Künstliche Intelligenz verändert die Fähigkeiten von Cyberangreifern grundlegend – und damit das gesamte Bedrohungsumfeld praktisch jeder Branche. Für Betreiber Kritischer Infrastrukturen ist dieser Wandel besonders relevant. Angreifer setzen zunehmend automatisierte Tools und KI-gestützte Techniken ein, um Aufklärung, Ausnutzung von Schwachstellen und Social-Engineering-Angriffe erheblich zu beschleunigen.
Die wichtigste Veränderung ist einfach: KI ermöglicht Skalierung – in beide Richtungen, für Angriff und Verteidigung.

Ein Blick zurück etwa ein Jahrzehnt zeigt, dass die Grundlagen autonomer Cybersicherheit bereits bei der von DARPA zwischen 2014 und 2016 organisierten Cyber Grand Challenge sichtbar wurden. Die Wettbewerbe zeigten, dass vollständig autonome Systeme Software-Schwachstellen ohne menschliches Zutun erkennen, ausnutzen und patchen können. Diese autonomen Systeme arbeiteten deutlich schneller als Menschen, entdeckten und behoben Schwachstellen automatisiert und skalierten weit über menschliche Prozesse hinaus.

Was damals noch experimentelle Forschung war, wird heute zunehmend zur operativen Realität.

Viele der Entwicklungen, die damals vorhergesagt wurden, sind mittlerweile Teil realer Cyberoperationen. Ransomware-as-a-Service hat Cyberkriminalität industrialisiert, und KI automatisiert zunehmend die Entwicklung und Verbreitung von Schadsoftware. Die Zeit zwischen Erstkompromittierung und vollständiger Verschlüsselung hat sich drastisch verkürzt, während KI-gestützte Phishing-Kampagnen höhere Erfolgsraten erzielen als je zuvor. Diese Entwicklungen zeigen: Cyberangriffe werden automatisiert, skalierbar und adaptiv – und erhöhen damit den Druck auf Betreiber Kritischer Infrastrukturen.

Für Unternehmen, die kritische Infrastruktur betreiben, haben diese Entwicklungen unmittelbare betriebliche Auswirkungen. Durch die Verfolgung von Bedrohungskampagnen, die auf bestimmte Branchen, Wettbewerber oder geografische Regionen abzielen, können Betreiber in den Bereichen Energie, Verkehr und Gesundheitswesen ihre Abwehrmaßnahmen und ihre Betriebsbereitschaft proaktiv anpassen. Die Erfassung externer Angriffsflächen und die Identifizierung von Schwachstellen in IT-, OT- und ICS-Umgebungen ermöglicht es Unternehmen, Abhilfemaßnahmen und kompensierende Kontrollen auf der Grundlage aktueller Ausnutzungstrends zu priorisieren. Darüber hinaus unterstützt KI-gesteuerte Cyber Threat Intelligence (CTI) eine schnellere und gezieltere Reaktion auf Vorfälle sowie die Bedrohungssuche und hilft Teams dabei, komplexe mehrstufige Angriffe zu bewerten und Maßnahmen über IT, OT und nationale Akteure hinweg zu koordinieren.

Erkenntnisse aus einer Umfrage unter Betreibern im Energiesektor unterstreichen die wachsende Bedeutung von umsetzbarem Threat Intelligence. Unternehmen betonten durchweg die Notwendigkeit einer frühzeitigen Überwachung von Bedrohungen in ihrem geopolitischen Umfeld, kontextbezogener Warnmeldungen für ihre eigenen IT-Systeme sowie Leitlinien für die Priorisierung von Ressourcen und Sicherheitsentscheidungen.

Viele Detektionsansätze beruhen auf der Annahme, dass bösartiges Verhalten wiedererkennbare Muster zeigt.
Mit KI ändert sich dies: automatisierte Tools generieren einzigartige, adaptive Angriffsvarianten – Mustererkennung allein reicht nicht mehr aus.

Um diesen Herausforderungen zu begegnen, muss KI-basierte CTI zu einer zentralen Fähigkeit Kritischer Infrastrukturbetreiber werden. Sie ermöglicht es, Bedrohungen früher zu identifizieren, Angriffskampagnen im Kontext zu verstehen, Schutzmaßnahmen gezielt zu priorisieren und Incident Response zu beschleunigen.

Künstliche Intelligenz verändert die Cybersicherheitslandschaft in bisher ungekannter Geschwindigkeit. Betreiber Kritischer Infrastrukturen müssen sich strategisch und technologisch anpassen, um sich gegen KI-basierte Angriffe zu wappnen. Im nächsten Artikel beleuchten wir Cybersicherheits-Frameworks, die Unternehmen dabei unterstützen, sich auf eine zunehmend automatisierte Bedrohungslandschaft vorzubereiten.