April 15, 2026

KI gegen KI: Das neue Wettrüsten in der Cybersicherheit

Wie künstliche Intelligenz gleichzeitig zur gefährlichsten Waffe und zum wirksamsten Schutzschild für IT-Infrastrukturen wird – und welche Systeme Unternehmen heute einsetzen sollten.

Es war einmal eine klare Seite. Angreifer hatten Werkzeuge, Verteidiger hatten Firewalls. Diese Zeiten sind vorbei. Heute programmieren KI-Systeme Exploits, verfassen makellose Phishing-Mails in Dutzenden Sprachen und scannen autonom nach Zero-Day-Schwachstellen – rund um die Uhr, ohne Erschöpfung, ohne Fehler aus Schläfrigkeit. Auf der anderen Seite der Front stehen ebenfalls KI-Systeme, die Anomalien in Millisekunden erkennen, Angriffsmuster vorhersagen und Incident Response automatisieren.Es war einmal eine klare Seite. Angreifer hatten Werkzeuge, Verteidiger hatten Firewalls. Diese Zeiten sind vorbei. Heute programmieren KI-Systeme Exploits, verfassen makellose Phishing-Mails in Dutzenden Sprachen und scannen autonom nach Zero-Day-Schwachstellen – rund um die Uhr, ohne Erschöpfung, ohne Fehler aus Schläfrigkeit. Auf der anderen Seite der Front stehen ebenfalls KI-Systeme, die Anomalien in Millisekunden erkennen, Angriffsmuster vorhersagen und Incident Response automatisieren.
Willkommen im Zeitalter des KI-gegen-KI-Wettrüstens. Für IT-Verantwortliche, Sicherheitsarchitekten und Unternehmensführungen ist das Verständnis dieser Dynamik keine akademische Übung mehr – es ist überlebenswichtig.

Die Angreiferseite: Was KI-gestützte Hacker heute können

Laut einer breit zitierten Umfrage unter Hackern sind 93 % der befragten Angreifer überzeugt, dass KI-basierte Technologien vollständig neue Angriffsvektoren eröffnet haben. Das britische National Cyber Security Centre (NCSC) prognostiziert in seiner Analyse für den Zeitraum bis 2027, dass KI bestimmte Teile von Cyberangriffen erheblich effizienter machen und dadurch die Gesamtzahl der Angriffe deutlich steigen wird.

93%

der Hacker sehen KI als neue Angriffsfläche

55%

schnellere Incident-Triage durch KI-Verteidigung

2027

kritische Systeme ohne KI-Schutz zunehmend verwundbar

Die wichtigsten Angriffsvektoren, die KI heute auf Angreifer-Seite ermöglicht, lassen sich in drei Kategorien fassen:

KI-generierte Malware & Exploits

LLMs können Schadcode erzeugen, der sich selbst mutiert (polymorphe Malware), um signaturbasierte Erkennung zu umgehen. Exploit-Entwicklung, die früher Wochen dauerte, ist in Stunden möglich.

Hyper-personalisiertes Phishing

Große Sprachmodelle verfassen täuschend echte Spear-Phishing-Mails in jeder Sprache, perfekt auf Zielpersonen zugeschnitten – inklusive korrekter Fachsprache und Unternehmenskontext.

Deepfakes & Social Engineering

Audio- und Video-Deepfakes von Führungskräften für CEO-Fraud, gefälschte Identitäten bei Remote-Onboarding – der Mensch wird zur schwächsten Stelle in der Verteidigungskette.

Data Poisoning

Angreifer manipulieren Trainingsdaten von KI-Modellen, um deren Verhalten langfristig zu korrumpieren – ein Angriff, der oft erst Monate später sichtbar wird.

Prompt Injection & LLM-Exploitation

KI-Systeme selbst werden zum Angriffsvektor: Über manipulierte Eingaben können Angreifer LLM-basierte Anwendungen zur unautorisierten Code-Ausführung oder Datenleckage bringen.

Living-off-the-Land-Angriffe

KI orchestriert legitime Systemwerkzeuge für Angriffe – dadurch entsteht kein anomaler Code-Fingerabdruck, der traditionelle Scanner auslösen würde.

Das Bundesamt für Sicherheit in der Informationstechnik dokumentiert in seinem KI-Einfluss-Bericht, wie Cyberkriminelle große Sprachmodelle gezielt nutzen, um Angriffe zu skalieren und zu personalisieren – von automatisierten Phishing-Kampagnen bis hin zu KI-assistierter Schwachstellenforschung.

BSI-Warnung

Die Verteidigerseite: KI als aktiver Schutzschild

Die gute Nachricht: KI hat bislang den Verteidigern mehr genutzt als den Angreifern. Allerdings ist dieser Vorsprung nicht garantiert und erfordert aktiven Einsatz der richtigen Technologien.

Verhaltensanalyse statt Signaturerkennung

Der paradigmatische Wandel in der modernen Cybersicherheit liegt im Übergang von signaturbasierter zu verhaltensbasierter Erkennung. Klassische Antivirensoftware gleicht eingehenden Traffic mit einer Datenbank bekannter Bedrohungen ab – ein Ansatz, der bei polymorphen oder bisher unbekannten Angriffsmethoden versagt. KI-Systeme hingegen lernen, was normales Verhalten in einem Netzwerk ausmacht, und schlagen sofort Alarm, wenn Abweichungen auftreten – auch wenn der schädliche Code noch nie zuvor gesehen wurde.

Prädiktive Sicherheitsanalyse

Fortgeschrittene KI-Plattformen prognostizieren zukünftige Angriffsvektoren auf Basis historischer Angriffsdaten und aktueller Bedrohungsintelligenz. Statt reaktiv auf Angriffe zu warten, können Sicherheitsteams Schwachstellen gezielt schließen, bevor sie ausgenutzt werden.

Automatisierte Incident Response

KI-gestützte SOAR-Systeme (Security Orchestration, Automation and Response) reagieren auf Sicherheitsvorfälle ohne menschliches Eingreifen: Betroffene Endpoints werden isoliert, forensische Daten gesichert, Gegenmaßnahmen eingeleitet – alles in Sekunden statt Stunden. IBM-Daten zeigen, dass KI-gestützte Systeme die Untersuchung und Triage von Sicherheitswarnungen um durchschnittlich 55 % beschleunigen.

XDR: Ganzheitliche Sichtbarkeit über alle Angriffsflächen

Extended Detection and Response (XDR) korreliert sicherheitsrelevante Signale aus Endpoints, Netzwerk, Cloud und Identitätssystemen – und reduziert dabei durch KI-gestützte Filterung die Zahl der False Positives drastisch. Security-Teams sehen dadurch den vollständigen Angriffsgraphen statt isolierter Einzelalarme.

Systeme im Überblick: Sinnvolles KI-gestütztes Monitoring

Der Markt bietet eine wachsende Zahl spezialisierter Plattformen. Die folgenden Lösungen haben sich für unterschiedliche Unternehmensgrößen und Anforderungen bewährt:

WithSecure Elements

EDR / XDR / MDR
Europäische Cloud-Plattform mit KI-gestützter Endpunkterkennung, 24/7 Co-Monitoring und dem GenAI-Assistenten Luminen™ für natürlichsprachliche Sicherheitsanalysen. Besonders geeignet für mittelständische Unternehmen, NIS2-konform.

Microsoft Senitnel

SIEM / SOAR
Cloud-native SIEM mit tiefer Microsoft-365- und Azure-Integration. KI-gestützte Anomalieerkennung und automatisierte Playbooks für Incident Response. Skaliert von KMU bis Enterprise.

CrowdStrike Falcon

XDR / Threat Intel
Marktführende EDR/XDR-Plattform mit umfangreicher Bedrohungsintelligenz. KI-basiertes Behavioral Blocking und automatisierte Gegenwehr in Echtzeit. Für Enterprise-Umgebungen.

Trend Micro Vision One

XDR
XDR-Plattform mit KI-Assistenten für Alert-Korrelation, Handlungsempfehlungen und IT-Forensik. Identifiziert automatisch typische Angriffsmuster bestimmter Threat-Actor-Gruppen.

IBM QRadar / Guardium

SIEM
AI Ops KI-gestützte Risikoanalyse mit automatisierter Vorfallszusammenfassung. Stärken liegen bei komplexer Dateninfrastruktur und regulierten Branchen.

Hornetsecurity ATP

E-Mail Security
Spezialisierter KI/ML-Schutz vor E-Mail-basierten Bedrohungen – inklusive KI-generierter Phishing-Mails. Ergänzung zu breiter angelegten Plattformen, besonders für Microsoft-365-Umgebungen.

WithSecure Elements im Detail

WithSecure (ehemals F-Secure Business) verdient besondere Erwähnung, da es als europäische Plattform digitale Souveränität mit technischer Tiefe verbindet. Die Elements Cloud Plattform vereint Endpoint Protection, EDR, Vulnerability Management und Cloud Security in einem einzigen Portal. Besonders hervorzuheben sind drei Aspekte: Das integrierte Broad Context Detection™-System analysiert Angriffsketten ganzheitlich statt als isolierte Alarme. Der GenAI-Assistent Luminen™ übersetzt technische Sicherheitsereignisse in verständliche Sprache und generiert mehrsprachige Lageberichte. Und das Co-Monitoring-Modell erlaubt es auch kleineren IT-Teams, von 24/7-Expertenunterstützung zu profitieren, ohne ein vollständiges internes SOC aufbauen zu müssen. WithSecure hat an allen MITRE ATT&CK Enterprise Evaluierungen teilgenommen und dabei konsistent hohe Detection-to-Alert-Raten erzielt.

Strategische Handlungsempfehlungen

Aus der Analyse der aktuellen Bedrohungslage und der verfügbaren Schutzsysteme lassen sich konkrete Prioritäten ableiten:

1. Von Signatur zu Vehalten wechseln

Klassische AV-Lösungen allein reichen nicht mehr aus. Verhaltensbasierte EDR/XDR ist heute Pflicht, keine Kür.

3. KI-Systeme selbst absichern

LLMs und KI-Anwendungen im eigenen Unternehmen werden selbst zum Angriffsziel. OWASP Top 10 für LLMs als Checkliste nutzen..

5. Human Risk Management

KI-generierte Deepfakes und Phishing machen den Menschen zur primären Angriffsfläche. Regelmäßige Schulungen zu aktuellen Bedrohungsszenarien sind unverzichtbar.

2. Zero-Trust-Architektur implementieren

Kein implizites Vertrauen mehr – weder für interne Nutzer noch für Systeme. Strikte Identitäts- und Zugriffskontrolle als Fundament.

4. NIS2-Compliance als Rahmen nutzen

Die seit Dezember 2025 verbindliche NIS2-Richtlinie schreibt kontinuierliches Monitoring und Incident Response vor – und gibt damit den Budgetrahmen.

6. Schritt halten ist Pflicht

Das NCSC warnt: Systeme ohne aktuelle KI-Abwehrmechanismen werden bis 2027 zunehmend verwundbar. Kontinuierliche Plattform-Updates sind keine Option.

Fazit Das Wettrüsten ist real – und entscheidbar
KI ist nicht das Problem und nicht die Lösung – sie ist der Kampfplatz. Wer KI-gestützte Verteidigungssysteme einsetzt, hat einen messbaren Vorteil gegenüber Angreifern. Wer wartet, riskiert, auf der falschen Seite der im NCSC-Bericht beschriebenen Spaltung zu landen: zwischen Systemen, die mithalten, und solchen, die zunehmend verwundbar werden. Die Entscheidung, welcher Seite man angehört, fällt heute – nicht erst wenn der Angriff kommt.