APT und gezielte Angriffe
APT-Bericht 2025: KI verändert Strategien
KI-gestützte APTs beschleunigen Angriffe, verkürzen Reaktionszeiten und erhöhen den Einsatz. Unser Bericht für 2025 zeigt Sicherheitsverantwortlichen genau auf, wie diese Akteure vorgehen und wie man sich dagegen wehren kann.
Save to Folio
Wichtige Erkenntnisse
- Cyberoperationen sind mittlerweile eng mit geopolitischen Zielen verknüpft, wobei sich APT-Aktivitäten zunehmend an geopolitischen Ereignissen und militärischen Operationen orientieren.
- Die Zusammenarbeit zwischen APT-Gruppen erhöht die Geschwindigkeit und Komplexität von Angriffen, da Modelle zur gemeinsamen Nutzung von Zugangsdaten wie „Premier Pass-as-a-Service“ es sekundären Akteuren ermöglichen, die ersten Phasen der Kompromittierung zu umgehen und die Zuordnung der Verantwortlichkeit zu erschweren.
- KI ist mittlerweile direkt in APT-Operationen eingebettet, wobei einige mit Nationalstaaten verbundene Akteure KI-gestützte und halbautonome Angriffskomponenten einsetzen, die Kampagnen beschleunigen und das Reaktionsfenster der Verteidiger drastisch verkürzen.
- Resilienz in Maschinengeschwindigkeit ist zu einer defensiven Anforderung geworden, die Organisationen dazu zwingt, angesichts KI-gestützter Bedrohungen von einer präventionsorientierten Sicherheit hin zu schneller Transparenz, Eindämmung und Wiederherstellung überzugehen.
Advanced Persistent Threats (APTs) werden immer raffinierter und effizienter. Die dahinterstehenden Gruppen gehen äußerst präzise vor und koordinieren ihre Aktivitäten, um so lange wie möglich unentdeckt in den Systemen ihrer Ziele zu verbleiben. Moderne APTs haben sich zu hartnäckigen, halbautonomen Einheiten entwickelt, die geopolitische und wirtschaftliche Ziele verfolgen.
Die Akteure integrieren KI als Hilfsmittel nun in den gesamten Lebenszyklus eines Angriffs, Kill Chain. Zwar befinden sich vollständig autonome Angriffe noch in der Entwicklungsphase, doch selbst eine teilweise Automatisierung hat die Angriffsgeschwindigkeit erheblich erhöht und die Zeit verkürzt, die Verteidigern zur Erkennung und Eindämmung von Eindringversuchen zur Verfügung steht.
Eine weitere entscheidende Veränderung ist die zunehmende Zusammenarbeit und Spezialisierung unter APT-Gruppen. Anstatt als isolierte Einheiten zu agieren, teilen sich nun mehrere Akteure Zugangsrechte, Infrastruktur und Informationen. Modelle wie „Premier Pass-as-a-Service“ ermöglichen es einer Gruppe, Zugänge zu erschließen und aufrechtzuerhalten, während andere die Schwachstellen ausnutzen, wodurch Angriffe schneller durchgeführt und schwerer zuzuordnen sind. China-nahe Gruppen etwa (Earth Estries und Earth Naga) haben den anfänglichen Zugang erheblich verändert, indem sie kompromittierte Umgebungen als „Prioritätspass“ für andere Spezialeinheiten weitergaben. Dieser Trend hat in Verbindung mit dem vermehrten Einsatz legitimer Tools und Cloud-Dienste die Verweildauer von Angreifern verlängert und die Analyse sowie die Reaktion auf Vorfälle erschwert.
Schließlich wird die Auswahl der Angriffsziele eher von strategischen als von opportunistischen Prioritäten bestimmt. Ein Beispiel hierfür sind die Drohnenaufklärungsaktivitäten Nordkoreas in der Ukraine, die parallel zu Cyberangriffen stattfinden. Regierungsinstitutionen, Technologieunternehmen, die Fertigungsindustrie und Energieunternehmen sind aufgrund ihrer Rolle für die nationale Sicherheit, die Lieferketten und den geopolitischen Einfluss nach wie vor die am häufigsten angegriffenen Sektoren.
Gleichzeitig sind Edge-Geräte und Software-Lieferketten zu bevorzugten Angriffseinfallstoren geworden, da sie einen verdeckten Zugriff jenseits herkömmlicher Sicherheitskontrollen ermöglichen. Zusammengenommen unterstreichen diese Veränderungen ein immer kleiner werdendes Reaktionsfenster für Verteidiger und verstärken die Notwendigkeit von kontinuierlicher Transparenz, schneller Eindämmung und Resilienz in Maschinengeschwindigkeit.
Kampagnen werden immer unsichtbarer und langwieriger. Sie fügen sich in den normalen Netzwerkverkehr ein, während KI-gestützte Komponenten die laterale Bewegung, Zielauswahl und die Ausweitung von Berechtigungen beschleunigen.
Gleichzeitig setzen viele APT-Akteure zunehmend auf den Missbrauch legitimer Tools, von Cloud-Diensten und vertrauenswürdigen Plattformen. Der Ansatz verbindet sich nahtlos mit KI-gesteuerter Umgehung von Sicherheitsmaßnahmen. Die Folge ist ein starker Anstieg von Angriffen auf kritische Branchen und regionale Knotenpunkte sowie eine Verkürzung des Zeitraums zwischen dem ersten Zugriff und den tatsächlichen Auswirkungen.
Strategische Ausrichtung
Es bestehen erhebliche Unterschiede bei den Investitionen in KI-Technologie und den Entwicklungsplänen zwischen den USA und anderen Ländern. Während China mit den Fortschritten und Innovationen, die aus den KI-Investitionen im Westen resultieren, mithalten und diese möglicherweise sogar übertreffen kann, haben sowohl Nordkorea als auch Russland Schwierigkeiten, Schritt zu halten.
2026 wird die globale Landschaft von einer „digitalen Autokratie“-Achse dominiert. China, Russland, der Iran und Nordkorea haben einen informellen strategischen Block gebildet, dessen Ziel es ist, „digitale Souveränität“ zu erlangen, indem sie KI als Kraftverstärker nutzen, um westliche Sanktionen zu umgehen und ihre militärischen sowie Cyberfähigkeiten zu modernisieren.
China (Full Stack): China hat ein sich selbst tragendes KI-Ökosystem aufgebaut, das effiziente Modelle mit einer massiven Energieinfrastruktur kombiniert und es dem Land ermöglicht, trotz Sanktionen in großem Maßstab bei der KI-Entwicklung zu konkurrieren.
Nordkorea (Asymmetrischer Saboteur): Nordkorea nutzt KI zur Automatisierung von Cyberkriminalität und setzt dabei auf fortschrittliche Rechenkapazitäten und Social Engineering, um staatliche Prioritäten wie sein Raketenprogramm zu finanzieren.
Russland (Souveräne Festung): Russland setzt KI in der Kriegsführung und Überwachung ein, gleicht Hardware-Einschränkungen durch Energieressourcen aus und verlässt sich zunehmend auf chinesische Technologie und die Unterstützung von Verbündeten.
Der Bericht für 2025 basiert auf ganzjähriger Überwachung und der Analyse von Vorfällen. Anstatt einzelne Ereignisse zu betrachten, korreliert die Studie Informationen aus verschiedenen Branchen und Umgebungen und konzentriert sich im Hauptteil auf die Akteure aus China, Nordkorea und Russland.
Aufkommende Technologien und Bedrohungsvektoren
Unabhängig vom letztendlichen kommerziellen Erfolg der KI wird diese die Art und Weise, wie APT-Akteure in den nächsten Jahren Cyberangriffskampagnen durchführen, grundlegend verändern. Wir erwarten mehrere bedeutende Veränderungen, die durch KI vorangetrieben werden:
- Beschleunigung der Angriffskampagnen, die schließlich zu autonomen Kill-Chains werden.
- Komplexe mehrstufige Angriffe, da KI die Erkundung, Zielauswahl, Privilegieneskalation und laterale Bewegung vereinfacht.
- Malware wird durch KI-Agenten ersetzt, die offensive Aufgaben ausführen und sich an die Verteidigungsstrategien ihrer Ziele anpassen können.
- Neue kommerzielle KI-Produkte und -Plattformen werden von APT-Akteuren für die Exfiltration sensibler Daten und zur Umgehung von Erkennung missbraucht – ein Trend, der wahrscheinlich mit Nordkorea und Russland stärker ausgeprägt sein wird.
- KI-gestütztes, hochgradig personalisiertes Spear-Phishing wird zur Norm, wobei Angreifer kontextbezogene Köder in großem Maßstab generieren.
- KI wird die Aufdeckung von Software-Schwachstellen, logischen Fehlern und Fehlkonfigurationen in IT-, Cloud- und Netzwerkumgebungen beschleunigen.
Sicherheitsempfehlungen
Die dargestellte Situation erfordert einen grundlegenden Wandel: weg von der Verhinderung von Eindringversuchen hin zur Begrenzung des Schadens, der durch unvermeidbare Sicherheitsverletzungen entsteht.
Die Annahme, dass ein Sicherheitsverstoß vorliegt, spiegelt die Realität wider, dass mit Nationalstaaten verbundene Angreifer selbst gut geschützte Umgebungen durchdringen werden. Anstatt sich ausschließlich auf die Perimeter-Prävention zu konzentrieren, legt dieser Ansatz den Schwerpunkt auf Früherkennung, Schadensbegrenzung und operative Widerstandsfähigkeit. Best Practices dafür umfassen:
Mikrosegmentierung kritischer Ressourcen
- Beseitigung von Dauerberechtigungen: stattdessen ein Just-in-Time-Administratorzugriff mit Genehmigung und automatischem Ablauf vorschreiben.
- Klassifizierung und Isolierung von Daten: hochwertige Ressourcen eindeutig kennzeichnen, um den Zeit- und Arbeitsaufwand für Angreifer bei der Identifizierung kritischer Daten zu erhöhen.
- Erkennung lateraler Bewegungen durch Verhaltensanalysen, Überwachung kritischer Punkte
- Planung für langfristige Kompromittierung
Außerdem ist ein pragmatischer Ansatz anstelle des Rückgriffs auf spekulative „KI gegen KI“-Narrative zu empfehlen. Automatisierung und maschinelles Lernen bieten zwar bedeutende Vorteile, ersetzen jedoch nicht das menschliche Urteilsvermögen.
Bedrohungsakteure, die mit Nationalstaaten verbunden sind, können isoliert nicht wirksam bekämpft werden. Daher hängt langfristige Widerstandsfähigkeit von einer kollektiven Verteidigung ab, die den Austausch von Informationen, Koordination und gemeinsame Reaktionsmaßnahmen kombiniert, um die Kosten für Angreifer zu erhöhen und deren Handlungsfreiheit einzuschränken. Dazu gehört der Beitritt zu Informationsaustausch- und Analysezentren (ISACs), um anonymisierte Indikatoren für Kompromittierung (IOCs) sowie Tools, Taktiken und Verfahren (TTPs) mit Branchenkollegen zu teilen.
Unternehmen müssen bereits vor Vorfällen Beziehungen zu nationalen Sicherheitsbehörden (CERT) aufbauen, um Zugang zu vertraulichen Briefings und Informationen zu erhalten
Organisationen sollten Bedrohungsakteure dazu zwingen, zusätzliche Zeit und Ressourcen aufzuwenden, indem sie schnelle Patches bereitstellen, Täuschungstechniken in großem Umfang einsetzen und, wo möglich, rechtliche oder regulatorische Maßnahmen ergreifen.
