Das zeigt eine aktuelle Analyse zweier Sicherheitsfirmen.
Die Sicherheitsforscher von Huntress und Sygnia haben zwischen dem 10. und 13. Juli 2026 alarmierende Erkenntnisse veröffentlicht: Angreifer nutzen KI-generierte Skripte, um Active-Directory-Umgebungen und Cloud-Infrastrukturen zu erkunden. Die Zeit, die für eine Kompromittierung benötigt wird, sinkt dadurch drastisch.
Der Angriff im Juni: KI-Skripte mit typischen Merkmalen
Am 3. Juni 2026 entdeckten die Huntress-Forscher Jevon Ang und Dray Agha einen Einbruch, der exemplarisch für die neue Bedrohungslage steht. Ein Angreifer hatte sich mit gestohlenen Zugangsdaten per Remote Desktop Protocol (RDP) auf einen Windows-Server eingeloggt. Dort führte er ein mutmaßlich KI-generiertes PowerShell-Skript aus, das Nutzer, Computer, Gruppen und Organisationseinheiten systematisch kartierte.
Das Skript trug einen sprechenden Titel – es bezeichnete sich selbst als „vollständig überarbeitetes Informationssammlungstool“. Die Forscher identifizierten mehrere typische Anzeichen für KI-generierten Code: Platzhalter wie einen generischen Hostnamen, einen fünfstufigen Mechanismus zur Erkennung von Domänencontrollern und ein ungewöhnlich farbenfrohes Ausgabeformat. „Der Code wirkte überkonstruiert und laut“, so die Forscher. Genau diese Auffälligkeit ermöglichte es den Sicherheitssystemen, die Aktivität zu entdecken. Nach der Erkundungsphase setzten die Angreifer die Tools s5cmd und SharpShares ein, um Daten abzuziehen.
72 Stunden bis zur Komplettübernahme
In einem separaten Bericht dokumentierte die Firma Sygnia einen KI-gestützten Angriff auf Amazon Web Services (AWS). Der gesamte Vorgang – vom ersten Zugriff bis zur umfassenden Kompromittierung der Cloud-Infrastruktur – dauerte nur rund 72 Stunden.
Angesichts der rasanten Entwicklung von KI-gestützten Angriffen müssen Unternehmen ihre Compliance-Strategie dringend an die neue Rechtslage anpassen. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act hilft Ihnen, Risikoklassen richtig einzuschätzen und rechtliche Anforderungen proaktiv zu erfüllen. EU AI Act in 5 Schritten verstehen
Die Täter nutzten eine Kette von Fehlkonfigurationen in Anwendungen, Datenspeichern und CI/CD-Pipelines (Continuous Integration/Continuous Delivery). Laut den Analysten half ihnen die KI dabei, die komplexen Cloud-Umgebungen effizienter zu durchdringen. Sie missbrauchten legitime Cloud-Funktionen und Zugangsdaten, um sich lateral durch das Netzwerk zu bewegen.
75 Prozent mehr KI-Angriffe
Der Trend ist eindeutig: Im zweiten Quartal 2026 stieg die Zahl der Angriffe mit KI-generierten Komponenten um 75 Prozent. Craig Birch von Cayosoft erklärt: „Diese Werkzeuge senken die technische Hürde für anspruchsvolle Erkundungsangriffe drastisch.“ Selbst weniger erfahrene Akteure könnten nun komplexe Aufgaben übernehmen, die früher tiefgehendes Wissen über Active-Directory-Strukturen erforderten.
Die technologische Beschleunigung durch KI bringt nicht nur technische Risiken, sondern auch neue gesetzliche Pflichten für die IT-Sicherheit mit sich. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Sicherheitslücken schließen und Ihr Unternehmen ohne hohe Investitionen vor aktuellen Bedrohungen schützen. Gratis Cyber-Security Report jetzt herunterladen
Was Unternehmen jetzt tun müssen
Sicherheitsexperten empfehlen einen mehrgleisigen Ansatz:
- Verhaltensüberwachung: KI-generierte Skripte enthalten oft einzigartigen Code, der herkömmliche Signaturerkennung umgeht. Unternehmen sollten auf Verhaltensanalysen setzen, um ungewöhnliche PowerShell-Aktivitäten zu identifizieren.
- Zugriffskontrollen: Das Prinzip der geringsten Privilegien und eingeschränkte PowerShell-Ausführungsrichtlinien können die Auswirkungen kompromittierter Konten begrenzen.
- Erstzugriff verhindern: KI beschleunigt zwar die Aktivitäten nach einer Kompromittierung. Der wichtigste Schutz bleibt jedoch die Verhinderung des ersten Eindringens – durch robustes Zugangsmanagement und Überwachung von RDP-Verbindungen.
- Proaktive Tests: Regelmäßige Penetrationstests und aktuelle Bedrohungsinformationen helfen, genau jene Fehlkonfigurationen zu identifizieren, die KI-Tools ausnutzen sollen.
Die Botschaft der Forscher ist klar: Während Angreifer ihre KI-Fähigkeiten für das sogenannte „Vibe-Coding“ bösartiger Skripte verfeurellen, müssen Verteidiger ihre Strategie umstellen. Statt auf bekannte Dateisignaturen zu setzen, sollten sie die Absicht und die Auswirkungen von Code-Ausführungen in den Mittelpunkt ihrer Erkennung stellen.

