CybercrAIme

von Dr. Wilhelm Greiner

Unternehmen integrieren künstliche Intelligenz mehr und mehr in ihre Geschäftsprozesse. Parallel dazu industrialisiert sich auch die Cyberkriminalität weiter – und nutzt KI als Werkzeug. Für IT- Verantwortliche ergeben sich daraus drei zentrale Risiken: GenAI für Phishing und Betrug, KI zur Beschleunigung und Automatisierung von Angriffen und Malware sowie Attacken auf eigene KI-Modelle, -Infrastrukturen wie auch -Agenten.

Max Mustermann erhält eine WhatsApp-Nachricht der Investmentbank Goldman Sachs: Man plane eine Investition, die dank KI-Analysen 70 Prozent Rendite verspricht. Die Nachricht enthält eine Einladung zu einer WhatsApp-Gruppe. Aus Neugier tritt Max – trotz Fantasierendite und Spamwarnung – der Gruppe bei. Diese hat rund 90 Mitglieder, Experten ebenso wie einfache Teilnehmer. Die Experten veröffentlichen Analysen und Marktkommentare, beantworten Fragen und wirken sehr kompetent. Was Max nicht weiß: Alle 90 Gruppenmitglieder sind KI-generiert und dienen nur dem Ziel, ihn in die Falle zu locken.

Cyberkriminelle Truman Show

Das Szenario scheint dem US-Spielfilm "The Truman Show" entnommen, in dem der Protagonist entdeckt, dass er – als absoluter Durchschnittsamerikaner das ideale Objekt für Marktforschung – in einer komplett inszenierten Scheinwelt lebt. Doch der Betrugsfall ist nicht fiktional, sondern ein realer Angriff, vor dem der israelische Security-Anbieter Check Point Anfang Januar warnte [1].

Das Vorgehen laut Check Point: Die Profilbilder der Gruppenmitglieder sind KI-generiert, die "Experten" kommunizieren KI-gestützt in jenem selbstbewusstem Tonfall, der von Finanzanalysten erwartbar wäre. Sie interagieren in flüssiger Sprache mit den Opfern und verleiten diese zum Download der "offiziellen" App des fiktiven US-Finanzunternehmens O-PCOPRO. Die App zeigt gefälschte Salden und Handelsgeschäfte.

Die ganze Inszenierung samt Community, Analysten, Verträgen, Dashboards und Dokumentation dient dazu, mittels sozialer Bestätigung allmählich Vertrauen aufzubauen. Dies soll die Opfer dazu verleiten, sich über eine bankübliche Identitätsprüfung, also per Ausweis mit biometrischem Foto, zu identifizieren und dann per Überweisung oder Kryptowährung Geld einzuzahlen. Wer auf die cyberkriminelle Truman Show hereinfällt, verliert also nicht nur Vermögen, sondern auch die Kontrolle über seine digitale Identität.

Die meisten Onlinebetrügereien sind längst nicht so raffiniert und aufwendig gestaltet. Doch das Beispiel veranschaulicht, wie einfallsreich und langanhaltend Cyberkriminelle heute agieren und wohin die Reise beim Cyberbetrug gehen könnte: Das Mittel der Wahl ist nicht mehr einfaches Phishing, sondern eine umfassende KI-Inszenierung, um das Vertrauen der Opfer zu erschleichen. GenAI macht diese Inszenierung nicht nur glaubhafter, sondern ermöglicht zugleich, das Vorgehen zu automatisieren und damit zu skalieren.

Kleine Pointe am Rande: Zum Zeitpunkt des Berichts von Check Point war die O-PCOPRO-App zwar im Google Play Store schon gelöscht, im Apple Store aber noch aufrufbar. Manche Abwehrprozesse sind eben inzwischen zu langsam für eine Welt KI-gestützter Cyberangriffe.

Im Dual-Use-Dilemma

KI mischt die Karten im ewigen Wechselspiel zwischen Cyberangriff und Cyberabwehr neu. Denn KI ist eine Basistechnologie, vergleichbar mit Strom oder dem Internet. Das bedeutet einerseits, dass sie sich im Privaten wie im Beruflichen – und hier über alle Branchen hinweg – verwenden lässt. Andererseits heißt das: KI lässt sich für Legitimes und Nützliches ebenso einsetzen wie für kriminelle oder andere destruktive Pläne.

US-Security-Anbieter Palo Alto Networks nennt dies das "Dual-Use-Dilemma" der KI, in Anlehnung an die Dual-Use-Güter in der Industrie, die friedlichen wie kriegerischen Zwecken dienen können [2].

Die Kriminellen sind hier prinzipbedingt im Vorteil: Der legitime Einsatz neuer KI-Technologien erfordert aufwendige Planung und Absicherung, um Pannen, Sicherheitslücken und Missbrauch auszuschließen. KI-generierte Malware hingegen muss nur eine einzige Sicherheitslücke eines Unternehmens finden. Und bei KI-generierten Phishing-Mails reicht es völlig, wenn einer von 1000 Adressaten darauf hereinfällt. Kurz: Der klassische Vorsprung der Angreifer gegenüber den Verteidigern gilt auch – und erst recht – bei KI-gestützter Cyberkriminalität.

Und so wundert es nicht, dass Cyberkriminelle laut Berichten diverser Security-Anbieter und -Forscher nach einer anfänglichen Experimentierphase nun KI in großem Stil produktiv nutzen. Denn KI – insbesondere generative KI – bietet ihnen die gleichen Vorteile, die sich auch Unternehmen erhoffen: Workflow- und Prozessbeschleunigung, höhere Skalierbarkeit von Geschäftsaktivität, individuellere Kundenansprache und Einsatz geringqualifizierten Personals für Tätigkeiten, die vor GenAI-Zeiten Fachleute erforderten.

KI als Teil des Phishing-Werkzeugkastens

Die oben beschriebene "Truman Show" schreibt einen Trend fort, den Security-Forscher schon seit Jahren beobachten: Kriminelle nutzen GenAI bevorzugt für die direkte, individualisierte Kundenansprache sowie für Marketing und Produktion, sprich für Phishing, Deepfakes und Betrug.

Phishing, klassischerweise per E-Mail oder Messaging, hat durch generative KI neue Ausmaße erreicht. Denn erstens ermöglicht es GenAI den Kriminellen, glaubhafte, grammatikalisch korrekte Phishing-Mails und -Messages zu erstellen, mit ein bisschen automatisierter Recherche auf Social-Media-Plattformen sogar in personalisierter Form (Spearphishing). Zweitens – und nicht minder wichtig – ermöglicht KI die professionelle Übersetzung in diverse Sprachen. Deshalb sind nun auch Länder von Phishing betroffen, deren Landessprache den Kriminellen bislang ihr Treiben erschwerte. Und drittens ermöglicht KI es Bedrohungsakteuren, E-Mail-Betreffzeilen und Fließtext von Phishing-Kampagnen automatisiert zu variieren. Dadurch unterlaufen sie Abwehrlösungen, die nach bestimmten Betreffzeilen oder Textmustern suchen.

Mit Deepfakes zum Chefbetrug

Laut aktuellen Reports gewinnen neben glaubhaft formulierten Phishing-Ködern auch Audio- und Video-Deepfakes (KI-generierte Doppelgänger) für Kriminelle immer mehr an Bedeutung. Anfangs aufgrund mangelnder Rechenleistung auf Ton- oder Videoaufzeichnungen beschränkt, geht hier der Trend zu Live-Deepfakes. Das berichtet zum Beispiel Group-IB, ein von zwei russischen Fachleuten gegründeter Security-Anbieter mit Sitz in Singapur [3]: Das Thema Live-Deepfakes entwickelt sich demnach zu einer Nische, in der Untergrund-Marktbetreiber KI-Video-Schauspieler rekrutieren und schlüsselfertige Deepfake-Lösungen für Betrügereien verkaufen.

Ziel ist dabei oft Identitätsbetrug, vor allem in der beliebten Variante CEO Fraud (Chefbetrug): Den Opfern wird vorgegaukelt, mit einem Vorgesetzten zu kommunizieren oder in einer Onlinekonferenz zu sein, damit sie auf Anweisung des vermeintlichen Chefs Geldbeträge überweisen. Hohe Wellen schlug bereits vor zwei Jahren ein Fall in Hong Kong: Hier ließ sich ein Mitarbeiter der britischen Ingenieursfirma Arup nach einem Deepfake-Zoom-Meeting mit mehreren vermeintlichen Kollegen und Vorgesetzten zu Überweisungen von in Summe 25 Millionen Dollar verleiten. Deepfakes haben seither exponentiell zugenommen.

Glaubhaft erstellte (Live-)Deepfakes hebeln die klassische Vertrauensbasis des Menschen aus: Der Anwender hat etwas "mit eigenen Augen gesehen". Dies ist nicht nur mittels Chefbetrug ein Risiko für Unternehmen, sondern auch für Branchen wie die Finanzindustrie, die sich auf KYC-Verfahren (Know Your Customer) stützen, also auf die audiovisuelle Authentifizierung von Kunden. Das nötigt Finanzinstitute, ihre KYC-Prozesse aufzurüsten.

Dark LLMs für KI-Angriffsketten

Kriminelle nutzen generative KI längst nicht nur für optimierte Phishing- und Betrugsmaschen. Auch im Maschinenraum der Cybercrime-Geschäftsprozesse kommt KI zum Einsatz, um Angriffe zu beschleunigen, zu automatisieren und zu skalieren. Legitime Unternehmen erstellen per Feintuning individuelle KI-Modelle als Basis für unternehmenseigene KI-Bots und KI-Agenten – und im Dark Web finden sich entsprechende Angebote für kriminelle Akteure und Organisationen.

Seinen Anfang nahm das KI-gestützte cyberkriminelle Treiben schon in den Kindertagen von ChatGPT. Denn seit OpenAI den KI-Bot öffentlich zugänglich gemacht hatte, versuchten sich Kriminelle daran, den Dienst zu missbrauchen. Geschicktes Prompt Engineering überwand die Leitplanken, die OpenAI gegen Missbrauch eingezogen hatte. Solches Jailbreaking legitimer KI-Services ist laut Security-Fachleuten nach wie vor ein verbreitetes Vorgehen.

Doch parallel zum Siegeszug der Mainstream-LLMs (Large Language Model, großes KI-Sprachmodell) fanden in der cyberkriminellen Unterwelt schnell auch unzensierte Versionen Verbreitung, bösartige oder Dark LLMs genannt. Ein bekanntes frühes Beispiel war WormGPT. Dieses wurde nach anfänglichen Erfolgen eingestellt, inzwischen ist unter gleichem Namen ein Nachfolger im digitalen Untergrund erhältlich. Heutige Dark LLMs sind laut Forschern stabiler, leistungsfähiger und einfacher kommerziell verfügbar als das ursprüngliche WormGPT.

Dark-LLM-Anbieter bewerben ihre Angebote als Mittel, um Betrugs- und Scam-Inhalte zu erstellen, etwa für Romance Scams (Betrug mittels vorgetäuschter Liebesbeziehung), Investitions- oder Identitätsbetrug. Dark LLMs unterstützen aber auch bei der Erstellung von Phishing-Kits, gefälschten Websites und Social-Engineering-Skripten, ebenso bei der Erkundung von Schwachstellen und Exploit-Ketten, bei der Entwicklung von Malware und Exploits, etwa von Code-Snippets oder Verschleierungsmechanismen. Die Google Threat Intelligence Group berichtete kürzlich: 2025 ist erstmals Schadcode aufgetaucht, der KI nutzt, um während eines laufenden Angriffs seine Angriffsweise zu ändern [4].

Als Haupttrends im Dark-LLM-Ökosystem nennen die Security-Forscher Jailbreak-Modelle ohne jegliche ethische Leitplanken, die uneingeschränkte Unterstützung für illegale Aktivitäten bieten, zudem die Tendenz zum eigenen Hosting des LLMs gegenüber der Nutzung öffentlicher APIs. Dies soll die Rückverfolgung erschweren. Die LLMs bieten ein Feintuning anhand von Datensätzen mit Schwerpunkt auf Penetrationstests, Betrug oder bösartige Skripte, zudem KI-Chatbot-Schnittstellen für Messenger sowie Entwicklerfunktionen wie private APIs oder die Einbettung von KI in Malware-Builder oder Phishing-Toolkits.

Laut Group-IB-Angaben offerieren mindestens drei aktive Anbieter Dark LLMs über selbst gehostete Plattformen. Die Modelle sollen teils über 80 Milliarden Parameter verwenden. Die Monetarisierung erfolgt nach dem Vorbild legitimer KI-Angebote über "As-a-Service"-Bereitstellung. Den Kundenstamm schätzt Group-IB auf über 1000 Nutzer.

Während WormGPT kostenpflichtige Unterstützung bei der Erstellung von Ransomware-, Phishing- und Chefbetrugskampagnen bietet, senkt laut Palo Alto Networks das Aufkommen kostenloser Tools wie KawaiiGPT die Hürden für Cyberkriminalität weiter. KawaiiGPT, erstmals identifiziert im Juli 2025, bietet ein leicht zugängliches, funktional leistungsfähiges bösartiges LLM und eignet sich laut den Forschern dadurch auch für Einsteiger.

Betrug-as-a-Service

Dark LLMs sind damit auf dem besten Weg zur Standardinfrastruktur für Cyberkriminelle. Denn sie senken Einstiegshürden, rationalisieren Abläufe und erweitern die Reichweite auch für weniger erfahrene Akteure. Aufbauend auf solchen kriminellen KI-Infrastrukturen berichten die Group-IB-Forscher von zwei bemerkenswerten Trends im Dark Web:

1. Impersonation-as-a-Service: Neben Anbietern von Deepfake-as-a-Service steigt in Untergrundforen die Nachfrage nach KI-Video-Schauspielern, Deepfake-Moderatoren und virtuellen Callcenter-Agenten. Dies zeigt den hohen arbeitsteiligen Organisationsgrad, den diese Betrugsindustrie erreicht hat.

2. Deepfake-SaaS-Angebote: Organisierte Cyberkriminelle verlassen sich nicht mehr ausschließlich auf öffentliche Tools, um Gesichter für Deepfakes auszutauschen. Stattdessen nutzen sie für Betrug optimierte Speziallösungen, die einen latenzarmen Gesichtsaustausch in Echtzeit ohne ethische oder sonstige Einschränkungen unterstützen. Diese Anbieter sind laut Group-IB in der Regel in geschlossenen chinesischsprachigen Telegram-Kanälen tätig und beliefern vor allem Betrugsnetzwerke in der Region Südostasien.

Außerdem gibt es laut den Security-Forschern bereits KI-gestützte Callcenter-Plattformen einschließlich SIP-Telefonie, Skripten und Managementsystem, die explizit für Betrugszwecke entwickelt wurden. Die Plattformen kombinieren synthetische Stimmen, KI-gestützte Inbound-Antworten und LLM-gestütztes Coaching. Für kritische Phasen verlasse man sich dort aber bislang weiterhin auf menschliche Callcenter-Agenten.

Betrugs-Callcenter, die traditionell auf menschliche Arbeitskraft angewiesen waren, integrieren nun also GenAI, um Abläufe zu skalieren und zu optimieren. Doch in der heißen Phase eines Betrugs ist auch der gemeine Kriminelle (noch) nicht komplett durch KI ersetzbar.

Allerdings berichtete KI-Anbieter Anthropic letzten November, dass ein Bedrohungsakteur – offenbar eine staatlich finanzierte chinesische Gruppierung – Anthropics KI-gestütztes Entwicklerwerkzeug Claude Code manipuliert hatte, um international rund 30 Organisationen auszuspähen. Die Spionageoperation habe jenseits der Auswahl der Ziele praktisch keine menschliche Intervention erfordert. Dies war damit, so Anthropic, der wohl erste vollständig KI-automatisierte Angriff weltweit [5].

Risiko Vibe Coding

Cyberkriminelle nutzen GenAI, um die Kundenansprache zu optimieren, Geschäftsabläufe zu beschleunigen und hauseigene KI-Toolsets zu entwickeln – ganz nach dem Vorbild der Unternehmen, die sie damit angreifen. Wobei allerdings die KI-Infrastrukturen dieser Unternehmen nun ebenfalls eine Angriffsfläche darstellen. Mit diesen Risiken befasst sich der japanische Security-Spezialist Trend Micro in einem Report über die "KI-fizierung der Cyberbedrohungen" [6]. Als Angriffsflächen stufen die Japaner zwei Trends ein: erstens die KI-gestützte Softwareentwicklung (Vibe Coding), zweitens die derzeit allseits propagierte Automation von Abläufen mittels KI-Agenten (also KI-Bots, die autonom Aktionen auslösen können).

Vibe Coding verursacht laut Erkenntnissen von Veracode in fast der Hälfte der Fälle (45 Prozent) Sicherheitslücken im Code [7]. Trend Micro weist darauf hin, dass LLMs gerne nichtexistierende Bibliotheken halluzinieren. Ein Angreifer könnte also zum Beispiel Bibliotheken mit häufig halluzinierten Bibliotheknamen erstellen und diese für einen Angriff nutzen, ein "Slopsquatting" genannter Schachzug [8]. Laut den Japanern ist es nur eine Frage der Zeit, bis Kriminelle oft halluzinierte Bibliotheken registrieren, um damit die digitale Lieferkette anzugreifen.

KI-Infrastruktur als Angriffsfläche

Neben der Softwareentwicklung bieten auch unternehmenseigene KI-Umgebungen eine reizvolle Zielscheibe für Angreifer. So kommen zum Beispiel in Unternehmensumgebungen immer mehr KI-Agenten zum Einsatz. Agentische KI-Systeme treffen autonome Entscheidungen und können dabei zunehmend komplexe Aufgaben erledigen. Sie interagieren über APIs mit digitalen wie auch physischen Umgebungen. Manche IT-Ausrüster propagieren zum Beispiel autonome Unternehmensnetzwerke und gehen dabei von geringer, letztendlich gar keiner menschlichen Aufsicht mehr aus. Solange noch ein Mensch im Spiel ist ("Human in the Loop"), erfolgt ein Ablauf schließlich noch nicht wirklich autonom.

Mit der Verbreitung agentenbasierter KI in Unternehmen, etwa durch Workflow-Plattformen wie Dify und n8n, dürften zwangsläufig neue Schwachstellen entstehen. Als mögliche Angriffspunkte nennt Trend Micro Workflow-Kompromittierungen oder Denial-of-Service-Angriffe, etwa durch offene Webhooks und betrügerische NPM-Pakete.

KI-gestützte Automation schafft neue Risiken – erst recht, wenn KI-Agenten Zugriff auf physische Geräte haben. Aber eben dies ist, siehe das autonome Netzwerk, oft Sinn und Zweck des KI-Agenten-Deployments. Der Einsatz agentenbasierter Edge AI, also KI in Fabriken, Fahrzeugen oder Wohngebäuden, erweitert diese digitalen Risiken auf zahlreiche Bereiche der physischen Welt. KI-Agenten können damit zu Angriffsvektoren für Sicherheitsrisiken oder Betriebsstörungen in praktisch allen Lebensbereichen mutieren.

Dabei muss die Angreiferseite nicht unbedingt agentenbasierte Systeme selbst ins Visier nehmen: Sie könnte die zugrunde liegende Infrastruktur manipulieren, vergiftete Module einschleusen oder die Orchestrierungsschicht kompromittieren, um KI-Agenten zu schädlichen Aktionen zu verleiten. Angriffe wie Prompt Injection (als legitimer Prompt getarnter böswilliger Input) könnten unbemerkt Multi-Agenten-Workflows kapern, warnt Trend Micro.

Der Security-Anbieter Cato Networks beschrieb kürzlich einen Hashjack getauften Angriff auf KI-Browser: Angreifer schleusen bösartige Fragmente in URLs ein, die der KI-Browser dann automatisch in seinen Kontext übernimmt – eine indirekte Prompt Injection per URL [9]. Auf ähnliche Weise funktionieren auch sogenannte Reprompt-Angriffe auf Microsoft Copilot [10].

Ausblick: KI als Brandbeschleuniger

KI erlaubt es in der Cyberkriminalität wie in der Geschäftswelt, den Automationsgrad wie auch das Workflow-Tempo zu erhöhen – und ganz neue Produkte zu entwickeln. Damit wirkt KI als Brandbeschleuniger für die seit Jahren voranschreitende Industrialisierung der Cybercrime-Branche. Zugleich senkt KI die Einstiegshürden und ermöglicht ein professionelleres Vorgehen selbst geringqualifizierter Akteure. Auch das kennen wir aus der regulären Geschäftswelt: Früher brauchte man für die Personenbeförderung einen Taxischein, heute reicht ein Amateur mit Uber-App. Und in beiden Fällen profitieren vor allem die Drahtzieher im Hintergrund.

KI ist eine Grundlagentechnologie. Deshalb sind Prognosen schwierig. Denn es sind unglaublich viele Angriffsszenarien denkbar, die vom KI-Einsatz profitieren könnten. Das Wirtschaftsblatt Forbes hat kürzlich eine Reihe von Fachleuten um ihre Einschätzung gebeten, welche Cyberangriffe 2026 im Trend liegen werden. Zu den Horrorszenarien zählen:

- KI-gestützte Angriffe, die Fehlkonfigurationen in Multicloud-Umgebungen aufspüren, automatisch passenden Exploit-Code schreiben und sich selbsttätig ausbringen.

- die Verbreitung indirekter Prompt Injection, etwa Bewerbungen mit weiß auf weiß gedruckten bösartigen Prompts, um KI-gestützte Bewerbungsmanagement-Systeme zu kompromittieren.

- durch Softwarefehler oder Angriffe korrumpierte KI-Agenten, die Zugriff auf Credentials und Verschlüsselungs-Secrets haben und damit in Maschinengeschwindigkeit Schaden anrichten.

Manches mag nach misstönender Zukunftsmusik klingen. Doch wer hätte vor fünf Jahren gedacht, dass heute für viele Menschen KI-Unterstützung im Berufsleben wie im Privaten zum Alltag gehört? Angesichts dieser Risikolage geben Security-Fachleute folgende Ratschläge, um sich auf KI-gestützte, somit hochflexible und hochskalierbare Angriffe vorzubereiten:

- IT-Grundschutz samt Backup und getestetem Recovery konsequent umsetzen.

- Authentifizierungsprozesse möglichst Deepfake-sicher gestalten.

- Notfallprozesse definieren und üben.

- KI-gestützten Angriffen mit KI-gestützter Abwehr begegnen (dazu raten insbesondere Anbieter KI-gestützter Abwehrtools).

- Beschäftigte mittels Awareness-Schulungen auf KI-Risiken und Deepfakes vorbereiten.

- Bei Überlastung des hauseigenen Security-Teams professionelle Hilfe hinzuziehen, etwa in Form von Managed-Security-Service-Providern, kurz MSSPs.

Fazit

KI ist auf dem besten Weg, fester Bestandteil cyberkrimineller Geschäftsmodelle zu werden – sowohl in der direkten Opferansprache durch Phishing, Deepfakes und Chefbetrug als auch in der Automatisierung interner Abläufe. Das Spektrum reicht vom Missbrauch legitimer LLMs per Jailbreaking über eigens trainierte Dark LLMs bis hin zu KI-gestützten Toolkits und Betrug-as-a-Service. Die zunehmende Automation und Arbeitsteilung auf Angreiferseite dürfte spiegelbildlich auch die Verteidiger erfassen. Viele Unternehmen werden dieses Tempo und die notwendige Spezialisierung langfristig nicht allein stemmen können. Für spezialisierte Dienstleister entsteht ein wachsender Markt. Die Büchse der Pandora ist jedenfalls geöffnet – vom neugierigen Max Mustermann bis zur Security-Leitung werden wir lernen müssen, mit KI-gestützten Täuschungen umzugehen.

Wie Cyberkriminelle KI für Angriffe nutzen

CybercrAIme

Cyberkriminelle Truman Show

Cyberkriminelle Truman Show

Im Dual-Use-Dilemma

KI als Teil des Phishing-Werkzeugkastens

Mit Deepfakes zum Chefbetrug

Dark LLMs für KI-Angriffsketten

Betrug-as-a-Service

Risiko Vibe Coding

KI-Infrastruktur als Angriffsfläche

Ausblick: KI als Brandbeschleuniger

Fazit