Anthropic kartiert 832 KI-Cyberfälle auf MITRE ATT&CK: Warum Agenten-Sicherheit gerade schneller wächst als das Framework

Anthropic hat ein ziemlich wichtiges Stück Realität veröffentlicht: keine Demo, kein Benchmark, sondern eine Auswertung von 832 Accounts, die zwischen März 2025 und März 2026 wegen bösartiger Cyber-Aktivitäten gesperrt wurden. Die eigentliche Nachricht ist nicht bloß, dass KI bei Angriffen hilft. Die spannendere Verschiebung ist, dass klassische Security-Frameworks und alte Risikosignale gerade zu grob werden, sobald Modelle Angriffe nicht nur vorbereiten, sondern Schritt für Schritt mit orchestrieren.

Das baut direkt auf Themen auf, die hier schon mehrfach auftauchten: Erst zeigte Anthropic mit Glasswing, dass KI beim Finden von Schwachstellen schneller wird als menschliche Patch-Prozesse. Danach wurde aus Project Glasswing eine kontrollierte Sicherheits-Infrastruktur mit Zugangslogik. Die neue Analyse geht einen Schritt weiter: Sie zeigt, warum diese Schutzschichten überhaupt nötig werden.

Was Anthropic konkret ausgewertet hat

Anthropic hat diese 832 Fälle auf das MITRE-ATT&CK-Framework gemappt, also auf die verbreitete Taxonomie für Angreifer-Taktiken und -Techniken. Laut Bericht deckten die gesperrten Akteure alle 14 Taktiken und 482 unterschiedliche Sub-Techniken ab. Insgesamt beobachtete Anthropic 13.873 einzelne Aktivitäten.

Wichtig ist dabei: Die meisten Fälle betreffen nicht schon vollautonome Angriffe, sondern KI-Hilfe bei Vorbereitung, Tarnung und Tooling. Besonders häufig tauchen Capability Development, Malware-Entwicklung, Obfuskation, lokale Datensammlung und Defense Evasion auf. Das ist unschön, aber noch halbwegs in bekannten Kategorien beschreibbar.

Der eigentliche Alarm steckt tiefer im Kill Chain

Richtig interessant wird der Bericht dort, wo KI nicht mehr nur Code schreibt, sondern innerhalb kompromittierter Systeme operativ mitarbeitet. Anthropic beschreibt, dass der Anteil der Akteure mit mittlerem oder höherem Risikoscore im Jahresverlauf von 33 Prozent auf 56 Prozent gestiegen ist. Gleichzeitig verschiebt sich der KI-Einsatz weg von Phishing und allgemeinem Malware-Bau hin zu späteren Phasen wie Account Discovery, automatisierter Exfiltration, Credential-Arbeit und Lateral Movement.

Genau das ist der Punkt. Wenn ein Modell nicht nur beim Bauen von Werkzeugen hilft, sondern beim Navigieren, Entscheiden und Verketteten Ausführen innerhalb eines laufenden Angriffs, dann wird aus „KI als Assistenz“ etwas näher an KI als operative Angriffsschicht.

Warum Skill, Interface und Technik-Breite als Risikosignal schwächer werden

Besonders aufschlussreich finde ich, dass Anthropic gleich mehrere klassische Bewertungsmuster infrage stellt. Weder die angenommene technische Raffinesse eines Akteurs noch die Zahl der verwendeten Techniken noch die Frage, ob jemand Chat-UI, API oder Claude Code nutzt, korrelieren laut Analyse stark mit dem tatsächlichen Risiko.

Anders gesagt: Früher konnte man halbwegs plausibel sagen, dass besonders viele Techniken, besonders gutes Tooling oder besonders spezielle Interfaces auf besonders gefährliche Akteure hindeuten. Jetzt kann ein mittelmäßiger Operator durch Modellhilfe deutlich weiter kommen als früher. Das erinnert stark an OpenAIs Trusted-Access-Logik bei GPT‑5.5‑Cyber: Entscheidend ist immer weniger nur das Modell selbst, sondern wer welche Fähigkeiten mit welchem Prozesskontext koppeln darf.

Der neue Engpass heißt Orchestrierung

Anthropics stärkster Punkt ist für mich ein anderer: Das höchste Risiko kommt nicht aus einer einzelnen Technik, sondern aus dem Scaffolding um das Modell herum. Also aus der Architektur, die einzelne Modellfähigkeiten verknüpft, Entscheidungen automatisiert und Angriffsschritte ohne ständige menschliche Eingriffe aneinanderreiht.

Damit verschiebt sich die praktische Sicherheitsfrage. Nicht mehr nur: Kann ein Modell Malware schreiben? Sondern: Kann ein System mit Modellhilfe selbst den nächsten Schritt im Angriff auswählen, Werkzeuge kombinieren, Credentials nutzen, lateral weitergehen und dabei genug Kontext behalten? Genau dort wird agentische Sicherheit zu einem Workflow-Thema und nicht bloß zu einer Moderationsfrage.

Warum MITRE ATT&CK dafür gerade zu klein wird

Noch spannender: Anthropic sagt ziemlich offen, dass das ATT&CK-Framework die gefährlichsten neuen Verhaltensmuster noch gar nicht sauber abbildet. Autonome Kill-Chain-Orchestrierung, Echtzeit-Pivots, agentische Ausführung mit minimalem menschlichem Input – all das sind laut Bericht riskante Eigenschaften, haben aber im Framework noch keine richtige Form als eigene Technik.

Das ist mehr als ein Taxonomie-Problem. Sobald die offizielle Sprache für Bedrohungen hinter der realen Angriffslogik zurückfällt, geraten auch Detection, Reporting, Priorisierung und Governance unter Druck. Genau deshalb passt die Meldung auch gut zu OpenAIs Versuch, Safety in Governance- und Compliance-Strukturen zu gießen: Die operative Realität wird granularer, also müssen auch die Kontrollschichten granularer werden.

Was das für Teams praktisch heißt

Für Security-Teams bedeutet das ziemlich nüchtern drei Dinge:

• Prompt-Inhalte allein reichen nicht mehr als Signal. Wichtiger wird, in welchem Ablauf ein Modell steckt und welche Tools außen herum hängen.
• Agentische Entwicklungsumgebungen sind nicht automatisch das Problem – aber sie vergrößern die Automatisierungsfläche. Man muss also nicht nur Antworten prüfen, sondern ganze Ausführungsketten.
• Verteidigung braucht neue Taxonomien. Wenn Frameworks autonome Orchestrierung nicht gut beschreiben, dann fehlen am Ende auch gute Kategorien für Logging, Review und Policy.

Genau deshalb wirken Anthropics begleitende Schutzschichten – Glasswing, Cyber Verification, Claude Security und stärkere Laufzeit-Safeguards – inzwischen nicht mehr wie Vorsichtskommunikation, sondern wie der Versuch, ein neues Betriebsmodell für agentische Cyber-KI aufzubauen.

Mein Fazit

Die Anthropic-Analyse ist für mich blogtauglich, weil sie eine unangenehme, aber sehr praktische Wahrheit sichtbar macht: Je stärker KI in echte Angriffsabläufe hineinrutscht, desto weniger reichen alte Heuristiken wie Skill-Level, Interface-Wahl oder Technik-Breite aus.

Die nächste Sicherheitsdebatte dreht sich deshalb nicht nur um leistungsfähigere Modelle. Sie dreht sich um Orchestrierung, Rechte, Ausführungsketten und darum, wie schnell Frameworks wie MITRE ATT&CK diese neue Realität überhaupt beschreiben können. Wer KI-Agenten ernsthaft einsetzt oder absichern muss, sollte genau da hinschauen.

Quellen

• Anthropic: What we learned mapping a year’s worth of AI-enabled cyber threats (03.06.2026)
• Anthropic Frontier Red Team: Mapping AI-enabled cyber threats: Insights from the LLM ATT&CK Navigator
• MITRE ATT&CK

KI-Hinweis: Dieser Beitrag wurde mit Unterstützung von KI erstellt und redaktionell bearbeitet.