Bevor der erste Dominostein fällt: Cyberwarfare an einem kritischen Wendepunkt

Von Alex Mosher, Präsident von Armis

Cyberkriege sind keine Zukunftsvision mehr – sie sind längst Realität. Staatlich unterstützte Gruppen wie Volt Typhoon und Salt Typhoon greifen seit Jahren gezielt kritische Infrastrukturen an. Was früher Szenarien aus politischen Thrillern waren, ist heute bittere Wahrheit.

Der aktuelle Bericht von Armis – „Warfare Without Borders: AI's Role in the New Age of Cyberwarfare “ – bringt das Problem auf den Punkt: Über 87 % der weltweit befragten IT-Entscheider machen sich ernsthafte Sorgen über die Folgen dieser neuen Form der Kriegsführung. Besonders China, Russland und Nordkorea gelten als größte Gefahrenquellen – allen voran China, das 73 % der Befragten als größte Bedrohung einstufen. Erschreckend deutlich ist auch, wie groß das Potenzial für Angriffe durch Künstliche Intelligenz (KI) eingeschätzt wird: Drei Viertel der IT-Verantwortlichen sehen KI-gestützte Cyberangriffe als ernsthafte Bedrohung für ihre Organisation.

Die Realität: Der nächste Angriff ist nicht nur möglich – er ist wahrscheinlich

In einer Welt, in der staatlich gelenkte Hackergruppen ganze Energieversorger, Transportnetze oder Kommunikationssysteme ins Visier nehmen, ist der Ruf nach einem neuen Sicherheitsverständnis lauter denn je. Unternehmen müssen selbst Verantwortung übernehmen – nicht nur für ihre IT-Sicherheit, sondern auch für Resilienz, Compliance und Aufklärung. Das bedeutet: Verstehen, wo Bedrohungen herkommen, wie sie funktionieren – und mit welchen Mitteln sie sich abwehren lassen. KI kann hier Fluch und Segen zugleich sein. Denn dieselbe Technologie, die Angreifer nutzen, steht auch Verteidigern zur Verfügung – vorausgesetzt, sie setzen sie proaktiv und strategisch ein.

Von der Bedrohung zum Verständnis: Was hinter Volt Typhoon & Co. steckt

Die Zuordnung von Gruppen wie Volt Typhoon oder Salt Typhoon ist nicht nur politisch relevant – sie hilft auch, die Angriffslogik zu durchschauen. Ihre Vorgehensweise (Tactics, Techniques, and Procedures – TTPs) ist inzwischen gut dokumentiert: Sie nutzen bestehende Systemfunktionen (sogenannte Living-Off-The-Land-Techniken), spähen Netzwerkarchitekturen aus und nutzen fehlerhaft konfigurierte Geräte als Einstiegspunkte.

Das Problem: Viele Unternehmen erkennen diese Muster zu spät – oder gar nicht. Selbst hochentwickelte Sicherheitstechnologien können ins Leere laufen, wenn grundlegende Aufgaben wie ein vollständiges Asset-Inventar oder konsequentes Schwachstellenmanagement vernachlässigt werden. Hier bietet sich ein bewährter Kompass an: Standards wie NIST 800-53 oder der Cybersecurity Framework (CSF) helfen, Strukturen zu schaffen, Verantwortlichkeiten zu klären und Schwachstellen systematisch anzugehen.

Das KI-Wettrennen: Der Gegner schläft nicht – und lernt schnell

Der Einsatz von KI im Cyberwarfare ist längst keine Theorie mehr. OpenAI hat kürzlich mehrere ChatGPT-Konten gesperrt , die mit staatlich geförderten Hackergruppen in Verbindung standen – ein alarmierender, aber auch richtungsweisender Schritt. Denn klar ist: KI macht Angriffe schneller, effizienter und schwerer zu erkennen.

Laut Armis-Studie nutzen chinesische Gruppen KI bereits gezielt, um Social-Engineering-Kampagnen zu personalisieren, Exploits zu optimieren und neue Schwachstellen automatisch zu finden. Google hat gezeigt, dass KI sogar Zero-Day-Lücken entdecken kann. Damit rückt die vollautomatisierte Cyberattacke in greifbare Nähe. Die Schlussfolgerung: Wer verteidigt, muss KI auf die eigene Seite ziehen. Und zwar schnell.

Jetzt handeln: Prävention statt Schadensbegrenzung

Ob IT, OT, Cloud oder IoT – wer heute Systeme betreibt, muss davon ausgehen, dass irgendwo eine Lücke klafft. Genau dort setzen Angreifer an. Deshalb reicht es nicht, nur auf Compliance zu achten. Unternehmen brauchen Klarheit: über ihre Assets, über Schwachstellen – und darüber, was konkret bedroht ist. KI-gestützte Sicherheitslösungen schaffen genau das: Sie erkennen nicht nur bekannte Muster, sondern auch Anomalien und Verhaltensweisen, die auf versteckte Angriffe hinweisen. Sie zeigen unverwaltete Geräte auf, identifizieren gefährliche Konfigurationen und machen selbst schwer erkennbare Angriffe auf Basis von Living-Off-The-Land-Techniken sichtbar – typische Vorgehensweisen chinesischer APTs.

Doch trotz dieser Möglichkeiten zeigt der aktuelle Armis-Bericht: Mehr als die Hälfte der Unternehmen reagieren erst nach einem Vorfall. Das ist zu spät. Die Zeit zu handeln ist jetzt – bevor der erste Dominostein fällt.