Manchmal braucht es keine besonders elegante Angriffskette. Manchmal reicht eine Organisation, die Passwörter dort ablegt, wo sie „praktisch auffindbar“ sind. Dazu eine Abwehr, die eher gekauft als betrieben wurde, und eine Angreiferseite, die KI inzwischen als Beschleuniger für Recherche, Code, Tests und Tooling nutzt. Das Ergebnis ist keine Science-Fiction. Es ist schlimmer: Es ist der vorhersehbare Schaden nach einer fachlich peinlichen Entscheidung.
In den letzten Tagen passten drei Meldungen unangenehm gut zusammen. The Register berichtete über einen Fall, in dem Passwörter für Service-Accounts in Active-Directory-Beschreibungsfeldern lagen. Infosecurity Magazine griff Zahlen von Halcyon auf, nach denen KI-bezogene Cybercrime-Angebote in untersuchten Untergrundkanälen von 38 Erwähnungen im Dezember auf 1.486 im Februar stiegen. Und ein weiterer Infosecurity-Artikel beschreibt eine Sophos-X-Ops-Analyse zu KI-gestützter Entwicklung von EDR-Evasion-Tooling.
Einzeln sind das drei unterschiedliche Geschichten. Zusammen erzählen sie etwas ziemlich Unangenehmes: Viele Unternehmen kämpfen noch mit alten, vermeidbaren Sicherheitsfehlern. Gleichzeitig arbeitet die Angreiferseite daran, ihre eigene Reibung zu senken. Wer dann noch Klartextpasswörter in AD-Feldern ablegt, liefert nicht nur eine Schwachstelle. Er liefert Service.
Die These ist hier nicht neu. In „Claude Mythos ist gefährlich, aber nicht magisch“ ging es schon darum, dass KI nicht plötzlich Zauberei betreibt, sondern vorhandene Mechanik schneller und ausdauernder nutzt. Und in „Der gefährlichste Angriff ist oft schon eingeloggt“ stand genau diese unangenehme Wahrheit im Zentrum: Wenn Identität und Berechtigungen schon missbraucht werden können, braucht der Angreifer oft gar keinen besonders spektakulären Exploit mehr.
Der alte Fehler: den Angreifern die Schlüssel beschriften
Der Register-Fall ist fast zu sauber, um nicht als Lehrbuchbeispiel zu dienen — aber nicht, weil „Passwörter im AD-Beschreibungsfeld“ ein normaler Klassiker wäre. Das ist keine gewöhnliche Altlast, sondern eine besonders bescheuerte Spezialform von „wir machen Geheimnisse bequem auffindbar“. Eine Organisation legte Passwörter für Service-Accounts in die Beschreibungsfelder von Active Directory, weil Entwickler diese Zugangsdaten brauchten und es keinen brauchbaren Passwort-Tresor gab. Das ist keine pragmatische Notlösung. Das ist ein fachlicher Offenbarungseid mit Suchfunktion. Rob Anderson von Reliance Cyber formulierte gegenüber The Register den Kern des Problems: Sobald ein normaler AD-Benutzer existiert, kann er solche Kommentar- oder Beschreibungsfelder im Verzeichnis lesen. Seine Bewertung: „It’s such an amazing lapse of security.“
Das ist keine hochentwickelte Attacke. Das ist auch kein „kennt man ja, passiert halt“-Fehler. Nutzbare Altlasten gibt es für Angreifer ohnehin genug. Beunruhigend ist hier etwas Spezifischeres: „auffindbar für die Entwicklung“ klingt nach einer Entscheidung von Fachkräften, die ein Zugriffsproblem nicht gelöst, sondern in ein Verzeichnisfeld gekippt haben. Wer so arbeitet, baut keine robuste Betriebsfähigkeit. Er baut ein Inhaltsverzeichnis für den späteren Einbruch. Dokumentation und Automatisierung bringen Sicherheit und Betrieb dann nicht sauber zusammen, sondern machen Geheimnisse besser auffindbar. Für alle. Auch für Angreifer.
Dokumentation ist dabei nicht das Problem. Saubere Dokumentation ist notwendig. Das Problem beginnt dort, wo Dokumentation als Ablage für Klartextpasswörter missbraucht wird und niemand mehr zwischen „wichtig für den Betrieb“ und „bitte nicht als Beute indexieren“ unterscheidet. Wer diesen Unterschied nicht versteht, sollte keine Secrets verwalten. Punkt.
Genau diese Schiene ist gefährlich: Wir automatisieren und dokumentieren immer mehr, aber zu oft ohne Sicherheitsmodell, ohne saubere Zuständigkeit und ohne die Frage, ob die neue Bequemlichkeit gerade eine neue Angriffsfläche baut. Dann wird aus „damit Entwickler schneller arbeiten können“ sehr schnell „damit der Initial Access Broker schneller eskalieren kann“. Das ist kein Fortschritt. Das ist Prozessversagen mit API-Anschluss — und es verdient weniger verständnisvolles Nicken und mehr unangenehme Fragen.
Laut The Register kam ein Initial Access Broker über Phishing in die Umgebung, führte Sliver auf einem Endpoint aus, erbeutete Credentials und fragte anschließend Active Directory ab. Dort lagen dann genügend Passwörter, um vollen Domain-Zugriff zu bekommen. Danach: Backups löschen, Ransomware ausrollen, mehr als 2.000 Nutzer arbeitsunfähig, Hyper-V-Hosts verschlüsselt, Unternehmen monatelang offline.
Das ist der unangenehme Teil: Die spektakuläre Katastrophe begann nicht mit spektakulärer Technik. Sie begann mit einer Organisation, die Geheimnisse wie interne Haftnotizen behandelt hat. Wer danach nur von „Lessons learned“ spricht, verharmlost den Kern: Das war kein Erkenntnisproblem. Das war ein Umsetzungsversagen.
Der neue Beschleuniger: KI als Reibungsentferner
Auf der anderen Seite steht die aktuelle KI-Lage im Cybercrime-Umfeld. Halcyon untersuchte laut Infosecurity Magazine 4.000 Einträge, 77 Telegram-Kanäle, 20 Dark-Web-Foren und fünf spezialisierte Untergrundmärkte. Die Zahl, die hängen bleibt: Erwähnungen von KI-bezogener Cybercrime-Technologie stiegen von 38 im Dezember auf 1.486 im Februar. Das entspricht über 3.810 Prozent.
3.810 Prozent klingt nach Weltuntergang mit Excel-Diagramm. Man sollte die Zahl aber nicht zu ehrfürchtig anschauen. Wenn man bei 38 startet, ist explosives Prozentwachstum kein statistisches Wunder. Außerdem lebt die gesamte Industrie gerade in der Phase, in der überall KI draufsteht — und sei es nur ein Chatbot, der einem die Bedienungsanleitung mit mehr Selbstvertrauen vorliest.
Trotzdem wäre es dumm, die Entwicklung wegzulachen. Die Zahl beweist nicht, dass erfolgreiche Angriffe im selben Maß explodieren. Sie zeigt aber sehr deutlich, dass KI im Untergrund als Produktsegment angekommen ist: weaponized LLMs, KI-gestützte Identitätsbetrugsdienste, Malware- und Infrastrukturhilfen, jailbroken oder gestohlene KI-Zugänge. Dazu Freemium-Modelle, gestaffelte Preise und Telegram-Bots als automatisierte Verkaufs-, Support- und Distributionskanäle.
Das ist keine Magie. Das ist Marktbildung.
Der realistische KI-Angreifer ist kein autonomer Dämon
Der zweite Infosecurity-Artikel ist deshalb interessanter als viele KI-Angstmeldungen. Er beschreibt eine Sophos-X-Ops-Analyse, in der ein Akteur KI-Coding-Tools nutzte, um Malware- und EDR-Evasion-Tooling zu entwickeln und zu verfeinern. Wichtig ist dabei, was Sophos ausdrücklich nicht behauptet: Die KI lief nicht als autonom denkendes Angriffssystem, und die Malware selbst enthielt keine KI.
Stattdessen beschleunigte KI einen strukturierten Zyklus aus Bauen, Testen und Nachschärfen. Der Akteur arbeitete laut Bericht in Cursor, nutzte mehrere Agentenrollen, darunter Claude Opus für Regelsetzung, und ließ andere Agenten Tests, OpSec und Dokumentation unterstützen. Ein Playbook sollte öffentliche Security Research auswerten, Techniken auf MITRE ATT&CK abbilden und im Labor reproduzieren. Änderungen flossen über MCP zurück in den Entwicklungsprozess.
Das ist viel glaubwürdiger als der autonome KI-Hacker aus der PowerPoint-Hölle. Es ist auch gefährlicher, weil es kein großer Sprung in die Zukunft ist. Es ist einfach moderne Entwicklungsdisziplin, auf offensive Toolchains angewandt. Genau deshalb ist es so dumm, sich mit „KI ist ja nur Hype“ zu beruhigen. Hype verhindert nicht, dass nützliche Teile davon praktisch eingesetzt werden.
Im Kern des beschriebenen Labs stand laut Infosecurity ein Python-Werkzeug, das Payloads mit Verschlüsselungs- und Evasion-Schichten umwickelte und dabei offensive Frameworks wie Cobalt Strike und Sliver nutzte. Sophos sprach von fast 80 Modulen und mehr als 70 Techniken. Gleichzeitig merkte Sophos an, dass die dokumentierten Testergebnisse die angeblich fast universelle Wirksamkeit nicht sauber belegten. Auch das gehört zur ehrlichen Einordnung.
Es geht nicht darum, dass KI plötzlich perfekte Malware erzeugt. Es geht darum, dass Menschen mit KI schneller Varianten bauen, Research schneller operationalisieren und gegen reale Schutzprodukte iterieren können.
Die schlechte Kombination: dumme Altlasten, schnelle Gegner
Genau hier treffen die drei Geschichten aufeinander — und sie treffen nicht in einem ruhigen Umfeld aufeinander. Die aktuelle Sicherheitslage ist ohnehin dicht: ständig neue gravierende CVEs, regelmäßig Zero-Day-Meldungen, Appliances und Edge-Systeme unter Druck, Identity-Probleme, Supply-Chain-Funde, Browser- und Endpoint-Geschichten. Es fühlt sich nicht nur so an, als käme jede Woche ein neuer kritischer Brocken dazu. Für viele Verteidiger ist genau das der Normalzustand geworden.
Das bedeutet: Auch ohne KI wäre die Lage schon unangenehm. Zu viele Systeme sind zu komplex, zu viele Altlasten leben weiter, zu viele Hersteller liefern regelmäßig neue Gründe für hektische Exposure-Checks. KI kommt nicht als alleinige Ursache hinzu, sondern als Beschleuniger in eine ohnehin überlastete Verteidigungsrealität.
- Organisationen erzeugen intern unnötige Angriffsflächen: manchmal durch bekannte Klassiker, manchmal durch besonders kreative Fehlleistungen wie Passwörter in AD-Beschreibungsfeldern, schlechte Vaulting-Prozesse, halb verstandene Automatisierung oder Rechte ohne Hygiene.
- Die externe Lage liefert jede Woche neue Schwachstellen, neue CVEs, neue Exploit-Diskussionen, neue Supply-Chain- und Identity-Probleme.
- Die Angreiferseite senkt mit KI die Kosten für Recherche, Anpassung, Tooling, Social Engineering und Wiederholung.
Das ist die eigentliche Bedrohung. Nicht „KI übernimmt Cybercrime“. Sondern: Alte Sicherheitsfehler treffen auf Gegner, die weniger Reibung haben als früher. Wer diese alten Fehler weiter duldet, kann sich nicht mehr glaubwürdig hinter Komplexität verstecken.
Früher war Mittelmaß auf Angreiferseite wenigstens teilweise ein Schutzfaktor. Schlechte Operatoren machten Fehler, schlechte Toolchains brachen, Anpassungen dauerten, Wiederholung kostete Zeit. KI entfernt diese Reibung nicht vollständig, aber genug, um relevant zu sein.
Ein mittelmäßiger Angreifer wird durch KI nicht automatisch brillant. Aber er wird schneller. Ausdauernder. Besser unterstützt. Und er kann vorhandene öffentliche Forschung, bekannte Frameworks und geleakte oder schlecht abgelegte Zugangsdaten effizienter miteinander verbinden.
Die Ausreden sind verbraucht
Die Abwehr dagegen ist nicht glamourös. Sie besteht aus den Dingen, die seit Jahren bekannt sind und trotzdem erstaunlich oft wie optionale Dekoration behandelt werden. Genau das macht es so ärgerlich: Niemand braucht dafür eine Vision. Man braucht Disziplin.
- keine Klartext-Passwörter in AD, Tickets, Wikis, Tabellen oder Konfigurationsleichen
- saubere Passwort- und Secret-Verwaltung
- MFA und, wo möglich, phishingresistentere Verfahren wie Passkeys
- Least Privilege statt „wird schon passen“
- funktionierende Backup-Trennung und Wiederherstellungstests
- EDR nicht nur ausrollen, sondern betreiben
- Detection für AD-Abfragen, ungewöhnliche Enumeration, Sliver/C2-Verhalten und Credential Access
- Patch- und Exposure-Management, das mehr tut, als monatlich traurig in ein Dashboard zu schauen
Das ist alles nicht neu. Genau das ist der Punkt. Die Angreiferseite beschleunigt sich gerade sichtbar. Die Verteidigung darf sich nicht weiter damit herausreden, dass die Grundlagen ja bekannt seien. Bekannt ist nicht dasselbe wie umgesetzt. Und „wir wissen das eigentlich“ ist keine Entschuldigung, sondern eine ziemlich schlechte Anklageschrift.
Fazit
Die 3.810-Prozent-Zahl sollte man nicht als präzise Schadensprognose lesen. Sie ist eher ein Fieberthermometer für den Markt: KI wird im Cybercrime-Umfeld aktiv vermarktet, ausprobiert, verpackt und automatisiert verteilt. Vieles davon wird übertrieben sein. Manches wird Schrott sein. Das ist im Untergrund keine Abweichung, sondern Geschäftsmodell.
Aber die Richtung stimmt trotzdem. Angreifer nutzen KI nicht, weil sie Science-Fiction mögen, sondern weil sie Zeit spart. Sie hilft beim Schreiben, Variieren, Testen, Übersetzen, Dokumentieren, Tarnen, Sortieren und Wiederholen. Das reicht.
Wenn diese Beschleunigung auf Umgebungen trifft, in denen sogar Passwörter in AD-Beschreibungsfeldern liegen und Backups vom Domain-Kompromiss aus erreichbar sind, braucht niemand mehr eine besonders spektakuläre Zukunftsbedrohung. Die Gegenwart ist schon schlecht genug konstruiert — und sie wird nicht besser, solange jedes offensichtliche Versagen als bedauerliche Altlast weichgespült wird.
Die schlechte Aussicht ist also nicht, dass KI allein alles verändert. Die schlechte Aussicht ist, dass viele Organisationen noch an alten Fehlern scheitern, während die Angreifer lernen, alte Fehler schneller auszunutzen. Wer Klartextpasswörter auffindbar macht, hat kein KI-Problem. Er hat ein Kompetenzproblem, das KI nur schneller und brutaler sichtbar macht.