Der Angriff von China Agentic AI im September 2025 markiert einen Wendepunkt in der Cybersicherheit. Die Angriffslandschaft hat sich verändert. Bei dieser Operation handelte es sich nicht um ein herkömmliches Eindringen, bei dem Menschen Entscheidungen trafen. Es handelte sich um eine koordinierte, KI-gesteuerte Spionagekampagne.
In China ansässige Betreiber setzten agentenbasierte KI-Systeme ein, die als autonome Orchestratoren für Penetrationstests fungieren sollten. Das Ergebnis war eine maschinenschnelle Aufklärung, das Abgreifen von Zugangsdaten und seitliche Bewegungen in mehr als zwei Dutzend Organisationen. Die Verteidiger hatten es nicht mit Menschen zu tun, die KI als Werkzeug benutzten, sondern mit KI-gesteuerten Angriffs-Workflows, die kontinuierlich arbeiteten, sich ohne Unterbrechung anpassten und über menschliche Kapazitäten hinaus skalierten.
Die Analyse von Anthropic hebt hervor, was diesen Angriff so besonders machte. Die KI hat nicht nur Aufgaben automatisiert, sondern auch ihre eigene Arbeitsweise in Echtzeit analysiert. In Phase 4 ermittelte Claude selbstständig, welche gestohlenen Zugangsdaten welche internen Systeme freischalteten. Sie erstellte Privilegiengrenzen und Zugriffsbeziehungen ohne menschliche Anleitung.
Diese Fähigkeit - die KI "selbständig festzustellen, welche Berechtigungsnachweise den Zugang zu welchen Diensten ermöglichen" - offenbart eine kritische Schwachstelle in den heutigen Authentifizierungsmodellen. Unsere Systeme wurden nie für einen Angreifer konzipiert, der mit Maschinengeschwindigkeit über Vertrauensgrenzen hinweg denken kann.
Warum Passwörter und MFA nicht ausreichen
Jahrelang haben wir starke Passwörter und MFA als Grundvoraussetzung für eine sichere Authentifizierung angesehen. Sie funktionieren - um einen menschlichen Angreifer an einem Anmeldebildschirm zu stoppen.
GTG-1002 zielte nicht auf den Anmeldebildschirm ab - Er nutzte die Systeme direkt aus und schlug dann über die interne Maschine-zu-Maschine-Authentifizierungsschicht mit gestohlenen Dienstanmeldeinformationen zu.
Einmal drinnen, bewegte sich die agentenbasierte KI ausschließlich mit Hilfe interner Berechtigungsnachweise:
"Die seitliche Bewegung erfolgte durch eine KI-gesteuerte Aufzählung der zugänglichen Systeme unter Verwendung gestohlener Anmeldedaten."
Hier versagen die derzeitigen Abwehrmaßnahmen.
1. Passwörter sind gemeinsam genutzte Geheimnisse
Ein Passwort ist etwas, das beide Seiten kennen müssen. Das macht es stehlbar. Wenn ein Angreifer es bereits kennt, ist es leicht zu entschlüsseln.
2. MFA ist ein menschlicher Kontrollpunkt
MFA validiert eine Person bei einem Anmeldeversuch. Sie tut nichts für die kontinuierliche Maschine-zu-Maschine-Kommunikation innerhalb Ihrer Umgebung.
3. Ihre Dienste verwenden keine Passwörter oder MFA
Interne Systeme beruhen auf:
- API-Schlüssel
- Dienstleistungskonten
- OAuth-Inhaber-Tokens
- Bescheinigungen
- Statische Token in der Konfiguration
Dies sind genau die Anmeldeinformationen, die die KI gesammelt und zugeordnet hat:
"[Claude] hat selbständig ermittelt, welche Zugangsdaten zu welchen Diensten berechtigen."
Ein Angreifer, der mit Maschinengeschwindigkeit vorgeht, versucht nicht, sich einzuloggen. Er durchkämmt die interne Oberfläche Ihrer Anmeldeinformationen auf der Suche nach dem nächsten Dreh- und Angelpunkt.
Passwörter und MFA helfen hier nicht weiter. Sie wurden nie für diesen Zweck entwickelt.
Warum PKI und x.509-Zertifikate heute unverzichtbar sind
PKI ändert das Modell. Anstelle eines gemeinsamen Geheimnisses wird bei PKI ein kryptografisches Schlüsselpaar verwendet:
- Öffentlicher Schlüssel: frei zugänglich
- Privater Schlüssel: verlässt niemals seine sichere Grenze
Die Authentifizierung wird zu einem kryptografischen Null-Wissen-Beweis und nicht zu einem erratbaren Geheimnis.
Die wichtigsten Vorteile von x.509-Zertifikaten
✔ Kryptographisch überprüfbare Identität
Zertifikate bieten eine starke Identität für Benutzer, Geräte und Dienste.
✔ Keine geteilten Geheimnisse
Der private Schlüssel wird niemals über das Netz übertragen oder liegt im Klartext vor. Er kann nicht wie ein Passwort oder Token "von innen gestohlen" werden.
✔ Gebaut für Automatisierung und Skalierung
Moderne PKI unterstützt die Ausstellung, Erneuerung und den Widerruf von Zertifikaten in großem Umfang über eine verteilte Infrastruktur.
PKI ist das einzige Authentifizierungsmodell, das mit der Cloud-Automatisierung Schritt hält und Angreifern mit Maschinengeschwindigkeit Schritt halten kann.
Wo werden Zertifikate verwendet?
✔ Machine-to-Machine (M2M) Kommunikation
Jeder Dienst-zu-Dienst-Anruf sollte mutual TLS (mTLS) verwenden.
Beide Seiten authentifizieren sich mit Zertifikaten.
Dies blockiert direkt die auf dem Ausweis basierende seitliche Bewegung, die in GTG-1002 zu sehen ist.
✔ Dienst-Identität
Webserver, Datenbanken und interne APIs sollten Zertifikate vorlegen, um ihre Identität nachzuweisen.
✔ Geräte-Authentifizierung
Zero-Trust-Architekturen beruhen auf der Geräteidentität. Zertifikate sind der Standard.
✔ Benutzerauthentifizierung ohne Passwörter
Smartcards, PIV/CAC und Windows Hello for Business verwenden bereits Zertifikate anstelle von Passwörtern.
mTLS vs. OAuth: Klärung der Verwirrung
OAuth ist kein Ersatz für PKI. Es löst die Autorisierung, nicht die Authentifizierung.
- OAuth = Was darfst du tun?
- mTLS = Wer sind Sie?
Bearer-Tokens - die in OAuth-Abläufen weit verbreitet sind - sind nur ein weiteres Geheimnis, das gestohlen werden kann. Die Operation GTG-1002 hat genau diese Schwäche gezeigt.
Verwendung von mTLS für die Authentifizierung und OAuth für die Autorisierung wird sichergestellt, dass sowohl die Identität als auch die Berechtigungen kryptografisch erzwungen werden.
PKI allein reicht nicht aus - aber sie ist unverzichtbar
Eine solide PKI-Grundlage ersetzt nicht eine gute Architektur. Sie ermöglicht sie.
Um sich vor KI-gesteuerten Eindringlingen zu schützen, müssen Unternehmen ebenfalls Maßnahmen ergreifen:
✔ Das geringste Privileg
KI-gesteuerte Privilegieneskalation ist real. Die Minimierung von Privilegien reduziert die Auswirkungen.
✔ Netzwerk-Segmentierung
Wenn alles mit allem kommunizieren kann, kann sich ein Angreifer - ob Mensch oder KI - frei bewegen.
✔ Zero Trust Architektur
Gehen Sie niemals davon aus, dass der interne Datenverkehr vertrauenswürdig ist.
Authentifizieren Sie alles mit Zertifikaten.
Autorisieren Sie alles mit den geringsten Rechten.
Die Quintessenz
Der GTG-1002-Angriff zeigt, dass sich die Bedrohungslandschaft dauerhaft verändert hat. Passwörter und MFA schützen Menschen - nicht verteilte Systeme. In der Tat hat Gartner die Notwendigkeit von Workload-gebundenen Identitäten gegenüber einer auf Menschen fokussierten MFA hervorgehoben. Laut Gartner-Forschung "funktioniert die Verwendung von MFA hervorragend für Menschen, ist aber für Workloads wie KI-Agenten nicht geeignet . Ziehen Sie stattdessen die Verwendung von Workload-Identitäten oder Berechtigungsnachweisen in Betracht, z. B. Workload-gebundene Zertifikate".
KI-gesteuerte Angreifer arbeiten mit Maschinengeschwindigkeit. Ihre Authentifizierung muss das Gleiche tun.
PKI und x.509-Zertifikate sind nicht einfach eine "stärkere Authentifizierung". Sie sind die Grundlage für die Verteidigung gegen autonome, KI-gestützte Angriffe.
Machen Sie den nächsten Schritt: Lesen Sie das aktuelle Whitepaper von Keyfactor, Absicherung von KI-Agenten mit Zero Trust, und erfahren Sie, wie Keyfactor Ihnen helfen können, KI-Agenten in Ihrem Unternehmen zu sichern, zu skalieren und vertrauensvoll einzusetzen.
