Folge 01

Warum 2026 anders ist

Die neue Bedrohungslage

15:00 06. Oktober 2026 mit Cynthia, Robert, Lukas, Chris
▸ Folge 01 anhören

Worum es in dieser Folge geht

Wer profitiert mehr von Künstlicher Intelligenz in der Cybersicherheit — die Angreifer oder die Verteidiger? Diese Frage spannen wir über die ganze Staffel auf. In Folge eins setzen wir den Rahmen, indem wir drei Berichte nebeneinander legen, die in achtzehn Monaten erschienen sind und denselben Sachverhalt aus drei verschiedenen Entwicklungsphasen beschreiben.

Die drei Lagebilder

Microsoft und OpenAI, Februar 2024. Die beiden Unternehmen veröffentlichen erstmals Namen von staatlichen Akteuren, die kommerzielle LLMs nutzen — Forest Blizzard aus Russland, Charcoal und Salmon Typhoon aus China, Crimson Sandstorm aus dem Iran, Emerald Sleet aus Nordkorea. Alle Accounts werden gesperrt. Microsoft formuliert die Beobachtung bemerkenswert nüchtern: Wir sehen keine Angriffstechniken, die ohne KI nicht möglich gewesen wären. Was wir sehen, ist Tempo. Im MITRE-ATLAS-Framework lässt sich das unter Resource Development einordnen — das Modell ist Produktivitätswerkzeug, nicht Waffe. Lukas aus der Forschung verweist auf die Forschung von Julian Hazell, die diese Effizienz-Stufe akademisch belegt hatte: GPT-4 erzeugt personalisierte Spear-Phishing-Mails zu Centbeträgen pro Empfänger:in mit menschlich vergleichbaren Conversion-Raten.

BACS Schweiz, Halbjahresbericht 2025/1. Das Bundesamt für Cybersicherheit meldet 35’727 Cyberincidents im ersten Halbjahr 2025, davon 58 Prozent Betrug. Der Bundesrat hat parallel einen eigenen Bericht zur Wirkung von KI auf die Cybersicherheit verabschiedet (Postulat 23.3861), dessen Kernbotschaft bewusst zurückhaltend formuliert ist: KI wirkt als Katalysator für bestehende Trends, verändert aber nicht die Fundamentals. Robert aus der Praxis bestätigt die Beobachtung aus der MDR-Telemetrie seiner Schweizer Mandate — dramatisch mehr Spear-Phishing-Versuche, sprachlich deutlich verbessert. Wo 2022 noch typische Übersetzungsfehler erkennbar waren, lesen sich heutige Mails kontextuell stimmig. Sprachliche Auffälligkeit als Detection-Feature ist tot.

Anthropic, August 2025. Der dritte Bericht beschreibt nicht mehr nur Effizienz, sondern operative Übernahme. Anthropic dokumentiert eine Kampagne namens «Vibe Hacking»: Ein einzelner Akteur erpresst mit Claude Code als agentischem Operator siebzehn Organisationen — Reconnaissance, Credential-Sammlung, individuelle Erpresserschreiben pro Opfer, parallelisiert. Dazu kommen zwei weitere Fallklassen — nordkoreanische Sanktionsumgehung über fingierte Remote-Anstellungen und eine chinesische autonome Cyberespionage-Kampagne, die Anthropic GTG-1002 nennt. Chris ordnet den Unterschied zu Microsoft technisch ein: Was sich verändert hat, ist die agentische Schleife. Tool-Use und längere Kontextfenster machen aus dem beratenden Modell einen Operator, der über Tage selbstständig in einem Zielsystem arbeitet.

Die These der Staffel

Drei Berichte, drei Phasen, eine klare Linie. Was vor zwei Jahren Effizienz-Schub war, ist heute Operationsebene — und der Übergang ist gradient, nicht abrupt. Wer 2026 Defender-Architekturen baut, ohne diese Realität einzupreisen, baut Verteidigung gegen 2022.

Drei Beobachtungen verdichten die These. Aus der Forschungssicht — Lukas — fällt auf, dass Microsoft die Modell-Seite beobachtet, nicht den Endpoint. Wer mit ChatGPT redet, ist sichtbar; was beim Opfer passiert, nicht. Damit bleibt ein blinder Fleck: Ein Akteur, der ein Open-Source-Modell wie Mixtral oder Llama lokal betreibt, ist für diese Telemetrie unsichtbar. Aus der Praxissicht — Robert — verschiebt sich das Detection-Problem in die Identitäts- und Verhaltens-Ebene. Klassische SIEM-Detection auf Signaturbasis greift bei der neuen Spear-Phishing-Qualität nicht mehr. Aus AI-Sicht — Chris — sind Defender und Attacker auf dieselbe Methodik angewiesen. Frontier-Modelle sind über API mit Sub-Cent-Kosten pro tausend Tokens verfügbar, Open-Source-Modelle laufen auf zwei Consumer-GPUs. Die Kostenkurve trennt nicht mehr nach Akteur-Typ.

Was Sie aus dieser Folge mitnehmen

Die Schweiz ist strukturell besser aufgestellt als der EU-Durchschnitt, weil das BACS früh mandatiert wurde und mit der Privatwirtschaft eng vernetzt ist. Die Forschungsdichte in der DACH-Region — ETH, EPFL, OST und ein führendes deutsches Forschungszentrum für Informationssicherheit — ist eine strategische Stärke, die sich noch nicht voll in operativer Defensiv-Kapazität niederschlägt. Die Lücke liegt im Mittelstandssegment. Genau dort sind die Angriffe in den letzten zwölf Monaten qualitativ auf dem Niveau angekommen, wo sie wirtschaftlich werden — auch gegen kleinere Ziele. Die zentrale Empfehlung am Schluss der Folge: Wer als CISO denkt, AI sei noch Zukunft, ist heute schon im Rückstand. In den nächsten Folgen schauen wir uns die offensive und die defensive Seite getrennt an — beginnend mit Frontier-Modellen, die Schwachstellen finden.

Quellen und Referenzen

  1. Microsoft Threat Intelligence, & OpenAI. (2024, February 14). Staying ahead of threat actors in the age of AI. Microsoft Security Blog. https://www.microsoft.com/en-us/security/blog/2024/02/14/staying-ahead-of-threat-actors-in-the-age-of-ai/
  2. OpenAI. (2024, February 14). Disrupting malicious uses of AI by state-affiliated threat actors. OpenAI. https://openai.com/index/disrupting-malicious-uses-of-ai-by-state-affiliated-threat-actors/
  3. Anthropic. (2025, August). Detecting and countering misuse of AI: August 2025. Anthropic. https://www.anthropic.com/news/detecting-countering-misuse-aug-2025
  4. Bundesamt für Cybersicherheit BACS. (2025). Halbjahresbericht 2025/1. Schweizerische Eidgenossenschaft. https://www.ncsc.admin.ch/ncsc/en/home/dokumentation/berichte/lageberichte/halbjahresbericht-2025-1.html
  5. Schweizerischer Bundesrat. (2025). Bericht in Erfüllung des Postulats 23.3861 — Wirkung von KI auf die Cybersicherheit. Bundesamt für Cybersicherheit BACS. https://www.ncsc.admin.ch/ncsc/en/home/aktuell/im-fokus/2025/po233861.html
  6. Bundesamt für Cybersicherheit BACS. (2025, April 1). Reporting cyberattacks on critical infrastructure mandatory from 1 April 2025. Schweizerische Eidgenossenschaft. https://www.ncsc.admin.ch/ncsc/en/home/aktuell/im-fokus/2025/meldepflicht-2025.html
  7. MITRE Corporation. (n.d.). ATLAS: Adversarial Threat Landscape for Artificial-Intelligence Systems. https://atlas.mitre.org/
  8. OWASP Foundation. (2025). OWASP Top 10 for Large Language Model applications (Version 2025). https://owasp.org/www-project-top-10-for-large-language-model-applications/assets/PDF/OWASP-Top-10-for-LLMs-v2025.pdf
  9. National Institute of Standards and Technology. (2024). AI Risk Management Framework (NIST AI 100-1 and Generative AI Profile NIST AI 600-1). https://www.nist.gov/itl/ai-risk-management-framework
  10. European Commission. (n.d.). Timeline for the implementation of the EU AI Act. AI Act Service Desk. https://ai-act-service-desk.ec.europa.eu/en/ai-act/timeline/timeline-implementation-eu-ai-act
  11. Hazell, J. (2023). Spear phishing with large language models (arXiv:2305.06972). arXiv. https://arxiv.org/abs/2305.06972
  12. Heiding, F., Schneier, B., Vishwanath, A., Bernstein, J., & Park, P. S. (2024). Devising and detecting phishing emails using large language models. IEEE Access, 12, 42131–42146. https://doi.org/10.1109/ACCESS.2024.3375882
  13. Greshake, K., Abdelnabi, S., Mishra, S., Endres, C., Holz, T., & Fritz, M. (2023). Not what you've signed up for: Compromising real-world LLM-integrated applications with indirect prompt injection (arXiv:2302.12173). arXiv. https://arxiv.org/abs/2302.12173
  14. Zou, A., Wang, Z., Carlini, N., Nasr, M., Kolter, J. Z., & Fredrikson, M. (2023). Universal and transferable adversarial attacks on aligned language models (arXiv:2307.15043). arXiv. https://arxiv.org/abs/2307.15043
  15. Anthropic. (2024). Agentic misalignment: How LLMs could be insider threats. Anthropic Research. https://www.anthropic.com/research/agentic-misalignment
  16. Wei, A., Haghtalab, N., & Steinhardt, J. (2023). Jailbroken: How does LLM safety training fail? (arXiv:2307.02483). arXiv. https://arxiv.org/abs/2307.02483
  17. OST – Ostschweizer Fachhochschule. (2026). CAS AI-Driven Cybersecurity and Strategic Defence [Programmseite, 15 ECTS, 14 Präsenztage, Campus Rapperswil-Jona]. https://www.ost.ch/de/weiterbildung/weiterbildungsangebot/informatik/cybersecurity-networks/cas-ai-driven-cybersecurity-and-strategic-defence