Sprachmodelle haben in den letzten zwei Jahren eine erstaunliche Entwicklung durchgemacht. Was zunächst als hilfreiches Werkzeug für Entwickler, Texter und Analysten begann, wird inzwischen auch von Angreifern gezielt eingesetzt. Phishing-E-Mails in fehlerfreiem Deutsch, täuschend echte Stimmenimitationen und automatisiert generierter Schadcode sind keine Zukunftsszenarien mehr – sie sind Teil der realen Bedrohungslage 2026.
Dieser Artikel erklärt, wie LLM-gestützte Angriffe technisch funktionieren, wo die größten Risiken liegen und was IT-Teams konkret tun können.
Die wichtigsten Angriffsvektoren
Sprachmodell-gestütztes Phishing
Klassische Phishing-E-Mails waren oft leicht erkennbar: schlechte Grammatik, generische Anrede, verdächtige Links. Sprachmodelle haben dieses Bild grundlegend verändert. Ein Angreifer kann heute mit wenig Aufwand hunderte individualisierter E-Mails generieren – mit korrekter Grammatik, passender Anrede und kontextbezogenem Inhalt, der auf öffentlich verfügbaren Informationen über das Zielunternehmen basiert.
Besonders gefährlich ist die Kombination aus Sprachmodellen und OSINT-Tools (Open Source Intelligence): Aus LinkedIn-Profilen, Unternehmenswebsites und sozialen Netzwerken lassen sich personalisierte Angriffskampagnen zusammenstellen, die kaum noch von legitimer Kommunikation zu unterscheiden sind. Spear-Phishing – gezielte Angriffe auf einzelne Personen – war früher ein ressourcenintensiver Prozess. LLMs skalieren diesen Aufwand auf ein Vielfaches.
Voice Cloning und Deepfake-Angriffe
Audio-KI-Modelle können heute mit wenigen Sekunden Trainingsaudio eine überzeugende Stimme klonen. Bekannte Angriffsmuster: Ein Angreifer ruft in der Buchhaltung an, gibt sich als Führungskraft aus – sogenannter „CEO Fraud" – und drängt zur sofortigen Überweisung. 2026 sind solche Anrufe in Echtzeit möglich, mit geklonter Stimme auf Basis öffentlich verfügbarer Audio- oder Videoaufnahmen aus Interviews, Podcasts oder Social Media.
Ähnliches gilt für Videokonferenzen: Deepfake-Werkzeuge ermöglichen Echtzeit-Videomanipulationen, bei denen das Gesicht einer bekannten Person über das eines Angreifers gelegt wird. Was noch vor zwei Jahren hohe technische Hürden hatte, ist heute mit Consumer-Hardware und Open-Source-Tools realisierbar.
Automatisierte Malware-Generierung
Sicherheitsforschern ist seit Längerem bekannt, dass Sprachmodelle funktionsfähigen Schadcode generieren können. Anbieter wie OpenAI und Anthropic haben Schutzmaßnahmen implementiert, die direkte Malware-Anfragen erkennen und ablehnen. Dennoch existieren im Darknet spezialisierte Modelle ohne solche Einschränkungen – sogenannte „uncensored models" oder auf Exploit-Datenbanken und Hacker-Foren feinabgestimmte Varianten.
Das Ergebnis: Die Hürde für die Erstellung funktionsfähigen Schadcodes sinkt. Angreifer ohne tiefe Programmierkenntnisse können mithilfe von LLMs Skript-Varianten erzeugen, existierende Malware-Samples anpassen oder Exploits für bekannte Schwachstellen schneller ausarbeiten.
Prompt Injection in KI-gestützte Systeme
Ein besonders heimtückischer Angriffsvektor richtet sich nicht gegen Menschen, sondern gegen KI-Systeme selbst. Prompt Injection bezeichnet den Versuch, über externe Inhalte – eine präparierte E-Mail, eine manipulierte Webseite oder ein vergiftetes Dokument – ein KI-System dazu zu bringen, unerwünschte Aktionen auszuführen.
Beispiel: Ein KI-Agent, der E-Mails bearbeitet und dabei auf Kalender oder Dateisysteme zugreifen darf, könnte durch eine speziell formatierte Nachricht dazu gebracht werden, sensible Daten weiterzuleiten oder Systeminformationen preiszugeben. Erste dokumentierte Angriffe dieser Art zeigen, dass das Problem real und nicht nur theoretisch ist.
Was sich in der Praxis verändert hat
Sicherheitsanalysten beobachten mehrere konkrete Verschiebungen in der Bedrohungslage:
- Höhere Angriffsfrequenz: Automatisierung senkt den Aufwand pro Angriff erheblich. Kampagnen, die früher Wochen Vorbereitung benötigten, lassen sich heute in Stunden skalieren.
- Bessere Qualität der Täuschung: Phishing-Texte, Fake-Dokumente und Social-Engineering-Skripte werden sprachlich präziser, kulturell passender und kontextuell überzeugender.
- Neue Zielgruppen: Kleinere Unternehmen, die bisher zu unattraktiv für aufwendige Angriffe waren, werden nun rentabler – weil der Aufwand gesunken ist.
- Schnellere Exploit-Entwicklung: KI kann Schwachstellen-Beschreibungen aus CVE-Datenbanken analysieren und Proof-of-Concept-Code schneller ableiten.
Wie IT-Teams ihre Abwehr anpassen
Security Awareness neu denken
Klassische Awareness-Schulungen, die Mitarbeitende auf schlechte Grammatik oder generische Absender aufmerksam machen, greifen nicht mehr. Stattdessen müssen Organisationen ein tiefes Misstrauen gegenüber unerwarteten Anfragen kultivieren – unabhängig davon, wie überzeugend sie klingen oder aussehen.
Neue Schulungsansätze setzen auf Simulationen mit KI-generierten Phishing-Mails, die schwer von echten zu unterscheiden sind. Ziel ist nicht, jeden Angriff zu erkennen, sondern Prozesse zu etablieren, die bei Unsicherheit eine sichere Alternative bieten: verifizieren, bevor man handelt.
Prozessbasierte Kontrollen stärken
Technische und organisatorische Kontrollen müssen so gestaltet sein, dass sie auch bei überzeugender Täuschung greifen. Konkrete Maßnahmen:
- Vier-Augen-Prinzip bei Überweisungen und kritischen Systemänderungen – unabhängig von der Dringlichkeit der Anfrage
- Rückruf-Pflicht bei unerwarteten Anfragen über einen bekannten, im Unternehmen hinterlegten Kanal – nicht über die vom Angreifer angegebene Nummer
- Strikte Einschränkung der Rechte für KI-Agenten nach dem Least-Privilege-Prinzip
- Überwachung von Agenten-Workflows auf unerwartete Aktionssequenzen
KI-gestützte Erkennung
Das Paradoxon der Lage: Gegen KI-Angriffe hilft oft nur KI-gestützte Erkennung. Moderne Security-Plattformen setzen Machine Learning ein, um Verhaltensanomalien in Netzwerken, E-Mail-Systemen oder bei Nutzerkonten zu erkennen. Die Erkennungsqualität steigt, wenn Modelle auf unternehmensspezifische Kommunikations- und Verhaltensmuster trainiert sind und kontinuierlich aktualisiert werden.
Red Teaming mit KI
Sicherheitsverantwortliche sollten KI-Werkzeuge aktiv für Angriffssimulationen nutzen. LLM-gestützte Red-Teaming-Tools können Phishing-Kampagnen, Social-Engineering-Szenarien und Exploit-Varianten generieren – unter kontrollierten Bedingungen und mit dem Ziel, Schwachstellen im eigenen Unternehmen zu finden, bevor es externe Angreifer tun.
Regulatorische Entwicklungen
Der EU AI Act und die NIS2-Richtlinie schaffen einen regulatorischen Rahmen, der KI-Sicherheit stärker in den Fokus rückt. Unternehmen, die KI-Systeme einsetzen, müssen Risikoanalysen durchführen und Sicherheitsmaßnahmen dokumentieren. Der Einsatz externer KI-Dienste über APIs fällt dabei ebenfalls in den Verantwortungsbereich des Nutzers – nicht nur des Anbieters. Wer KI-Agenten in kritischen Prozessen einsetzt, trägt die Verantwortung für deren Absicherung.
Fazit
KI hat die Angriffsfläche für Unternehmen realer und gefährlicher gemacht. Gleichzeitig bietet KI auch neue Verteidigungsmöglichkeiten. Die Antwort auf LLM-gestützte Angriffe ist nicht, KI im Sicherheitsbereich zu meiden, sondern sie aktiv und durchdacht einzusetzen – kombiniert mit robusten organisatorischen Prozessen, die auch dann greifen, wenn eine Bedrohung täuschend echt klingt.
Bildquelle: Wikimedia Commons, CC0 – https://commons.wikimedia.org/wiki/File:Cybersecurity.png
Quellen: ENISA Threat Landscape 2024, BSI Lagebericht IT-Sicherheit 2024, OWASP Top 10 for LLM Applications, Anthropic Safety Documentation.
