Der „Threat Landscape Digest März bis April 2026“ der Sicherheitsforscher von Check Point Research dokumentiert mehrere Sicherheitsvorfälle, die insgesamt bestätigen, was die Branche bereits seit langem erwartet hat: KI-gestützte Angriffe haben die experimentelle Phase hinter sich gelassen und werden nun routinemäßig von Kriminellen eingesetzt.

KI-gesteuerte Angriffe haben sich vom experimentellen, staatlich geförderten Einsatz zum kriminellen Einsatz in der Praxis entwickelt. Agentische Konfigurationsdateien werden als persistente Jailbreak-Vektoren missbraucht. Anstatt sich mit den Sicherheitskontrollen einer KI auseinanderzusetzen, ändern Angreifer die Regeln, nach denen sie arbeitet. Indem sie bösartige Anweisungen in die Konfigurationsdateien einschleusen, die KI-Codierungstools beim Start automatisch laden, können sie das Modellverhalten einmalig überschreiben und dafür sorgen, dass es stillschweigend über jede Sitzung hinweg bestehen bleibt – auch auf den Rechnern von Entwicklern, die keine Ahnung haben, dass die Datei dort ist.

KI-gestützte Angriffsplattformen vermarkten KI-Fähigkeiten. EvilTokens bündelt eine komplette KI-Angriffspipeline in einem Produkt, das jeder Kriminelle erwerben kann. Modellauswahl, Jailbreaking und Ausgabebereitstellung werden hinter den Kulissen abgewickelt. Die ausgefeilte Technologie wurde einmal entwickelt und wird nun automatisch an jeden Kunden ausgeliefert, was die Hürde für die Durchführung komplexer KI-gestützter Betrugsangriffe drastisch senkt.

Anmeldedaten von KI-Anbietern sind zu einem hochkarätigen Ziel geworden. API-Schlüssel für Anthropic, OpenAI, Groq, Mistral und andere werden gezielt neben herkömmlichen Anmeldedaten gesammelt. Gestohlene Schlüssel verschaffen Angreifern ohne Konto Zugriff auf leistungsstarke KI-Dienste, lassen ihre Operationen so erscheinen, als stammten sie von legitimen Nutzern, und sind für Anbieter schwer zu unterbinden, sobald sie einmal erbeutet wurden.

Der KI-Hack aus Mexiko als Beispiel

Ein einzelner Cyberkrimineller in Mexiko hat, wie im Berichtszeitraum bekannt wurde, insgesamt neun Regierungsbehörden mit über 5.000 von KI ausgeführten Befehlen kompromittiert. Der Vorfall zeigt, dass diese Fähigkeit nicht mehr auf staatliche Akteure beschränkt ist. Finanziell motivierte Kriminelle setzen sie heute in großem Umfang ein. Die vom Angreifer aufgebaute Architektur ist es wert, im Detail betrachtet zu werden, da sie mit ziemlicher Sicherheit an anderer Stelle nachgebildet wird. Der Angreifer betrieb zwei kommerzielle KI-Systeme parallel: eines kümmerte sich um die Live-Ausnutzung, das andere verarbeitete die gesammelten Daten und speiste Anweisungen zurück in das erste. Die kognitive Last, die zuvor ein erfahrenes Team erfordert hätte, wurde automatisch in einer Schleife über Wochen hinweg bei anhaltendem Zugriff bewältigt. Die Jailbreak-Methode war in ihrer Einfachheit elegant. Anstatt mit der KI zu streiten, veränderte der Angreifer die Umgebung, in der die KI operierte. Er änderte einfach die Datei, die sie beim Start liest, und bettete Anweisungen ein, die jede nachfolgende Sitzung ohne Frage übernahm. Von diesem Zeitpunkt an arbeitete die KI nach den Regeln des Angreifers, nicht nach denen des Entwicklers. Der Angreifer hatte das Standardverhalten der KI effektiv auf der architektonischen Ebene umprogrammiert, nicht auf der Ebene der Konversation.

EvilTokens: Der Jailbreak als Produktfunktion

EvilTokens ist das Ergebnis, wenn diese Art von Fähigkeit in ein Produkt verpackt wird. Ein Käufer erwirbt Zugriff und erhält KI-generierte Phishing-E-Mails, die im Stil des Ziels verfasst sind, die automatische Extraktion von Finanzdaten aus Tausenden von Posteingängen sowie gefälschte Kalendereinladungen, die zeitlich so abgestimmt sind, dass sie Druck im Zusammenhang mit Überweisungsanfragen erzeugen. Die Komplexität bleibt für den Käufer völlig unsichtbar. Der Social-Engineering-Druck wird kanalübergreifend automatisch koordiniert.

KI deckt Schwachstellen auf, die jahrzehntelang unentdeckt in der Kerninfrastruktur schlummerten, während Angreifer auf der anderen Seite neu veröffentlichte Sicherheitshinweise innerhalb von Stunden in funktionierende Exploits umwandeln. Die Zeitspanne zwischen Offenlegung und Ausnutzung wurde früher in Wochen gemessen. Heute wird sie in Stunden gemessen. Unternehmen, die monatliche Patch-Zyklen durchführen, arbeiten nach einem Zeitplan, der einer anderen Ära der Sicherheit angehört.

KI-Bedrohungslandschaft

Der rote Faden, der sich durch alle Fälle zieht, ist derselbe: KI verkürzt die Zeit, vergrößert den Umfang und senkt die Anforderungen an die Fähigkeiten, die für die Durchführung ausgefeilter Angriffe erforderlich sind. Abwehrmaßnahmen, die auf das Tempo menschlicher Angriffe abgestimmt sind, sind für diese Umgebung nicht geeignet. Unternehmen müssen sich deshalb direkt mit diesen Elementen auseinandersetzen:

• Shadow-KI ist ein Problem der Datenlecks. Jede fünfte KI-Anfrage in Unternehmen enthält potenziell sensible Informationen, und die meisten Unternehmen haben nur begrenzte Einsicht darin, was an welche Tools gesendet wird.
• KI-Konfigurationsdateien stellen mittlerweile ein Risiko für die Lieferkette dar. Eine bösartige Datei in einem Pull-Request oder einem kompromittierten Repository kann das Verhalten eines KI-Agenten unbemerkt neu definieren, bevor ein Mensch dies überprüft. Diese Dateien müssen genauso genau geprüft werden wie Code-Abhängigkeiten von Drittanbietern.
• KI-Anmeldedaten benötigen denselben Schutz wie Cloud-Zugriffsschlüssel. Sie ermöglichen dauerhaften Zugriff, begünstigen Identitätsmissbrauch und werden in großem Umfang aktiv abgegriffen.

• Patch-Zyklen müssen schneller werden. Funktionierende Exploits tauchen bereits innerhalb von Stunden nach der Veröffentlichung von Schwachstellen auf. Wöchentliche oder monatliche Patch-Prüfzyklen halten mit der Geschwindigkeit der Bedrohung nicht mehr Schritt.

Die Lücke bei der Zuordnung ist struktureller Natur. Jeder dokumentierte Vorfall wurde durch Fehler der Angreifer oder durch Überwachung auf Anbieterseite entdeckt, nicht durch Kontrollen auf Opferseite. Von KI ausgeführte Befehle sehen aus wie geschickte menschliche Aktivitäten. Unternehmen, die sich allein auf Verhaltenserkennung verlassen, sehen nicht das ganze Bild. Prävention muss an erster Stelle stehen. Reaktionszeiten, die gegen menschliche Angreifer funktionieren, funktionieren nicht gegen Angriffe mit maschineller Geschwindigkeit.

Fazit
Die Absicherung der KI-Transformation bedeutet, den gesamten KI-Stack zu schützen – von den Mitarbeitern, die täglich KI-Tools nutzen, über die mit KI-Fähigkeiten entwickelten Anwendungen bis hin zu den systemübergreifend operierenden autonomen Agenten. Dazu gehört auch die Sicherheit für die Netzwerkinfrastruktur, durch die der KI-Datenverkehr fließt – von der Firewall bis zum Rechenzentrum. Weitere Details lesen Sie hier: https://blog.checkpoint.com/research/ai-attacks-are-no-longer-experimental-key-findings-from-the-march-april-2026-ai-threat-landscape/