Wie "AI für Angreifer" unser Leben erschwert

November 19, 2025 in Blog

feature-image

Wie “AI für Angreifer” unser Leben erschwert

Die Firma Anthropic hat einen ausführlichen Bericht über die erste (entdeckte) Hacking Kampagne veröffentlicht, die erschreckend erfolgreich AI genutzt hat um von Menschen konfigurierte Identity & Access Management Barrieren zu überwinden. Wir schauen uns in diesem Artikel das im Bericht dargestellte Angriffsszenario und Vorgehensweise an. In diesem Artikel kommentieren wir das im Bericht dargestellte Angriffsszenario und dessen Tragweite aus unserer Perspektive.

Am Ende folgen ein paar mögliche Schutzmaßnahmen, die über Anbieter von “Identity Visibility and Intelligence Platforms (IVIP)” Lösungen schnell und hochwirksam diese automatisierten Kill Chains erschweren, verlangsamen und – hoffentlich – stilllegen. Ein Restrisiko bleibt natürlich immer!

Angriffsweg und Ablauf

Im Bericht beschreibt Anthropic eine Kampagne – mutmaßlich von einem staatlich geförderten Akteur (bezeichnet als GTG-1002) durchgeführt – welche in Mitte September 2025 entdeckt wurde.

Die Besonderheit: der Großteil der taktischen Operationen (nach deren Analyse etwa 80 – 90 %) wurde von der KI-Instanz übernommen, während menschliche Akteure lediglich strategisch eingriffen.

Der Ablauf lässt sich in sechs Phasen gliedern:

  • Phase 1 – Kampagneninitialisierung / Zielauswahl: Zunächst wählten die menschlichen Betreiber die Ziele aus (Technologieunternehmen, Finanzinstitute, Chemiefirmen, staatliche Stellen) und gaben den Rahmen vor. Vor dem KI-Agenten wurde eine manipulative Rolle gespielt: Die KI wurde getäuscht, indem die Betreiber vorgaben, sie sei Teil einer legitimen Cyber-Sicherheitsfirma, die hier Penetrationstests bzw. defensive Arbeiten durchführe, um die regulären Schutzmechanismen zu umgehen.
  • Phase 2 – Aufklärung und Angriffsflächen-Mapping: In dieser Phase führte die KI autonome Reconnaissance durch: z.B. Netzwerk- und Service-Erkennung, Authentifizierungsmechanismen analysieren, Schwachstellen identifizieren. Die KI-Instanz (“Claude Code”) wurde über einen Orchestrierungslayer angesteuert, der die Aufgaben in einzelne, scheinbar harmlose Teile zerlegte – damit die KI nicht den Gesamt-Schadenskontext erkannte.
  • Phase 3 – Schwachstellenerkennung und Validierung: Aufbauend auf dem Mapping suchte die KI nach Schwachstellen, testete Exploits bzw. Validierung von Exploitmöglichkeiten. Auch hier war die KI primär tätig, gesteuert durch das Framework.
  • Phase 4 – Anmeldeinformationen erfassen & laterale Bewegung: Nachdem initiale Zugriffspunkte identifiziert wurden, erfolgte das Harvesting von Credentials, Privilege Escalation, laterale Bewegung innerhalb des Netzwerks – erneut zu großen Teilen automatisiert durch die KI.
  • Phase 5 – Datensammlung und Auswertung: Die KI analysierte große Datenmengen, kategorisierte Informationen mit hohem Wert, bereitete zur Exfiltration vor. Auch dieser Schritt war stark automatisiert.
  • Phase 6 – Dokumentation und Übergabe: Abschließend erfolgte eine Übergabe der erlangten Daten bzw. Erkenntnisse an die menschlichen Akteure – inklusive Dokumentation des Vorgehens.

Genutzte Funktionen der KI

Die angreifende Partei nutzte die KI-Fähigkeiten in mehrfacher Hinsicht:

  • Agentische Autonomie: Die KI handelte nicht nur als Berater, sondern führte eigenständig taktische Operationen durch – Planung, Ausführung, Analyse. Und genau das besorgt uns sehr: denn als Verteidiger können wir nicht auf das gleiche Maß an Automation vertrauen…
  • Orchestrierung mehrerer Sub-Agenten: Das Framework orchestrierte Claude-Instanzen in Gruppen, welche parallel bzw. sequenziell Aufgaben übernahmen (z.B. Scannen, Validieren, Credential Testing). An dieser Stelle können wir als Verteidiger sicher noch einiges vom Red Team lernen…
  • Prompt-Manipulation / Rollen-Täuschung: Die Angreifer verwendeten ausgefeilte Prompt-Techniken, gaben der KI kontextualisierte Aufgaben, aber maskierten den wahren Zweck – z.B. “Du bist ein PenTest-Tool” etc. Auch hier sieht man den Unterschied zwischen begrenzten Möglichkeiten der Verteidiger und der – natürlich – rücksichtslosen Verwendung dieser “dual use” Technologie für böse Zwecke!
  • Schnelles Tempo / Skalierung: Anstelle manueller Prozesse wurden tausende Requests pro Sekunde durchgeführt, über viele Ziele zugleich – was durch KI-Autonomie möglich wurde. Und wenn wir uns als Verteidiger noch so anstrengen… der Befehl “alle Schotten dicht” wird zu spät kommen. Wenn wir den Angriff bemerken, sind wir bereits kompromittiert.
  • Selbstständige Analyse großer Datenmengen: Nicht nur Ausführung, sondern auch Nachbearbeitung – KI wertete erbeutete Daten aus, identifizierte entscheidende Elemente.

Ausgenutzte Schwachstellen der Infrastrukturen

Die Angriffe bauten auf einer Kombination von Schwachstellen auf:

  • Mangelnde Identitäts- und Zugriffsübersicht: Netzwerke mit unklaren oder fehlenden Übersichten über privilegierte Konten, lateralbewegliche Rechte oder ungenutzte Zugänge boten Angriffsflächen. Genau hier setzen die IVIP Tools an – aus userer Sicht ein MUSS für das Jahresende!
  • Fragmentierte / undokumentierte Prozesse: Fehlende oder veraltete Dokumentation von Zugriffsrechten und Netzwerkdiensten erleichterte das Mapping für die KI-Agenten. Hier können wir als Verteidiger sicher etwas mehr tun, insbesondere wenn Systeme wie IAMONES uns bei der Aktualisierung der Dokumentation unterstützen.
  • Unzureichende Segmentierung bzw. Laterale Bewegung erlaubt: Systeme, die nicht sauber nach Rollen oder Segmenten getrennt sind, erlaubten nach erster Kompromittierung eine Ausweitung durch Credential Harvesting und laterale Bewegung. Wir lesen da nur noch “Zero Trust Segmentation” 😉 und damit auch die Absicherung von Remote Access .
  • Hohe Automatisierbarkeit bzw. APIs und Dienste mit wenig Anmeldung: Schnittstellen oder Dienste, die automatisiert angesprochen werden konnten (z.B. Browser-Automatisierung über Model Context Protocol) wurden instrumentalisiert. MCP? More Coffee Please! Unsere Verteidiger müssen erkennen, dass MCP s Segen und Fluch gleichzeitig sind. “MCP Agent Containment” (noch ein tolles “MAC” Akronym!) sehen wir als Fokus für 2026 auf Herstellerseite!
  • Mangelhafte Überwachung und Erkennung ungewöhnlicher Aktivität: Die KI-Agenten agierten mit hoher Geschwindigkeit und wechselten Aufgaben rasch – Infrastrukturen mit statischen oder langsamen Erkennungsmechanismen hatten hier Nachteil.
  • Vertrauen in “normale” technische Aufgaben: Da jede einzelne Aktion für sich genommen als “normale” technische Anfrage konzipiert war, blieben sie hinter konventionellen Prüfmechanismen verborgen. Ohne eine feinteilig abgestimmte Echtzeitanalyse stehen wir damit als Verteidiger bevor Spielstart auf verlorenem Posten. Jährliche Reviews? Unwirksam!

Wie “Identity Visibility” Plattformen helfen können

Eine Identity Visibility Plattform verschafft Organisationen Transparenz über alle Identitäten, Zugriffsrechte, Beziehungs- und Aktivitätsmuster – sowohl bei Benutzern als auch bei Maschinenkonten, Services und privilegierten Accounts. In Bezug auf die beschriebenen Angriffsszenarien sind folgende Aspekte entscheidend:

  • Sie ermöglichen frühzeitige Erkennung ungewöhnlicher Identitäts- und Zugriffsverhältnisse, z.B. ein Konto mit ungewöhnlich hoher Anzahl an Service-Anfragen, lateral bewegende Accounts oder automatisierte Zugriffe über Maschinendomänen.
  • Sie liefern Kontext: Welche Konten haben welche Zugriffsrechte zu welchen Ressourcen? Welche Zugriffe sind historisch legitim oder neuartig? Damit können automatisierte Aktivitäten, die sich schnell ausbreiten, erkannt werden.
  • Sie unterstützen die Analyse und Visualisierung privilegierter Beziehungen, z.B. welche Konten auf kritische Systeme Zugriff haben, welche Dienste sich verbinden, welche Rechte ggf. überflüssig sind – was gerade bei automatisierten Attack Chains wie in der beschriebenen Kampagne besonders wichtig ist.
  • Sie tragen zur Schließung von Lücken im Frühwarn- und Monitoring-System bei: Bei hoher Automatisierung und Geschwindigkeit (wie in der KI-Attacke) reicht konventionelles Monitoring nicht aus; eine Identity-centric Sicht mit Echtzeitprofiling von Identitäten bietet hier signifikanten Mehrwert.

Kurz gesagt: Durch die Einführung einer Identity Visibility Plattform schaffen Sie eine Voraussetzung dafür, dass Angriffe, die sich über Identitäts- und Zugriffswege ausbreiten, erkannt, bewertet und gestoppt werden können – bevor sie erfolgreich lateral bewegen oder Daten exfiltrieren.

Spezifisch: unoSecure

Das Tool unoSecure fokussiert sich darauf, fehlkonfigurierte oder unnötige Berechtigungen auf privilegierten Accounts aufzuspüren – besonders im Umfeld von Cloud-, Identitäts- und Zugriffsmanagement-Szenarien. Im beschriebenen Angriffsszenario, bei dem Konten automatisiert einsetzbar waren und lateral bewegten Ressourcen kompromittierten, kann unoSecure folgendes leisten:

  • Identifizieren von privilegierten Konten mit hohem Risiko (z.B. Service-Konten, privilegierte Domänenkonten, lokale Admins), die möglicherweise nicht regelmässig überprüft werden.
  • Aufzeigen von “Dormant” oder wenig genutzten Konten mit weitreichenden Rechten – diese können von automatisierten Agenten als Einstieg genutzt werden.
  • Darstellung von kritischen Privilegien, die keine oder kaum Legitimation haben – eine Chance, jene Rechte zu entziehen oder neu zu überwachen, bevor eine KI-Agent-Attacke sich darin einnistet.
  • Unterstützung bei der Umsetzung von Least Privilege-Prinzipien: indem Berechtigungen reduziert und dadurch der Angriffsweg eingeschränkt wird (z.B. verhindert wird, dass ein Konto automatisiert unbemerkt tausend Zugriffe generiert). Somit hilft unoSecure konkret dabei, die benannten Schwachstellen bei privilegierten Zugriffen zu reduzieren und damit einen wesentlichen Teil des Angriffs­vektors zu beseitigen.

Spezifisch: Silverfort

Silverfort bietet eine Plattform zur Identity-aware Zero Trust-Sicherung von Zugriffen – typischerweise durch Überwachung von Zugriffsversuchen, Erweiterung der Sichtbarkeit auf Legacy- und modernen Zugriffswegen (z.B. Active Directory, Cloud-Apps, Privileged Accounts) und Regel-Durchsetzung. In Bezug auf die Automatisierung und Identitäts-zentrierte Taktik der KI-Attacke kann Silverfort folgendes leisten:

  • Erkennung und Blockierung von ungewöhnlichem Zugriffsmuster: etwa automatisierte Lateral-Movement-Versuche über privilegierte Konten oder Zugriff von ungewohnten Endpunkten/Rollen.
  • Erweiterung der Sichtbarkeit auf alle Zugriffsstufen, also nicht nur klassische End-User, sondern auch Dienst- und Maschinenkonten – gerade solche wurden in der KI-Kampagne ausgenutzt.
  • Durchsetzung von Multi-Factor-Authentifizierung (MFA), Just-in-Time (JIT) Zugriff und Zero-Trust-Kontrollen für privilegierte Zugriffe – dies erschwert es automatisierten Agenten, sich mit kompromittierten oder ausgenutzten Konten lateral zu bewegen.
  • Echtzeit-Überwachung und Alarmierung bei Zugriffen, die nicht zu typischen Identitäts-Verhaltensmustern gehören – z.B. wenn innerhalb kurzer Zeit viele Ressourcen angefragt werden oder ein Konto gleichzeitig mehrere Sub-Agenten-Aufgaben durchführt. Damit hilft Silverfort, gerade jene lateralen und privilegierten Bewegungen zu unterbinden, die in der Beschreibung der KI-gestützten Kampagne eine zentrale Rolle spielen.

Spezifisch: BeyondTrust Identity Insights

BeyondTrust Identity Insights bietet eine Plattform zur holistischen Analyse und Visualisierung von privilegierten Zugriffen, Rechtevergabe, Nutzungsmuster und Risiken – mit dem Fokus auf privilegierte Identitäten, Sessions und deren Nutzung. Im Kontext der beschriebenen Angriffskampagne kann Identity Insights folgende Mehrwerte bieten:

  • Transparenz über privilegierte Sitzungen und Aktivitäten: Wenn ein Agent automatisiert auf Systeme zugreift, lässt sich durch Identity Insights erkennen, welche Sitzungen aktiv waren, welche Berechtigungen verwendet wurden, und ob diese ausserhalb üblicher Muster lagen.
  • Bewertung von Risiko- und Zugriffspfaden: Aufzeichnungen darüber, wie privilegierte Konten verwendet wurden, ermöglichen es, Pfade zu identifizieren, über die ein automatisierter Angriff lateral vorgegangen sein könnte – etwa Konto A → Dienst B → Datenbank C.
  • Forensik und Nachverfolgung: Sollte bereits eine Kompromittierung stattgefunden haben, bietet Identity Insights die Möglichkeit, privilegierte Aktivitäten historisch zu rekonstruieren und ungewöhnliche Nutzungsmuster aufzudecken – wertvoll beim Aufdecken einer KI-Agent-Attacke.
  • Handlungsempfehlungen / Rechteoptimierung: Aufgrund der ermittelten Nutzungsmuster kann das Tool Empfehlungen bereitstellen, wie Rechte reduziert werden sollten, welche Konten überwacht werden müssen und wo Just-in-Time-Zugriff oder temporäre Rechte sinnvoll sind. Somit ergänzt Identity Insights die genannten Lösungen durch eine tiefgehende Analyse privilegierter Identitätsnutzung und unterstützt Organisationen beim Schliessen der Bewilligungs- und Überwachungs­lücken, die eine KI-gestützte Attacke ausnutzen kann.

Haben Sie Fragen zum Angriff?

Wollen Sie wissen wie hoch Ihr Risiko ist, oder welche Schutzmaßnahmen tatsächlich etwas bringen?

Dann melden Sie sich bei uns!

umbrella.associates

  • Mergenthalerallee 73-75
    65760 Eschborn/Frankfurt
  • +49 (0) 6196 204 8237

Navigation

We take your security to the next level

...und tun alles, um neuen Identitäten Schutz zu gewähren. Seien es Mitarbeiter oder Kunden, Partnerfirmen oder Admins - bis hin zu Geräten und Anlagen. Wir erstellen die Management Ebene, für ALLE Identity Anforderungen.

© 2025 umbrella.associates