2026: Das Jahr der KI-gestützten Angriffe
Am 4. Dezember 2025 wurde ein 17-Jähriger in Osaka gemäß Japans Gesetz zum Verbot unbefugten Zugriffs verhaftet. Der junge Mann hatte Schadcode ausgeführt, um die persönlichen Daten von über 7 Millionen Nutzern von Kaikatsu Club, Japans größter Internetcafé-Kette, zu extrahieren. Auf Nachfrage teilte der junge Mann seine Motivation für den Hack mit: Er wollte Pokémon-Karten kaufen.
In gewisser Weise ist dies eine ziemlich konventionelle Geschichte. Seit den 1990er Jahren lesen wir von Computer-Wunderkindern wie Kevin Mitnick, deren technische Fähigkeiten ihr Urteilsvermögen überstiegen und die auf der Suche nach Status, Profit oder Nervenkitzel in hochkarätige Cyberkriminalität hineingezogen wurden. Doch in dieser Geschichte ist etwas anders: Der betreffende junge Mann war technisch nicht versiert.
Der Aufstieg KI-gestützter Angriffe
Im Jahr 2025 überschritten LLM-gestützte Chat- und Agentensysteme eine Schwelle und entwickelten sich von nützlichen, aber fehleranfälligen Programmierassistenten zu End-to-End-Programmierkraftpaketen. Im Laufe des Jahres verdoppelten sich verschiedene Messgrößen für die Häufigkeit und Schwere von Cyberkriminalität in etwa. Die Anzahl der in öffentlichen Repositories entdeckten bösartigen Pakete stieg um 75 %, Cloud-Eindringversuche nahmen um 35 % zu, und KI-generiertes Phishing begann, menschliche Red Teams vollständig zu übertreffen. Ein qualitativerer Unterschied zeigte sich jedoch in den Profilen derjenigen, die die Angriffe durchführten.
Im Februar 2025 nutzten drei Teenager (im Alter von 14, 15 und 16 Jahren) ohne Programmierhintergrund ChatGPT, um ein Tool zu entwickeln, das das System von Rakuten Mobile etwa 220.000 Mal angriff, wobei sie ihre Beute für Spielkonsolen und Online-Glücksspiele ausgaben. Im Juli 2025 führte ein einzelner Akteur unter Verwendung von Claude Code, einer ausgefeilteren agentenbasierten Programmierplattform, einen Monat lang eine Erpressungskampagne gegen 17 Organisationen durch. Dabei nutzte er agentenbasierte KI, um Schadcode zu entwickeln, gestohlene Dateien zu organisieren, Finanzunterlagen zur Kalibrierung der Forderungen zu analysieren und Erpressungs-E-Mails zu verfassen. Im Dezember 2025 nutzte eine weitere Person Claude Code und ChatGPT, um die mexikanische Regierung anzugreifen, wobei sie mehr als 10 Behörden ins Visier nahm und über 195 Millionen Steuerzahlerdatensätze stahl.
Während diese Angriffe bereits vor 2025 möglich waren, sehen wir jetzt Angriffe durch Einzelpersonen, die für organisierte Teams charakteristisch gewesen wären, sowie Angriffe kleineren Ausmaßes durch technisch nicht versierte Personen, die eher für Angriffe eines talentierten Hackers oder Ingenieurs in der Vor-KI-Ära typisch gewesen wären. Im Jahr 2025 wurde die Eintrittsbarriere für die Durchführung eines technisch anspruchsvollen Angriffs erheblich gesenkt.
Schlechte Zahlen steigen
Im Laufe des Jahres 2025 zeigten Messgrößen für Bot-Aktivitäten, Malware, gezielte Kompromittierungen und Phishing dramatische Anstiege. Gleichzeitig machten die Messgrößen für die Leistungsfähigkeit von LLMs bei technischen Benchmarks einen großen Sprung nach vorne.
Im Jahr 2022 gab es laut Sonatype 55.000 bösartige Pakete in öffentlichen Repositories. Bis 2025 war diese Zahl auf 454.600 angewachsen. Bemerkenswerte Sprünge gab es 2023 (dem Jahr der Veröffentlichung von GPT-4) und 2025 (einem herausragenden Jahr für agentenbasiertes Programmieren).
Ein weiteres praktisches Maß für die tatsächliche Angreiferkapazität, die Zeit bis zur Ausnutzung (Time to Exploit), ist von der Vor-KI-Ära kaum wiederzuerkennen. Die Zeit bis zur Ausnutzung misst die Zeit von der Veröffentlichung einer Schwachstelle bis zur Entdeckung eines Exploits für diese Schwachstelle in freier Wildbahn.
Diese Zahl ist von über 700 Tagen im Jahr 2020 auf nur noch 44 Tage im Jahr 2025 gesunken. Das bedeutet, dass Angreifer Exploits für bekannte Schwachstellen in weniger als 2 Monaten entwickeln, anstatt in fast 2 Jahren. Tatsächlich stellte der M-Trends 2026-Bericht von Mandiant fest, dass die Zeit bis zur Ausnutzung effektiv negativ geworden ist – Exploits kommen jetzt routinemäßig vor den Patches an, wobei 28,3 % der CVEs innerhalb von 24 Stunden nach Bekanntgabe ausgenutzt werden.
Während der Jahre 2024, 2025 und Anfang 2026 schoss die Leistung von Frontier-Modellen wie ChatGPT, Claude und Gemini bei Benchmarks wie SWE-bench, einem Test für Softwareentwicklungsfähigkeiten, durch die Decke. Im August 2024 konnten Top-Modelle 33 % der echten GitHub-Probleme im Benchmark lösen. Bis Dezember 2025 war diese Zahl auf knapp unter 81 % gestiegen.
Ende 2024 und insbesondere 2025 erreichte das KI-gestützte Programmieren einen Wendepunkt. Die Beschleunigung der Programmierung hat jedoch auch die offensiven Fähigkeiten beschleunigt, und das Umfeld im Jahr 2026 spiegelt diese Veränderungen wider, wobei Angriffe häufiger, schwerwiegender und mit größeren Auswirkungen auftreten.
Das Problem lässt sich nicht einfach wegpatchen
KI beschleunigt sowohl Verteidiger als auch Angreifer. Leider begünstigt das Wettrüsten, basierend auf Daten aus den Jahren 2025 und 2026, die Angreifer. Die durchschnittliche Zeit zur Behebung einer bekannten CVE mit hohem oder kritischem Schweregrad beträgt laut dem Edgescan 2025 Vulnerability Statistics Report mittlerweile 74 Tage. Darüber hinaus werden 45 % der Schwachstellen in Systemen, die von großen Unternehmen (über 1000 Mitarbeiter) gewartet werden, nie behoben.
Organisationen spüren auch den Druck durch die zunehmende Malware, die in öffentlichen Paket-Repositories gefunden wird. Im September 2025 kompromittierte der Shai-Hulud-Angriff, der auf das npm-Ökosystem abzielte, über 500 Pakete. Über 487 Organisationen wurden Geheimnisse entwendet, und 8,5 Millionen US-Dollar wurden von Trust Wallet gestohlen, nachdem Angreifer offengelegte Anmeldedaten verwendet hatten, um die Chrome-Erweiterung zu vergiften. Viele Organisationen verhängten nach dem Angriff Code-Freezes.
Das Erkennungsproblem verschärft dies noch. Im Jahr 2025 enthielten bösartige npm-Pakete, die sich als beliebte Bibliotheken wie „chalk“ und „debug“ ausgaben, Dokumentationen, Unit-Tests und Code, der so strukturiert war, dass er wie legitime Telemetrie-Module aussah. Statische Analysen und Signatur-Scanner übersahen sie vollständig – weil der Code, wahrscheinlich KI-generiert, wie echte Software aussah. Wie Dan Lorenc, CEO von Chainguard, feststellte: „Die Komplexität und das Ausmaß des Schwachstellenmanagements haben die Fähigkeiten der meisten Organisationen, dies eigenständig zu bewältigen, übertroffen.“
Angriffskategorien eliminieren
Die Lektion aus dem Jahr 2025 ist, dass man diesen Angriffen nicht davonlaufen kann. Das Zeitfenster für Exploits schrumpft schneller, als Patch-Zyklen komprimiert werden können, und KI-generierte Malware schlüpft an den Erkennungstools vorbei, auf die sich Organisationen seit Jahrzehnten verlassen haben. Das Venn-Diagramm von „bereit, Angriffe durchzuführen“ und „hat die technischen Fähigkeiten, Angriffe durchzuführen“ war früher nur ein kleiner Ausschnitt, aber es wächst jeden Monat. Gleichzeitig entwickeln wir mehr Software und das schneller. Und wenn die Lieferkettenangriffe im Jahr 2026 schnell zunehmen, wie wird dann das Jahr 2027 aussehen, wenn die Modellfähigkeiten auf das Maximum hochgeschraubt sind?
In der heutigen Umgebung werden Teams mit dem Denken in Kategorien von Geschwindigkeit und dem Überholen von Angriffen nur begrenzt weit kommen. Der kluge Schachzug ist vielmehr, ganze Kategorien von Schwachstellen zu eliminieren, damit sich die Teams auf die verbleibenden Bereiche konzentrieren können. Dies ist der Ansatz hinter Chainguard Libraries, bei dem jede Open-Source-Bibliothek aus verifiziertem, zurechenbarem Quellcode neu erstellt wird. Die Idee hinter Libraries ist es, ganze Kategorien von Angriffen strukturell unmöglich zu machen und Benutzer vor CI/CD-Übernahmen, Dependency Confusion, Diebstahl langlebiger Token oder Paketverteilungsangriffen zu schützen. Beim Test gegen 8.783 bösartige npm-Pakete blockierte Libraries 99,7 %. Gegen etwa 3.000 bösartige Python-Pakete blockierte es rund 98 %.
454.600 bösartige Pakete im letzten Jahr. 394.877 in einem einzigen Quartal. Ein Amateur in Algerien erstellte Ransomware, die im ersten Monat 85 Ziele traf. Ein 17-Jähriger exfiltrierte 7 Millionen Datensätze, um Pokémon-Karten zu kaufen. Die Tools, die diese Angriffe ermöglichten, werden billiger, schneller und zugänglicher. Anstatt in Panik zu geraten, wenn nächste Woche oder nächsten Monat der nächste Axios- oder Shai-Hulud-Vorfall eintritt, könnten Sie einfach bei einer Tasse Kaffee darüber lesen, während Ihr Unternehmen Produktionssysteme, Artefakt-Manager und Entwickler-Workstations aus Chainguard Libraries bestückt.
Share this article
Verwandte Artikel
- Sicherheit
Canada's CPCSC and Bill C-8 are coming. Here's what you need to do.
Chris Carty, Enterprise Solutions Engineer
- Sicherheit
Node-ipc compromised: Credential stealer targets package with 500k+ weekly downloads
Quincy Castro, CISO
- Sicherheit
Luck isn't a security control: What happened with mini Shai-Hulud and what you need to do
David Henry, Staff Product Marketing Manager
- Sicherheit
Cyber resiliency in practice: Lessons from recent supply chain attacks
Mike Behrmann, Director, Cyber Resiliency
- Sicherheit
CMMC Phase 2, explained: Requirements, deadlines, and who’s affected
Philip Brooks, Senior Enterprise Solutions Engineer
- Sicherheit
Chainguard artifacts safe from npm supply chain attack targeting SAP developer dependencies with 2.25M+ monthly downloads
Quincy Castro, CISO