Googles KI-Modell Gemini wird zum zentralen Werkzeug im Cyberkrieg – sowohl für Verteidiger als auch für Angreifer. Neue Berichte zeigen, wie Staatshacker die KI für ihre Attacken nutzen, während Sicherheitsexperten sie gleichzeitig zur Malware-Analyse einsetzen.
Diese Woche hat die Realität des KI-gestützten Cyberkriegs neue Konturen angenommen. Das Google Threat Intelligence Group (GTIG) veröffentlichte einen Bericht, der detailliert darlegt, wie staatlich unterstützte Hacker aus China, Nordkorea und Iran Gemini nutzen. Ihre Ziele: effizientere Spionage, überzeugendere Phishing-Kampagnen und sogar die Generierung von Schadcode. Fast zeitgleich integrierte Google Gemini in seine VirusTotal-Plattform, um damit Malware zu analysieren. Für Sicherheitsexperten ist klar: Die gleiche KI, die die Verteidigung stärken soll, ist bereits fester Bestandteil des Werkzeugkastens der Angreifer.
Die Verteidiger: KI als Frühwarnsystem gegen Malware
Auf der defensiven Seite treibt Google die Integration von Gemini in Sicherheitslösungen voran. Eine Partnerschaft zwischen dem KI-Agenten-Marktplatz OpenClaw und VirusTotal, die um den 10. Februar 2026 bekannt wurde, ist ein Vorzeigeprojekt. OpenClaw lässt alle neuen Entwickler-„Skills“ automatisch durch VirusTotal scannen.
Das Herzstück ist die Code Insight-Funktion, die von Gemini angetrieben wird. Statt wie klassische Antivirenprogramme nach bekannten Schadcode-Signaturen zu suchen, analysiert die KI den Zweck eines Codes. Sie erkennt verdächtiges Verhalten – wie den Zugriff auf sensible Daten oder unerlaubte Netzwerkoperationen – selbst bei völlig neuartigem Code. Dieser Schritt von reaktiver zu prädiktiver Analyse könnte die Sicherheit von KI-Ökosystemen grundlegend verbessern.
Die Angreifer: Staatshacker nutzen Gemini als Effizienzturbo
Der GTIG-Bericht vom 12. Februar 2026 zeichnet ein alarmierendes Bild des KI-Missbrauchs. Hochspezialisierte Advanced Persistent Threat (APT)-Gruppen nutzen Gemini, um ihre Angriffe in nahezu jeder Phase zu beschleunigen und zu skalieren.
Die KI hilft bei der Zielrecherche, analysiert Schwachstellen und verfasst überzeugende, kulturell angepasste Phishing-E-Mails. Sie überwindet Sprachbarrieren und macht bösartige Kommunikation schwerer erkennbar. Durch die Automatisierung dieser aufwändigen Prozesse verkürzen Angreifer die Zeit von der Erkundung bis zum aktiven Angriff erheblich.
Unternehmen und IT-Verantwortliche, die sich gegen KI-gestützte Angriffe wie massenhaftes Phishing oder automatisierte Schadcode-Generierung wappnen wollen, finden praxisnahe Schutzmaßnahmen im kostenlosen E‑Book „Cyber Security Awareness Trends“. Der Leitfaden erklärt aktuelle Bedrohungen, relevante KI-Regeln und konkrete Schritte, mit denen Sie Ihre IT-Sicherheit auch ohne großes Budget stärken können. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen
HONESTCUE: Die erste KI-generierende Malware
Die beunruhigendste Entdeckung ist die neue Malware-Familie „HONESTCUE“. Sie markiert eine neue Bedrohungsgeneration, indem sie direkt mit der Gemini-API interagiert, um Teile ihres eigenen Schadcodes während der Ausführung zu generieren.
HONESTCUE agiert als Downloader. Statt den gesamten schädlichen Code mitzuliefern, sendet sie Anfragen an die Gemini-API. Die KI liefert daraufhin C#-Quellcode für die „zweite Angriffsstufe“, den die Malware direkt im Arbeitsspeicher kompiliert und ausführt. Diese Technik macht die Malware schwerer aufspürbar, da die erste Nutzlast harmlos wirkt und sich die volle Funktionalität erst dynamisch entfaltet. Angreifer bauen KI damit nicht nur in die Planung, sondern in den Kern ihrer Schadsoftware ein.
Analyse: Der KI-Wettlauf ist in vollem Gange
Die Ereignisse bestätigen: Die Cybersicherheitsbranche befindet sich in einem KI-Wettlauf. Während Verteidiger Modelle wie Gemini für die Bedrohungsjagd nutzen, setzen Angreifer dieselbe Technologie als Effizienzverstärker ein. John Hultquist, Chefanalyst bei GTIG, betont, dass die KI bereits heute den gesamten Angriffszyklus beeinflusst.
Parallel zum direkten Missbrauch meldete Google die Abwehr einer großangelegten Model-Extraction-Kampagne. Dabei versuchten Angreifer mit über 100.000 Anfragen, die proprietären Fähigkeiten von Gemini zu klonen – ein klarer Fall von geistigem Diebstahl, der zeigt, dass es nicht nur um die Nutzung, sondern auch um den Nachbau der KI-Tools geht.
Ausblick: KI-Agenten als letzte Verteidigungslinie?
Als Reaktion auf die Bedrohungen deaktiviert Google Konten und Infrastruktur mutmaßlicher Angreifer und nutzt die gewonnenen Erkenntnisse, um die Sicherheitsfilter von Gemini zu stärken. Die Beobachtung der KI auf beiden Seiten der Front ist entscheidend für widerstandsfähigere Systeme.
Diese Entwicklungen fließen in Googles Vision eines „Agentic SOC“ ein, in dem KI-Agenten große Teile der Bedrohungsanalyse, Untersuchung und Reaktion automatisieren. In den kommenden Jahren wird die Integration von KI in Angriff und Verteidigung weiter zunehmen. Die Grenze zwischen KI als Sicherheitswerkzeug und als Angriffsvektor verschwimmt – und zwingt Verteidiger zu ständiger Innovation, um in diesem dynamischen Technologierennen Schritt zu halten.
