Die neue Realität: Angriffe werden schneller – viel schneller

Von Ross McKerchar , CISO bei Sophos

Es beginnt nicht mit einem lauten Knall. Keine Sirenen, keine offensichtliche Katastrophe. Stattdessen wächst sie leise – im Hintergrund unserer digitalen Welt: eine Flut aus Sicherheitslücken.

Letzte Woche veröffentlichte Thomas Ptacek einen Beitrag, in dem er argumentiert, dass die Schwachstellenforschung „am Ende“ sei. Seine These: KI-Agenten stehen kurz davor, uns mit einem stetigen Strom validierter, ausnutzbarer und hochkritischer Sicherheitslücken zu überfluten – schneller, als irgendjemand sie patchen kann.

Doch aus meiner Perspektive ist die dringendere Frage nicht, ob diese Flut kommt, sondern ob die Infrastruktur, auf die wir angewiesen sind, sie überhaupt verkraften kann.

Die Vorschauversion von Claude Mythos hat bereits Tausende von Zero-Day-Schwachstellen in allen großen Betriebssystemen und Webbrowsern entdeckt – mit einer Erfolgsquote von 72,4 % bei der Entwicklung funktionierender Exploits. Einige dieser Lücken waren jahrzehntelang offensichtlich vorhanden. Das verändert die Ökonomie der Schwachstellenausnutzung grundlegend.

Kürzlich haben wir OpenClaw im Rahmen einer Red-Team-Übung auf eines unserer eigenen, älteren internen Netzwerke angesetzt. Mit vor-Mythos-Modellen und speziell entwickelten Fähigkeiten aus unserem eigenen Team konnte der Agent die Aufklärungsphase in unserem Active Directory von drei Tagen auf drei Stunden verkürzen – und dabei 23 verwertbare Erkenntnisse liefern, darunter kritische Eskalationspfade bis hin zum Domain-Admin.

Der detaillierte, strukturierte Prüfpfad, den das System erzeugte, ermöglichte es unseren Detection-Teams, nahezu sofort mit der Validierung zu beginnen – ein Prozess, der sonst Wochen dauert, wurde drastisch verkürzt.

Wenn das bereits mit heutigen Modellen möglich ist – bei sorgfältiger Steuerung –, sollte man sich vorstellen, was passiert, wenn die nächste Generation von KI auf Ihre Perimeter-Systeme angesetzt wird – von jemandem, der nicht auf Ihrer Seite steht.

Das haben wir schon einmal gesehen Bei Sophos wissen wir, was passiert, wenn motivierte Angreifer Zugang zu einer verlässlichen Quelle von Zero-Day-Schwachstellen für Perimeter-Geräte erhalten – weil wir es selbst erlebt haben.

Unsere Untersuchung „Pacific Rim “ dokumentierte eine fünfjährige Kampagne mehrerer miteinander verbundener, staatlich unterstützter chinesischer Gruppen, darunter Cluster mit Überschneidungen zu Volt Typhoon, APT31 und APT41. Diese zielten systematisch auf Perimeter-Geräte ab.

Sie nutzten Schwachstellen in Firewalls, VPN-Konzentratoren und anderer Edge-Infrastruktur, um kritische Ziele zu kompromittieren: Anbieter von Kernenergie, Militärkrankenhäuser, Ministerien. Was „Pacific Rim“ so lehrreich machte, war nicht nur die Raffinesse der Angriffe – sondern die Grundlage dafür.

Wie unser CEO Joe Levy es formulierte, war „digitaler Müll“ der Motor der gesamten Kampagne: eine riesige, aber nahezu unsichtbare Masse aus veralteten, ungepatchten und vergessenen Netzwerkgeräten am Rand tausender Organisationen. Diese Geräte waren faktisch permanente Einstiegspunkte – weil sie schlicht niemand aktualisierte.

Und jetzt stellen Sie sich diese Angriffsfläche vor – kombiniert mit Gegnern, die KI nutzen, um innerhalb von Stunden funktionierende Exploits zu erzeugen statt in Wochen.

Die Mathematik bricht zusammen

Unser Active Adversary Report 2026 zeigt die Entwicklung deutlich: In 16 % der untersuchten Fälle erfolgte der Erstzugriff über ausgenutzte Schwachstellen, während Brute-Force-Angriffe mit 15,6 % fast gleichauf liegen. Die mittlere Verweildauer von Angreifern im System beträgt inzwischen nur noch drei Tage.

Das Zeitfenster zwischen der Veröffentlichung einer Schwachstelle und ihrer aktiven Ausnutzung schrumpft seit Jahren. KI-generierte Exploits verkürzen dieses Fenster nicht nur weiter – sie drohen, es komplett zu eliminieren. Wenn ein Modell einen Patch analysieren und einen funktionierenden Exploit erzeugen kann, bevor Unternehmen überhaupt ihren Change-Management-Prozess gestartet haben, werden klassische Patch-Zyklen vom Schutzmechanismus zur Schwachstelle.

Ptacek bringt es auf den Punkt: Wir haben Zeit gewonnen durch Sandboxing und die Reduktion von Angriffsflächen. Doch geschichtete Systeme aus Sandboxes, Kerneln, Hypervisoren und IPC-Mechanismen sind letztlich nur Variationen desselben Problems. Jede Schicht ist ein weiteres Ziel für eine KI, die weder müde wird noch das Interesse verliert. Was tatsächlich funktioniert

Die Erfahrungen aus „Pacific Rim“ liefern konkrete Erkenntnisse darüber, was auch unter konstantem Druck durch gut ausgestattete Angreifer funktioniert – und diese Erkenntnisse sind heute relevanter denn je.

Hersteller müssen das Patch-Problem übernehmen.

Während „Pacific Rim“ zeigte sich, dass besonders anfällige Geräte jene waren, deren Hersteller keine schnellen, transparenten Update-Mechanismen hatten. Bei Sophos haben wir eine Hotfix-Funktion entwickelt, die kritische Updates „over the air“ ausrollt – ohne Firmware-Upgrade oder Neustart. Heute erhalten 99,41 % unserer Kunden diese Updates automatisch. Mit Sophos Firewall v22 haben wir zusätzlich automatische Update-Zeitpläne eingeführt und die Architektur grundlegend überarbeitet.

Transparenz schafft Vertrauen – und Geschwindigkeit.

Unsere Studie „Cybersecurity Trust Reality 2026“ zeigt: Nur 5 % der Unternehmen vertrauen ihren Sicherheitsanbietern vollständig. Dabei ist Vertrauen entscheidend, um beispielsweise ein automatisches Sicherheitsupdate um 2 Uhr morgens ohne Krisensitzung zu akzeptieren. Die wichtigsten Faktoren: nachvollziehbare Sicherheitsmaßnahmen wie Bug-Bounty-Programme, transparente Advisories und unabhängige Zertifizierungen – sowie klare Kommunikation im Ernstfall.

Aktive Verteidigung ist Teamarbeit.

Die Analyse von „Pacific Rim“ bezeichnete dies als „unternehmerische Normsetzung“. Wir haben Telemetrie auf Kernel-Ebene eingesetzt, mit Strafverfolgungsbehörden kooperiert und Command-and-Control-Infrastruktur beschlagnahmt.

Das zeigt, was möglich ist, wenn ein Anbieter seine installierten Systeme aktiv schützt – und nicht nur als ausgelieferte Produkte betrachtet. Konkrete Empfehlungen für heute

Das ist kein Zukunftsproblem – die Spielregeln haben sich bereits geändert.

Patch-Prozesse beschleunigen

Wenn Sie noch monatliche Update-Zyklen für internetnahe Systeme nutzen, arbeiten Sie auf Zeit. Zielgröße: Stunden, nicht Wochen.

End-of-Life-Systeme ersetzen

Veraltete Geräte ohne Sicherheitsupdates sind permanente Risiken. Das ist keine Budgetfrage mehr – sondern eine bewusste Risikoentscheidung auf Vorstandsebene.

Mehr von Herstellern verlangen

Fragen Sie konkret: Können Updates sofort eingespielt werden? Wie schnell reagieren sie auf neue Schwachstellen? Gibt es Bug-Bounty-Programme?

Den Perimeter ernst nehmen

Angriffe auf Edge-Geräte sind keine Ausnahme mehr, sondern Erwartung. Detection und Response müssen auch dort greifen. Das große Ganze

Der „Mythos-Moment“ bedeutet nicht nur, dass KI menschliche Sicherheitsforscher ersetzt. Die eigentliche Gefahr liegt in der wachsenden Lücke zwischen der Geschwindigkeit, mit der Schwachstellen entdeckt werden – und der Geschwindigkeit, mit der sie behoben werden.

Unser OpenClaw-Experiment zeigt, was heutige Systeme leisten können. Mythos hebt das auf ein völlig neues Niveau. Wir können das Tempo der KI-getriebenen Schwachstellenfindung nicht kontrollieren. Aber wir können kontrollieren, wie schnell wir reagieren – Wie wir Systeme bauen – Wie transparent wir arbeiten -und ob wir Patchen als zentrale Funktion begreifen – oder als Nebensache. Die Flut kommt. Die Frage ist nur: Deiche bauen oder sich auf Sandsäcke verlassen