Menu

Menu

Menu

Menu

Menu

Featured

Enterprise Transformation

Starke Allianzen

PwCs Trade Office

Menu

Ergebnisse werden geladen

KI macht Sicherheitslücken transparenter denn je – darauf kommt es jetzt an

Cybersicherheit wird in der KI-Ära zur Führungsfrage
Kollegen im Gespräch
  • Artikel
  • 8 Minuten Lesezeit
  • 17 Jun 2026

KI verschiebt das Kräfteverhältnis in der Cybersicherheit spürbar – auch in Deutschland. Angreifer automatisieren inzwischen, was früher viel Zeit, Spezialwissen und Teamarbeit brauchte: Systeme sondieren, Schwachstellen aufdecken, Angriffspfade entwickeln. Der BKA-Lagebericht Cybercrime 2025 bestätigt diesen Trend – und zeigt, dass die Bedrohung in der Praxis bereits angekommen ist.

 

Für CISOs, IT-Leitungen und Geschäftsführung folgt daraus ein klarer Handlungsauftrag: Schwachstellenmanagement, Konfigurationsdisziplin und Reaktionstempo müssen so aufgestellt sein, dass Verteidigung im erhöhten Takt der Angreifer funktioniert. Perfekte Prävention ist kein realistisches Ziel – aber wer jetzt auf KI-gestütztes Scanning, konsequentes Konfigurationsmanagement und geübte Reaktionspläne setzt, senkt sein Risiko messbar.

Das Wichtigste in Kürze

  • KI verschiebt die Spielregeln der Cybersicherheit: Angriffe werden automatisierter, schneller und skalierbarer.
  • Wer zu langsam Sicherheitslücken schließt, verliert: Das Zeitfenster zwischen Entdeckung und Ausnutzung einer Schwachstelle schrumpft weiter.
  • Unternehmen müssen Schwachstellenmanagement, Priorisierung und Reaktionstempo vor dem Hintergrund der wachsenden Bedrohungslage neu aufstellen.

Autonome KI-Agenten als Bedrohung

Viele Sicherheitsstrategien beruhen auf der stillen Annahme, dass kritische Lücken oft lange unentdeckt bleiben, weil Analyse und Ausnutzung viel Aufwand bedeuten. Diese Annahme trägt immer seltener. Moderne KI unterstützt Cyberangreifer dabei, Systeme in kürzester Zeit strukturiert zu kartieren, Hinweise zu verdichten und daraus verwertbare Schritte abzuleiten. Aus einzelnen Befunden werden Ketten, aus Ketten werden Angriffswege.

Was früher hochspezialisierte Angreifer, viel Zeit, Erfahrung und manuelle Arbeit brauchte, lässt sich heute weitgehend automatisieren. Auch der BKA-Lagebericht dokumentiert, dass autonome KI-Agenten bereits eingesetzt werden, um nahezu ohne menschliche Beteiligung parallel gegen mehrere Ziele gleichzeitig vorzugehen.

Damit verschiebt sich die entscheidende Frage: Es geht nicht mehr darum, ob Schwachstellen gefunden werden, sondern wie schnell eine Organisation diese priorisiert, behebt oder abschirmt. Genau dafür ist jetzt starke Führung gefragt – auch, um geschäftskritische Entscheidungen produktiv in den Sicherheitsbetrieb zu übersetzen.

Angriffsfläche im Wandel

Dass KI die Suche nach Schwachstellen beschleunigt, ist nur ein Teil der Geschichte. Die größere Veränderung liegt in der Automatisierung von Zusammenhängen: Modelle können Schwachstellen, Fehlkonfigurationen und Abhängigkeiten so kombinieren, dass aus vermeintlich kleinen Problemen ein gangbarer Angriffspfad entsteht. Verwundbarkeiten, die Teams früher als schwer ausnutzbar eingeordnet haben, werden damit hoch relevant.

Das verändert auch die Logik der Verteidigung. Wer Schwachstellen nicht systematisch prüft und schließt, bietet Angriffsfläche, die Cyberkriminelle dankbar nutzen. Das Zeitfenster zwischen der Entdeckung einer Schwachstelle und ihrer Ausnutzung schrumpft drastisch – das BSI hat diese Entwicklung wiederholt beschrieben, der BKA-Lagebericht bestätigt sie für die deutsche Bedrohungslage.

Die Konsequenz ist klar: Unternehmen brauchen ein Schwachstellenmanagement, das dauerhaft liefert – nicht nur bei bekannten Sicherheitslücken (Common Vulnerabilities and Exposures, kurz CVE), sondern auch bei Konfigurationsproblemen, überprivilegierten Identitäten und schlecht überwachten Abhängigkeiten.

Sicherheitslage gehört in die Chefetage

Regulatorische Leitplanken wie NIS-2, DORA oder BSI IT-Grundschutz helfen – sie ersetzen jedoch keine betriebsfähige Verteidigung. Die operative Verantwortung bleibt im Unternehmen: bei Architekturentscheidungen, bei Priorisierung, bei Change-Disziplin und im Incident Handling. Sobald Angriffe parallelisiert laufen, zählt jede Verzögerung in der Umsetzung.

Viele Organisationen härten ihre digitalen Standardplattformen inzwischen solide. Angreifer weichen dann auf das aus, was individuell, historisch gewachsen oder schlecht überwacht ist: Legacy-Komponenten, Sonderlösungen, überprivilegierte Identitäten. Diese Bereiche lassen sich nur mit Klarheit im Mandat und mit verlässlichen Betriebsprozessen absichern.

KI-unterstütztes, defensives Scanning ist dabei der wichtigste neue Hebel für Verteidiger. Es liefert eine belastbare Antwort auf die Frage, was heute als angemessener Sorgfaltsmaßstab gilt. Jeder Monat, in dem Unternehmen im gewohnten Tempo agieren, während Angreifer mit KI auf maximale Beschleunigung setzen, vergrößert die Asymmetrie.

Investitionen, die jetzt Wirkung entfalten

Handlungsfähigkeit hängt nicht an einem einzelnen Frontier-Modell. Sie hängt an zwei sehr konkreten Fragen: Welche Ausfälle oder Datenabflüsse würden das Geschäft spürbar treffen? Und welche Schwachstellenketten könnten Angreifer bei hohem Tempo realistisch ausnutzen?

Basisdisziplin bleibt unverzichtbar: Patchen, sichere Konfigurationen, Multi-Faktor-Authentifizierung und belastbares Logging sind obligatorisch, um gängigen Angriffspfaden frühzeitig einen Riegel vorzuschieben. Gleichzeitig braucht es eine Fähigkeit, die in vielen Organisationen unterentwickelt ist: Risiken konsequent zu priorisieren und in operative Entscheidungen zu übersetzen.

Ein Scan-Zyklus allein senkt noch kein Risiko. Das Risiko sinkt, wenn Teams die Erkenntnisse aus der Analyse in konkrete Arbeitspakete übersetzen, Backlogs abbauen, Systeme härten und notfalls auch isolieren können. Hier lohnt sich der Aufbau eines Schwachstellenmanagements: klare SLAs, risikobasierte Priorisierung, Automatisierung im Patch- und Konfigurationsprozess sowie ein Reporting, das Technik und Business zusammenbringt.

Sechs Schritte, die Führungskräfte jetzt anstoßen sollten

Viele Sicherheitsprogramme scheitern an Widersprüchen zwischen Anspruch und Betrieb. Eine gute Führung kann diese auflösen, wenn sie den richtigen Takt vorgibt und Hürden aus dem Weg räumt.

1. Sicherheitsfundament konsequent stärken

KI verstärkt bestehende Umsetzungslücken – das zeigen sowohl unsere Global Digital Trust Insights 2026 als auch der Annual Threat Dynamics Report. Viele Organisationen schließen bekannte Schwachstellen zu langsam. Die Prioritäten sollten auf einem schnellen, risikobasierten Patchmanagement, einem starken Identitäts- und Zugriffsmanagement mit durchgängiger Multifaktorauthentifizierung (MFA), Segmentierung rund um kritische Systeme, verhaltensbasierter Erkennung jenseits bekannter Signaturen und konsequenter Reduktion der Angriffsfläche liegen.

2. KI nach innen richten, bevor Angreifer es tun

Unternehmen sollten KI-Agenten auf eigene Repositories, Konfigurationen und Abhängigkeiten ansetzen. Es empfehlen sich agentengestützte Security-Reviews vor jedem Übergang in den Produktivbetrieb. KI-gestützte Werkzeuge zur Schwachstellenerkennung sind einsatzbereit – ihre Nutzung sollte verbindlich sein, nicht optional. Wichtig dabei: Agenten mit weitreichenden Rechten brauchen dieselbe Governance wie jeder privilegierte Zugang. Autonome Sicherheitswerkzeuge ohne Audit-Trail schaffen neue Angriffsflächen.

3. Sichtbarkeit als Grundbedingung

Was niemand kennt, kann auch niemand schützen. Ein konsolidiertes Inventar kritischer Anwendungen, Datenspeicher, Identitäten und externer Abhängigkeiten ist dementsprechend wichtig. Ein guter Start sind Systeme, deren Kompromittierung den größten Schaden anrichten würde. Automatisierung hilft, um das Lagebild aktuell zu halten und Abweichungen frühzeitig zu erkennen.

4. Auf Angriffe in Echtzeit reagieren

Ein zuverlässiges Mittel für die Angriffserkennung sind Täuschungsmechanismen – Canaries, Honey Tokens, Köder-Zugangsdaten –, damit Angreifer beim ersten lateralen Schritt einen Alarm auslösen. Es gilt vorab festzulegen, welche Eindämmungsmaßnahmen nahezu immer zulässig sind – Host isolieren, Zugangsdaten sperren, Datenabfluss blockieren, Secrets rotieren – und diese zu automatisieren. Ziel ist nicht, Menschen zu ersetzen, sondern sicherzustellen, dass die ersten kritischen Minuten nicht in Freigabeprozessen versanden.

5. Das Gespräch mit Aufsichtsrat oder Beirat suchen

Im Austausch mit dem Aufsichtsrat oder Beirat gilt es, gezielt die richtigen Fragen zu platzieren:

  • Wie schnell passt sich das Unternehmen Angreifern an, die ohne Ermüdung skalieren?
  • Welcher Anteil kritischer Assets ist vollständig inventarisiert und überwacht?
  • Wie verhält sich die Zeit zur Behebung von Schwachstellen zu den Zeitfenstern für die KI-gestützte Ausnutzung?
  • Welches Verhältnis von gefundenen zu behobenen Schwachstellen ist akzeptabel – und was kostet es, diese Kennzahl zu verbessern?
  • Ist die Governance für KI-gestützte Sicherheitswerkzeuge so aufgestellt, dass sie Management- und Prüfungserwartungen standhält?

6. Das Ökosystem einbinden

Sich an branchenspezifischen Austauschformaten zu beteiligen, gewinnt an Bedeutung. Darüber hinaus wird es relevanter, von kritischen Drittanbietern Nachweise über Schwachstellenbehebung zu verlangen. Es gilt Abhängigkeiten neu zu bewerten – nach Konzentrationsrisiko und Reaktionsgeschwindigkeit beim Patchen.

Die Führungsentscheidung

KI nimmt Angreifern viele Hürden ab: Sie skaliert Aufklärung, Testen und paralleles Vorgehen. Der BKA-Lagebericht zeigt, dass das keine abstrakte Gefahr ist – autonome Angriffe auf mehrere Ziele gleichzeitig sind dokumentierte Realität in Deutschland.

Ein großer Teil des Risikos entsteht weiterhin im Unternehmensalltag: offene Backlogs, unklare Verantwortlichkeiten, zu langsame Changes, zu wenig Transparenz über Identitäten und Abhängigkeiten. KI macht diese Schwächen schneller verwertbar. Genau deshalb lohnt sich die Investition in Tempo, Disziplin und klare Kontrolle.

Unternehmen, die den Umgang mit Schwachstellen als Management-Fähigkeit aufbauen, gewinnen Handlungsspielraum zurück. Sie verkürzen die Zeit von der ersten Identifikation einer Sicherheitslücke bis zur Behebung – und reduzieren damit den Vorteil automatisierter Angriffe messbar.

Häufig gestellte Fragen

Angriffe werden durch KI schneller, gezielter und besser getarnt. Phishing, Schwachstellenscans und Exploits lassen sich automatisieren und skalieren. Unternehmen brauchen ein aktuelles Lagebild, KI-gestütztes Monitoring und klare Reaktionsprozesse. 

KI-gestütztes Scanning identifiziert Schwachstellen und Anomalien deutlich schneller als klassische Tools. Es priorisiert Risiken nach Geschäftsauswirkung und reduziert blinde Flecken. Entscheidend sind gute Daten, sinnvolle Schwellenwerte und klare Verantwortlichkeiten. 

Statt punktueller Scans braucht es kontinuierliches, KI-basiertes Scanning und ein klares Regelwerk zur Priorisierung. Technische Funde müssen mit Geschäftskritikalität verknüpft werden. Automatisierte Workflows verkürzen die Behebungszeit. 

KI kann Alarme korrelieren, Vorfälle vorfiltern und Standardreaktionen anstoßen – so gewinnt das Team Zeit für komplexe Fälle. Wichtig sind definierte Playbooks, klare Eskalationswege und ein abgestimmtes Zusammenspiel von Mensch und Maschine. 

Unternehmen sollten festlegen, wofür KI genutzt wird, wie Modelle überwacht werden und wer Verantwortung trägt. Transparenz, Dokumentation und regelmäßige Wirksamkeitsprüfungen sind zentral. Richtlinien müssen Technik, Recht und Risiko verbinden. 

Starten Sie mit einer Standortbestimmung: Bedrohungslage, Reifegrad, kritische Assets. Identifizieren Sie zwei bis drei KI-Anwendungsfälle mit hohem Nutzen, etwa Schwachstellenscanning oder Log-Analyse. Definieren Sie messbare Ziele und Governance von Anfang an. 

Der Autor

Moritz Anders
Moritz Anders

Partner, Cyber Security Leader, PwC Germany

Moritz Anders ist Partner bei PwC Deutschland und leitet den Bereich Cyber Security & Privacy. Mit mehr als 20 Jahren Erfahrung in großskaligen IT-Umgebungen verantwortet er transformative Cyber-Security-Programme für Konzerne und große Mittelständler – von der strategischen Ausrichtung bis zur technischen Implementierung.
E-Mail
View More

Auch interessant

Follow us

© 2017 - 2026 PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.

Wir erbringen hochwertige, branchenspezifische Dienstleistungen in den Bereichen Wirtschaftsprüfung, Steuer- und Unternehmensberatung.