KI verschärft die Bedrohungslage

Cyberangriffe waren schon immer dynamisch. Doch mit dem Einsatz von KI erleben Unternehmen derzeit eine neue Eskalationsstufe. Large Language Models (LLMs) ermöglichen es Angreifern, Phishing-Kampagnen in Sekunden zu erstellen, Social-Engineering-Angriffe individuell anzupassen und sogar Schadcode automatisiert zu entwickeln oder bestehende Malware zu optimieren. Was früher Fachwissen, Zeit und Ressourcen erforderte, ist heute durch generative KI deutlich einfacher verfügbar geworden.

Besonders brisant ist diese Entwicklung für KRITIS-Unternehmen und kommunale Betriebe. Sie verwalten hochsensible Daten und betreiben essenzielle Infrastruktur. Gleichzeitig wachsen die IT-Landschaften vieler Organisationen seit Jahren unkontrolliert. Systeme werden erweitert, Daten migriert, neue Anwendungen integriert – oft ohne konsequente Bereinigung oder Sicherheitsprüfung.

Ein typisches Beispiel ist eine gewachsene SharePoint-Umgebung. Tausende Dokumente liegen dort verteilt über Jahre, oft ohne klare Struktur oder Governance. In Übergaben finden sich API-Keys, in alten Betriebsanleitungen Passwörter im Klartext, in technischen How-to‘s administrative Zugänge. Diese Daten geraten in Vergessenheit, bleiben aber erreichbar und damit angreifbar.

Genau hier wird KI für Hacker besonders gefährlich. Moderne Angriffe analysieren Inhalte automatisiert, erkennen Zusammenhänge und identifizieren verwertbare Informationen in kürzester Zeit. Ein kompromittiertes Benutzerkonto reicht oft aus, um mit KI-gestützten Tools systematisch sensible Daten auszuwerten. Was früher tage- oder wochenlange manuelle Suche erforderte, gelingt heute automatisiert in Minuten.

Hinzu kommt die Qualität moderner Social-Engineering-Angriffe. KI erzeugt täuschend echte E-Mails im Sprachstil von Vorgesetzten, simuliert interne Kommunikation oder formuliert technische Anfragen glaubwürdig und fehlerfrei. Unternehmen mit vielen externen Dienstleistern und heterogenen IT-Strukturen sind dafür besonders anfällig. Die klassische Erkennung verdächtiger Rechtschreibfehler greift kaum noch.

Mehr Transparenz und Früherkennung

Vor diesem Hintergrund gewinnt XDR (Extended Detection and Response) stark an Bedeutung. XDR verbindet Daten aus Endpunkten, Servern, Netzwerken, Cloud-Diensten und E-Mail-Systemen zu einem zentralen Sicherheitsbild. Moderne Systeme nutzen selbst KI, um Anomalien und verdächtige Muster frühzeitig zu erkennen.

Für KRITIS-Unternehmen ist dies eine regulatorische Notwendigkeit. Systeme zur Angriffserkennung sind verpflichtender Bestandteil der Nachweise gegenüber dem BSI und Sicherheitsverantwortliche benötigen Lösungen, die nicht isoliert, sondern kontextbasiert arbeiten. XDR korreliert Telemetriedaten aus verschiedensten Quellen und schafft so ein konsolidiertes Lagebild.

Ein Erfahrungsfall aus einem kommunalen Umfeld zeigt die Wirkung deutlich: Nach Einführung eines XDR-Systems wurden ungewöhnliche Zugriffe auf eine alte SharePoint-Struktur erkannt. Ursache war kein externer Hacker, sondern ein weiterhin aktives Skript eines ehemaligen Dienstleisters. Dieses extrahierte große Datenmengen automatisiert. Bei der Analyse zeigte sich ein überraschender Befund: In den alten Dokumenten lagen noch gültige API-Keys und produktive Zugangsdaten, die niemand mehr berücksichtigt hatte. Ohne XDR wäre dieses Risiko unentdeckt geblieben.

Der entscheidende Punkt: Moderne Sicherheitslösungen erkennen nicht nur Angriffe, sondern decken auch strukturelle Schwächen auf. Historisch gewachsene Dateisysteme, Schatten-IT, vergessene Accounts oder unkontrollierte Cloud-Freigaben bilden eine oft unterschätzte Angriffsfläche.

Ganzheitliche Cybersicherheit wird Pflicht

XDR allein reicht jedoch nicht aus. KRITIS-Sicherheit erfordert einen ganzheitlichen Ansatz. Zentrale Grundlage ist ein belastbarer Notfallplan: klare Verantwortlichkeiten, definierte Eskalationswege und priorisierte Systeme im Krisenfall. Ergänzt wird dies durch regelmäßige Notfallübungen, da Pläne nur im Training wirksam werden.

Ebenso essenziell sind konsequentes Patch Management und regelmäßige Penetration Tests. Viele erfolgreiche Angriffe basieren auf bekannten Schwachstellen, die längst hätten geschlossen sein können. Penetration Tests zeigen zudem oft, wie mehrere kleine Schwächen zu kritischen Angriffspfaden kombiniert werden können.

Auch Darknet Monitoring gewinnt an Bedeutung. Gestohlene Zugangsdaten, interne Dokumente oder kompromittierte Systeme tauchen häufig frühzeitig in einschlägigen Foren auf. Wer diese Signale überwacht, kann schneller reagieren und Schäden begrenzen.

Ein weiterer zentraler Baustein ist Offensive Security. In Zeiten KI-gestützter Angriffe reicht reine Verteidigung nicht mehr aus. Durch gezielte Angriffssimulationen – etwa durch Red Teams oder Penetration Tests – wird die eigene Infrastruktur aus Angreiferperspektive geprüft. Dabei kommen ähnliche Methoden zum Einsatz wie bei realen KI-Angriffen: automatisierte Analyse, Ausnutzung von Fehlkonfigurationen und das Verketten scheinbar harmloser Schwächen. Häufig zeigt sich dabei, dass nicht einzelne große Lücken das Problem sind, sondern viele kleine Defizite, die erst in Kombination kritisch werden.

KI verändert die Bedrohungslage schneller, als man die Sicherheitsarchitektur anpassen kann. XDR bietet dabei einen zentralen Baustein für Transparenz und Früherkennung. Doch echte Sicherheit entsteht erst durch das Zusammenspiel von Notfallplanung, regelmäßigen Trainings, Patch Management, Pentesting, Darknet Monitoring und konsequenter Offensive Security. Erfolgen der Betrieb bzw. die Durchführung der o.g. Leistungen in Form von Managed Services eines erfahrenen Dienstleisters, profitiert man nicht nur vom Skalierungs-Effekt des Personals, sondern auch vom spezifisch angereicherten Fachwissen.

Am Ende gilt: Cybersicherheit beginnt nicht an der Firewall, sondern bei der vollständigen Sichtbarkeit der eigenen Systeme und der Fähigkeit, jederzeit auf den Ernstfall vorbereitet zu sein.

DATAGROUP beim VKU-KRITIS-FORUM 2026

Besuchen Sie die Breakout-Session "Business Continuity bei Cyberangriffen – und warum gute Security den Ernstfall verhindert" mit Uwe Northmann auf dem VKU-KRITIS-FORUM 2026.

Mit der zunehmenden Zahl von Blackouts, Sabotageakten und wetterbedingten Ausfällen rückt die physische Sicherheit Kritischer Infrastrukturen mehr denn je ins Zentrum der öffentlichen Debatte. Denn (Teil-)Ausfälle betreffen längst ganze Städte. Eines wird klar: Sicherheitskonzepte müssen dringend neu gedacht werden, um die Resilienz der Daseinsvorsorge in Deutschland sicherzustellen. Das VKU-KRITIS-FORUM 2026 gibt Ihnen Raum für Einordnung, Austausch und Netzwerken und konkrete Lösungsansätze mit an die Hand. Am 30. Juni 2026 treffen sich Expert:innen aus Kommunalwirtschaft, Behörden und Politik, um die aktuelle Lage zu bewerten und neue Wege für die physische und digitale Sicherheit Kritischer Infrastrukturen zu definieren.

Sie haben noch Fragen?

Copyrights

Teaserbild Mediathek © lassedesignen/Shutterstock.com
Foto Uwe Northmann © DATAGROUP SE