Agenten am Abgrund: autonome KI als neue Angriffsfläche in der Cybersecurity

Ein KI-Agent, der selbständig Software installiert, E-Mails auswertet und Entscheidungen trifft: Dieser Produktivitätsgewinn bereitet der Cyberdefence schlaflose Nächte. Denn dieselben Fähigkeiten, die Mitarbeitende entlasten sollen, eröffnen neue Angriffsflächen – wie GenAI generell. Mit Folgen für die Sicherheit.

Mai 2026, Text Andreas Heer            4 Min.

Lesen Sie in diesem Artikel:

  • Wie autonome KI-Agenten die Produktivität steigern, aber auch gefährliche neue Angriffsflächen bieten können.
  • Weshalb KI auch Angreifer stärkt und die Cyberdefence zur Anpassung zwingt.
  • Weshalb als Konsequenz KI-Sicherheit Design- und Führungsaufgabe wird.

Es tönt wie ein Traum: OpenClaw arbeitet als lokaler KI-Agent, der praktisch beliebige Aufgaben automatisiert erledigt: «Baue mir eine Event-Website mit Anmeldefunktion. Nutze bekannte CSS-und JavaScript-Frameworks für die Umsetzung und installiere alles im Projektverzeichnis.» «Durchsuche meine E-Mails nach wichtigen Aufgaben und trage sie in die Taskliste ein.» «Erstelle mir eine Präsentation aufgrund der Informationen in meinem Projekt-Ordner. Benachrichtige mich auf WhatsApp, wenn du fertig bist.»

KI-Agenten als Wunschtraum und Albtraum gleichzeitig

Kein Wunder, warf die Ankündigung von OpenClaw im Januar 2026 hohe Wellen. Das als Clawdbot, dann Moltbot gestartete Open-Source-Projekt nutzt ein LLM via API und verfügt über zahlreiche Fertigkeiten, die der Agent selbständig einsetzen kann: Ausführen lokaler Shell-Befehle, Internetzugriff, Installation von Software, Kommunikation über diverse Messenger. Und fehlende Fähigkeiten lassen sich über sogenannte Skills ergänzen.

OpenClaw ging viral im doppelten Sinne: Das Projekt erreichte im April auf GitHub über 360 000 Sterne-Bewertungen – und bescherte den Cybersecurity-Abteilungen in Unternehmen wahre Albträume. Sämtliche Sicherheitsbedenken gegenüber KI-Agenten wurden quasi über Nacht real: Prompt Injection, Datenabfluss, Einfallstor für Cyberangriffe, Installation von Malware, Exfiltration von API-Keys und Zugangsdaten über die Konfigurationsdateien von OpenClaw. Und als Dessert Supply-Chain-Attacken auf Internet-Dienste via verseuchte Skills. Ein Beispiel, das die Situation illustriert, ist «ClawHawoc»: Sicherheitsforscher fanden heraus, dass von den über 10 000 Skills auf dem ClawHub-Marktplatz fast 10% Malware enthalten.

Zwar mag OpenClaw ein extremes Beispiel für mangelnde Sicherheit sein. Aber das Projekt zeigt auf, welche neuen Angriffsflächen sich in Unternehmen eröffnen können, wenn sie autonome KI-Agenten einsetzen. Es überrascht deshalb nicht, dass auch der Swisscom Cybersecurity Threat Radar KI im Sicherheitsumfeld als wachsenden Trend einstuft. Der Schutz vor solchen Angriffen und deren Erkennung gehört zu den Aufgaben der Cyberdefence, die sich an stetig wandelnde Szenarien anpassen muss.

Spätestens wenn Fachbereiche beginnen, KI Agenten in Eigenregie zu evaluieren oder produktiv einzusetzen, wird KI-Sicherheit zur Führungsaufgabe. Denn autonome Agenten sind keine klassischen Tools mehr, sondern handeln mit eigenen Berechtigungen – oft ausserhalb etablierter Kontrollmechanismen. Wer hier zuwartet, riskiert, dass Sicherheitsfragen erst dann gestellt werden, wenn der Agent bereits produktiv ist.

KI als Arbeitserleichterung – für Cyberkriminelle

OpenClaw wurde mehrheitlich mit und von KI entwickelt. Die Möglichkeiten von GenAI wie beispielsweise «vibe coding» blieb auch den Cyberkriminellen nicht verborgen. KI vereinfacht nicht nur das Schreiben täuschend echt wirkender Phishing-Mails in diversen Sprachen – und ohne Rechtschreibfehler. Mit «VoidLink» haben Sicherheitsforscher auch eine Linux-Malware in freier Wildbahn entdeckt, die wohl hauptsächlich mit KI entstand. Dabei ist es nicht so, dass dank KI neue kriminelle Gruppierungen auftauchen. Aber bestehende nutzen die Möglichkeiten für ein «Upgrade» ihrer Skills: VoidLink zeigt Eigenschaften, die bislang nur in Malware von gut ausgerüsteten Gruppierungen wie etwa APT-Gruppen gefunden wurde.

Heisst, auch die Angriffe «gewöhnlicher» Cyberkrimineller werden raffinierter. «KI ermöglicht es Angreifern, Exploits zu entwickeln für Systeme, die sie nicht kennen, sagt dazu Collin Geisser, Lead Security Architect bei Swisscom. «Das vergrössert die potenzielle Angriffsfläche.»

Raffinierter werden auch die Betrugsformen, Deepfakes sei «Dank». Audio mit gefälschten Stimmen oder KI-generierte Bewegtbilder lassen Social Engineering und CEO Fraud glaubwürdig erscheinen. In der Schweiz wurde im Januar ein Fall bekannt, bei dem unbekannte Kriminelle sich per Telefon dank Voice Cloning als bekannten Geschäftspartner ausgaben und den betroffenen Unternehmer zu einer Zahlung in Millionenhöhe bewegen konnten.

Doch auch Prozesse, die auf Stimm- oder Bilderkennung zur Identifikation setzen, könnten mit KI überlistet werden. Die Erkennung von Deepfakes gehört sicherlich zu den anspruchsvollen Aufgaben der Cyberdefence und benötigen eine Kombination von technischen und Security-Awareness-Massnahmen zur Sensibilisierung der Mitarbeitenden.

KI als Unterstützung für die Cyberdefence 

Mit KI werden Cyberangriffe nicht nur raffinierter, sondern auch schneller. Die automatisierte Ausnützung von Sicherheitslücken und Durchführung von Angriffen verkürzen das Zeitfenster für Erkennung und Reaktion. Doch Threat Detection and Response (TDR) kann die Cyberkriminellen quasi mit den eigenen Waffen schlagen. Denn auch bei der Erkennung von Angriffen kann KI gute Dienste leisten. Das gilt etwa, um Angriffsmuster in grossen Log-Datenmengen zu erkennen, zeitliche Abläufe zu rekonstruieren oder Malware zu analysieren – gewissermassen «vibe decoding».

Und ein Upgrade der Skills erfahren auch die SOC-Analysten. Gerade weniger erfahrenen Personen kann KI bei der Analyse komplexer Bedrohungen helfen. Und einen technischen Bericht in ein für Manager verständliches Summary umzuarbeiten ist für KI eine eher leichte Aufgabe. Auch beim Penetration Testing oder bei Sicherheitstest für Applikationen kann KI die Fachleute unterstützen, sagt Geisser: «Aufgaben wie etwa das Fuzzing lassen sich mit KI automatisieren, was den Aufwand und die Kosten für solche Tests senken kann.»

Generell verschiebt sich mit KI die Rolle der Fachleute. Mühselige Kleinarbeit entfällt zusehends, stattdessen orchestrieren Analysten automatisierte Prozesse. Dabei geht es nicht darum, die Menschen zu ersetzen, sondern zu entlasten. Sie können sich verstärkt auf diejenigen Aufgaben konzentrieren, bei denen menschliche Expertise gefragt ist. Das gilt etwa bei der Einordnung von Incidents und der Einleitung der richtigen Massnahmen für die Incident Response. Das zentrale Stichwort beim Einsatz von KI im SOC lautet «human in the loop»: KI automatisiert, der Mensch prüft und entscheidet.

Der «Glasswing»-Moment: Wendepunkt in der Cybersecurity?

Ein Wendepunkt für den Einsatz von KI sowohl in der Cyberdefence als auch bei Cyberkriminellen könnte Claude «Mythos» von Anthropic darstellen. Das Modell, das nicht öffentlich verfügbar ist, hat anfangs April bisher unbekannte Leistungen bei der Erkennung – und Ausnutzung – von Schwachstellen gezeigt. So entdeckte Mythos einen fast 30 Jahre alten Bug im Netzwerk-Stack von OpenBSD, das als eines der sichersten Betriebssysteme überhaupt gilt. Und in einer Testumgebung gelang es der KI, autonom mehrere Schwachstellen im Linux-Kernel zu kombinieren («chainen») und die vollständige Kontrolle über das System zu übernehmen. 
 
In den Händen von Cyberkriminellen könnte ein solches System eine komplett neue Dimension von Angriffen ermöglichen in einer Raffinesse, die bis jetzt wenigen Experten vorbehalten war. Und auch wenn viele KI- und Cybersecurity-Fachleute die Ankündigung kritisch kommentiert haben: Das Risiko besteht, dass mit KI die Zahl von Zero-Day-Angriffen zunimmt und entsprechend der Aufwand fürs Patchen von Systemen und Applikationen.
 
Als Reaktion lancierte Anthropic darauf zusammen mit Branchengrössen das Projekt Glasswing. Es soll der Cyberdefence und den Anbietern die Möglichkeit geben, die Fähigkeiten von Mythos zu nutzen, bevor Angreifer die Schwachstellen entdecken. Dies könnte der Start zu einer neuen Phase der Cybersecurity darstellen, bei der es nur noch mit der Unterstützung von Maschinen überhaupt gelingt, die maschinellen Angriffe abzuwehren.

Red Teaming für KI-Systeme anpassen

Viele Sicherheitsrisiken von KI Systemen entstehen nicht durch einzelne Schwachstellen, sondern durch Architekturentscheide, betont Geisser: «KI vergrössert die Angriffsfläche, weil Attacken auch via Prompt Injection beginnen können. Das ist insbesondere bei KI-Agenten ein Risiko, die oft über umfangreiche Rechte verfügen.»
Wird Sicherheit erst nachträglich mitgedacht, lassen sich zentrale Fragen – etwa zu Identitäten, Berechtigungen oder Datenflüssen – oft nur unzureichend korrigieren. Gerade bei autonomen Agenten entscheidet sich die Sicherheit früh im Design.

Um die Sicherheit von KI-Systemen zu überprüfen, sind neue Testmethoden erforderlich. Denn im Unterschied zu klassischen Applikationen stehen hier nicht Sicherheitslücken im Zentrum, sondern die Exfiltration von Daten und das Funktionieren der Leitplanken, die unpassende Antworten verhindern sollen.

Ein Penetration Testing oder Red Teaming muss also um zusätzliche Aufgaben erweitert werden, wie:

  • Prompt-Injection-Tests
  • Simulation von Model-Inversion-Angriffen: Hierbei versuchen Angreifer, aufgrund der Antworten Rückschlüsse auf die Konfiguration des verwendeten Modells zu ziehen oder Trainingsdaten zu exfiltrieren
  • Tests auf Datenexfiltration
  • AI-spezifische Tabletop-Übungen

Autonome KI Agenten markieren einen Wendepunkt in der Cybersecurity: Erstmals agieren Systeme eigenständig in IT Umgebungen, treffen Entscheidungen und greifen auf Ressourcen zu. Für Führungskräfte im IT  und Security Umfeld heisst das: Sicherheit muss nicht jede Innovation bremsen – aber sie muss von Anfang an mitgedacht werden. Wer klare Leitplanken definiert, schafft Raum für produktive KI Nutzung, ohne die Kontrolle zu verlieren.

Wichtige Schritte für die Cybersecurity im Zeitalter der KI-Agenten

Das sind die wichtigsten Handlungsempfehlungen, um auf die Cyberrisiken durch KI zu reagieren:

  • Transparenz schaffen über eingesetzte KI-Agenten
  • KI Agenten wie privilegierte Identitäten behandeln: klare Berechtigungen, minimale Zugriffsrechte und Aktionen nachvollziehbar gestalten (Zeitpunkt, System, Auslöser etc.)
  • Supply-Chain-Risiken von Skills und KI-Modellen in der Cyberdefence berücksichtigen
    -SOC-Prozesse und Angriffserkennung auf KI erweitern, beispielsweise mit Playbooks mit KI-Bezug (Prompt Injection, Datenabfluss etc.)
  • KI-Sicherheit ins Architektur- und Testkonzept von KI-gestützten Applikationen und Agenten integrieren
Swisscom Cybersecurity Threat Radar 2026: KI-Risiken, Supply-Chain-Angriffe, digitale Souveränität und OT-Security – die wichtigsten Cybertrends im Überblick. 

Weitere interessante Artikel