KI findet Schwachstellen: Warum Resilienz jetzt Pflicht ist
Eine Computer Security Apocalypse beginnt nicht mit Panik. Sie beginnt mit einer nüchternen Erkenntnis: Der bisherige Sicherheitsansatz funktioniert einfach nicht mehr.
Das alte Sicherheitsmodell
Jahrelang war das Modell beherrschbar: Schwachstelle finden, bewerten, beheben, weiter. Nicht perfekt, aber steuerbar. Sicherheitsteams konnten priorisieren, Backlogs abarbeiten und den Überblick behalten.
Dann kippt die Lage.
Was KI-Systeme jetzt entdecken
Google Project Zero und DeepMind haben mit Big Sleep bisher unbekannte, ausnutzbare Fehler in SQLite gefunden. Produktiver Code, seit Jahren im Einsatz, intensiv geprüft. Trotzdem: Schwachstellen, die Menschen übersehen hatten.
Anthropic und Mozilla berichten außerdem von Hunderten gefundener Schwachstellen in Open-Source-Projekten sowie 22 CVEs und 14 High-Severity-Bugs in Firefox. Teilweise waren diese Fehler über Jahre oder sogar Jahrzehnte unentdeckt.
Marc Andreessen, bekannter Investor und beteiligt an der Entwicklung des ersten Webbrowsers, hat für diese Entwicklung im Latent Space Podcast den Begriff computer security apocalypse verwendet.
Der Kippmoment
Das ist kein theoretisches Szenario. Das ist ein Kippmoment, und genau hier bricht das alte Modell.
Es reicht nicht mehr, gefundene Schwachstellen sauber abzuarbeiten. Denn Angriffe laufen zunehmend auf Lücken, die intern noch gar nicht bekannt sind. Auf technische Schulden. Auf alte Abhängigkeiten. Auf Software, die seit Jahren still im Bestand mitläuft.
Wenn KI-Systeme Schwachstellen in diesem Tempo finden, können Angreifer dasselbe tun. Die Asymmetrie zwischen Angriff und Verteidigung verschiebt sich weiter.
Warum Prävention allein nicht mehr reicht
Prävention bleibt wichtig. Patching bleibt wichtig. Aber wer nur darauf setzt, handelt auf Basis einer Annahme, die nicht mehr gilt: dass bekannte Schwachstellen das größte Risiko sind.
Unbekannte Schwachstellen, ausgenutzt bevor sie erkannt werden. Das ist das eigentliche Risiko, das diese Entwicklung sichtbar macht.
Resilienz als erste Pflicht
Wenn Angriffe auf unbekannte Lücken zunehmen, verschiebt sich der Fokus zwangsläufig: von Prävention zu Resilienz.
Resilienz bedeutet: Angriffe früh erkennen. Auswirkungen begrenzen. Kritische Abläufe aufrechterhalten. Unter Druck sauber entscheiden.
Was das konkret heißt
Resilienz ist kein Marketingbegriff. Es ist eine operative Fähigkeit, die aufgebaut werden muss, bevor sie gebraucht wird. Tabletop Exercises, getestete Recovery-Pläne, klare Eskalationswege und auditierbare Incident-Prozesse.
Kein Unternehmen kann jede Schwachstelle schließen. Aber jedes Unternehmen kann sich auf das Unvermeidliche vorbereiten.
Die eigentliche Warnung
Andreessen sagt, KI werde diese Apokalypse auslösen und auch mittelfristig wieder schließen. Das ist möglicherweise richtig. Aber der Zeitraum dazwischen liegt jetzt.
Die Frage für Unternehmen ist nicht: Werden wir jemals angegriffen? Die Frage ist: Können wir einen erfolgreichen Angriff professionell beherrschen?
Wer darauf keine Antwort hat, sollte anfangen, eine zu entwickeln. Nicht weil es vorgeschrieben ist. Sondern weil die Lage es verlangt.