vorher die Risiken und Nebenwirkungen an", wurde als Old-School und Fortschrittsverweigerer abgetan. Nur wer blauäugig auf der KI-Welle reitet, ist hipp. Statt KI kann man Begriffe wie Cloud, Microsoft 365, und eine Menge anderer Produkte und Produktkategorien in "die Gleichung" einsetzen und bekommt das gleiche Ergebnis in grün.

Administratoren würden ja gerne schnell patchen. Aber Lieferkettenangriffe auf Software am laufenden Band, gravierende Bugs bei Updates in Produkten von Microsoft und anderen Anbietern, machen das Patchen oft zum Lotteriespiel. Oder wie seht ihr diese ganze Gemengelage?

Dieser Beitrag wurde unter AI, Cloud, Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

3 Kommentare zu Five Eyes warnen vor der KI-induzierten Sicherheitskrise – Teil I

  1. Yossarian sagt:
    23. Juni 2026 um 17:17 Uhr

    Die aufgeführten Punkte galten schon immer, auch ohne KI.

    Das Kind ist längst in den Brunnen gefallen und wer glaubt man könne jetzt "ganz schnell handeln" und das alles im Eiltempo korrigieren, den würde ich mal mindestens als naiv bezeichnen.

    Ich habe auch etwas Zweifel daran, dass wenn ein paar große KI Firmen die zentralen (nicht prüfbaren) Tools für Softwareentwicklung stellen werden, dass das die Gesamtsituation verbessert. Dadurch werden sie zu zentralen Ankerpunkten und somit selbst interessant als Mittel zur Verteilung von Schwachstellen/Backdoors, quasi die Mutter aller Lieferkettenangriffe…

    Antworten
  2. Ein user sagt:
    23. Juni 2026 um 17:36 Uhr

    Ich krümme mich quasi vor lachen/staunen.
    Wir können auch den Weltfrieden empfehlen.
    Wen sch….ts da oben? :-/

    Antworten
  3. Markus W sagt:
    23. Juni 2026 um 17:48 Uhr

    Es ist wie immer seit Erfindung des WWW. Die ersten, die eine neue Technik zu millionenschweren Umsätzen nutzen sind immer die dubiosen Drei: Kriminelle, Finanzindustrie und P*rnobranche.
    (die Bemerkung bzgl fliessender Übergänge verkneife ich mir) 😉
    80% da draussen können (oder dürfen aus Zeitgründen) nicht secure by default programmieren, zumal das auch im Studium kaum gelehrt wird.
    Wo führt das hin?
    Günter bloggt künftig per Faxrundbrief?
    DSL-Stecker ziehen, wenn's Internet nicht gebraucht wird? Dumm nur, dass da gleich der Thermomix piepst.

    Ich weiss nicht, ob der Kampf Gut gegen Böse hier fair ist, denn die Kriminellen und die von Regierungen finanzierten Angreifer haben mächtige Budgets, die sich notfalls nachdrucken oder durch Cybercrime aufstocken können.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.