Five Eyes warnt vor KI-induzierter Sicherheitskrise – Teil I Borns IT

Eine strenge Warnung von Geheimdienstchefs, die in Australien, Kanada, Neuseeland, den USA und Großbritannien als „Five Eyes“ bekannt sind. Die Geheimdienstgemeinschaft fordert Unternehmensleiter (und letztendlich politische Entscheidungsträger) auf, die „Grundlagen der Cybersicherheit“ zu gewährleisten. Andernfalls könnten Staaten und Gesellschaften zerstörerischen KI-gestützten Angriffen zum Opfer fallen. Auch das BSI hat eine Warnung vor den Sicherheitsrisiken von KI veröffentlicht.

Ein Aufruf zum Handeln. Ein Aufruf zum Handeln

Die Informationen erreichten mich über Nacht durch mehrere Tweets wie den folgenden. Das am 22. Juni 2026 veröffentlichte Dokument trägt den Titel „Die Transformation von Cyberrisiken durch KI: Warum Manager jetzt handeln müssen“ und gibt die Richtung für die Stellungnahme der Cybersicherheitsagentur Five Eyes vor.

In der Einleitung mit dem Titel „Call to Action“ wird argumentiert, dass KI „uns“ dabei helfen wird, die Cyber-Abwehr im Laufe der Zeit zu verbessern. Aber KI-Modelle beschleunigen Geschwindigkeit, Skalierbarkeit und Parallelität
Die Komplexität von Cyber-Bedrohungen. Das Papier geht davon aus, dass fortschrittliche KI-Modelle „die aktuellen Erwartungen der Branche übertreffen und die offensiven und defensiven Cyber-Fähigkeiten grundlegend verändern werden“. Der Zeitraum beträgt nicht Jahre, sondern Monate.

Ich kann es nicht beschwören, aber die im obigen Tweet berichtete Tatsache, dass das neue KI-Produkt Mythos 5 von Anthropic laut NSA-​​​Kommandochef Joshua Rudd in der Lage war, über Schwachstellen in alle NSA-Systeme einzudringen, könnte der Auslöser für diesen früheren „Brandbrief“ gewesen sein. Die US-Regierung führte daraufhin Exportkontrollen für die neuesten Anthropic-KI-Produkte ein (siehe US-Regierung verhängt Exportkontrollen für Anthropic Fable und Mythos).

Die Chefs der Cybersicherheitsbehörden des Bündnisses „Five Eyes“ haben sich jedenfalls dem Aufruf zum Handeln angeschlossen: Die Landschaft der Künstlichen Intelligenz (KI) verändert sich, Cyberrisiken verändern sich rasant und „wir müssen schnell handeln, um dominant zu bleiben“.

Kritische Cyber-Resilienz

Cyber-Resilienz sei entscheidend für die Gewährleistung der Geschäftskontinuität, des Marktvertrauens und des langfristigen Shareholder Value für Unternehmen und Organisationen, sagt er. In dem Brandbrief fordern die Chefs der Cybersicherheitsbehörden die Verantwortlichen (sowohl Unternehmen als auch Behörden) dringend zum Handeln auf. Direktoren sind eingeladen:

• um zu verstehen, wo die Risiken und Verantwortlichkeiten liegen, und um dann die Konsequenzen abzuschätzen
• Priorisieren Sie grundlegende Cybersicherheitsmaßnahmen und -kontrollen
• Ausstattung von Cyber-Managern mit Autorität und Ressourcen
• Beteiligen Sie sich aktiv an Schutzprozessen, wenn sich Bedrohungen und Orientierungen entwickeln

Es ist wichtig, schnell zu handeln und die Grundlagen richtig zu legen; Cybersicherheit muss in die Kernstrategie des Unternehmens integriert werden. Wer dies nicht tut, wird zunehmend mit operativen und strategischen Nachteilen konfrontiert sein. KI ist kein Zukunftsthema, sondern bereits Realität. KI verringert Barrieren für böswillige Akteure und erhöht die Geschwindigkeit und Komplexität von Angriffen. Das Zeitfenster zwischen dem Finden einer Schwachstelle und deren Ausnutzung wird immer kürzer.

Dringender Aufruf zum Handeln

Der Aufruf zum Handeln enthält detaillierte Anweisungen, was dringend erforderlich ist, um nicht nur technische Risiken, sondern auch betriebliche, finanzielle und Reputationsrisiken zu reduzieren:

• Reduzieren Sie die Angriffsfläche: Begrenzen Sie unnötige Systemzugriffe und externe Verbindungen.
• Fragen Sie, ob die Systeme in irgendeiner Weise der Außenwelt ausgesetzt sein sollten, und isolieren Sie diese Systeme in den Fällen, in denen dies nicht der Fall ist.
• Beschleunigen Sie Patching-Prozesse: KI verkürzt die Zeit zwischen dem Finden einer Schwachstelle und deren Ausnutzung. Verzögerungen bei der Installation von Patches erhöhen das Risiko, insbesondere bei Betriebssystemen mit langen Update-Zyklen. Sicherheitsupdates sollten entsprechend priorisiert werden, um Risiken zu bewältigen.
• Sie müssen sich um Altsysteme kümmern, denn Systeme, die nicht mehr unterstützt werden, sind ein leichtes Ziel. Es handelt sich dabei nicht nur um technische Schulden, sondern um strategische Belastungen.
• Überprüfen und stärken Sie Identitäts- und Zugriffskontrollen: Beschränken Sie den Zugriff auf kritische Systeme. Der Einsatz einer starken Authentifizierung muss durchgesetzt und Berechtigungen regelmäßig überprüft werden.

Unternehmen und Organisationen müssen sich auf Vorfälle vorbereiten, bevor sie eintreten. Reaktionspläne müssen getestet, Mitarbeiter geschult und Teams vorbereitet werden. Denn es muss davon ausgegangen werden, dass es zu Sicherheitsverstößen kommt. Unternehmen und Organisationen müssen sich auf Nachhaltigkeit und schnelle Erholung konzentrieren.

Der Fisch stinkt

Dann kommt auf den Tisch, was die Administratoren schon seit Jahren sagen: „Das Management sieht das nicht und gerät in Verwirrung.“ Das letzte Mal, dass ich darauf gestoßen bin, war im Zusammenhang mit einer NIS 2-Implementierung. Im „Brief des Feuers“ bringen die Autoren die Belanglosigkeiten wirklich zum Ausdruck: Die Reaktion des gesamten Unternehmens und der Gesellschaft ist gefragt. Cyber-Risiken können nicht länger als rein technische Probleme betrachtet werden. Denn es handelt sich hier um ein wesentliches Geschäftsrisiko und eine unternehmerische Führungsaufgabe. Vorstände und Führungskräfte müssen sicherstellen, dass die Cyber-Resilienz vorhanden ist und dass sie unter Druck agieren.

Es reicht nicht aus, nur Kontrollmechanismen zu haben. Manager müssen darauf vertrauen können, dass diese Kontrollen im Falle eines tatsächlichen Vorfalls ihre Funktion erfüllen. Dies erfordert ein Überdenken langjähriger Verpflichtungen und einen gezielten Einsatz von KI zur Stärkung der Verteidigung und nicht nur zur Verbesserung der Effizienz, heißt es in dem „Brandbrief“. Mir fällt nur die Diskussion über NIS-2 ein, in der es hieß: „Wir schreiben einen schönen Artikel für den Archivordner“, was uns an den Fisch erinnert.

Das Kind ist vor langer Zeit in den Brunnen gefallen

Ich persönlich habe die Empfehlungen von Five Eyes zu „wichtigen Maßnahmen und Grundprinzipien für Führungskräfte“ mit einem Lächeln im Gesicht gelesen:

• „Secure-by-Design“ und „Secure-by-Default“ sollten zur Standardpraxis und nicht nur zum Ziel werden.
• Resilienz kann nicht von einer einzelnen Lösung oder Technologie abhängen. Eine mehrschichtige Verteidigung bleibt unerlässlich.

Jeder im Publikum, mich eingeschlossen, wird diese Erklärungen sofort unterschreiben. Doch zwischen Wunsch und Wirklichkeit liegen Lichtjahre auseinander. Ich sehe gravierende Probleme bei aktueller Software: Ambient Coding, Hype beim Einsatz von KI (Digitalisierung erstens, Bedenken zweitens), Features in Software etc. Sie sind das genaue Gegenteil von „Secure-by-Design“ und „Secure-by-Default“.

Während sich KI-Systeme weiterentwickeln, werden neue und bisher unbekannte Schwachstellen, darunter auch Zero-Day-Schwachstellen, auftauchen und Sicherheitslücken verursachen, schreibt Five Eyes, was ebenfalls keine Neuigkeit ist. Mit einer guten Vorbereitung können Sie diese schnell eindämmen und eine Eskalation und damit schwere Betriebs- und Finanzkrisen vermeiden.

Auch das BSI hat gewarnt

Es bedeutet also nicht nur: Dies sind die englischsprachigen Länder, in denen Warnungen ausgesprochen werden. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 22.06.2026 vor den Auswirkungen der Entwicklungen im Bereich der Künstlichen Intelligenz auf die Cybersicherheit von Organisationen gewarnt, die grundsätzlich gleich sind.

Das BSI verweist auf seine BSI-IT-Sicherheitsinformation (BITS), die Orientierungshilfen für Unternehmen enthält.

Meine Meinung

Ich unterschreibe alles, was die Hohen Lords in ihrem feurigen Brief sagen, und die Leser werden nicht schreien: „Das ist alles Unsinn.“ Aber für mich hat der Feuerbrief etwas „Bringt die Eulen nach Athen“. Als Sohn eines Bauern gibt es immer noch die Erkenntnis: „Wenn du auf einem Misthaufen sitzt, kannst du immer noch andere Blumen um den Misthaufen pflanzen. Du hast immer noch einen Misthaufen.“

Das heißt: Die technische Hypothek, die Unternehmen und Gesellschaft in den letzten drei Jahrzehnten aufgenommen haben und immer noch aufnehmen müssen, wird den entsprechenden Rückgang verursachen.

Ich erinnere mich an die KI-Werbung: Jeder, der warnte: „Prüfen Sie zuerst die Risiken und Nebenwirkungen“, wurde als altmodisch abgetan und weigerte sich, weiterzumachen. Nur wer naiv auf der KI-Welle reitet, ist hip. Anstelle von KI können Sie auch Begriffe wie Cloud, Microsoft 365 und viele andere Produkte und Produktkategorien in die „Gleichung“ einfügen und erhalten das gleiche Ergebnis.

Administratoren möchten schnell patchen. Doch ständige Supply-Chain-Angriffe auf Software und schwerwiegende Fehler in Produktupdates von Microsoft und anderen Anbietern machen es oft zu einer Lotterie. Oder wie sehen Sie die ganze gemischte Situation?