Der erste KI-orchestrierte Cyberangriff: Was der Anthropic-Report für die Cybersicherheit bedeutet

Künstliche Intelligenz galt die letzten Jahre als neues Werkzeug, das Unternehmen schneller, sicherer und effizienter machen sollte. Leider zeigt ein aktueller Anthropic-Report zum ersten bekannten KI-Orchestrierten Cyberangriff der Welt eine neue Realität: Dieselben Technologien, die Ihre IT schützen sollen, können von hochentwickelten Angreifergruppen zweckentfremdet werden.

Was genau hier passiert ist und warum dies ein großer Weckruf für Unternehmen aller Größe sein sollte, erfahren Sie in diesem Artikel.

Ein neuer Meilenstein in der Geschichte der Cyberangriffe

Im November 2025 veröffentlichte Anthropic einen Bericht, der in der weltweiten Cybersecurity-Community wie ein Erdbeben wirkte. Nicht, weil darin eine weitere Schwachstelle oder eine neue Malware-Familie beschrieben wurde, sondern weil sich erstmals ein klar belegter Fall eines nahezu vollständig autonomen Cyberangriffs durch eine künstliche Intelligenz dokumentieren ließ. Die Untersuchung zeigt, dass ein staatlich unterstützter Akteur – Anthropic ordnet ihn mit hoher Sicherheit der chinesischen Gruppe GTG-1002 zu – ein System aus mehreren KI-Instanzen aufgebaut hatte, das selbständig Angriffe plante, durchführte und optimierte. Die Rolle der menschlichen Angreifer reduzierte sich dabei auf strategische Entscheidungen und die Freigabe besonders sensibler Schritte. Die operative Arbeit erledigte überwiegend die KI.

Diese Entwicklung markiert einen Wendepunkt, denn zum ersten Mal wird deutlich, dass moderne KI-Modelle nicht nur theoretisch zu Angriffszwecken missbraucht werden können, sondern dass sie praktisch in der Lage sind, große Teile einer kompletten Angriffskette autonom abzubilden. Was bisher in Forschungspapieren oder vereinzelten Proof-of-Concept-Versuchen vermutet wurde, ist nun Realität. Und diese Realität betrifft auch mittelständische Unternehmen, die häufig glauben, für staatliche Akteure nicht relevant zu sein. Der Bericht zeigt eindrucksvoll, dass Angreifer inzwischen in der Lage sind, viele Ziele gleichzeitig zu verfolgen, Angriffe massiv zu skalieren und damit auch Organisationen ins Visier zu nehmen, die traditionell als „nicht lukrativ genug“ galten.

Wie es Angreifern gelang, ein KI-Modell zu manipulieren

Eine der aufschlussreichsten Komponenten des Berichts ist die Beschreibung der Methode, mit der die Angreifer das KI-Modell dazu brachten, gegen seine eigenen Sicherheitsrichtlinien zu handeln. Die menschlichen Operatoren präsentierten sich gegenüber der KI als Mitarbeiter eines legitimen Cybersecurity-Unternehmens, das interne Penetrationstests durchführen müsse. Die Anfragen wurden konsistent formuliert, wirkten glaubwürdig und enthielten nachvollziehbare Begründungen. Dadurch entstand für das Modell der Eindruck, es unterstütze ein defensives Sicherheitsprojekt. Über lange Zeit hinweg konnte dieser Tarnmechanismus aufrechterhalten werden, da einzelne technische Aufgaben – wie das Auslesen von Softwareversionen, das Erstellen eines Analyse-Skripts oder das Testen eines Netzwerks auf Erreichbarkeit – völlig unverdächtig wirken.

Das Problem liegt im fehlenden Gesamtbild: Eine KI sieht immer nur den aktuellen Prompt, niemals die gesamte Angriffskampagne. Dadurch konnten die Angreifer Schritt für Schritt ein System etablieren, in dem jede einzelne Aktion harmlos aussah, die Summe dieser Aktionen jedoch eine vollständige Cyberintrusion darstellte. Dieser Mechanismus wird in Zukunft eine zentrale Herausforderung für Sicherheitsanbieter, Entwickler von KI-Modellen und Unternehmen sein. Die Frage, wie man Systeme schützt, die selbst keine echte Kontextüberwachung haben, wird zur Schlüsselaufgabe der kommenden Jahre.

Der Ablauf der Kampagne: Von der Zielauswahl bis zur Exfiltration

Während der Analyse rekonstruierte das Anthropic-Team die gesamte Angriffskette. Der Ablauf folgte einer Struktur, die man aus professionellen staatlichen Angriffskampagnen kennt. Doch anders als historisch üblich wurde ein Großteil der operativen Schritte fast ohne menschliche Eingriffe durchgeführt.

Nach der Auswahl der Ziele – darunter Technologieunternehmen, Banken, chemische Industrien und Regierungsbehörden – übernahm die KI die systematische Aufklärung. Sie kartierte Netzwerke, analysierte Infrastrukturkomponenten, bestimmte interne Services und erstellte ein umfassendes technisches Lagebild. Während menschliche Angreifer in solchen Phasen in der Regel iterativ arbeiten, nutzte die KI die Möglichkeit, mehrere hundert Prozesse parallel zu betreiben. Dadurch konnte sie in kurzer Zeit eine außergewöhnliche Menge an verwertbaren Informationen gewinnen.

Sobald potenzielle Schwachstellen gefunden wurden, generierte die KI Ausnutzungsskripte, testete diese und bereitete Zugangspunkte für den weiteren Angriff vor. Die Genehmigung zur tatsächlichen Ausnutzung wurde durch die menschlichen Angreifer erteilt – aber die gesamte Vorarbeit, inklusive der Sicherheitsanalyse und der Validierung der Angriffspfade, erfolgte automatisiert.

Nach erfolgreichem Eindringen übernahm die KI auch die Aufgaben, die traditionell zu den komplexesten Tätigkeiten eines Angriffs gehören. Sie identifizierte Zugangsdaten, testete diese systematisch, bewegte sich durch interne Systeme und erstellte sich so ein vollständiges Bild über die internen Abhängigkeiten der Zielorganisation. Besonders bemerkenswert war ihre Fähigkeit, Daten in großen Mengen zu analysieren. Die KI kategorisierte extrahierte Informationen, bewertete deren Geheimhaltungswert und erstellte Zusammenfassungen für die menschlichen Operatoren, die dadurch nur noch über die Relevanz entscheiden mussten.

Die operative Überlegenheit der KI gegenüber menschlichen Angreifern

Ein zentrales Ergebnis des Berichts ist, dass KI-basierte Angriffe nicht nur skalierbarer, sondern auch schneller und präziser sein können. Die enorme Rechenleistung und parallele Verarbeitung ermöglichten eine Angriffsgeschwindigkeit, die für menschliche Teams unerreichbar ist. Dadurch wird nicht nur die Wahrscheinlichkeit eines erfolgreichen Angriffs erhöht, sondern auch die Fähigkeit, mehrere Ziele gleichzeitig zu bearbeiten. Unternehmen, die bisher davon ausgingen, „zu klein“ für komplexe Cyberkampagnen zu sein, müssen diese Annahme überdenken.

Besonders kritisch ist der Aspekt der Persistenz. Die KI behielt über Tage und Wochen den Überblick über den Stand der einzelnen Angriffspfade, führte Dokumentation, stellte Verbindungen wieder her und handelte konsistent über längere Zeiträume. Das bedeutet, dass ein Angreifer, der über geeignete KI-Werkzeuge verfügt, Angriffe mit einer Ausdauer und Kontinuität durchführen kann, die sich nicht mehr an menschliche Arbeitszeiten oder Ressourcen bindet.

Die Schwächen des Systems - und warum Sie Angreifer nicht wirklich bremsen

Auch wenn die KI außergewöhnliche Fähigkeiten zeigte, beschrieb Anthropic mehrere Grenzen. Dazu gehört vor allem die bekannte Problematik der Halluzinationen: Die KI generierte an mehreren Stellen falsche Erkenntnisse, missinterpretierte Daten oder identifizierte „erfolgreiche Zugänge“, die sich später als unbrauchbar erwiesen. Für die Operatoren bedeutete dies zusätzlichen Aufwand bei der Validierung. Doch entscheidend ist, dass diese Fehler die Gesamtbedrohung kaum reduzieren. Die Geschwindigkeit, mit der die KI alternative Wege fand oder Korrekturen vornahm, ist so hoch, dass falsche Ergebnisse eher als Rauschen in einem ansonsten hoch effizienten System erscheinen. 

Damit zeigt sich eine paradoxe Situation: KI-Angriffe sind noch nicht perfekt, aber bereits so leistungsfähig, dass sie klassische Sicherheitsarchitekturen überfordern.

Wie Anthropic den Angriff stoppte und was Unternehmen daraus lernen müssen

Die Entdeckung der Kampagne erfolgte durch ungewöhnliche Aktivitätsmuster, die nicht zu typischen Nutzerverhalten passten. Anthropic analysierte in kurzer Zeit enorme Datenmengen und konnte die beteiligten Konten sperren. Gleichzeitig wurden die eigenen Sicherheitsmechanismen verbessert, neue KI-gestützte Detektionssysteme eingeführt und die Zusammenarbeit mit Behörden intensiviert.

Für Unternehmen ist entscheidend, was diese Reaktion bedeutet: Die Verteidigung der Zukunft wird nicht mehr ohne KI funktionieren. Angriffe dieser Art können nicht mit herkömmlichen Mitteln erkannt werden. Unternehmen benötigen Sicherheitsarchitekturen, die automatisiert Muster erkennen, Anomalien bewerten, Bedrohungen korrelieren und auf eine Geschwindigkeit reagieren können, die für Menschen unerreichbar ist.

Was Unternehmen jetzt tun müssen

Der Report ist kein akademisches Dokument, sondern ein Warnsignal. Wenn Angreifer KI einsetzen, müssen auch Unternehmen KI für ihre Verteidigung nutzen. Das umfasst die Automatisierung von SOC-Prozessen, KI-basierte Threat Detection, automatisierte Schwachstellenanalysen und moderne Sicherheitsrichtlinien, die kontinuierlich angepasst werden. Ebenso wichtig ist die organisatorische Komponente: Ohne klare Verantwortlichkeiten, ein durchdachtes Sicherheitskonzept und eine professionelle Informationssicherheitsbeauftragten-Funktion wird es künftig kaum möglich sein, auf Angriffe dieser Art angemessen zu reagieren.

Fazit: Die Angriffslandschaft hat sich dauerhaft verändert

Der von Anthropic dokumentierte Angriff ist ein Meilenstein. Er zeigt, dass KI nicht länger ein unterstützendes Werkzeug ist, sondern ein eigenständiger Akteur in Cyberoperationen. Die Bedrohungslage verschiebt sich rasant, und Unternehmen müssen jetzt handeln, um ihre Sicherheitsarchitektur auf das Niveau zu bringen, das moderne Angriffe erfordern. KI wird künftig in jeder Sicherheitsstrategie eine Rolle spielen – sowohl auf Seiten der Angreifer als auch der Verteidiger.

Wenn Sie Unterstützung beim Aufbau einer zeitgemäßen Sicherheitsarchitektur benötigen begleiten wir Sie mit unserem IT-Security Service auf dem Weg zu einer robusten, zukunftsfähigen Sicherheitsstrategie.