Cybersecurity-Jahresrückblick: Wie KI-Agenten und OAuth-Lücken die Bedrohungslandschaft 2025 veränderten

Das Jahr 2025 markierte einen Wendepunkt in der IT-Sicherheit: Angreifer nutzen künstliche Intelligenz systematisch zur Verstärkung etablierter Methoden und zur Entwicklung neuartiger Angriffstechniken. Die Sicherheitsforscher von CyberArk Labs haben sechs Schwerpunktbereiche identifiziert, in denen technologische Innovation unmittelbar neue Risikofaktoren schafft. Ihre Untersuchungen zeigen, dass jeder Fortschritt in der Automatisierung gleichzeitig zusätzliche Angriffsflächen eröffnet.

Autonome KI-Systeme als Sicherheitsrisiko

Systeme auf Basis großer Sprachmodelle (Large Language Models, LLMs) führen mittlerweile eigenständig Aufgaben aus, treffen Entscheidungen und kommunizieren mit anderen Anwendungen. Diese als agentische KI bezeichnete Technologie transformiert Geschäftsprozesse, bringt jedoch spezifische Sicherheitsprobleme mit sich.

Die zentrale Empfehlung der Forscher: LLMs sollten niemals als vertrauenswürdige Kontrollinstanz betrachtet werden. Die Modelle lassen sich über konventionelle Schwachstellen sowie über speziell formulierte Eingabeaufforderungen (Prompt-Exploits) manipulieren. Unternehmen müssen daher eigene Schutzebenen implementieren, anstatt sich auf die inhärente Sicherheit der Modelle zu verlassen.

Agentische KI operiert über Identitäten und Zugangstoken. Ohne strikte Begrenzung von Berechtigungen, kontinuierliche Überwachung und regelmäßigen Austausch von Zugangsdaten können automatisierte Prozesse zu unautorisierten Zugriffen führen. Die Forscher betonen, dass wirksame Schutzmaßnahmen bei der Identitätsverwaltung beginnen: minimale Rechte, konsequente Token-Verwaltung und fortlaufende Validierung.

Studie: „Agenten unter Beschuss: Bedrohungsmodellierung für agentische KI“

Beschleunigte Schwachstellenanalyse durch KI-Unterstützung

Mit dem Tool Vulnhalla demonstrierte das Team, wie LLMs die Effizienz der Sicherheitsanalyse steigern können. Das Werkzeug verbindet die Inferenzfähigkeiten eines Sprachmodells mit CodeQL, einer etablierten Engine für statische Codeanalyse.

Statische Analysewerkzeuge generieren regelmäßig hohe Zahlen von Fehlermeldungen, von denen viele keine tatsächlichen Sicherheitslücken darstellen. Vulnhalla filtert durch die Kombination von CodeQLs Präzision mit der Kontextbewertung durch LLMs diese irrelevanten Meldungen heraus, sodass Teams sich auf relevante Schwachstellen konzentrieren können.

In einem zweitägigen Test mit einem Budget unter 80 US-Dollar identifizierte Vulnhalla mehrere CVEs in Open-Source-Projekten wie dem Linux Kernel, FFmpeg und Redis. Diese Ergebnisse verdeutlichen, dass KI-gestützte Analysetools nicht mehr ausschließlich spezialisierten Forschern vorbehalten sind.

Die Behebung identifizierter Schwachstellen erfordert jedoch mehr als Code-Korrekturen. Nachhaltige Lösungen verknüpfen technische Anpassungen mit Maßnahmen der Identitätsverwaltung: Reduzierung vorhandener Privilegien, Anpassung der Berechtigungen von Dienstkonten und Implementierung von Just-in-Time-Zugriffen wo erforderlich.

Studie: „Vulnhalla: Die wahren Schwachstellen aus dem CodeQL-Heuhaufen herauspicken“

Tool Poisoning als neue Angriffsmethode

Die zunehmende Autonomie von KI-Systemen schafft Angriffsflächen ohne historisches Vorbild. Die Untersuchung des Model Context Protocol (MCP) zeigt diese Problematik deutlich. MCP ermöglicht LLMs die Interaktion mit externen Tools und Diensten, wodurch komplexe Aufgaben durch Zugriff auf Unternehmensressourcen ausgeführt werden können.

Tool Poisoning nutzt diese Architektur aus: Angreifer manipulieren Tool-Beschreibungen, Schemata oder Ausgabedaten, um KI-Systeme zu schädlichen Aktionen zu veranlassen. Durch Kompromittierung der Tools, auf die KI angewiesen ist, lassen sich Sicherheitsmechanismen umgehen und unbeabsichtigte Verhaltensweisen provozieren.

In der praktischen Umsetzung entspricht MCP der Identitätsverwaltung: Welche Rolle darf die KI einnehmen, welche Ressourcen darf sie nutzen, und welche Grenzen gelten für diese Berechtigungen? Tool Poisoning entfaltet maximale Wirkung bei überprivilegierten Identitäten. Wirksame Gegenmaßnahmen umfassen eingeschränkte Berechtigungen, Isolation von Tools hinter restriktiven Richtlinien und identitätsbasierte Verifikation vor Ausführung sensibler Aktionen.

KI-Systeme stellen damit nicht nur Werkzeuge dar, sondern eigenständige Angriffsziele für Bedrohungsakteure. Die Forscher unterstreichen die Notwendigkeit von Zero-Trust-Prinzipien und kontinuierlicher Validierung bei der Integration von KI in Geschäftsprozesse.

Studie: „Poison everywhere: The risks of MCP vulnerabilities“

OAuth-Schwachstellen gefährden Browser-Sitzungen

Browser bleiben bevorzugte Angriffsziele, unabhängig davon, ob OAuth-Token serverseitig oder Cookies lokal kompromittiert werden. Passwortmanager und Multi-Faktor-Authentifizierung (MFA) reichen als Schutzmaßnahmen nicht mehr aus. Moderne Sicherheitskonzepte erfordern erweiterte Endpunktkontrollen für Browser-Sitzungen.

OAuth bildet die Grundlage webbasierter Identitätsverwaltung. Fehlerhafte Implementierungen transformieren Authentifizierungsflüsse in Angriffsvektoren für Session Hijacking, Pre-Account Takeover und MFA-Umgehung.

Das Open-Source-Tool oauth-hunter wurde entwickelt, um Websites systematisch auf OAuth-Fehlkonfigurationen zu prüfen. Es erleichtert die Identifikation von Schwachstellen, die Angreifer ausnutzen könnten, von unzureichender URI-Validierung bei Weiterleitungen bis zu fehlendem PKCE (Proof Key for Code Exchange).

Tests mit oauth-hunter offenbarten die weite Verbreitung dieser Probleme und zeigen, dass Unternehmen bei der Verifikation von Identitätsflüssen keine Kompromisse eingehen können.

Studie: „Wie sicher ist Ihr OAuth? Erkenntnisse aus 100 Websites“

StealC-Kampagne: Malware getarnt als Gaming-Software

Spieler, die nach Wettbewerbsvorteilen suchen, bilden eine attraktive Zielgruppe für Cyberkriminelle. Die Analyse der StealC-Malware-Kampagne zeigt die Kreativität aktueller Angriffsmethoden: Die Schadsoftware wird als Spiel-Cheats und Modifikationen präsentiert, um Nutzer zur Deaktivierung von Sicherheitskontrollen zu bewegen.

Nach der Installation extrahiert StealC Zugangsdaten und Sitzungstoken, untergräbt die Identitätssicherheit und verschafft Angreifern dauerhaften Zugriff, der reguläre Authentifizierungsprüfungen umgeht. Die Untersuchung identifizierte über 250 Malware-Varianten. Durch Ausnutzung der Bereitschaft von Spielern, Sicherheitsbarrieren zu umgehen, akkumulierten die Angreifer gestohlene Vermögenswerte im Wert von über 135.000 US-Dollar.

Die Erkenntnisse verdeutlichen die Risiken beim Deaktivieren von Sicherheitskontrollen und beim Download nicht verifizierter Software.

Untersuchung: „Cheater gewinnen nie: Spieler mit StealC und Cryptojacking ins Visier nehmen“

Schwachstelle in Microsofts Endpoint Privilege Management

Selbst dedizierte Sicherheitsprodukte können Identitätsmissbrauch ermöglichen. Die Analyse von Microsofts Endpoint Privilege Management (EPM) identifizierte eine kritische TOCTOU-Race-Condition (Time-of-Check/Time-of-Use). EPM sollte Nutzern die Ausführung privilegierter Aufgaben ohne lokale Administratorrechte ermöglichen. Die Forscher demonstrierten jedoch, dass Angreifer diese Race-Condition zur Privilegieneskalation und für unautorisierten Zugriff nutzen können.

Microsoft hat die Schwachstelle mittlerweile behoben. Die Ergebnisse illustrieren dennoch eine grundlegende Problematik: Auch Produkte zur Verbesserung der Sicherheit können ohne rigorose Tests und Wartung zu Angriffsvektoren werden. Wirksame Lösungen kombinieren schnelle Patch-Implementierung mit identitätsorientierten Sicherheitsmaßnahmen wie JIT-Zugriff und gestufter Verifikation.

Kontinuierliche Überprüfung aller Werkzeuge, unabhängig vom Hersteller, ist notwendig, um neue Risiken zu identifizieren.

Studie: „Defeating Microsoft EPM: A tale of a LPE vulnerability“