29 Minuten: warum KI-Angriffe schneller sind als Ihre Abwehr

Neunundzwanzig Minuten.

So lange braucht ein durchschnittlicher Cyberangreifer, um Ihr erstes System zu kompromittieren und sich durch Ihr Netzwerk zu bewegen. Das geht aus dem Global Threat Report 2026 von CrowdStrike hervor, der im Februar 2026 veröffentlicht wurde. Der schnellste dokumentierte Ausbruch? Siebenundzwanzig Sekunden.

In der Zeit, die Sie benötigen, um sich einen Kaffee aufzubrühen, hat ein Angreifer bereits Ihre Zugangsdaten erbeutet, seine Rechte im System erweitert und begonnen, sich lateral durch Ihre gesamte Infrastruktur zu bewegen.

Die Beschleunigung, die niemand kommen sah

Noch 2024 wurde die durchschnittliche Breakout-Time (die Zeitspanne zwischen dem ersten Zugriff und der lateralen Bewegung auf ein weiteres System) in Stunden gemessen. Bis 2025 schrumpfte dieser Wert auf 29 Minuten: eine Beschleunigung um 65 Prozent innerhalb eines einzigen Jahres. Doch es ist nicht nur die Geschwindigkeit, die sich verändert hat. Die Natur der Angriffe selbst hat sich grundlegend gewandelt.

KI-gestützte Angreifer steigerten ihre Operationen um 89 Prozent im Jahresvergleich. Die russlandnahe Gruppe FANCY BEAR setzte eine LLM-basierte Schadsoftware namens LAMEHUG ein, um Aufklärung und Dokumentensammlung zu automatisieren. Der eCrime-Akteur PUNK SPIDER nutzte KI-generierte Skripte, um das Abgreifen von Zugangsdaten zu beschleunigen und forensische Spuren zu beseitigen. Dies sind keine hypothetischen Szenarien, sondern dokumentierte Vorfälle aus dem Jahr 2025.

Die unbequeme Wahrheit lautet: Angreifer benötigen nicht mehr für jede Phase eines Einbruchs menschliche Operatoren an der Tastatur. Künstliche Intelligenz übernimmt die Routinearbeit, vom Scannen nach Schwachstellen bis hin zum Erstellen von Phishing-Ködernachrichten, in einer Geschwindigkeit, die kein menschlicher Sicherheitsanalyst erreichen kann.

Ihr Sicherheitsteam sitzt noch in Meetings

Hier wird die Rechnung tödlich. Ein Bereitschaftsbericht vom Februar 2026 ergab, dass 63 Prozent der Sicherheitsverantwortlichen eine Zunahme der Bedrohungsaktivität bestätigen, jedoch nur 30 Prozent angeben, dass ihre Organisation tatsächlich auf aktuelle Angriffstypen vorbereitet sei. Diese Lücke von 33 Prozentpunkten zwischen Bewusstsein und Handlungsfähigkeit ist nicht nur eine Statistik: Sie repräsentiert jedes Unternehmen, das weiß, dass der Brand kommt, aber den Feuerlöscher nicht finden kann.

Jede dritte Organisation ist nicht einmal in der Lage, ihre Sicherheitsdaten in zeitnahe Entscheidungen umzuwandeln. Die Logdateien, die Warnmeldungen, die Dashboards sind vorhanden. Was fehlt, ist die Fähigkeit zu handeln, bevor die 29-Minuten-Uhr abläuft.

Palo Alto Networks' Einheit Unit 42, die 2025 auf über 750 schwerwiegende Sicherheitsvorfälle reagierte, zeichnete ein noch drastischeres Bild. Bei den schnellsten 25 Prozent der untersuchten Einbrüche vergingen vom Erstzugang bis zur Datenexfiltration lediglich 72 Minuten: viermal schneller als im Vorjahr. In 87 Prozent der Angriffe entfaltete sich der Einbruch gleichzeitig über mehrere Angriffsflächen hinweg: Endpunkte, Cloud-Infrastruktur, SaaS-Anwendungen und Identitätssysteme wurden parallel attackiert.

Das Identitätsproblem, das Sie vermutlich ignorieren

Falls Sie immer noch glauben, Firewalls und Endpunkt-Erkennung seien Ihre primäre Verteidigung, sprechen die Daten eine andere Sprache. Identitätsbasierte Angriffe bilden laut Unit 42 inzwischen 65 Prozent aller Erstzugänge. Gestohlene Zugangsdaten, kompromittierte Sitzungstokens und gekaperte Dienstkonten sind zum bevorzugten Einfallstor der Angreifer geworden.

In nahezu 90 Prozent der von Unit 42 untersuchten Vorfälle spielten Identitätsschwächen eine wesentliche Rolle. Keine ausgeklügelten Zero-Day-Exploits. Keine neuartige Schadsoftware. Gestohlene Passwörter und fehlkonfigurierte Zugriffskontrollen.

Die CrowdStrike-Daten unterstreichen diesen Befund: Angreifer schleusten 2025 bösartige Prompts in legitime GenAI-Werkzeuge bei mehr als 90 Organisationen ein. Sie stehlen nicht nur Ihre Zugangsdaten, sondern kapern die KI-Tools, denen Ihre Teams bereits vertrauen.

Die nordkoreanische Gruppe FAMOUS CHOLLIMA ging noch weiter und nutzte KI-generierte Personas, um sich als gefälschte Mitarbeiter in Unternehmen einzuschleusen. Eine weitere DPRK-nahe Gruppe, PRESSURE CHOLLIMA, wurde mit einem Kryptowährungsdiebstahl über 1,46 Milliarden US-Dollar in Verbindung gebracht: der größte einzelne digitale Raub, der je dokumentiert wurde.

Was die Reaktionslücke tatsächlich kostet

Die finanzielle Rechnung ist brutal. Wenn Angreifer in 29 Minuten zuschlagen und Ihr Erkennungszyklus Stunden dauert, übersetzt sich jede Minute dieser Lücke in einen erweiterten Schadensradius. Mehr kompromittierte Systeme. Mehr exfiltrierte Daten. Höhere Sanierungskosten.

Unit 42 stellte fest, dass Ransomware-Akteure ihre Strategie ändern. Verschlüsselungsbasierte Erpressung ging 2025 um 15 Prozent zurück, weil die Angreifer erkannt haben, dass sie Ihre Daten nicht verschlüsseln müssen, um Sie zu erpressen. Der bloße Diebstahl ist schneller, leiser und ebenso profitabel. Wenn die Exfiltration innerhalb von Minuten nach dem Erstzugang beginnt, wird Verschlüsselung zum überflüssigen Schritt.

Und in über 90 Prozent der Vorfälle, auf die Unit 42 reagierte, war die Ursache nichts Exotisches. Es waren vermeidbare Lücken: inkonsistent angewandte Sicherheitskontrollen, ungepatchte Systeme, zu großzügige Zugriffsrichtlinien. Dieselben Probleme, die Sicherheitsteams seit Jahren kennen, nun ausgenutzt in Maschinengeschwindigkeit.

Wie Sie die 29-Minuten-Lücke schließen können

Die Datenlage zeigt drei unverzichtbare Maßnahmen auf.

Erstens muss Identität zu Ihrem primären Sicherheitsperimeter werden. Wenn 65 Prozent der Einbrüche mit kompromittierten Zugangsdaten beginnen, ist es, als würden Sie Ihre Mauern verstärken und gleichzeitig die Haustür offenlassen, wenn Sie in Netzwerk-Firewalls investieren, aber das Identitätsmanagement vernachlässigen. Implementieren Sie Phishing-resistente Multi-Faktor-Authentifizierung, setzen Sie das Prinzip der geringsten Berechtigung konsequent durch und überwachen Sie anomales Identitätsverhalten in Echtzeit.

Zweitens müssen Sie Erkennung und Reaktion automatisieren. Menschliche Analysten, die Alarme in der Warteschlange abarbeiten, können eine 29-Minuten-Uhr nicht schlagen. Organisationen, die Untersuchungsfähigkeiten direkt in ihre Erkennungswerkzeuge einbetteten, reduzierten laut einer SOC-Umfrage von 2025 die Zeit bis zur Eindämmung um 38 Prozent. Das Ziel ist nicht, Analysten zu ersetzen, sondern ihnen maschinenschnelle Triage zu ermöglichen, damit sie sich auf Entscheidungen konzentrieren können statt auf Datensammlung.

Drittens sollten Sie von einem Sicherheitsvorfall ausgehen und entsprechend üben. Wenn 87 Prozent der Angriffe gleichzeitig über mehrere Flächen hinweg stattfinden, werden isoliert arbeitende Sicherheitsteams, die separate Dashboards prüfen, immer verlieren. Einheitliche Sichtbarkeit über Endpunkte, Cloud, Identität und SaaS hinweg ist kein Luxus, sondern Überlebensnotwendigkeit.

Die 29-Minuten-Uhr läuft bereits. Die Frage ist nicht, ob Ihre Organisation einem KI-beschleunigten Angriff ausgesetzt sein wird. Die Frage ist, ob Ihre Reaktion Schritt halten kann, wenn es soweit ist.