Die Gefahr durch Cyberkriminalität ist im vergangenen Jahr weiter gestiegen. Auch, weil künstliche Intelligenz die Angriffsaktivitäten immens verstärkt. Umgekehrt bietet die Technologie jedoch auch Potenzial für die Cyberabwehr. Deshalb stellt sich die Frage: Ist KI Fluch oder Segen für die IT-Sicherheit? Christian Nern, Partner, und Julian Krautwald, Senior Manager bei KPMG, haben die Antwort.
Während sich Banken und Versicherungen höchstens auf Produktebene mit KI befassen, sie bei der IT-Sicherheit aber nur stiefmütterlich behandeln, haben Kriminelle jene Lücken längst identifiziert und nutzen sie.
(Bild: scaliger - stock.adobe.com)
Das „Bundeslagebild Cybercrime“ gleicht einem Eisberg. Neun von zehn Straftaten werden nicht zur Anzeige gebracht, schätzt Innenministerin Nancy Faeser. Der jährliche Report des Bundeskriminalamts (BKA) macht also nur die Spitze sichtbar. Der Rest passiert im Verborgenen – unter der Wasseroberfläche. Da besorgt es umso mehr, dass die Gefahr durch Internetkriminalität im vergangenen Jahr erneut gestiegen ist. Zwar sei die Zahl der Straftaten aus dem Inland um etwa zwei Prozent gesunken. Die Summe jener Angriffe, die aus dem Ausland oder von unbekannten Orten aus erfolgte, hat sich dagegen um fast 30 Prozent erhöht.
Die Ursache für den Anstieg lässt sich allen voran durch den Krieg gegen die Ukraine begründen. So hat sich laut IT-Branchenverband Bitkom die Zahl der aus Russland gemessenen Angriffe innerhalb von nur zwei Jahren verdoppelt. Beinahe jede zweite Attacke kann laut BKA dorthin zurückverfolgt werden. Die Täter haben es dabei insbesondere auf kritische Infrastruktur abgesehen. Neben Verwaltungen, Hochschulen oder Krankenhäusern rücken deshalb auch Finanzunternehmen immer häufiger ins Fadenkreuz der Hacker.
Ein zweites Problem: Die Kriminellen profitieren dabei immer stärker vom technischen Fortschritt. Künstliche Intelligenz (KI) hat ihnen das Leben gehörig erleichtert. Mithilfe von KI-Tools, insbesondere Large Language Models (LLMs) wie jenes, das dem Chatbot von ChatGPT zugrunde liegt, können sie in Sekundenschnelle effiziente Codes schreiben. Auf der anderen Seite kann die Technologie aber auch Unternehmen bei der Cyberabwehr helfen, indem sie Anomalien oder Schwachstellen identifiziert und darauf reagiert. Daher ist die fortschreitende Entwicklung der KI für die IT-Security ein zweischneidiges Schwert. Aber ist sie nun Fluch oder Segen?
Zum einen hat sie die Bedrohungslage durch Internetkriminalität grundlegend verändert. Das zeigt sich vor allem durch die Qualität und Effektivität von Phishing-Kampagnen, die sich durch generative KI gravierend erhöht haben. So können Kriminelle fingierte, aber dafür täuschend echt aussehende E-Mails mithilfe von KI nicht nur in Windeseile erstellen, sondern auch noch in großer Anzahl automatisiert und dadurch zur selben Zeit versenden. Das bedeutet weniger Aufwand und mehr Ertrag – ergo: mehr Effizienz für die Cyberattacke.
Neben solch naheliegenden Use Cases bietet die Technologie jedoch auch viel tiefergehende Vorteile. Zum Beispiel, indem sie eigentlich für die Cyberabwehr entwickelte LLMs kapert und für die eigenen Ziele missbraucht. Penetrationstests sind hier als Beispiel zu nennen. Die Tests sind dazu konzipiert, um Schwachstellen in den IT-Systemen zu identifizieren und zu melden. Früher mussten Kriminelle Offensive-Security-Wissen mitbringen, um einen Payload zu schreiben, der die gefundenen Schwachstellen ausnutzt. Heute könnten sie eine KI, die auf Penetrationtesting ausgelegt ist, einfach darum bitten, einen Code zu schreiben, der die gefundene Schwachstelle ausnutzt – und brauchen dafür noch nicht einmal Programmierkenntnisse.
Auf der anderen Seite können sich Hacker die fehlenden Coding-Kenntnisse ihrer Anwender zunutze machen. Indem sie die Trainingsdaten einer generativen KI so manipulieren, dass sie fehlerhafte Codezeilen generiert. Angenommen ein Mitarbeiter im Bereich IT-Sicherheit einer Bank möchte mithilfe von generativer KI eine Schwachstelle in einer Anwendung beheben und promptet dem Chat-Bot, den entsprechenden Code dafür zu erstellen. Der Hacker könnte die Ausgabe der KI jedoch derart fingieren, dass ihm der Bot eine Hintertür in den Code hineinschreibt. Der Mitarbeiter würde den Code samt Schlupfloch nichtsahnend in die Anwendung einbauen, statt sie zu reparieren, und der Kriminelle könnte die Sicherheitslücke ausnutzen.
Anomalien erkennen und lernen
Eine ganz andere Dimension erreicht diese Art der Cyberkriminalität, wenn sie in der Cloud stattfindet. Hier, wo nicht nur ein Kernbankensystem, eine Kundendatenbank oder ein Meldewesen angedockt ist, sondern wo gleich tausende von Unternehmen betroffen sind, wenn sich ein fehlerhafter Code einschleicht, ist der Schaden ungleich größer. Umso wichtiger ist es, die IT-Security resilienter gegen KI-Attacken aufzustellen.
Die gute Nachricht: Auch hier kann Künstliche Intelligenz und insbesondere generative KI ein probates Mittel sein. Zum Beispiel bei der Erkennung von Anomalien, wie es innerhalb einiger SIEM-Tools schon gang und gäbe ist. SIEM steht für Security Information and Event Management. Diese Tools monitoren die IT-Security ganzheitlich, indem sie alle relevanten Daten an zentraler Stelle sammeln und mittels gezielter Analyse darin Muster erkennen, die auf Sicherheitsvorfälle schließen lassen – sogenannte Anomalien. KI erhöht die Effizienz dieser Tools enorm, weil sie die Erkennungsrate exorbitant steigert. Das liegt unter anderem daran, dass sie aus Ereignissen der Vergangenheit lernt und daraus Schlüsse für künftige Vorfälle ziehen kann. Beispiel: Wenn sich ein Mitarbeiter immer zwischen 9 und 17 Uhr ins System einloggt, wird die KI misstrauisch, wenn er das plötzlich um 2 Uhr nachts tut. Herkömmliche SIEM-Tools können das in diesem Umfang kaum leisten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Zwar kann KI nicht jeden Angriff verhindern. Aber sie kann auch dann noch eingreifen, wenn er bereits erfolgt ist, und dabei helfen, die Systeme zu schützen. Natürlich ist die automatisierte Reaktion auf derartige Vorfälle nichts Neues. In der Incident Response wird sie mithilfe von sogenannten Playbooks umgesetzt. Darin ist etwa niedergeschrieben, mit welchen Maßnahmen die IT-Security reagiert, wenn sie infiltriert wurde. Egal ob dabei Systeme isoliert werden, weil sie von einem Virus befallen sind, oder ob eine E-Mail automatisiert an Mitarbeiter versendet wird, um sie vor einem Trojaner zu warnen. KI kann diese Mechanismen aber auf eine neue Stufe heben – indem sie nicht nur manuell aufgesetzte Prozesse automatisiert auslöst, sondern aus Vorfällen der Vergangenheit lernt, die Prozesse optimiert und in einem neuen Playbook zusammenfasst.
Diese Informationen helfen also nicht nur bei Reaktionen auf bestehende Angriffe, sondern sie können auch Erkenntnisse über neue Attacken liefern. Und mit der Hilfe von KI können Unternehmen genau die Funktion institutionalisieren – zum Beispiel über sogenannte Threat Modeling Chatbots. Diese können dann zum Beispiel im Rahmen der Softwareentwicklung eingesetzt werden: Wann immer eine neue Anwendung geschrieben wurde, können diese Bots sie dahingehend untersuchen, welche Bedrohungen auf die IT-Systeme mit ihnen einhergehen könnten. Dafür werden sie mit bestehenden Dokumentationen gefüttert und per Prompt darum gebeten, sie zu analysieren und ein Bedrohungsszenario zu formulieren. Die Ergebnisse können dann zum Beispiel wiederum ins SIEM-Tool eingespeist werden um die Detektion zu optimieren. Während ein Mensch mit Bordmitteln dafür enorm viel Zeit benötigen würde, erledigt die KI all das in wenigen Sekunden.
Weniger Handarbeit, mehr Qualitätssicherung
Beispiele wie diese zeigen, dass Künstliche Intelligenz die Arbeitsweise der IT-Security komplett verändern wird. Während die Technologie die Handarbeit vom Menschen übernimmt, weil sie diese viel schneller und viel präziser erledigen kann, wird es die humane Instanz vor allem in der Qualitätssicherung umso stärker brauchen. Dadurch werden Mitarbeiter künftig weniger programmieren und dafür häufiger kontrollieren.
Aber darauf müssen sich insbesondere Finanzunternehmen noch einstellen. Hier wird die Transformation stark von der Regulatorik getrieben. DORA (Digital Operational Resilience Act) oder der AI-Act der EU sind nur zwei Beispiele dafür. Allerdings entwickeln Unternehmen ihre Modelle aktuell noch viel zu losgelöst von den regulatorischen Rahmenbedingungen – und von der IT-Security. Diesen Schritt sind die Hacker ihren Opfern aktuell voraus. Denn während sich Banken und Versicherungen auf der Produktebene mit KI befassen, die Sicherheit dabei oft aber nur stiefmütterlich behandeln, haben Kriminelle jene Lücken längst identifiziert und nutzen sie. Und solange das so bleibt, wird der Eisberg unter der Wasseroberfläche weiter unentdeckt wachsen.
Zu den Autoren
Christian Nern ist Partner und Head of Security bei KPMG im Bereich Financial Services in München. Vor seiner Tätigkeit bei KPMG hat der Diplom-Kaufmann 25 Jahre lang in exponierten Leadership-Positionen verschiedener Bereiche in der IT-Industrie gearbeitet.
Julian Krautwald ist Senior Manager bei KPMG im Bereich Financial Services und verfügt über langjährige Berufserfahrung in Beratungs- und Implementierungsprojekten rund um das Thema Informationssicherheit.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/1e/091ed8cb9e5ff2018767a38d5f3e6c01/0128644514v2.jpeg "In Europa werden vor allem Infostealer, Spyware und Backdoors eine zunehmende Bedrohung für Unternehmen. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/0d/d00d9817e95b958c4e9a5de3827f97dc/0128941867v2.jpeg "Die StackWarp-Sicherheitslücke in AMD-Prozessoren ermöglicht Angreifern, durch Manipulation des Stack-Pointers Sicherheitsmechanismen zu umgehen und auf vertrauliche Daten in virtuellen Maschinen zuzugreifen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/f5/20/f5202ba457b5b1acd41cf9dcf7fee081/0128966225v1.jpeg "SASE-Plattformen verarbeiten Sicherheitsfunktionen direkt im Datenstrom. Leistungsengpässe wirken sich sofort auf Anwendungen und Richtliniendurchsetzung aus. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/d5/07d5de7cfa895e90d88fc9023a0d7050/0128728878v1.jpeg "Zahlen, Vergütung, Transparenz: Der Gehaltsreport zeigt, wie unterschiedlich Einkommen in Deutschland ausfallen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/fb/de/fbded6da133c194ac3c05e63a1e7993e/0119595839v2.jpeg "Der Datenhunger der künstlichen Intelligenz wächst ständig weiter, der Datenschutz ist ein probates Mittel um ihn einzuhegen. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/a9/42a9e6ab8f26e608799fc59ee7eb6eaa/0112150345.jpeg "Dieser Podcast eskaliert! Vom sukzessiv minimierten Restrisiko nähern wir uns schließlich doch noch dem verheerenden Katastrophenfall an. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/b4/16b43e478eaa77ea321c3b5f3620f977/0125290179v1.jpeg "Autoren: Anna Collard, SVP Content Strategy & Evangelist KnowBe4 Africa & Dr. Martin Krämer, Security Awareness Advocate bei KnowBe4. (Bild: KnowBe4 )")
:quality(80)/p7i.vogel.de/wcms/5a/a9/5aa92e562cd446b8b13a97f8c70695ad/0122454407v2.jpeg "Erfahren Sie, wie die DORA-Richtlinie neue Maßstäbe in der Cybersicherheit setzt, warum modellbasierte SIEM Use Cases unverzichtbar sind und wie Threat Lead Penetration Testing die digitale Resilienz entscheidend stärkt. Jetzt für 2025 optimal vorbereiten! (Bild: anaumenko - stock.adobe.com)")