KI-Sicherheit übersieht den langweiligen Einbruch

Die beunruhigendste Zahl zur KI-Sicherheit in IBMs aktueller Bedrohungsanalyse handelt nicht von einem genialen Modell, das einen völlig neuen Angriff erfindet. Sie handelt von etwas deutlich Gewöhnlicherem: Angriffe, die mit öffentlich erreichbaren Anwendungen begannen, stiegen um 44 Prozent.

Das klingt fast enttäuschend normal. Während die Debatte autonome Schadsoftware, perfekt personalisierte Phishing-Wellen und Maschinen imaginiert, die Verteidiger überlisten, liegt das nähere Problem oft an bekannten Stellen: exponierte Software, schwache Identitätskontrollen, alte Zugangsdaten und Drittanbieter-Tools, die schneller missbraucht werden, als Teams sie überprüfen.

KI macht aufgeschobene Kontrollen sichtbar

IBM X-Force berichtet im 2026 Threat Intelligence Index, dass Angriffe über öffentlich zugängliche Anwendungen im Jahresvergleich um 44 Prozent zugenommen haben. Gemeint sind Login-Portale, API-Endpunkte, Administrationsoberflächen, vergessene Plugins oder sichtbare Dienste, die später geprüft werden sollten.

Nur hat dieses “später” seinen Preis verändert. Wenn Angreifer KI nutzen können, um schneller zu scannen, technische Dokumentation zusammenzufassen, Exploit-Varianten zu schreiben und geleakte Zugangsdaten in funktionierenden Zugriff zu verwandeln, erhält jede alte Verzögerung einen neuen Multiplikator. Eine vernachlässigte Kontrolle reicht, wenn Automatisierung die Suche billiger macht.

Dasselbe Muster zeigte sich in der Analyse von Outlier Report zu AI browser agents: Die neue Gefahr war nicht Magie. Sie bestand aus gewöhnlichem Vertrauen in ein System, das lesen, klicken und in Maschinengeschwindigkeit gehorchen kann.

Der Einbruch beginnt vor der KI-Geschichte

Laut IBM wurde die Ausnutzung von Schwachstellen zur führenden Ursache von Angriffen und machte 40 Prozent der von X-Force im Jahr 2025 beobachteten Vorfälle aus, wie die Mitteilung von IBM zusammenfasst. Die praktische Frage lautet daher nicht nur: Was passiert, wenn Angreifer KI einsetzen? Sie lautet zuerst: Was haben wir ihnen bereits offen gelassen?

In kleineren Unternehmen, Agenturen und wachsenden Produktteams ist die Antwort selten spektakulär. Ein SaaS-Konto bleibt aktiv, obwohl ein externer Mitarbeiter längst weg ist. Ein öffentliches Dashboard hängt an einem wiederverwendeten Passwort. Eine Web-Abhängigkeit hat keinen klaren Besitzer. Ein Support-Postfach kann zu viele andere Konten zurücksetzen. Ein API-Schlüssel liegt in einem Dokument, das für Bequemlichkeit gedacht war, nicht für Schutz.

Das Identitätsproblem lag offen zutage

Die Pointe des Berichts ist nicht, dass KI unwichtig wäre. Sie lautet vielmehr, dass die KI-Schicht auf Identitäts- und Expositionsproblemen liegt, die viele Organisationen bereits unterschätzt haben. IBM hebt hervor, dass 56 Prozent der veröffentlichten Schwachstellen keine Authentifizierung erforderten, während mehr als 300.000 Zugangsdaten für KI-Chatbots im Dark Web zum Verkauf beobachtet wurden, so der Berichtshub für 2026.

Wenn mehr als die Hälfte der veröffentlichten Schwachstellen keinen Login verlangt, muss ein Angreifer möglicherweise nicht einmal zuerst ein Passwort stehlen. Gestohlene Chatbot-Zugangsdaten schaffen zudem ein anderes Problem: private Prompts, Geschäftskontext, Kundenschnipsel, interne Notizen und verbundene Abläufe können zu durchsuchbarem Material werden.

Deshalb gehören data brokers and exposed personal data in dieselbe Debatte. Datenpannen beginnen selten mit der einen dramatisch aufgebrochenen Tür. Sie beginnen mit genügend losem Kontext, der die nächste Tür leichter öffnet.

Was vor dem nächsten KI-Sicherheitstool zu tun ist

Der nüchterne Gegenentwurf besteht nicht darin, KI-gestützte Angriffe zu ignorieren. Er besteht darin, sie nicht als separates Universum zu behandeln. Wenn Patching, Authentifizierung, Protokollierung und Offboarding schwach sind, erzeugt KI die Schwäche nicht. Sie beschleunigt nur die Rechnung.

Ein realistisches Team kann mit einer kurzen Kontrollprüfung beginnen: alle öffentlich erreichbaren Anwendungen erfassen und Verantwortliche benennen; MFA dort aktivieren, wo eine Kontoübernahme Schaden anrichtet; inaktive Konten wöchentlich löschen; Schlüssel aus alten Repositories und geteilten Dokumenten rotieren; Drittanbieter-Apps an E-Mail, Cloud-Speicher, CRM und Code prüfen; Alarme für unmögliche Logins, Massendownloads und neue Admin-Konten setzen.

Wenn das grundlegend klingt, ist genau das der Punkt. Auch die Debatte über MFA ist eine Debatte über Kontrollqualität, weshalb die Rangliste zu MFA methods that fail fast neben jedes Budget für KI-Sicherheit gehört.

Der Fehler besteht darin, Werkzeuge zu kaufen, die die Zukunft sehen sollen, während die Gegenwart noch undicht ist. Bevor Sie fragen, ob Angreifer KI nutzen, fragen Sie, welche langweilige Kontrolle schneller versagen würde, wenn sie es tun.