Das Ende der traditionellen Cyber-Sicherheit

10. Juli 2026

Hochleistungs-KI-Modelle wie Claude Mythos finden Zero-Days schneller, als Patch-Zyklen reagieren können. Damit sind reine Präventions- und Erkennungsansätze strukturell überfordert: Denn wenn das Zeitfenster zwischen Angriff und Schaden gegen null geht, beschreibt sie nur noch, was gewesen ist. Deswegen braucht die Branche ein grundlegendes Umdenken, weg vom bisherigen Sicherheitsmodell aus Prävention, Erkennung und Reaktion hin zu präemptiver Cyber-Resilienz, die Wiederherstellung als Designprinzip begreift.

„Detection buys time“: Dieser Grundsatz hat die IT-Sicherheitsbranche lange Zeit geprägt. Er war die Geschäftsgrundlage hinter vielen Erkennungsplattformen und ganzen Sicherheitsabteilungen. Die Logik dahinter war einfach: Angreifer brauchen Zeit, um sich im Netzwerk zu orientieren, lateral zu bewegen und ihren Angriff zum Abschluss zu bringen. Diese Zeit war das Kapital der Verteidiger. Das Modell funktionierte, solange Angriffe mit menschlicher Geschwindigkeit abliefen.

Mittlerweile gilt das nicht mehr, denn ganz neue KI-Fähigkeiten kommen ins Spiel, die das gesamte Zeitgefüge der Cyber-Security fundamental verändern. KI-Modelle der neuesten Generation wie Claud Mythos können Schwachstellen autonom identifizieren, funktionsfähige Exploits entwickeln und Angriffsketten zusammenstellen, die kein Mensch so vorhergesehen hätte. Fähigkeiten, für die selbst erfahrene Angreifer bis dato erhebliche Ressourcen benötigt hätten, stehen nun als skalierbare, automatisierbare Kapazität bereit.

KI-gestützte Angriffe: Schaden in Sekunden

Denn Angriffe mit Hilfe von künstlicher Intelligenz (KI) kennen die so genannte Dwell-Time nicht mehr, die Zeitspanne, die ein Angreifer im Netzwerk verbringt, bevor sein Angriff sichtbar wird. Sie geschehen nun in Sekunden. Bis das System Alarm schlägt, hat der Angriff längst sein Ziel erreicht. Erkennung beschreibt in diesem Szenario nur noch, was bereits passiert ist und hat damit ihren Wert als Schutzinstrument weitgehend verloren.

Dazu kommt: Mehr als 88 Prozent der bekannten Schwachstellen großer Unternehmen sind sechs Monate nach ihrer Veröffentlichung noch immer ungepatcht. Bei menschlicher Angriffsgeschwindigkeit war dieses Risiko oft beherrschbar. Wenn jedoch KI-Systeme eine neu veröffentlichte Schwachstelle binnen kürzester Zeit in einen funktionsfähigen Exploit umwandeln können, wird dieser Rückstand zur Einladung mit System. Gartner bestätigt, dass die Zeit zwischen der Entdeckung einer Schwachstelle und ihrer Ausnutzung von Wochen auf Minuten gesunken ist.

Unter Druck: Prävention und Reaktion

Nicht nur die Erkennung verliert an Stellenwert, auch Prävention und Reaktion geraten zunehmend unter Druck. Prävention war schon immer ein Wettlauf gegen die Zeit. Wenn KI schneller analysiert, als Menschen patchen können, ist er nicht mehr zu gewinnen.

Reaktion scheitert an einer anderen grundsätzlichen Herausforderung: Die klassische Incident-Response-Kette rechnete mit Vorfällen, die sequenziell eintreffen und von Menschen über Wochen untersucht werden. KI-gestützte Angriffe kommen jedoch gleichzeitig, parallel und in einem Umfang, den kein menschliches Team in Echtzeit verarbeiten kann.

Neue Angriffsvektoren: Daten, Identitäten, Agenten

Darüber hinaus gewinnen in der Post-Mythos-Ära neue Angriffsvektoren an Bedeutung: So sind etwa KI-Daten inzwischen hochwertige Ziele. Ein kompromittierter Vector Store zum Beispiel kann ein KI-System dauerhaft in eine falsche Richtung lenken, ohne dass herkömmliche Sicherheitswerkzeuge diesen Angriff erkennen würden. Menschliche und nichtmenschliche Identitäten sind ein weiterer bedeutsamer Faktor: Gestohlene Zugangsdaten, gefälschte Tokens und MFA-Bypasses geben Angreifern freie Hand.

Zusätzlich vergrößert auch die wachsende Zahl an KI-Agenten die Angriffsoberfläche weiter. Werden autonome Agenten, die geschäftskritische Prozesse mit echten Zugriffsrechten ausführen, manipuliert oder überschreiten Grenzen, dann werden sie eine Bedrohungsform, für die die meisten Sicherheitsarchitekturen heute noch keine tragfähige Antwort haben.

Präemptive Recovery als neues Designprinzip

Die entscheidende Konsequenz aus diesem Paradigmenwechsel in der Cyber-Sicherheit ist konzeptioneller Natur: Recovery darf nicht länger als reine Nachsorge gedacht werden. Wenn das Zeitfenster zwischen Angriff und Schaden gegen null geht, beginnt eine Wiederherstellung, die erst im Ernstfall anläuft, zu spät. Die Antwort darauf lautet präemptive Recovery.

Konkret bedeutet das: Unternehmen müssen kontinuierlich und im Normalbetrieb definieren, was ein sauberer, wiederherstellbarer Zustand ihrer Systeme ist. Wiederherstellungspläne und Konfigurationsabhängigkeiten müssen so vorbereitet sein, dass sie ohne manuelle Intervention anlaufen können. Die Analyse, die bislang erst nach einem Vorfall beginnt, muss als Prozess kontinuierlich im Hintergrund laufen, damit sie im Fall des Falles bereits abgeschlossen ist. Gartner hat diese Anforderung klar formuliert: Cyber-Resilienz und die Fähigkeit zur schnellen Wiederherstellung sind keine optionalen Fähigkeiten mehr, sondern verbindliche Grundanforderungen an moderne Sicherheitsplattformen.

Maschinengeschwindigkeit auch in der Reaktion

Wenn Angriffe mit Maschinengeschwindigkeit ablaufen, muss die Verteidigung ebenso schnell arbeiten. Menschliche Reaktionszeiten sind gegen automatisierte Angriffsketten im Nachteil, unabhängig von der Qualität des Teams. Für Sicherheitsverantwortliche bedeutet das, ihre zentralen Kennzahlen neu bewerten zu müssen. Die relevante Frage lautet künftig mehr denn je: Wie schnell ist das Unternehmen nach einem erfolgreichen Angriff operativ wieder vollständig hergestellt?

KI-gestützte Angriffe sind Realität und skalierbar. Die Antwort auf Angriffe in nie gekannter Geschwindigkeit ist präemptive Recovery. Deswegen braucht die Sicherheitsbranche Architekturen, Prozesse und Organisationsmodelle, die unter dieser Prämisse gebaut wurden: nicht um Angriffe zu verhindern, sondern um trotz Attacken handlungsfähig zu bleiben und in Minuten, statt in Tagen, wieder betriebsbereit zu sein.

Frank Schwaak ist Field CTO EMEA bei Rubrik.

Rubrik

Lesen Sie auch