Bots denken mit: Die neue Cyber-Gefahr.
Ein KI-System, das über Monate hinweg unbemerkt Cyberspionage betreibt. Ein Botnetz aus drei Millionen Geräten, das Rekord-Angriffe durchführt. Das sind zwei Beweise dafür, dass sich die Bedrohungslage gerade grundlegend verschiebt. Ein Blick in ein europäisches SOC zeigt zudem, wie es im Alltag aussieht und was Unternehmen wirklich brauchen.
Zusammenfassung (TL; DR):
- Durch den Einsatz generativer KI und riesiger Botnetze verschiebt sich die Bedrohungslage im Cyber-Bereich fundamental. Angriffe agieren zunehmend autonom, tarnen sich und basieren auf verhaltensbasierter Analysen.
- Ein aktueller Bericht zeigt, dass Angriffe bereits zu 90 Prozent ohne menschliches Zutun erfolgen, während das Botnetz Aisuru neue Rekordlasten erzeugt hat.
- Effektiver Schutz erfordert laut Experten eine Abkehr von starren Regeln hin zur Web Application & API Protection (WAAP), die Verhaltens-Baselines in Echtzeit nutzt.
Kurz nach Mitternacht trifft auf der API einer deutschen Kreditkarten-Infrastruktur ungewöhnlicher Traffic ein. Zielgruppe: niemand. Zu dieser Uhrzeit meldet sich normalerweise kein Nutzer an. Trotzdem sieht der Traffic zunächst harmlos aus. Eine Session pro IP-Adresse, bekannte Payload-Strukturen, keine Signatur schlägt an.
Was das Monitoring-System für Routine hält, ist jedoch der Auftakt zu etwas anderem. Die Angreifer haben zuvor Server-Antworten aus dem echten Authentifizierungsablauf mitgeschnitten und spielen sie, leicht verändert, gegen die API zurück. Für ein signaturbasiertes System ist das unsichtbar. Erst der Abgleich mit dem Ursprung zeigt, was passiert. Die Anfragen kommen aus Indonesien und China. Um Mitternacht. Auf eine deutsche Bank-API. Das passt zu keinem legitimen Nutzungsmuster.
So beginnen keine Hollywood-Hacks mit blinkenden Bildschirmen, sondern die meisten Angriffe, die heute auf europäische Unternehmen zielen. Und genau darin liegt das Problem: Sie sehen normal aus.
Vom Skript zum Kollegen
Vor 25 Jahren waren Bots ein simples Skript, das im Sekundentakt Anfragen mit auffälligem User-Agent und ohne Rücksicht auf Cookies abfeuerte. Ein Blick in die Logfiles genügte, um den Angreifer zu identifizieren. Ab 2005 lernten Bots, Formulare auszufüllen und Zugangsdaten massenhaft durchzuprobieren. Ab 2010 kamen headless Browser hinzu, die JavaScript ausführen und Cookies verwalten konnten. 2016 folgten verteilte Botnetze aus Tausenden gekaperten Heimroutern. Jede Stufe machte es schwerer, Mensch und Maschine zu unterscheiden.
Die aktuelle Stufe unterscheidet sich jedoch grundlegend von allen vorherigen. Bots mit generativer oder agentischer KI warten nicht mehr stur eine festgelegte Zeit zwischen zwei Anfragen. Sie beobachten, wie das Zielsystem auf Aktionen reagiert, und passen ihr Verhalten in Echtzeit an. Sie rotieren IP-Adressen, lösen CAPTCHAs und imitieren menschliches Klickverhalten. Aus einem Skript ist ein lernendes System geworden. Die Frage ist nicht mehr, ob das theoretisch möglich ist, sondern wie oft es bereits passiert ist.
Bots: Der Beweis, dass es geht
Im November 2025 lieferte der KI-Anbieter Anthropic den bislang eindeutigsten Beleg dafür. Das Unternehmen gab bekannt, dass eine mutmaßlich staatlich gelenkte Gruppe aus China über einen Zeitraum von mehreren Wochen als Angriffsagenten missbraucht hatte. Dabei wurden rund 30 Ziele weltweit angegriffen, darunter Technologiekonzerne, Finanzinstitute, Chemieunternehmen und Behörden. In einigen Fällen war der Angriff erfolgreich. Die Attacke lief zu 80 bis 90 Prozent ohne menschliches Zutun ab. Aufklärung, Schwachstellensuche, das Schreiben von Exploit-Code und sogar die Auswertung erbeuteter Daten übernahm das System weitgehend selbstständig. Menschen griffen nur an vier bis sechs kritischen Punkten ein. Um das Modell überhaupt zum Mitspielen zu bewegen, gaben sich die Angreifer als Mitarbeiter einer legitimen Cybersecurity-Firma aus und zerlegten die Angriffsaufgabe in viele kleine, harmlos wirkende Einzelschritte. Trotzdem lief es nicht reibungslos: Claude halluzinierte gelegentlich Zugangsdaten oder behauptete, längst öffentliche Informationen erbeutet zu haben. Genau diese Fehleranfälligkeit ist es, an der sich die Fachwelt aktuell reibt.
Wie groß die Kluft in der Einschätzung ist, zeigen zwei gegensätzliche Prognosen. Michael Freeman, der die Threat-Intelligence-Abteilung von Armis leitet, geht davon aus, dass noch im Jahr 2026 ein großes, international tätiges Unternehmen Opfer eines Angriffs wird, der maßgeblich von einem eigenständig agierenden KI-System vorangetrieben wurde. Die britische Cybersicherheitsbehörde NCSC hält dagegen vollständig automatisierte, durchgängige Angriffe vor 2027 für unwahrscheinlich. Beide können nicht gleichzeitig recht haben, vermutlich liegt die Wahrheit dazwischen.
Drei Millionen Geräte und ein Rekord
Für einen zweiten Beweis muss man nicht einmal bis zur vollautonomen KI vorausdenken. Selbst klassische Botnetze haben mittlerweile Dimension erreicht, die noch vor wenigen Jahren undenkbar waren. So verzeichnete Cloudflare Ende 2025 eine Kampagne namens „The Night Before Christmas“: Das eng mit dem Ableger Kimwolf verwobene Botnetz Aisuru erzeugte eine Spitzenlast von 31,4 Terabit pro Sekunde – den größten öffentlich bekannten DDoS-Angriff überhaupt –, ausgelöst über gekaperte Router und zunehmend kompromittierte Android-Fernseher.
Im März 2026 folgte eine international abgestimmte Aktion. Das Bundeskriminalamt, US-Behörden und kanadische Ermittler gingen gemeinsam gegen die Infrastruktur von Aisuru und Kimwolf vor. Laut BKA waren zu diesem Zeitpunkt mehr als drei Millionen Geräte gekapert, darunter Überwachungskameras und Wi-Fi-Router. Ein Netzwerk dieser Größe benötigt keine KI, um gefährlich zu sein, sondern lediglich genügend ungesicherte Geräte und einen Betreiber, der sie zu orchestrieren weiß.
Die Brücke zur eigenen Praxis
Der European Cyber Report 2026 von Link11 zeigt, was diese beiden Ebenen für ein einzelnes Unternehmen bedeuten. Der Frankfurter Anbieter für DDoS- und Webanwendungsschutz registrierte 2025 in seinem eigenen Netzwerk einen Anstieg dokumentierter Angriffe um 75 Prozent, nachdem diese im Jahr davor bereits um 137 Prozent gestiegen waren. Der längste durchgehende Angriff dauerte 12 388 Minuten, also mehr als acht Tage. An 322 von 365 Tagen war irgendein System aktiv unter Beschuss. Auf einen ersten Angriff folgte in über 70 Prozent der Fälle mindestens ein zweiter.
Auch unterhalb der Rekordschwelle zeigt sich, wie sehr sich die Angriffslogik verschoben hat. In den eigenen SOC-Daten fällt eine Zahl besonders auf: 96 Prozent des nachweislich gefälschten Bot-Traffics geben sich als Google Bots aus. Das ist mit einer Zeile Python für den gefälschten User-Agent möglich. Zudem lassen viele Firewalls den vermeintlichen Google-Crawler aus Angst vor SEO-Schäden pauschal durch. In einem anderen Fall diente eine DDoS-Welle auf der Startseite als Ablenkung, während im Login-Bereich zeitgleich SQL-Injection- und XSS-Versuche liefen. Diese wurden nur aufgedeckt, weil die Angreifer für beide Vektoren dieselbe Infrastruktur wiederverwendeten.
Was Verteidigung heute braucht
All diese Fälle – ob global orchestriert oder lokal beobachtet – haben einen gemeinsamen Nenner: Sie funktionieren, weil Angreifer wissen, wie „Normalität“ für ein System aussieht, während dies vielen Unternehmen nicht bewusst ist. Eine Firewall, die einmal mit Standardregeln aufgesetzt und zwei Jahre nicht angefasst wird, schützt vor dem Angriff von 2016, aber nicht vor dem von heute.
Eine effektive Verteidigung setzt deshalb nicht an einer einzelnen Schwelle an, sondern an einem Profil: Wie viele Anfragen sind zu welcher Uhrzeit über welchen Pfad mit welcher Payload-Größe normal? Erst eine solche Verhaltens-Baseline macht sichtbar, was von ihr abweicht, selbst wenn ein einzelner Parameter unauffällig bleibt. Web Application & API Protection, kurz WAAP, kombiniert genau diese Ebenen: Netzwerkschutz, signaturbasierte Regeln und eine verhaltensbasierte Analyse, die in Echtzeit lernt, statt starr zu blockieren. Link11 begegnet dieser Entwicklung unter anderem mit einem eigenen KI-Traffic-Dashboard. Dieses soll legitime KI-Agenten von missbräuchlichem Bot-Verkehr trennen. Ein Feld, das ohne Kategorisierung kaum zu kontrollieren ist.
„Wer bei einem Angriff nur reagiert, hat bereits verloren”, sagt Jens-Philipp Jung, Gründer und CEO von Link11. Ob die vollautonome Cyberattacke 2026 oder erst 2027 zum Normalfall wird, ändert daran wenig. Die Bausteine dafür liegen längst auf dem Tisch: KI-Agenten, die Aufgaben eigenständig planen, und Botnetze, die bereits Millionen Geräte umfassen. Wer beide Entwicklungen erst ernst nimmt, wenn sie zusammenkommen, hat den nötigen Vorsprung schon verspielt.



Link11 GmbH
