
KI trifft IT-Sicherheit
KI als Gamechanger für die Softwareentwicklung
Trotz der verhältnismäßig jungen, generativen KI-Technologie wie wir sie im Moment erleben, gibt es schon erste Hinweise, wohin die Reise gehen könnte. Diese findet man in der Softwareentwicklung – einem Bereich, der auch für die IT-Sicherheit als wichtiger Vorreiter fungiert.
Bereits im Jänner dieses Jahres kommentierte der bekannte KI-Forscher Andrej Karpathy auf X, dass sich sein Programmierworkflow on 80% manuellem Codeschreiben und 20% KI-Input hin zu 80% KI-Input und 20% manuellen Anpassungen gewandelt hat1.
Ebenfalls zu Beginn des Jahres schrieb Boris Cherny, Entwickler und Leiter von Anthropics Claude Code, dass sein Programmcode seit über zwei Monaten zu 100% (!) von KI generiert wird2. Er denkt, dass sich die Statistiken im Großteil der Softwareindustrie in den nächsten Monaten ähnlich entwickeln.
Beide Personen befinden sich natürlich im Zentrum der aktuellen KI-Entwicklungen und sind daher eher als Vorreiter, denn als Norm anzusehen. Ob sich deren Erkenntnisse auf die breite Industrie umlegen lassen, wird sich noch zeigen. Eine Tendenz ist jedoch klar erkennbar.
Umwälzungen in der IT-Sicherheit
Ist auch in der IT-Sicherheit zu erwarten, dass wir uns von manueller Tätigkeit mit KI-Unterstützung hin zu Vollautomatisierung durch KI unter Supervision von Fachexpert:innen bewegen? Die aktuellen Entwicklungen lassen diesen Schluss durchaus zu.
Im Mai 2025 berichtete ein Sicherheitsforscher, dass das zu diesem Zeitpunkt führende KI-Modell GPT-o3 in einem von hundert Durchläufen eine Schwachstelle im Linux-Kernel identifizieren konnte, die der Forscher zuvor manuell entdeckt hat. Als Bonus dieses Versuchs hat o3 dann sogar eine zuvor unbekannte Schwachstelle im selben Code entdeckt3. Ein Eindrucksvolles Beispiel für das Potenzial von KI in der IT-Security.
Im Februar desselben Jahres berichtet Anthropic, mit Hilfe ihres Frontier-Modells Opus 4.6 bereits mehr als 500 schwerwiegende Schwachstellen in Open-Source Projekten aufgedeckt zu haben4. Einen Monat später legt Anthropic nach und beschreibt, wie insgesamt 22 Schwachstellen in Mozillas-Browser „Firefox“ aufgespürt werden konnten. 14 dieser Schwachstellen wurden von Mozilla als „hoch“ eingestuft. Laut den Forschern wurde Firefox als Ziel ausgewählt, weil es eine sehr komplexe Codebasis besitzt und als eines der am intensivsten getesteten, sichersten Open-Source Projekte weltweit gilt5. Ein relevantes Referenzszenario für IT-Security.
Anfang April sorgte schließlich die Bekanntmachung von Anthropics bislang unveröffentlichtem Modell „Mythos Preview“ für Aufmerksamkeit in der IT-Security-Community. Dieses Modell soll ein Kompetenzlevel erreicht haben, das – mit Ausnahme der fähigsten Expert:innen – alle anderen im Auffinden und Ausnutzen von Schwachstellen übertreffen und innerhalb einiger Wochen tausende Zero-Day Schwachstellen entdeckt haben soll6. Die Entwickler:innen stufen Claude Mythos als zu gefährlich für eine Veröffentlichung ein. Im Rahmen von „Project Glasswing“ erhielten lediglich ausgewählte amerikanische Software- und Security-Unternehmen Zugriff, um Schwachstellen in deren Software aufzuspüren, bevor andere Individuen oder Nationen dazu in der Lage sind.
Mitte April 2026 berichtete das AI Security Institute zudem, dass Claude Mythos in einem simulierten Unternehmensnetzwerk in 3 von 10 Versuchen eine vollständige Kompromittierung des Netzwerkes schafft – von der initialen Erkundungsphase über die laterale Ausbreitung im Netzwerk bis hin zur Exfiltration sensibler Daten7. Kurz darauf berichtet dasselbe Institut, dass OpenAI GPT-5.5 ebenfalls in 2 von 10 Versuchen eine vollständige Kompromittierung des Netzwerkes bewerkstelligt8. GPT-5.5 ist des Weiteren nicht nur einzelnen Unternehmen vorbehalten, sondern öffentlich verfügbar. Um dessen Cyberfähigkeiten uneingeschränkt nutzen zu können, müssen Interessierte jedoch über OpenAIs „Trusted Access for Cyber“-Programm (TAC) nachweisen, im IT-Sicherheitsfeld – also für die gute Seite – tätig zu sein9.

Bedeutung für die IT-Sicherheit von Unternehmen
Was bedeutet diese Entwicklung nun konkret für die IT-Sicherheit der Unternehmen weltweit? Die gute Nachricht: An den Basics der IT-Sicherheit hat sich nichts geändert. Die weniger gute Nachricht: Versäumnisse bei den Basics werden in naher Zukunft wohl deutlich schneller „bestraft“ werden und deutlich schwerwiegendere Konsequenzen nach sich ziehen.
In der Vergangenheit hatten IT-Admins teilweise noch einige Tage Zeit, bevor erste breite Angriffswellen nach der Bekanntmachung von Sicherheitslücken zu erwarten waren10.

Auch bei der Zeit von der initialen Infektion bis zur Exfiltration von Daten durfte man teilweise noch in Tagen denken. In beiden Fällen ist zu erwarten, dass diese Zeitfenster – aufgrund des zu erwartenden hohen Automatisierungsgrades – rapide schrumpfen werden.
Was sind also die oben erwähnten Basics in der IT-Sicherheit, die angesichts der rasanten Entwicklung noch wichtiger sind als zuvor?
- Schnelles Einspielen veröffentlichter Patches, insbesondere auf Perimeter-Infrastrukturkomponenten wie Firewalls, VPN-Gateways, Load Balancern, Mail- und Remote-Access-Systemen.
- Reduktion der Angriffsfläche, etwa durch konsequentes Abschalten nicht benötigter Dienste, Einschränkung exponierter Management-Schnittstellen und saubere Asset-Inventarisierung.
- Stärkung von Resilienz und „Defense in Depth“, also Netzwerksegmentierung, Directory Tiering, Zero-Trust-Architektur, Least Privilege, starke Authentisierung und konsequentes Logging.
- Ausbau von Erkennungs‑ und Reaktionsfähigkeit, damit Angriffe nicht nur verhindert, sondern auch frühzeitig erkannt, bewertet und eingedämmt werden können.
- Regelmäßige Pentests sowie – je nach Reifegrad – Red-Team-Übungen durchführen, um nicht nur einzelne Schwachstellen, sondern auch realistische Angriffsketten, Erkennungsfähigkeit und Reaktionsprozesse zu überprüfen.
- Ein aktuelles Notfallhandbuch bereithalten, das Rollen, Entscheidungswege, Kommunikationskanäle, externe Kontakte und technische Sofortmaßnahmen klar regelt.
- Ein ausgereiftes Backupkonzept etablieren und Disaster-Recovery-Szenarien regelmäßig simulieren, damit Wiederherstellung nicht nur konzeptionell, sondern auch operativ abgesichert ist.
Gerade im Zusammenspiel von KI und IT-Sicherheit zeigt sich: die Grundlagen bleiben gleich – doch ihre konsequente Umsetzung wird wichtiger denn je.
Wie geht es weiter? KI als Chance für IT-Security
Das britische National Cyber Security Centre (NCSC) betont, KI müsse auch als Chance zur Stärkung der Verteidigungsfähigkeiten betrachtet werden11. Unter anderem verortet das Institut einen besonderen Nutzen in den folgenden drei Bereichen:
- Schwachstellensuche und Penetration Testing durch kontinuierliche Überprüfung aktiver Systeme, Identifikation von Schwachstellen und Fehlkonfigurationen, Feststellung der Ausnutzbarkeit sowie Simulation von Angriffspfaden.
- Erkennung von Bedrohungen durch Triage von Alarmen, Erkennung von Mustern in Logdateien sowie Erstellung von Berichten zur Unterstützung der Analysten.
- Automatisierte Reaktion auf Bedrohungen durch Blockieren von Netzwerkverkehr, Isolieren verdächtiger Prozesse und Entziehen von Berechtigungen.
Auch innerhalb der CANCOM gibt es derzeit mehrere Forschungsprojekte, die sich mit dem Einsatz von KI in genau diesen Bereichen der IT-Sicherheit befassen. Erste Prototypen liefern in Laborumgebungen bereits äußerst beeindruckende Ergebnisse.
Doch während Angreifer:innen beim Einsatz von KI den Vorteil haben, nicht unbedingt Rücksicht auf Risikominimierung und Datenschutz nehmen zu müssen, sind diese Anforderungen auf der Seite von Verteidiger:innen unumgänglich. Sicherzustellen, dass autonome Systeme bei der Simulation von Angriffspfaden sowie automationsgestützter Verteidigung konform und vorhersehbar agieren, ist einer der Schwerpunkte in der Forschung.
Fazit: KI verändert die IT-Sicherheit grundlegend. Geschwindigkeit, Automatisierung und Skalierung nehmen sowohl auf den Seiten von Angreifer:innen als auch von Verteidiger:innen massiv zu und stellen Unternehmen vor neue Herausforderungen in der IT-Security. Dabei bleibt eines unverändert: Die Basics der IT‑Sicherheit sind weiterhin essenziell. Patch‑Management, geringe Angriffsflächen, Defense in Depth sowie funktionierende Erkennungs‑ und Reaktionsprozesse bilden nach wie vor das Fundament. Versäumnisse wirken sich jedoch durch KI künftig schneller und gravierender aus.
Die Expert:innen der CANCOM stehen Ihnen bei allen Fragen und Anliegen rund um IT‑Sicherheit und KI beratend und unterstützend zur Seite.
Quellen:
1. https://x.com/karpathy/status/2015883857489522876
2. https://x.com/bcherny/status/2015979257038831967
3. https://sean.heelan.io/2025/05/22/how-i-used-o3-to-find-cve-2025-37899-a-remote-zeroday-vulnerability-in-the-linux-kernels-smb-implementation/
4. https://red.anthropic.com/2026/zero-days/
5. https://www.anthropic.com/news/mozilla-firefox-security
6. https://www.anthropic.com/glasswing
7. https://www.aisi.gov.uk/blog/our-evaluation-of-claude-mythos-previews-cyber-capabilities
8. https://www.aisi.gov.uk/blog/our-evaluation-of-openais-gpt-5-5-cyber-capabilities
9. https://openai.com/index/gpt-5-5-with-trusted-access-for-cyber/
10. https://zerodayclock.com/
11. https://www.ncsc.gov.uk/blogs/why-cyber-defenders-need-to-be-ready-for-frontier-ai


