KI im Cyberkonflikt: Warum Verteidiger die Nase vorn haben

Seit Jahren wird vorhergesagt, dass Künstliche Intelligenz Cyberangriffe auf ein neues Niveau heben wird. Doch die befürchtete Welle ausufernder, hochautomatisierter Angriffe ist bislang ausgeblieben. Eine Analyse des Politikwissenschaftlers Lennart Maschmeyer, erschienen bei MIT Press, liefert dafür eine strukturelle Erklärung: KI begünstigt die Verteidigung systematisch stärker als den Angriff – und dieser Vorsprung wächst, je bedeutsamer die Ziele werden.

Die Lücke zwischen Versprechen und Wirklichkeit

Maschinelles Lernen und generative KI-Modelle haben in den vergangenen Jahren erhebliche Leistungssprünge gemacht. Sie übertreffen Menschen bei einer wachsenden Zahl komplexer Aufgaben – von der medizinischen Bilddiagnose bis hin zur Softwareentwicklung. Naheliegend also, dass Fachleute auch im Bereich der Cybersicherheit weitreichende Veränderungen erwarteten: schnellere Angriffe, größerer Schaden, schwerer zu verfolgende Akteure. Manche Analysten sprachen gar davon, dass bestehende Abwehrsysteme der Geschwindigkeit und Entscheidungslogik KI-gesteuerter Angriffe schlicht nicht mehr gewachsen sein würden.

Eingetreten ist das Gegenteil. Laut dem M-Trends-Bericht 2025 von Mandiant (Google Cloud) ist die sogenannte „Verweildauer“ – also die Zeit, die Angreifer unentdeckt in fremden Systemen verbringen – von durchschnittlich 205 Tagen im Jahr 2014 auf nur noch 11 Tage im Jahr 2024 gesunken. Ein Rückgang von fast 95 Prozent innerhalb eines Jahrzehnts. Gleichzeitig gibt es kaum belastbare Hinweise darauf, dass führende Hackergruppen KI systematisch für komplexe, hochentwickelte Angriffe einsetzen. Dieser Befund steht in einem auffälligen Widerspruch zu den weitreichenden Prognosen der vergangenen Jahre – und wirft die Frage auf, warum die erwartete Umwälzung ausgeblieben ist.

Maschmeyer bezeichnet das zentrale Erklärungsmuster seiner Analyse als „Automatisierungslücke“: eine strukturelle Asymmetrie zwischen dem Nutzen, den KI-Automatisierung für Angriff und Verteidigung jeweils erbringt.

Täuschung gegen Erkennung: Ein ungleiches Duell

Die Antwort liegt laut Maschmeyer in einem grundlegenden Gegensatz zwischen den Anforderungen von Angriff und Verteidigung im digitalen Raum – und darin, wie gut KI-Systeme diese jeweils erfüllen können.

• Angriff erfordert kreative Täuschung: das Einschleusen in fremde Systeme, ohne entdeckt zu werden, erfordert Originalität, Kontextwissen und die Fähigkeit, Verhalten zu imitieren, das auf den ersten Blick unverdächtig wirkt
• Verteidigung erfordert präzise Mustererkennung: das Aufspüren ungewöhnlicher Aktivitäten in großen, komplexen Datenmengen – eine Aufgabe, bei der Geschwindigkeit und Genauigkeit entscheidend sind

Genau hier liegt die entscheidende Asymmetrie: KI-Modelle sind bei der Mustererkennung außerordentlich leistungsfähig, tun sich aber mit echter Kreativität und raffinierter Täuschung strukturell schwer. Ihr probabilistischer Aufbau – also das Erzeugen von Ausgaben auf Basis statistischer Wahrscheinlichkeiten aus Trainingsdaten – macht sie unzuverlässig, sobald es darum geht, etwas wirklich Neues, Unerwartetes und zielgerichtet Trügerisches zu erzeugen. KI-Modelle „verstehen“ weder den Kontext einer Operation noch die Absichten der Angreifer. Sie reproduzieren Muster – aber Täuschung setzt voraus, zu verstehen, was als wahr gilt und was nicht.

Für Cyberangriffe bedeutet das eine Reihe konkreter Nachteile:

• Automatisch generierter Schadcode reproduziert häufig bekannte Muster aus den Trainingsdaten und ist dadurch für Sicherheitssysteme leichter zu erkennen
• KI-Modelle können den übergeordneten strategischen Kontext einer Operation nicht einschätzen – Aktionen können am eigentlichen Ziel vorbeigehen oder unerwünschte Nebeneffekte erzeugen, die den Angriff verraten
• Die sogenannte „Halluzinationsneigung“ generativer Modelle – also die Tendenz, inhaltlich fehlerhafte, aber formal korrekt wirkende Ausgaben zu erzeugen – macht automatisierten Täuschungsversuchen zu schaffen
• Die nicht-deterministische Natur moderner KI erhöht das Risiko unkontrollierter Ausbreitung von Schadsoftware erheblich

Ein vielzitiertes Beispiel verdeutlicht das Kontrollproblem: Der Stuxnet-Virus, der gezielt eine iranische Urananreicherungsanlage sabotieren sollte, verbreitete sich trotz intensiver Bemühungen, eine unbeabsichtigte Ausbreitung zu verhindern, unkontrolliert – und wurde schließlich in Weißrussland entdeckt. Das geschah mit vollständig transparentem, deterministischem Code. KI fügt solchen Prozessen weitere, schwer kalkulierbare Unvorhersehbarkeit hinzu.

Hinzu kommt das sogenannte Prinzipal-Agent-Problem: Je mehr Entscheidungsfreiheit ein KI-System erhält, desto höher ist das Risiko unerwünschter oder unbeabsichtigter Handlungen. Menschen und Institutionen verfügen über Anreize, Regeln und eingespielte Verhaltensweisen, die ein gewisses Maß an Vorhersehbarkeit ermöglichen. KI-Modelle hingegen sind undurchsichtig in ihrer Entscheidungsfindung – eine Eigenschaft, die sich durch die Architektur moderner neuronaler Netze nicht ohne Weiteres beheben lässt.

Wo KI der Verteidigung nützt

Auf der Verteidigungsseite sieht das Bild grundlegend anders aus. Die zentralen Aufgaben der Cyberabwehr spielen den Stärken von KI-Systemen direkt in die Hände – und das über mehrere Ebenen hinweg:

• Schwachstellenerkennung: Maschinelles Lernen durchsucht umfangreiche Codemengen nach Fehlern schneller und genauer als menschliche Analysten. Moderne Software kann mehrere hunderttausend Zeilen Code umfassen – ein Volumen, das manuelle Prüfverfahren an ihre Grenzen bringt
• Eindringungserkennung: Deep-Learning-Modelle lernen, wie sich ein Netzwerk im Normalzustand verhält, und schlagen Alarm, sobald Abweichungen auftreten – auch dann, wenn diese subtil und für menschliche Beobachter kaum wahrnehmbar sind
• Priorisierung von Warnmeldungen: Sicherheitsteams sehen sich täglich mit einer Flut automatisierter Warnhinweise konfrontiert. KI hilft dabei, diese zu filtern und zu gewichten, damit sich menschliche Fachkräfte auf tatsächlich relevante Vorfälle konzentrieren können
• Automatisierte Gegenmaßnahmen: Routinemäßige Reaktionen wie das Schließen bekannter Schwachstellen oder das Isolieren kompromittierter Systeme lassen sich in definierten Szenarien automatisieren – was die Reaktionszeit deutlich verkürzt
• Wiederherstellung: KI-Modelle, die das Normalbild eines Systems kennen, können dazu beitragen, diesen Zustand nach einem Angriff schneller wiederherzustellen

Wichtig dabei: Der relative Nutzen der Automatisierung nimmt mit der Komplexität der Aufgabe ab. Die größten Effizienz- und Effektivitätsgewinne entstehen bei der Erkennung – also den ersten Schritten der Verteidigung. Bei komplexeren Folgeschritten wie der Schadensminderung und Wiederherstellung sind die Gewinne geringer, da kreativere und situationsspezifische Reaktionen gefragt sind.

Unternehmen wie SentinelOne, CrowdStrike und Darktrace haben ganze Plattformen auf KI-gestützte Verteidigungslösungen aufgebaut. SentinelOne etwa bietet mit „Singularity“ eine vollständig integrierte KI-Plattform für Sicherheitsereignismanagement an; CrowdStrike hat mit „Charlotte“ einen KI-gestützten Analyseassistenten entwickelt; Darktrace hat sein gesamtes Geschäftsmodell auf automatisierte Erkennung und Abwehr ausgerichtet. Erste Praxisberichte aus dem Jahr 2024 – darunter die Entdeckung einer bislang unbekannten Sicherheitslücke in IoT-Geräten durch das KI-System „Sift“ von GreyNoise sowie ein von Darktrace dokumentierter Fall, in dem ein Ransomware-Angriff automatisiert erkannt und neutralisiert wurde – deuten auf belastbare Effizienzgewinne im Echtbetrieb hin.

Je größer der Einsatz, desto größer der Vorsprung der Verteidigung

Ein weiterer Aspekt verstärkt die beschriebene Asymmetrie erheblich: Die Vorteile der KI-Automatisierung wachsen auf der Verteidigungsseite mit zunehmender Größe und Bedeutung des Akteurs – auf der Angriffsseite verhält es sich genau umgekehrt. Maschmeyer definiert den „Einsatz“ dabei als das, was ein Akteur im Vergleich zu anderen gewinnt oder verliert – bezogen auf die Bedeutung einer Cyberoperation für nationale Sicherheit und strategisches Überleben.

Für Verteidiger gilt:

• Größere Organisationen verfügen über größere Netzwerke und entsprechend umfangreichere Datensätze – ein direkter Vorteil für KI-Modelle, die von Datenmenge und -vielfalt profitieren
• Höhere Ressourcen ermöglichen den Einsatz leistungsstarker, maßgeschneiderter KI-Lösungen sowie deren kontinuierliche Weiterentwicklung
• Je höher der potenzielle Schaden durch einen Angriff, desto größer der relative Nutzen einer verbesserten Verteidigung – was die Investitionsbereitschaft erhöht
• Regierungsbehörden und Großunternehmen wie Fortune-500-Firmen gehören bereits heute zu den frühen und intensiven Anwendern – das US-Verteidigungsministerium und weitere Bundesbehörden etwa setzen führende KI-gestützte Sicherheitslösungen ein

Für Angreifer gilt:

• Hochwertige Ziele sind besonders gut gesichert und erfordern besonders kreative, individuell zugeschnittene Angriffsmethoden – genau das, womit KI-Automatisierung am stärksten zu kämpfen hat
• Staatlich geförderte Hackergruppen, sogenannte „Advanced Persistent Threats“ (APTs), zeichnen sich durch ein hohes Maß an Kreativität und Raffinesse aus – Qualitäten, die sich nicht automatisieren lassen
• Ein Scheitern bei Operationen mit staatlicher Beteiligung hat weitreichende diplomatische, wirtschaftliche oder sicherheitspolitische Konsequenzen – das Risiko einer frühzeitigen Entdeckung durch KI-gestützte Abwehrsysteme wiegt daher besonders schwer
• Die möglichen Effektivitätsverluste durch Automatisierung überwiegen die erzielbaren Effizienzgewinne bei hochkomplexen Operationen deutlich

Anders verhält es sich bei einfacher Cyberkriminalität: Wer möglichst viele Ziele mit möglichst geringem Aufwand kompromittieren möchte, kann von automatisierten Phishing-Kampagnen oder generischem Schadcode durchaus profitieren. Scheitert ein Versuch, gleichen die Einnahmen durch eine breitere Streuung das häufig aus. Auch für Hacktivistengruppen, die möglichst viel Aufmerksamkeit erzeugen wollen, ohne Rücksicht auf diplomatische Folgen, kann Automatisierung nützlich sein – sofern das Ausmaß der Wirkung die erhöhten Ausfallrisiken kompensiert.

Was Experimente und Praxisfälle zeigen

Eine Reihe von Experimenten aus der Informatik illustriert, wo KI-Automatisierung bei Angriffen an ihre Grenzen stößt – und bestätigt damit die von Maschmeyer beschriebene Asymmetrie:

• Ein frühes CheckPoint-Experiment zeigte, dass vollständig KI-generierter Schadcode zwar grundsätzlich funktioniert, aber laut den beteiligten Forschern „mit einfachen Verfahren abgewehrt werden kann“ – ein Beleg dafür, dass Automatisierung die Effizienz steigert, aber auf Kosten der Wirksamkeit
• Eine als „BlackMamba“ bezeichnete KI-generierte Malware, die angeblich jede Erkennung umgehen sollte, wurde von einer handelsüblichen Sicherheitslösung des Anbieters SentinelOne sofort identifiziert und neutralisiert – der Angriff löste unmittelbar einen Sicherheitsalarm aus
• Mehrere akademische Forschungsgruppen bestätigen: LLM-generierter Schadcode ist strukturell unzuverlässig – dieselbe Eingabe erzeugt unterschiedliche, teils fehlerhafte Ausgaben; in einigen Fällen fehlten zentrale Funktionsbestandteile vollständig, sodass der Code gar nicht erst ausführbar war
• Forscher stellten zudem fest, dass LLM-generierter Code zwar einfache Analyse-Tools täuschen kann, aber fortgeschrittenen Sicherheitslösungen oder erfahrenen menschlichen Analysten nicht standhält

Auf der Verteidigungsseite dokumentieren Experimente stetige und messbare Fortschritte über mehrere Technologiegenerationen hinweg:

• Bereits 1999 entwickelte die US-amerikanische Forschungsbehörde DARPA ein vollautomatisiertes System zur Schwachstellen- und Eindringungserkennung auf Basis maschinellen Lernens
• Das 2022 veröffentlichte Open-Source-Modell „THREATRACE“ übertraf vorhandene Modelle für dieselbe Aufgabe deutlich in Genauigkeit und Geschwindigkeit
• Das Folgemodell „Kairos“ (2024) verbesserte beide Kennwerte nochmals – ein Beleg für das Potenzial kontinuierlicher Iteration
• Ein systematischer Vergleich aus dem Jahr 2025 kommt zu dem Ergebnis, dass Deep-Learning-Ansätze klassische Methoden beim Erkennen von Eindringversuchen in Leistung und Genauigkeit klar übertreffen
• Experimente mit generativen Modellen zur Eindringungserkennung zeigten in einem Fall eine um elf Prozentpunkte höhere Erkennungsgenauigkeit gegenüber dem jeweiligen Vorläufermodell sowie eine doppelt so hohe Verarbeitungsgeschwindigkeit bei gleichzeitig weniger Fehlalarmen

Wie führende Hackergruppen KI tatsächlich einsetzen

Die vielleicht aufschlussreichsten Belege für Maschmeyres Analyse lieferte OpenAI gemeinsam mit Microsoft im Februar 2024. Durch die Kombination von Telemetriedaten aus der Windows-Defender-Plattform – 2024 auf über einer Milliarde Geräten aktiv – mit der Möglichkeit, Nutzeraktivitäten in den eigenen Modellen zu überwachen, gewannen die Unternehmen einen beispiellosen Einblick in den tatsächlichen Einsatz von KI durch staatlich geförderte Hackergruppen. Das Ergebnis war für viele Beobachter ernüchternd:

• Gruppen aus China, dem Iran, Nordkorea und Russland nutzten KI-Modelle primär für das Übersetzen von Texten, das Abrufen öffentlicher Informationen, das Aufspüren einfacher Programmierfehler und für grundlegende Programmieraufgaben
• Besonders fortgeschrittene, neuartige oder KI-spezifische Angriffstechniken wurden von Microsoft-Forschern in keinem Fall beobachtet
• KI wurde von diesen Akteuren als „ein weiteres Produktivitätswerkzeug“ eingesetzt – nicht als Grundlage für qualitativ neue Angriffsmethoden
• Trotz mehrerer Jahre des Experimentierens mit generativer KI blieben die Anwendungen auf einfache, gut definierte Aufgaben beschränkt

Auch forensische Auswertungen von Mandiant zeichnen ein ähnliches Bild: Obwohl Hackergruppen mit generativer KI experimentieren, bleibt der operative Einsatz begrenzt. Hinweise auf den Einsatz von Bild- oder Audiogeneratoren für Angriffszwecke fehlen weitgehend; vereinzelt tauchen KI-generierte Dokumente auf, die als Köder in Phishing-Kampagnen eingesetzt werden. Hinweise auf den Einsatz von KI zur technischen Entwicklung von Malware fand Mandiant hingegen nicht.

Bemerkenswert ist dabei ein Detail aus einem frühen CheckPoint-Bericht, auf den sich Maschmeyer stützt: In einem Untergrund-Hackerforum, in dem die Nutzung von LLMs diskutiert wurde, interessierten sich die beteiligten Akteure weniger für Anwendungen im Bereich Cyberangriffe als vielmehr dafür, mit KI-generierten Kunstwerken und E-Books über Online-Plattformen Geld zu verdienen – ein Befund, der die Diskrepanz zwischen den Erwartungen an KI-gestützte Angriffe und der tatsächlichen Praxis besonders plastisch macht.

Technologische Auswege – und ihre Grenzen

Könnte eine deutlich leistungsfähigere KI die beschriebene Asymmetrie perspektivisch aufheben? Maschmeyer ist auch in dieser Hinsicht zurückhaltend – aus mehreren Gründen:

• Das vorherrschende Prinzip, immer größere Modelle auf immer größeren Datensätzen zu trainieren, stößt auf abnehmende Erträge; die Performance-Zuwächse neuerer Modellgenerationen fallen geringer aus als erhofft
• Die nicht-deterministische und weitgehend undurchsichtige Funktionsweise heutiger KI-Architekturen ist strukturell bedingt – sie ergibt sich aus dem konnektionistischen Paradigma selbst und lässt sich nicht durch Skalierung beheben
• Interne Modelle zu entwickeln ist extrem kostenintensiv: Das Training von GPT-4 kostete nach verfügbaren Schätzungen mehr als 100 Millionen US-Dollar – ein Aufwand, der für die meisten Akteure kaum in einem sinnvollen Verhältnis zum erwartbaren Nutzen steht
• Alternativ verfügbare Open-Source-Modelle sind zwar kostenlos zugänglich, bleiben kommerziellen Lösungen aber in Leistung und Zuverlässigkeit in der Regel deutlich hinterher – und weisen laut Studien eine höhere Anfälligkeit für KI-Halluzinationen auf
• Bemühungen, die Unvorhersehbarkeit von LLMs zu reduzieren, sind möglich, aber außerordentlich aufwändig: Anthropic benötigte nach eigenen Angaben ein Jahr Arbeit eines umfangreichen Forscherteams, um ein separates Deep-Learning-Modell zu entwickeln, das die Ausgaben seines Claude-Sonnet-Modells etwas besser vorhersagbar macht

Kosteneinsparungen durch effizientere Trainingsverfahren – wie sie das chinesische Modell DeepSeek R1 demonstriert hat – kommen Angriff und Verteidigung gleichermaßen zugute und verschieben die strukturelle Asymmetrie daher nicht grundlegend. Auch alternative Modellarchitekturen, wie die von KI-Forscher Yann LeCun favorisierten „Weltmodelle“, sind Anfang 2026 noch rein spekulativ und bieten keine absehbare praktische Lösung.

Folgen für die internationale Sicherheit

Aus der von Maschmeyer beschriebenen Automatisierungslücke ergeben sich mehrere sicherheitspolitisch relevante Schlussfolgerungen, die teils gegen die gängige Erwartungshaltung laufen:

• Qualifizierte menschliche Fachkräfte werden wichtiger, nicht unwichtiger: Wer KI-gestützte Verteidigungssysteme überwinden will, braucht hochkreative, erfahrene Angreifer – keine bessere Automatisierung. Die Nachfrage nach solchen Spezialisten dürfte weiter steigen
• Der strategische Wert von Cyberoperationen sinkt weiter: Weil Entdeckungsrisiken durch KI-gestützte Verteidigung zunehmen, werden Angriffe aufwändiger, teurer und weniger verlässlich in ihrer Wirkung
• Langfristige Angriffskampagnen werden unattraktiver: Je länger ein Angreifer dasselbe Ziel verfolgt, desto mehr lernt das Verteidigungssystem dazu – und desto unwahrscheinlicher wird jeder weitere Einbruchsversuch. Der Fall der Ukraine zeigt exemplarisch, wie wiederholte Angriffe die Abwehrkompetenz des Ziels langfristig stärken können
• Staaten, die in Verteidigungsautomatisierung investieren, gewinnen strukturell an Sicherheit: Im Vergleich zu Akteuren, die vorrangig offensive Automatisierung priorisieren, dürfte dieser Vorsprung mit der Zeit wachsen
• Kleine Akteure werden stärker benachteiligt: Organisationen, die sich leistungsfähige KI-Abwehrlösungen nicht leisten können – darunter viele zivilgesellschaftliche Einrichtungen und kleinere Unternehmen –, bleiben gegenüber automatisierten Angriffen einfacherer Art weiterhin verwundbar

Ein gegenläufiger Effekt ist allerdings nicht auszuschließen: Der steigende Aufwand für kumulative Angriffskampagnen könnte Akteure dazu veranlassen, stattdessen auf gezielte Einzeloperationen mit bislang unbekannten Methoden und Werkzeugen zu setzen – mit dem Ziel, maximalen Schaden in einem einzigen Anlauf zu erzielen, bevor Abwehrsysteme sich anpassen können. Paradoxerweise könnte eine flächendeckend verbesserte KI-gestützte Verteidigung damit ausgerechnet großangelegte, hochintensive Einzelangriffe wahrscheinlicher machen. Hinzu kommt: Die strukturelle Unvorhersehbarkeit von KI-Modellen erhöht das Risiko unbeabsichtigter Kollateralschäden – ein Risiko, das mit zunehmendem Automatisierungsgrad auf der Angriffsseite wächst und im schlimmsten Fall zu ungewollter Eskalation führen kann.

Parallel dazu zeichnet sich ab, dass Russland bereits stärker auf klassische Sabotage als auf Cyberoperationen setzt, um westliche Strukturen zu destabilisieren – ein möglicher Hinweis darauf, dass digitale Angriffsmittel als Instrument der Machtprojektion an Attraktivität verlieren, wenn ihre Wirksamkeit durch verbesserte Abwehrsysteme zunehmend eingeschränkt wird.

Maschmeyres Fazit ist dabei kontraintuitiv: Nicht eine KI-getriebene Eskalation von Cyberkonflikten ist das wahrscheinlichste Szenario, sondern deren weitere Eindämmung – weil die Technologie die Verteidigung strukturell begünstigt und hochqualifizierte menschliche Expertise auf der Angriffsseite unersetzlicher macht denn je.

Quelle: Lennart Maschmeyer, Assistant Professor an der Jimmy and Rosalynn Carter School of Public Policy am Georgia Institute of Technology. Die Analyse ist bei MIT Press erschienen.

Auch interessant:

---

Bild/Quelle: https://depositphotos.com/de/home.html