Autonome KI-Angriffe und extrem hartnäckige Schadsoftware setzen Unternehmen massiv unter Druck. Besonders betroffen: kritische Infrastrukturen und Cloud-Dienste.
Autonome KI-Exploits auf dem Vormarsch
Ende April 2026 schlug Indiens Computer Emergency Response Team (CERT-In) Alarm. Die Behörde warnte vor einer neuen Generation von Cyberbedrohungen, die auf „Frontier“-KI-Modellen basiert. Konkret benannt wurden Claude Mythos und GPT-5.5 – Modelle, die eigenständig Sicherheitslücken identifizieren und mehrstufige Angriffe ausführen können.
Neue KI-Gesetze und autonome Cyberrisiken stellen Unternehmen vor völlig neue Herausforderungen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um langfristig geschützt zu bleiben. Jetzt Cyber Security E-Book kostenlos herunterladen
Die Zahlen sind alarmierend: Claude Mythos entdeckte allein im Mozilla Firefox-Browser 271 bisher unbekannte Exploits. Das ist eine völlig neue Dimension. Frühere KI-gestützte Angriffe beschränkten sich auf Skripte; heute analysieren die Systeme Softwarefehler, generieren funktionsfähige Exploits und steuern komplexe Angriffsketten – alles ohne menschliches Eingreifen.
CERT-In empfiehlt Unternehmen dringend, auf Micro-Segmentierung und Multi-Faktor-Authentifizierung (MFA) zu setzen. Besonders kleine und mittlere Unternehmen (KMU) sollten über Managed Security Services nachdenken, um mit der rasanten Entwicklung Schritt zu halten.
Die Bedrohungslage wird durch aktuelle Forschung untermauert. Eine Studie von Proofpoint zeigt: 87 Prozent der globalen Unternehmen haben KI-Assistenten bereits über die Pilotphase hinaus eingeführt. Doch 42 Prozent meldeten bestätigte oder vermutete KI-Sicherheitsvorfälle. Noch beunruhigender: Über die Hälfte der befragten Organisationen bezweifelt, dass ihre aktuellen Tools ein kompromittiertes KI-System überhaupt erkennen könnten. Nur ein Drittel fühlt sich für die Untersuchung solcher Vorfälle gewappnet.
„Firestarter“: Malware, die kein Neustart stoppt
Doch nicht nur KI bereitet Sorgen. Die Sicherheitsbehörden der USA, Großbritanniens und Australiens gaben eine gemeinsame Warnung heraus: Die „Firestarter“-Malware zielt gezielt auf Cisco Firepower und Secure Firewall-Systeme ab. Sie nutzt die Schwachstellen CVE-2025-20333 und CVE-2025-20362.
Das Besondere an dieser Hintertür: Sie überlebt selbst Software-Neustarts und Firmware-Updates. Die Angreifer – identifiziert als UAT-4356 oder Storm-1849 – verschafften sich bereits Ende 2025 Zugang, bevor Sicherheitspatches verfügbar waren. Um Firestarter vollständig zu entfernen, müssen Administratoren einen „Kaltstart“ durchführen: Die Hardware muss für mindestens eine Minute vollständig vom Stromnetz getrennt werden. Alternativ bleibt nur das vollständige Neu-Imaging der betroffenen Geräte.
Diese Hartnäckigkeit zeigt einen wachsenden Trend: „N-Day“-Exploits zielen auf kritische Infrastrukturen, bei denen herkömmliche Patch-Zyklen nicht ausreichen.
In einem verwandten Fall sorgte die Auslieferung des chinesischen Staatsbürgers Xu Zewei (34) aus Italien in die USA für Aufsehen. Xu wird beschuldigt, an der „Silk Typhoon“-Kampagne (auch bekannt als „Hafnium“) beteiligt gewesen zu sein, die über 12.000 US-Organisationen angriff. Die Anklage lautet auf Diebstahl sensibler COVID-19-Impfstoffforschung unter Ausnutzung von Zero-Day-Lücken in Microsoft Exchange Server. Ihm droht eine mehrjährige Haftstrafe – ein deutliches Signal für die langfristigen rechtlichen Konsequenzen staatlich gestützter Cyber-Spionage.
ShinyHunters: Die dritte-Parteien-Falle
Die letzten Apriltage 2026 brachten eine Flut von Datenlecks, die mit der Hackergruppe ShinyHunters in Verbindung stehen. Besonders perfide: Die Angreifer nutzen oft Drittanbieter-Dienstleister als Einfallstor. Betroffen waren unter anderem Medtronic, ADT, Ameriprise Financial und Udemy.
Der Fall des Sicherheitsunternehmens ADT ist exemplarisch: 5,5 Millionen Kunden waren betroffen. Die Angreifer gelangten über eine Phishing-Kampagne an einen Okta Single-Sign-On (SSO) Login. Zahlungsinformationen blieben zwar sicher, doch Namen, Telefonnummern und Adressen wurden gestohlen.
Auch die Videoplattform Vimeo bestätigte einen Vorfall: Ein Kompromittierung ihres Analyse-Dienstleisters Anodot führte zum Abfluss technischer Metadaten und Kunden-E-Mail-Adressen. Videomaterial und Login-Daten blieben unberührt.
Der Medizintechnik-Riese Medtronic bestätigte einen Sicherheitsvorfall, nachdem ShinyHunters mit der Veröffentlichung von über 9 Millionen Datensätzen gedroht hatte. Das Unternehmen betonte, dass Patientensicherheit und Produktbetrieb nicht beeinträchtigt seien. Doch der Vorfall unterstreicht die Verwundbarkeit selbst großer medizinischer Datenbanken.
Die Botschaft ist klar: Selbst Unternehmen mit robuster interner Sicherheit können über die technischen Integrationen ihrer Geschäftspartner kompromittiert werden.
GitHub-Patch in 75 Minuten – doch 88 Prozent sind ungeschützt
Die kritische Sicherheitslücke CVE-2026-3854 in GitHub dient als Lehrstück für effiziente Reaktion und die anhaltenden Risiken ungepatchter Systeme. Entdeckt von Forschern des Unternehmens Wiz mittels KI-gestützter Reverse-Engineering, erlaubte der Fehler authentifizierten Nutzern, Backend-Server durch einen einfachen „git push“-Befehl mit unsauberen Zeichen zu kompromittieren.
GitHub patchte die Cloud-Version (GitHub.com) innerhalb von 75 Minuten nach der Meldung am 4. März 2026. Doch Ende April waren immer noch 88 Prozent der GitHub Enterprise Server (GHES)-Instanzen ungepatcht. Diese Lücke zwischen Verfügbarkeit eines Fixes und seiner Implementierung bleibt einer der Haupttreiber erfolgreicher Cyberangriffe.
Parallel dazu schloss Microsoft eine kritische Server-Side-Request-Forgery (SSRF)-Lücke in Entra ID (CVE-2026-35431) mit einem maximalen CVSS-Risikoscore von 10,0. Die Schwachstelle hätte externe Spoofing-Angriffe auf interne Ressourcen ermöglicht. Microsoft schloss die Lücke serverseitig bis zum 28. April 2026 – doch der Vorfall zeigt die anhaltenden Sicherheitsherausforderungen im Identitäts- und Cloud-Berechtigungsmanagement.
Ausblick: Der Siegeszug der Passkeys
Angesichts bröckelnder traditioneller Sicherheitsmaßnahmen forcieren Regierungsbehörden den Umstieg auf passwortlose Authentifizierung. Das britische NCSC aktualisierte seine Richtlinien und empfiehlt nun dringend die Einführung von Passkeys auf Basis des FIDO2-Standards. Sicherheitsexperten betonen: Passkeys sind inhärent resistent gegen Phishing und Credential Stuffing, da sie auf asymmetrischer Verschlüsselung statt auf geteilten Geheimnissen beruhen.
Aktuelle Daten der FIDO Alliance zeigen: 93 Prozent der Nutzer auf großen digitalen Plattformen sind bereits passkey-kompatibel. Rund 26 Prozent aller Logins erfolgen bereits über diese Methode. Öffentliche Einrichtungen wie der britische National Health Service (NHS) melden signifikante Kosteneinsparungen und Effizienzgewinne durch den Ersatz von Einmalpasswörtern (OTPs) durch Passkey-Systeme.
Angesichts von Millionen gehackter Konten pro Quartal wird die Abkehr vom klassischen Passwort immer dringlicher. Erfahren Sie in diesem kostenlosen Report, wie Sie Passkeys bei Diensten wie Amazon oder Microsoft sofort einrichten und Ihre Sicherheit massiv erhöhen. Kostenlosen Passkey-Ratgeber jetzt sichern
WhatsApp testet Berichten zufolge verschlüsselte Cloud-Backups, die durch Passkeys geschützt werden. Nutzer könnten ihre Daten dann per Biometrie oder gerätegebundenen Schlüsseln sichern.
Der Trend ist klar: Die Kombination aus Zero-Trust-Architektur, schnellen Patch-Zyklen und phishing-resistenter Authentifizierung wird zum Eckpfeiler der Unternehmensverteidigung gegen menschliche und autonome KI-Angreifer. Wer jetzt nicht umstellt, riskiert, morgen zum Opfer zu werden.
