Assume Breach - KI Sicherheit

KI macht Assume reach zur neuen Realität.

Bösartiger KI-Code entwickelt sich zu schnell, als dass Patches kritische Infrastrukturen schützen könnten

Durch KI wird „Assume Breach“ zur neuen Realität.
Wenn KI in einem Bruchteil von Sekunden Schadcode erzeugt, reichen Patches und Updates für einen wirksamen Schutz unserer kritischen Infrastruktur nicht mehr aus.

Disclaimer:

Im aktuellen Bericht „DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2025“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI), schlussfolgert die oberste Cybersicherheitsbehörde in Deutschland:

„Je schlechter eine Angriffsfläche geschützt wird, desto wahrscheinlicher wird ein erfolgreicher Angriff. Dagegen senkt jedes konsequente Angriffsflächenmanagement – etwa ein restriktives Zugangsmanagement, zeitnahe Updates oder die Minimierung öffentlich erreichbarer Systeme – das Risiko erfolgreicher Angriffe unmittelbar.“

Diese Aussage greift angesichts der ungebremsten Ausbreitung von KI viel zu kurz. Die Angreifer sind entweder schon längst drin oder grade dabei, jede noch so gute Abwehr unmittelbar zu umgehen (assumed breach). Der Begriff „zeitnahes Update“ wird durch die Möglichkeiten von KI-automatisierten Angriffen in den kommenden Wochen und Monaten weniger Relevanz als Schutzmaßnahme haben, da die Automatisierung das Zeitfenster zwischen Bekanntwerden einer Schwachstelle und deren Ausnutzung durch KI-Angriffe auf wenige Minuten bis Sekunden reduziert. Das bedeutet nicht, dass auf die Pflege der Systemsicherheit mittels Patches und Updates verzichtet werden soll, aber dass wir uns über die erfolgreiche Absicherung eines Systems durch eine solche Praxis keine Illusionen mehr machen dürfen.

Warum wir durch KI davon ausgehen müssen, dass Systeme bereits kompromittiert sind.

Die Landschaft der Cybersicherheit verändert sich durch KI in beunruhigender Geschwindigkeit.
Im Zeitalter vor LLMs war das Schreiben von Schadcodes für Schwachstellen, deren Test und Anwendung eine zeitaufwendige, meist manuelle Arbeit von hochspezialisierten Red Teams. Heute kann auf Basis von leistungsfähigen KI-Modellen ein großer Teil der manuellen Arbeiten im Pentesting automatisiert und skaliert werden. Insbesondere die KI-basierte Erzeugung von Schadcode – von polymorpher Malware bis hin zur automatisierten Entdeckung von Schwachstellen – verschärft ein fundamentales Problem: ein immer knapper werdendes Zeitfenster zur Schließung von Schwachstellen durch Updates und Patches.

Die neue Cybersecurity Wirklichkeit: KI generierter Schadcode als Waffe

Die traditionelle Cybersicherheit basierte lange auf den Methoden der Signaturerkennung. Antivirenprogramme und Intrusion Detection Systeme suchten in Dateien und Arbeitsspeichern nach bekannten Mustern (“Signaturen”) schädlicher Software. Diese Methode funktioniert gegen die neue Generation KI-generierter  Bedrohungen nur noch unzureichend bis gar nicht mehr.

Hier sind ein paar Beispiele:

KI Cybersecurity

Polymorphe Malware am Fließband durch generative KI:

KI-Modelle, insbesondere große Sprachmodelle (LLMs), können Code nicht nur generieren, sondern auch ständig mutieren lassen.
Polymorphe Malware ändert kontinuierlich ihre Signatur und ihr Erscheinungsbild, ohne ihre Kernfunktion zu verlieren. Für klassische, signaturbasierte Sicherheitstools bleibt sie dadurch unsichtbar. Ein bekanntes Muster, das gestern erkannt wurde, ist heute bereits eine neue, unbekannte Variante. Das LLM kann dabei in fast beliebigen Geschwindigkeiten einen Schadcode mutieren und neue Varianten mit neuen Signaturen erzeugen. Das Training von Signatur-Erkennungen bei Antiviren-Software und Intrusion-Detection-Systemen wird dadurch zunehmend mit neuen Schadcode-Varianten geflutet. Sind die Abwehrsysteme trainiert und ausgeliefert, ist deren Informationsgrundlage zur Signatur-Erkennung bereits veraltet.

Automatisierte Jagd nach Zero-Day-Schwachstellen:

Insbesondere LLMs können riesige Mengen an Code analysieren und Schwachstellen auf Basis von erlernten Fehlermustern finden. Wie die Modelle von Anthropic bereits erfolgreich zeigen, kann KI diesen Prozess automatisieren und gezielt nach Zero-Day-Lücken suchen. Und damit Sicherheitslücken generieren, die den Entwicklern selbst noch unbekannt sind und für die es daher noch keinen Patch gibt. Diese KI-automatisierten Angriffe werden in naher Zukunft in logischer Konsequenz zu einer “automatisierte Zero-Day-Attack-Fabrik” führen.

Das KI-Dilemma der Zero-Day-Exploits:

Ein Zero-Day-Exploit ist per Definition ein Angriff, der vor dem Verfügen eines Patches oder Updates stattfindet.
Das bedeutet:

  • Keine Vorwarnung: Sicherheitsteams haben keine Zeit, sich vorzubereiten.

  • Lange Inkubationszeit: Es kann Tage, Monate oder sogar Jahre dauern, bis eine solche Lücke entdeckt und behoben wird. Während dieser Zeit ist das System bereits kompromittiert.

  • Die KI verkürzt nun die Zeitspanne zwischen der Entdeckung einer Zero-Day-Lücke und ihrer Ausnutzung dramatisch.
    Wo Angreifer früher Wochen oder Monate brauchten, um einen funktionierenden Exploit zu entwickeln, kann die KI durch einen reinen „Brut Force“ über zig Iterationen von automatisch erzeugten Schadcode-Varianten das Entwickeln von Zero-Day-Exploits in Stunden, Minuten oder sogar Sekunden erledigen.

Die neue Sicherheits-Prämisse muss „Assume Breach“ lauten

Angesichts dieser Realität muss sich das Paradigma „Patch und Update“ der Cybersicherheit ändern. Wir dürfen nicht länger davon ausgehen, dass unsere Systeme sicher sind, nur weil alle Patches installiert wurden.

Stattdessen müssen wir den Status “Assume Breach” verinnerlichen: Gehen Sie immer von einer Kompromittierung deiner Systeme aus.

Die Konsequenzen für Cybersicherheit:

Der Fokus muss von der Signaturerkennung auf die Verhaltensanalyse verlagert werden.
Systeme müssen erkennen, ob sich Prozesse untypisch verhalten, selbst wenn der Code unbekannt ist. Interessanterweise ist KI hier ein hilfreiches Werkzeugt zur Abwehr von Angriffen durch KI.

Im KI-Zeitalter ist kein Benutzer, kein Gerät und keine Anwendung mehr vertrauenswürdig.
Eine kontinuierliche Überprüfung und strenge Mikrosegmentierung sind notwendig, um die Ausbreitung eines Angriffs im Falle einer Kompromittierung zu begrenzen und damit die Resilienz der Infrastruktur zu erhöhen. Dabei wird die Fähigkeit, einen Angriff schnell zu erkennen, einzudämmen und sich davon zu erholen, wichtiger sein als die reine Prävention durch Updates und Patches.

Das Zeitalter von KI-automatisierten Schadcodes bedeutet, dass wir uns von der Hoffnung auf vollständigen Schutz verabschieden müssen.
Stattdessen müssen wir in eine Infrastruktur investieren, die auf Resilienz und schnelle Reaktion ausgelegt ist. Der “Feind” ist schneller und wir müssen unsere Verteidigungsstrategien entsprechend anpassen. Daher müssen wir ständig damit rechnen, dass der Angriff bereits erfolgt ist, bevor wir davon erfahren.
Nochmal: Assume Breachmuss verinnerlicht werden.

Schloss mit asvin Logo

Bei asvin Labs haben wir in unserer Cybersecurity Reseach erfolgreich demonstriert, wie mit Hilfe von KI ein Schadcode für eine aktuelle Schwachstelle in wenigen Sekunden generiert und durch KI-Agenten angewendet werden kann. Das Management von Cybersicherheitsrisiken und Analyse-Werkzeuge zur Planung von effektiven Abwehrmaßnahmen ist daher unerlässlich.

Mit Risk-By-Context und unseren Tools für kontextoptimierte Cyber Threat Intelligence (CTI) leisten wir einen wichtigen Beitrag um die Herausforderungen durch KI-basierte Angriffe zu meistern.