Unit 42 warnt: Autonome KI revolutioniert Tempo und Taktik von Cyberangriffen

20. Mai 2025

Die Cybersicherheitseinheit Unit 42 von Palo Alto Networks schlägt Alarm: Mit dem Aufkommen sogenannter Agentic AI – also agentischer, autonom entscheidungsfähiger KI – erreichen Cyberangriffe eine neue Dimension in Geschwindigkeit, Raffinesse und Wirkungskraft. Das von Unit 42 entwickelte Agentic AI Attack Framework zeigt, wie Angreifer diese Technologie nutzen können, um Angriffe nahezu vollständig zu automatisieren – und dabei ein Tempo zu erreichen, das herkömmliche Verteidigungsmechanismen überfordert.

Eine der gravierendsten Entwicklungen betrifft die mittlere Zeit bis zur Datenexfiltration (MTTE). Während Angreifer 2021 im Schnitt noch neun Tage vom ersten Zugriff bis zum Abfluss sensibler Daten benötigten, sank dieser Wert laut dem aktuellen Unit 42 Global Incident Response Report 2025 auf gerade einmal zwei Tage. In 20 Prozent der Fälle vergeht sogar weniger als eine Stunde bis zur Exfiltration. In Simulationen schaffte Unit 42 einen vollständigen Ransomware-Angriff in nur 25 Minuten – von der Kompromittierung bis zur Datenübertragung, vollständig KI-gesteuert.

Die Forschung belegt: Agentische KI ist in der Lage, ohne menschliches Eingreifen eigenständig Ziele auszuwählen, Angriffsstrategien anzupassen und mehrstufige Operationen durchzuführen. Das macht sie nicht nur schneller, sondern auch deutlich schwerer vorhersehbar und kontrollierbar.

Vielfältige Einsatzformen: Von Deepfakes bis zu Verhandlungsführung

Unit 42 beobachtet bereits heute eine wachsende Bandbreite an Bedrohungsszenarien, bei denen KI-gestützte Systeme eine zentrale Rolle spielen:

• Deepfake-Social-Engineering: Gruppen wie Muddled Libra (auch bekannt als Scattered Spider) nutzen KI-generierte Audio- und Videoinhalte, um sich bei Helpdesks als Mitarbeiter auszugeben.

• Echtzeit-Deepfakes in der Arbeitswelt: Nordkoreanische IT-Fachkräfte setzen KI ein, um sich über Remote-Arbeitsplätze in Unternehmen einzuschleusen.

• Automatisierte Verhandlungen: Generative KI wird verwendet, um Sprachbarrieren bei Ransomware-Erpressungen zu überwinden und gezielt höhere Lösegeldsummen zu erzielen.

• KI-basierte Spionage: Produktivitätsassistenten durchforsten Systeme nach sensiblen Zugangsdaten und erleichtern so gezielte Angriffe.

Neuer Prüfstein für Cybersicherheitsstrategien

Die zunehmende Verfügbarkeit solcher autonomen Systeme verändert die Bedrohungslandschaft rasant. Für Sicherheitsverantwortliche bedeutet das: Klassische Erkennungs- und Reaktionsmodelle stoßen an ihre Grenzen. Unternehmen sind gefordert, ihre Verteidigungslinien neu zu denken.

Unit 42 plant, das entwickelte Framework künftig in sogenannte Purple Teaming-Übungen zu integrieren – eine Kombination aus Angriffssimulation (Red Team) und Verteidigungsanalyse (Blue Team) – um Unternehmen gezielt auf KI-gestützte Angriffe vorzubereiten.

Die klare Botschaft: Agentic AI ist keine Zukunftsvision – sie ist bereits Realität. Wer heute nicht handelt, riskiert morgen den entscheidenden Nachteil im digitalen Verteidigungskampf.

Die neue Bedrohung: Agentische KI verändert die Cyberangriffskette grundlegend

Cyberangriffe werden künftig nicht mehr allein von Menschenhand orchestriert. Laut aktuellen Erkenntnissen der Sicherheitsexperten von Unit 42 steht eine neue Ära bevor: Angriffe, die von agentischer KI ausgeführt werden – autonomen Systemen, die eigenständig denken, lernen und handeln können.

Diese intelligenten Agenten sind nicht mehr nur Unterstützungswerkzeuge in einzelnen Angriffsphasen, sondern entwickeln sich zu digitalen Angreifern, die komplette Kampagnen eigenständig planen, durchführen und flexibel anpassen. Unit 42 hat analysiert, wie diese Technologie die klassische Angriffskette transformiert – von der ersten Auskundschaftung bis zur finalen Ausführung.

1. Reconnaissance AI Agent – Dauerhafte digitale Aufklärer

In der Vergangenheit war die Aufklärung meist ein statischer, manueller Schritt – einmalige Skripte, manuelle Recherchen auf LinkedIn oder GitHub. Diese Methoden waren laut, ineffizient und zeitlich begrenzt.

Agentische Aufklärungs-KIs hingegen operieren kontinuierlich und adaptiv. Sie analysieren eigenständig, welche Informationen sie benötigen, um Schwachstellen zu finden – und holen sie sich: aus sozialen Netzwerken, geleakten Datenbanken, offen zugänglichen APIs oder Fehlkonfigurationen in der Cloud. Ändert sich das Zielumfeld – etwa durch neue Mitarbeitende oder neue Lieferantenportale – passt der Agent seine Strategie automatisch an.

Beispiel: Ein Aufklärungsagent analysiert Stellenausschreibungen und erkennt, dass ein Unternehmen SAP einsetzt. Er findet einen ungesicherten Staging-Server, gleicht ihn mit aktuellen Schwachstellen (CVEs) ab und identifiziert über LinkedIn passende Mitarbeitende für gezielte Phishing-Angriffe.

2. Initial Access AI Agent – Multi-Channel-Angriffe mit individueller Note

Traditionell beruhte der Erstzugriff auf einfachen Methoden: Massen-Phishing, Credential Stuffing oder das Ausnutzen bekannter Sicherheitslücken. Scheiterten diese, war meist Schluss.

Mit agentischer KI ändert sich das: Die Systeme erstellen hochgradig personalisierte Phishing-Kampagnen – zugeschnitten auf Tonfall, Kontext und Verhalten einzelner Zielpersonen. Scheitert der Erstversuch, analysiert die KI den Grund und passt die Taktik an: ein neuer Kommunikationskanal, eine überarbeitete Botschaft, ein anderer Angriffswinkel.

Beispiel: Ein CFO ignoriert eine Phishing-Mail. Der KI-Agent reagiert, formuliert die Nachricht informeller, bezieht sich auf eine aktuelle Pressemitteilung des Unternehmens und verschickt sie über einen gefälschten Microsoft Teams-Chat. Jeder neue Versuch ist besser angepasst – bis der Zugriff gelingt.

3. Execution AI Agent – Lernende Schadsoftware mit Eigenintelligenz

Traditionelle Schadsoftware führte ihre Payload unmittelbar aus – ohne Rücksicht auf Kontext oder Sicherheitssysteme. Das machte sie leichter erkennbar und blockierbar.

Agentische Ausführungs-KIs agieren deutlich raffinierter: Sie analysieren zunächst ihre Umgebung – wer ist eingeloggt, welche Sicherheitslösungen sind aktiv, ist es gerade Arbeitszeit? Erst dann entscheiden sie, ob und wie sie sich ausführen. Fehlschläge führen nicht zum Abbruch, sondern zur Strategieanpassung.

Beispiel: Eine Malware erreicht das System eines Nutzers, pausiert aber zunächst. Die KI prüft: Ist der Nutzer in der Finanzabteilung? Läuft eine EDR-Lösung? Ist Outlook geöffnet? Nur bei passenden Bedingungen initiiert sie den Angriff – getarnt als legitimer Prozess, um der Erkennung zu entgehen.

Fazit: Die digitale Angriffskette wird autonom – und immer effektiver

Die Forschung von Unit 42 zeigt: Die Ära der Agentic AI Angreifer ist angebrochen. Sie agieren schnell, autonom und passen sich jeder Veränderung an. Für Unternehmen bedeutet das: Klassische Sicherheitskonzepte reichen nicht mehr aus. Nur wer seine Verteidigung auf dieses neue Bedrohungsmodell ausrichtet, kann künftigen Angriffen standhalten.

Agentische KI verändert die Angriffskette: Tarnen, Bleiben, Stehlen

Die Integration von agentischer KI in moderne Cyberangriffe führt nicht nur zu mehr Geschwindigkeit und Präzision – sie revolutioniert auch die bislang statischen Phasen wie Persistenz, Verteidigungsausweichen, Netzwerkaufklärung und Datenexfiltration. Die Sicherheitsforscher von Unit 42 haben untersucht, wie autonome Systeme dabei vorgehen – und warum Unternehmen sich auf eine neue Art von Angreifer einstellen müssen.

Persistence AI Agent – Unsichtbar, redundant, anpassungsfähig

Früher setzte Persistenz auf klassische Techniken wie Autostart-Einträge oder geplante Aufgaben. Wurde ein Zugriffspunkt entdeckt und entfernt, war der Zugang in der Regel verloren.

Agentische KI-Agenten hingegen agieren flexibler und widerstandsfähiger. Sie analysieren die Umgebung, wählen geeignete Persistenzmechanismen dynamisch aus und implementieren gleich mehrere redundante Einstiegspunkte – etwa in Cloud-Diensten, Browser-Add-ons oder über Identitäts-Token. Wird ein Zugang entfernt, reagiert der Agent sofort, stellt den Zugang automatisch wieder her und passt dabei seine Methode an.

Beispiel: Ein Agent legt einen Ausführungsschlüssel in einem Admin-Registry-Pfad an und erstellt gleichzeitig eine versteckte Aufgabe über eine legitime Systemdatei. Wird der Registry-Eintrag später gelöscht, erkennt der Agent die Änderung und stellt den Schlüssel mit neuen, verschleierten Werten wieder her – getriggert durch die verbleibende geplante Aufgabe.

Defense Evasion AI Agent – Anpassung in Echtzeit

Früher bedeutete das Umgehen von Sicherheitslösungen oft stundenlanges manuelles Tüfteln: Payloads verschleiern, Dateinamen ändern, Prozesse injizieren. Das kostete Zeit – und war fehleranfällig.

Mit agentischer KI wird Abwehrumgehung zu einem kontinuierlichen Lernprozess. Wird ein Schadcode erkannt, überarbeitet sich der Agent eigenständig: neue Codierung, andere Ausführungspfade, alternative Kommunikation. Die Malware schreibt sich selbst um, kompiliert neu und testet unauffällige Wege – ganz ohne menschliches Zutun.

Beispiel: DNS-Filterung erkennt ein Beaconing-Signal. Der Agent reagiert sofort, tarnt seinen Datenverkehr als verschlüsselte Windows-Update-Kommunikation und umgeht so die Erkennung – ohne dieselbe Methode zweimal zu nutzen.

Discovery AI Agent – Leise Kartografen im Netzwerk

Klassische Netzwerkaufklärung war effektiv, aber auffällig: Tools wie BloodHound scannten lautstark und sichtbar. In Zeiten von EDR und Netzwerkanalyse ist das ein Risikofaktor.

Agentische Entdeckungs-KIs verhalten sich deutlich vorsichtiger. Sie beobachten unauffällig, nutzen native Befehle und erstellen interne Karten auf Basis des realen Datenverkehrs. Stoßen sie auf Blockaden, analysieren sie alternative Routen – und setzen die Kartierung fort, bis sie ihre Ziele gefunden haben.

Beispiel: Der Agent entdeckt über Zugriffsrechte einen falsch konfigurierten Dev-Server. Von dort analysiert er Metadaten auf einem Backup-Cluster, erkennt Muster in Dateigrößen und Benutzerzugriffen – und entscheidet gezielt, welche Informationen relevant genug für einen späteren Abfluss sind.

Exfiltration AI Agent – Schnell, zielgerichtet, unsichtbar

Früher war Datenexfiltration grobschlächtig: Daten komprimieren, auf Server hochladen – meist langsam und auffällig. Große Volumen bedeuteten hohes Risiko.

Heute planen agentische Exfiltrations-KIs präzise: Sie identifizieren zuerst, was wertvoll ist, priorisieren die Daten und wählen die effizientesten, unauffälligsten Kanäle. Sie passen die Geschwindigkeit an, nutzen reguläre Dienste wie Slack oder OneDrive und wechseln automatisch den Übertragungsweg, falls sie entdeckt werden.

Beispiel: Der Agent findet vertrauliche Konstruktionspläne, verschlüsselt sie und beginnt mit der Übertragung über einen Slack-Bot – in kleinen, unauffälligen Datenpaketen. Wird der Kanal blockiert, schaltet er selbstständig um, tarnt die Exfiltration als OneDrive-Synchronisierung und überträgt die restlichen Daten – ohne Alarme auszulösen.

Fazit: Agentische KI-Angriffe sind kein Zukunftsszenario – sie sind Realität

Was früher Wochen dauerte, erledigt eine agentische KI heute in Minuten. Laut Unit 42 lässt sich mit dieser Technologie ein vollständiger Ransomware-Angriff – von der Kompromittierung bis zur Exfiltration – in nur 25 Minuten durchspielen. Für Unternehmen bedeutet das: Die Zeitfenster zur Erkennung und Reaktion schrumpfen dramatisch. Nur wer in der Lage ist, dynamische, adaptive Abwehrmaßnahmen einzusetzen, kann dieser neuen Art von Bedrohung noch etwas entgegensetzen.

KI gegen KI: Warum agentische Angriffe neue Verteidigungsstrategien verlangen

Das Wettrennen zwischen Cyberkriminellen und Verteidigern geht in eine neue Runde – und diesmal wird es von Künstlicher Intelligenz entschieden. Agentische KI verändert bereits heute die Art und Weise, wie digitale Angriffe vorbereitet und durchgeführt werden. Ihre Fähigkeiten sind präzise, ausdauernd und alarmierend effizient: Sie machen keine Fehler, benötigen keine Pausen – und geben erst auf, wenn das Ziel erreicht ist.

Bei Unit 42, dem Sicherheitsteam von Palo Alto Networks, lassen sich erste klare Anzeichen dieses Wandels beobachten. Dazu zählen experimentelle Malware-Samples mit KI-Modulen, sogenannte „Hands-off-Affiliate-Kits“, bei denen menschliche Eingriffe kaum mehr nötig sind, sowie intensive Forschung zu autonomen Red-Teaming-Tools. Die Schlussfolgerung: Die Angriffe der Zukunft brauchen keine menschlichen Operatoren mehr – sie handeln selbstständig.

Agentische KI beschleunigt jede Phase des Angriffs

Was klassische Hackergruppen manuell und mit Aufwand planten, erledigen agentische Systeme heute automatisiert – vom Auskundschaften über das Eindringen bis hin zur Datenexfiltration. KI-basierte Agenten erkennen Zusammenhänge, analysieren Schwachstellen, wählen Angriffspfade – und passen ihre Strategie in Echtzeit an. Unternehmen sehen sich damit einem Gegner gegenüber, der nicht nur schneller, sondern auch lernfähiger und schwerer zu stoppen ist.

Unit 42 hat im Rahmen der eigenen Forschungsarbeit ein solches agentisches Angriffssystem zu Simulationszwecken selbst entwickelt. Dabei zeigt sich: Die Zahl möglicher Angriffsszenarien steigt rasant – und ebenso die Geschwindigkeit, in der sie ausgeführt werden können. In sogenannten Purple-Teaming-Übungen setzen die Expert diese Technologie ein, um reale Unternehmensumgebungen unter Zeitdruck zu testen und zu härten.

Noch ist KI ein Verstärker – bald wird sie zum Hauptakteur

Aktuell nutzt die Cyberkriminalität KI in erster Linie, um bekannte Taktiken effizienter zu gestalten: Phishing wird personalisierter, Malware flexibler, Angriffe schneller. Die Werkzeuge ändern sich – doch die Spielregeln bleiben zunächst dieselben. Wer seine Sicherheitsarchitektur auf solide Grundlagen wie Sichtbarkeit, Automatisierung und schnelle Reaktion stützt, kann auch KI-gestützten Angriffen die Stirn bieten.

Doch das Zeitfenster ist begrenzt. Die Entwicklung schreitet schnell voran – und nur Unternehmen, die ebenfalls auf KI-gestützte Sicherheitslösungen setzen, werden in der Lage sein, mitzuhalten. Verteidigung muss genauso agil und lernfähig werden wie der Angreifer.

Proaktive Abwehr beginnt jetzt

Unit 42 unterstützt Unternehmen dabei, sich frühzeitig auf KI-basierte Bedrohungsszenarien vorzubereiten – mit Incident Response, proaktiver Sicherheitsberatung und Managed Security Services. Denn je mehr Zeit man in Verteidigungsmaßnahmen investiert, bevor der erste agentische Angriff Realität wird, desto besser sind die Chancen, ihn zu erkennen – und abzuwehren.

Redaktion AllAboutSecurity

---

Bild/Quelle: https://depositphotos.com/de/home.html