Künstliche Intelligenz beschleunigt die Cyberbedrohungslage – und verändert zugleich die Verteidigung. Von KI-gestütztem „Wipe Hacking“ über hochgradig personalisierte Phishing-Kampagnen bis hin zu neuen Risiken rund um Identitäten, Browser und Security-Tools: Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf, ordnet die wichtigsten Cybersicherheitstrends 2026 ein und zeigt, welche Schutzmaßnahmen jetzt entscheidend sind.
Foto: Arctic Wolf
Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf
„Wipe Coding“ und „Wipe Hacking“Sowohl auf Angreifer- als auch auf Verteidigerseite kommt vermehrt Künstliche-Intelligenz-Technologie zum Einsatz. Vor allem Large Language Models (LLMs) werden von Entwicklerinnen und Entwicklern etwa zum „Wipe Coding“, also für das Erstellen von Skripten und Codes, genutzt. Cyberkriminelle nutzen KI gleichermaßen für „Wipe Hacking“. Auch wenn sich Angreifer mithilfe von LLMs (noch) keine Exploits erstellen lassen können, so können sie doch durch die intelligenten Programme in Windeseile Angriffsflächen identifizieren. Ebenso unterstützt sie KI beim Kompromittieren von Systemen und dem anschließenden Erweitern ihres Zugriffs. Das erleichtert es den Hackern, Malware einzuschleusen, Daten abzugreifen und diese zu verschlüsseln.
Besonders deutlich macht sich der maliziöse LLM-Einsatz beim Phishing bemerkbar. Angreifer, die ein Mailkonto übernommen haben, nutzen bestehende E-Mail-Threads, um sich in Konversationen einzuschalten, Antworten mit passendem Kontext und stimmigem Tonfall zu generieren und so die Adressaten erfolgreich zu täuschen. Dieses als Man-in-the-Middle-Angriff bezeichnete Vorgehen, ist besonders perfide, da es von den Opfern kaum mehr als Cyberattacke identifiziert werden kann. Und so ist die Wahrscheinlichkeit hoch, dass sie auf eingebettete Links zu Phishing-Seiten in den authentisch wirkenden Nachrichten klicken, über die Zugangsdaten und MFA-Tokens abgegriffen werden. Gleichzeitig gilt: Solange einfache Standard-Phishing-Mails mit Nachrichten wie „Ihr Paket verspätet sich“ oder „Ihr Konto wurde gesperrt“ funktionieren, werden auch diese weiterhin inflationär eingesetzt. Solche Cyberangriffe ohne vorherigen Kontakt werden „Cold Phishing“ genannt.
Auch „Spear-Phishing“, also der direkte, gut recherchierte Angriff auf Individuen und „Big Whaling“, dedizierte Attacken auf Führungskräfte, werden effizienter: Öffentliche Profile auf LinkedIn und ähnlichen Seiten liefern detaillierte Informationen zu Position, Verantwortungsbereich und Historie sowie Vorlieben einer Zielperson. Diese Daten werden automatisiert in KI-gestützte Workflows eingebettet und E-Mails erzeugt, die kaum mehr von echter Kommunikation zu unterscheiden sind. KI kommt folglich insbesondere dann zum Einsatz, wenn es um besonders „wertvolle“ Angriffsziele geht. Unternehmen sollten sich dessen stets bewusst sein und weiterhin auf eine Sicherheitskultur mit entsprechenden Schulungsmaßnahmen in der Organisation setzen – für alle Mitarbeitenden, auch und besonders für die der Führungsebene.
Bei der Auswertung gestohlener Daten spielt KI ebenfalls eine immer größere Rolle. Hohe Datenmengen werden in Textform gebracht und mithilfe von LLMs nach sensiblen Informationen und relevanten Dokumenten durchsucht. So können Angreifer gezielt geeignete Druckmittel finden und die erwartbare Zahlungsbereitschaft auf Basis von Unternehmensdaten, Informationen zu Branche, Mitarbeiterzahl und Finanzberichten einschätzen.
Sicherheitsteams nutzen KI insbesondere dort, wo umfangreiche und vielfältige Daten aus Kundenumgebungen vorliegen. Da KI-Modelle nur so leistungsfähig sind wie die Daten, mit denen sie trainiert werden, entsteht ein echter Vorteil, wenn reale Incident-Daten vorliegen: Mit ihnen lassen sich Modelle entwickeln, die typische Angriffsmuster, Anomalien und Risikoindikatoren deutlich präziser erkennen. Durch die Analyse großer Mengen historischer Alerts, Logdaten und Incidents können KI-gestützte Detection-Modelle Verhaltensmuster identifizieren, die auf kompromittierten Identitäten, unberechtigte laterale Bewegung oder die Vorbereitung von Ransomware-Angriffen hindeuten. Gleichzeitig unterstützt KI bei der Anreicherung von Events mit Kontext, Priorisierung von Alerts sowie bei der automatisierten Klassifizierung von verdächtigen Aktivitäten. Das führt zu einer fundierten Entscheidungsfindung und einer schnelleren Reaktionszeit.
Mit dem fortbestehenden Wandel hin zu Cloud- und SaaS-Anwendungen rückt die Identität stärker in den Mittelpunkt von Cyberangriffen. Entsprechend verschiebst sich der Fokus von angegriffenen Endgeräten zu attackierten Nutzerkonten. Denn der Angreifer hat Zugriff auf alle SaaS-Lösungen des jeweiligen Users, sobald eine Identität kompromittiert wurde. Daher wird der Schutz der Browser-Umgebung, über die die SaaS-Anwendungen laufen, immer wichtiger.
Eine steigende Zahl kritischer Schwachstellen in Firewalls und anderen Security-Anwendungen zeigt: Angreifer und staatlich motivierte Bedrohungsakteure betreiben umfassendes „Reverse Engineering“, also die Analyse von Systemen und Anwendungen, um Schwachstellen zu ermitteln. Speziell Lösungen, die weit verbreitet im Einsatz sind, geraten ins Fadenkreuz, da erfolgreiche Exploits dort eine entsprechend hohe Wirkung entfalten. Besonders beunruhigend: In einigen Fällen behalten nationalstaatliche Bedrohungsakteure derart entdeckte Schwachstellen über einen längeren Zeitraum zurück, um sie selbst etwa für nachrichtendienstliche Zwecke nutzen zu können – was die Verfügbarkeit von Patches verzögert und das Risiko für Unternehmen erhöht.
Hinzu kommt, dass das sich schnell verändernde geopolitische Umfeld die für eine wirksame Cybersicherheit erforderliche globale Zusammenarbeit beeinträchtigen könnte. Länder versuchen, ihre technologische und sicherheitspolitische Widerstandsfähigkeit gegenüber anderen Nationen zu stärken. Infolgedessen werden sicherheitsrelevante Informationen zurückgehalten und Kenntnisse über Schwachstellen nicht international weitergegeben, was zu erheblichen Herausforderungen für die globalen Cyberabwehrbemühungen führen könnte.
Und auch auf nationaler Ebene spitzt sich die Cyberbedrohungslage weiter zu, was der aktuelle BSI-Jahresbericht zur IT-Sicherheit in Deutschland bestätigt. Besonders mittelständische Unternehmen sind attraktive Angriffsziele, denn sie sind groß genug für lohnende Summen, aber oftmals immer noch unzureichend geschützt. Dies bestätigt auch der Arctic Wolf Security Operations 2025 Report, der unter anderem das produzierende Gewerbe als eines der Hauptziele für Cyberangriffe nennt.
KI kann Sicherheitsteams bei der Cyberabwehr unterstützen, dennoch bleiben die Bewertung der Cybervorfälle durch die Sicherheitsverantwortlichen und eine umfassende Cyberhygiene ein Muss. Offene Management-Interfaces, veraltete VPNs, Standard-Passwörter und fehlende Multi-Faktor-Authentifizierung machen es den Cyberkriminellen unnötig leicht. Denn erfolgreiche Cyberangriffe erfordern keinerlei ausgefeilte Technologie, wenn die Tür weit offensteht. Die Erarbeitung einer umfassenden Cybersicherheits-Strategie und die konsequente Durchführung entsprechender Aktivitäten ist deshalb unabdingbar. Detection-and-Response-Maßnahmen, Endpoint Security und umfangreiche Pläne für Incident Response sind neben weiteren Schritten entscheidend, um die Wahrscheinlichkeit erfolgreicher Cyberangriffe auf ein Minimum zu reduzieren. Organisationen, die derlei Maßnahmen aufgrund fehlender Kenntnisse und Ressourcen nicht selbst durchführen können, verbessern die Cybersicherheit durch die Zusammenarbeit mit einem geeigneten Security-Operations-Partner.
