KI als Waffe

Für das Jahr 2025 und darüber hinaus erwarten die Forscher der FortiGuard Labs größere, dreistere und effektivere Cyberangriffe. Für hochentwickelte Industrieländer wie Österreich ist vor allem ein Trend augenscheinlich: KI als Waffe. [...]

Cyberkriminelle rüsten auf. Der Cyberthreat Predictions Report 2025 der FortiGuard Labs, Fortinets Threat-Intelligence- und Forschungssparte, analysiert aktuelle Trends und zukünftige Bedrohungen. Für hochentwickelte Industrieländer wie Österreich ist dabei vor allem ein Trend augenscheinlich: KI als Waffe.

Der KI-Einsatz durch Cyberkriminelle nimmt weiter rasant zu

• KI-generierte Desinformationskampagnen: Cyberkriminelle setzen Large Language Models (LLMs) zunehmend ein, um massenhaft Falschinformationen zu verbreiten. Sie erstellen Fake News, Social-Media-Beiträge und Kommentare, um die öffentliche Meinung zu manipulieren und Panik zu schüren, insbesondere in sensiblen Phasen wie vor Wahlen, bei politischen und sportlichen Ereignissen oder Gesundheitskrisen. Dies kann unter anderem zu Reputationsschäden, Vertrauensverlust in Institutionen und sozialen Unruhen führen.
• Generatives Profiling für Social Engineering: Durch die Analyse von Social-Media-Daten und anderen öffentlich zugänglichen Informationen erstellen Angreifer detaillierte Opferprofile. Mit Hilfe von LLMs werten sie diese Daten aus und schneiden ihre Kommunikation gezielt auf die Interessen, beruflichen Beziehungen und aktuellen Aktivitäten des Opfers zu, um die Erfolgschancen ihrer Angriffe zu erhöhen.
• Automatisierte Phishing-Kampagnen: KI-gestützte Sprachmodelle (LLMs) generieren überzeugende Phishing-E-Mails mit perfekter Grammatik und kontextspezifischer Personalisierung, die sogar den Schreibstil bekannter Kontakte imitieren können. Dies erhöht die Erfolgsrate von Spear-Phishing-Kampagnen, da Angreifer typische Warnsignale leichter umgehen können.
• KI-gestütztes Password Spraying: KI analysiert Muster in gängigen Passwörtern und errät effizient Variationen.
• Deepfake-basiertes Voice Phishing (Vishing): Cyberkriminelle nutzen Deep Learning, um synthetische Stimmen zu erzeugen, mit denen sie z. B. Mitarbeiter zu unerlaubten Transaktionen oder zur Weitergabe sensibler Informationen verleiten (2025 Identity Fraud Report: alle fünf Minuten ein Deepfake-Angriff).
• Verbesserte Schadsoftware-Entwicklung: Cyberkriminelle verwenden LLMs, um polymorphe Malware zu entwickeln, die ihre Codestruktur ändert, um der signaturbasierten Erkennung zu entgehen. Sie nutzen diese Muster auch, um neue Codefragmente zu schreiben oder bestehende Malware effizienter und schwerer erkennbar zu machen.

Kritische Infrastrukturen im Fadenkreuz

Daneben ist Ransomware nach wie vor eine große Bedrohung und wird immer aggressiver. Angreifer zielen zunehmend auf OT-Systeme (Operational Technology) kritischer Infrastrukturen ab, um maximalen Schaden anzurichten. Ransomware-as-a-Service (RaaS) ermöglicht auch weniger erfahrenen Kriminellen komplexe Angriffe. Besonders gefährdet sind Sektoren, die stark auf die Kontinuität von Daten angewiesen sind:

• Versorgung & Energie: zum Beispiel Störungen der Wasseraufbereitung und -verteilung sowie der Energieversorgung
• Gesundheitswesen: zum Beispiel Gefährdung des Krankenhausbetriebs und der Patientensicherheit
• Fertigung: zum Beispiel Produktionsausfälle und finanzielle Verluste durch Angriffe auf OT-Systeme
• Finanzinstitute: zum Beispiel Erpressung durch Datendiebstahl und Androhung der Veröffentlichung sensibler Kundendaten

Cybercrime-as-a-Service: Spezialisierung treibt Cloud-Angriffe

Der Markt für Cybercrime-as-a-Service (CaaS) boomt und die Anbieter spezialisieren sich zunehmend. Während CaaS-Anbieter früher oft alle Komponenten eines Angriffs aus einer Hand anboten, konzentrieren sie sich heute auf bestimmte Bereiche wie den Erstzugriff oder die Bereitstellung der Infrastruktur. Gerade in die frühen Phasen der Angriffskette – Aufklärung und Vorbereitung – wird derzeit viel investiert (Reconnaissance-as-a-Service). Die Folge sind gezieltere und schnellere Angriffe. Zudem vergrößert die zunehmende Nutzung von Hybrid- und Multi-Cloud-Strategien die Angriffsfläche und führt zu einer Zunahme von CaaS-Anbietern mit Cloud-spezifischen Tools und Informationen.