Wie Hacker KI nutzen 2026: 7 Lektionen aus Anthropics Bedrohungsdaten

TL;DR

Zwischen März 2025 und März 2026 untersuchte Anthropic 832 Konten, die es wegen des Einsatzes von Claude für Cyberangriffe sperrte, und erfasste dabei 13.873 bösartige Aktionen über alle 14 MITRE ATT&CK Taktiken hinweg. Das zentrale Ergebnis stellt eine verbreitete Annahme auf den Kopf: Die gefährlichsten Angreifer waren nicht die technisch versiertesten. Es waren diejenigen, die KI nutzten, um einen ganzen Angriff mit kaum menschlichem Zutun zu orchestrieren. Die meisten Akteure setzten KI in den frühen Phasen ein, um Malware zu bauen und zu verstecken, doch der Anteil mit mittlerem Risiko oder höher sprang in einem einzigen Jahr von 33% auf 56%. Wenn du gerade in die Cybersecurity einsteigst, lautet die Lektion: Hör auf, Tools zu sammeln, und beschäftige dich mit der Killchain, mit Detection und damit, wie du KI-gesteuerte Orchestrierung erkennst.

Der gefährlichste Angreifer, den Anthropic im vergangenen Jahr untersuchte, war nicht der begabteste Programmierer im Datensatz. Der Akteur, der den maximalen Risiko-Score von 100 erreichte und als GTG-1002 geführt wird, nutzte ungefähr genauso viele Techniken wie Dutzende gewöhnlicher Akteure mit mittlerem Risiko. Was ihn heraushob, war nicht das Können. Es war, dass der Angreifer Claude in einen Aufbau einband, der es der KI erlaubte, eigenständig zu scannen, zu entscheiden und zu handeln.

Das ist die unbequeme Schlagzeile von Anthropics LLM ATT&CK Navigator Report, veröffentlicht im Juni 2026 und teilweise in den Verizon Data Breach Investigations Report 2026 eingeflossen. Für alle, die in die Security einsteigen wollen, ist das eine gute Nachricht, die sich als Bedrohung tarnt. Sie zeigt dir genau, wohin die Arbeit geht und welche Fähigkeiten am meisten zählen werden, wenn du deinen Abschluss machst. Hier sind sieben Lektionen aus den Daten, und was jede davon für deine ersten Jahre im Feld bedeutet.

1. KI taucht bereits in jeder Phase eines Angriffs auf

Das Erste, was die Daten zunichtemachen, ist die Vorstellung, Angreifer nutzten KI nur für einen einzigen Trick, etwa das Schreiben von Phishing-Mails. Über die 832 Konten hinweg erfasste Anthropic 13.873 einzelne Aktionen, die 482 einzigartige Techniken und alle 14 ATT&CK-Taktiken abdeckten, von der ersten Reconnaissance bis zum finalen Impact. Jede Phase eines echten Angriffs hat heute irgendwo KI in sich.

Doch die Verteilung ist schief, und dieses Detail zählt für Einsteiger. Die Arbeit ballt sich stark in den frühen, vorbereitenden Phasen. Allein Defense Evasion macht 16,17% aller beobachteten Aktionen aus und Resource Development weitere 13,27%. Die späten Phasen, in denen ein Angreifer bereits drinnen ist und Schaden anrichtet, fallen kaum ins Gewicht: Impact und Exfiltration liegen bei je 2,78%, Privilege Escalation bei 2,36% und laterale Bewegung bei gerade einmal 0,7%.

Die praktische Erkenntnis ist das ATT&CK-Framework selbst. Wenn Angreifer und Verteidiger die Welt beide in Taktiken und Techniken beschreiben, ist dieses Vokabular das mit Abstand Nützlichste, was du früh lernen kannst. Es verwandelt einen beängstigenden Wust von Angriffen in eine lesbare Karte der Angriffsfläche, und es ist die Sprache, die jedes Threat-Intelligence-Team ohnehin spricht.

2. Die meisten Angreifer nutzen KI, um Tools zu bauen, nicht um einzubrechen

Wenn du dir einen KI-gestützten Hacker vorstellst, stellst du dir wahrscheinlich vor, dass die KI das Einbrechen erledigt. Die Daten sagen etwas anderes. Am häufigsten baten die Angreifer das Modell um Hilfe beim Bau von offensivem Werkzeug, bevor ein Angriff überhaupt beginnt.

Die mit Abstand größte Technikfamilie war Develop Capabilities, eingesetzt von 574 der 832 Akteure, also 69%. Fast all das war Malware-Entwicklung, beobachtet in 560 Konten: maßgeschneiderte Skripte, Code für DLL-Injection, Umgehung von Fingerprinting, automatisierte Kontoverwaltung. Direkt dahinter folgten die Verschleierung von Dateien und Informationen mit 64,7%, das Abgreifen von Daten aus dem lokalen System mit 55,9% und das Schwächen von Schutzmechanismen mit 54,9%. Defense Evasion insgesamt zeigte sich im Verhalten von 84,4% aller untersuchten Akteure. Im Klartext: Angreifer nutzen KI vor allem, um bösartigen Code zu schreiben, ihn schwerer auffindbar zu machen und dann Daten herauszuziehen, sobald sie drinnen sind.

Das hat eine direkte Folge dafür, worauf neue Verteidiger zielen sollten. Das Volumen an KI-generierter, bewusst verschleierter Malware steigt, was Detection wertvoll macht, die sich nicht darauf verlässt, eine bekannte Datei wiederzuerkennen. Genau das ist das Terrain von Endpoint Detection and Response, Verhaltensanalysen und der Arbeit, die ein SOC-Analyst in jeder Schicht leistet. Signaturbasiertes Denken altert schlecht, wenn der Gegner auf Knopfdruck eine frische, polymorphe Variante hochziehen kann.

3. Die wahre Trennlinie ist Orchestrierung, nicht technisches Können

Das ist die Lektion, die verändern sollte, wie du lernst. Anthropic baute ein Bewertungssystem namens AI Risk Enablement Score, kurz ARiES, das jeden Akteur von 0 bis 100 über drei Dimensionen bewertet: die Bedrohung, die er darstellt, den Beitrag des Modells zum Schaden und die Auswirkung. Als sie schauten, wer am höchsten abschnitt, erklärten die üblichen Marker eines beängstigenden Angreifers das Ergebnis nicht.

Nimm GTG-1002, den Akteur hinter der KI-Spionagekampagne, die Anthropic im November 2025 unterband. Er erreichte den maximalen Risiko-Score von 100 und kompromittierte Ziele in Regierung und kritischer Infrastruktur. Dennoch war sein MITRE-Profil, etwa 30 Techniken über 13 Taktiken, mit zahlreichen Akteuren von lediglich mittlerem Risiko vergleichbar. Einige Akteure mit niedrigem Risiko nutzten mehr Techniken als das. Die Zahl der Techniken konnte die Gefahr nicht erklären. Der Unterschied war das Gerüst: Der Angreifer ließ Claude Code auf einer Kali-Linux-Maschine laufen und band Open-Source-Penetrationstesting-Tools als Model-Context-Protocol-Server ein, womit er das Modell von einem Code-schreibenden Assistenten in einen autonomen Operator verwandelte. Die KI scannte, fand interne Systeme, sammelte Zugangsdaten und bewegte sich quer durch das Netzwerk, wobei sie ihre eigenen taktischen Entscheidungen darüber traf, was als Nächstes zu untersuchen war.

Diese Befunde deuten auf eine Landschaft hin, in der die Trennlinie zwischen Akteuren mit niedrigem und hohem Risiko nicht mehr das technische Können ist, sondern die Orchestrierung.

Für Neueinsteiger ist das zugleich befreiend und fordernd. Du brauchst kein Jahrzehnt Exploit-Entwicklung, um relevant zu sein. Du musst verstehen, wie sich Angriffe als Abfolge verketten, denn diese Abfolge, nicht irgendein einzelner cleverer Payload, ist heute die Einheit des Risikos.

4. Laterale Bewegung ist das deutlichste Zeichen eines Hochrisiko-Angreifers

Wenn Orchestrierung der abstrakte Marker der Gefahr ist, dann ist laterale Bewegung der konkrete. Es ist die Phase, in der ein Angreifer, der bereits in einer Maschine sitzt, sich seitwärts bewegt, um wertvollere Systeme zu erreichen. Im Datensatz ist sie selten: Nur 54 der 832 Akteure nutzten KI dafür, der niedrigste Anteil aller Taktiken. Doch es ist das aussagekräftigste Signal, das Anthropic fand.

Akteure, die KI für laterale Bewegung nutzten, hatten einen durchschnittlichen Risiko-Score von 56,4 gegenüber einem Gesamtmittel von 46,8. Diese Lücke von fast 10 Punkten war größer als bei jeder anderen Technik. Exfiltration, Discovery und Reconnaissance folgten, alle über dem Mittel. Das Muster ist konsistent: Die Akteure mit dem höchsten Risiko nutzen KI für praktische Post-Compromise-Arbeit in einem aktiven Netzwerk, nicht nur für die Vorbereitung.

Die Techniken, die sich unter diesen Top-Akteuren häuften, lohnt es sich als Einsteiger einzuprägen: Remote Services über SSH und SMB, gültige Konten, OS Credential Dumping, das Archivieren gesammelter Daten und das Ausbringen von Web Shells. Jede davon war drei- bis fünfmal häufiger unter den Akteuren mit dem höchsten Risiko als in der Gesamtpopulation. Wenn du in Detection oder Threat Hunting arbeiten willst, sind das die Verhaltensweisen, die einen lärmenden Alarm von einem echten Notfall trennen.

5. KI-gestützte Angriffe werden riskanter, und zwar schnell

Statische Momentaufnahmen verbergen Trends, also teilte Anthropic das Jahr in zwei Hälften. Die Verschiebung zwischen den Hälften ist die alarmierendste Zahl im gesamten Bericht und die wichtigste für jeden, der einen Karrierewechsel abwägt.

In den ersten sechs Monaten erreichten rund 33,5% der Akteure ein mittleres Risiko oder höher. In den zweiten sechs Monaten lag dieser Wert bei 56,1%. Das ist ein Anstieg um das 1,7-Fache in unter einem Jahr, ein Sprung von rund 22,6 Prozentpunkten. In der ersten Phase waren die meisten Akteure von niedrigem Risiko; in der zweiten lagen die meisten bei mittlerem Risiko oder darüber. Bezeichnenderweise wurde das Wachstum nicht dadurch getrieben, dass Angreifer geschickter wurden. Es kam daher, dass mehr Akteure mit niedrigem und mittlerem Können KI für Live-Operationen im Netzwerk nutzten, einschließlich des Aufbaus von Command-and-Control-Kanälen. Konto-Discovery stieg zwischen den beiden Hälften um 8,9% und automatisierte Exfiltration um 6,2%, beides Zeichen dafür, dass der Akteur bereits drinnen ist.

Als Signal für den Arbeitsmarkt gelesen, ist das eindeutig. Das Volumen an Angreifern, die gut genug sind, steigt, während die Fachkräftelücke in der Cybersecurity weit offen bleibt. Die Verteidiger, die KI-gestütztes Verhalten lesen können, sind genau die Leute, die Organisationen in den kommenden Jahren händeringend einstellen wollen.

6. Die Signale, denen wir früher vertrauten, sagen das Risiko nicht mehr voraus

Threat-Intelligence-Teams verließen sich lange auf ein paar Abkürzungen, um einen Angreifer einzuschätzen: wie technisch raffiniert er wirkt, wie viele Techniken er nutzt und über welche Schnittstelle er kam. Der Bericht zerlegt alle drei, ganz unaufgeregt.

Als Anthropic die eingeschätzte technische Raffinesse gegen den Rest des Risiko-Scores maß, betrug die Korrelation nur r = 0.28. Die Breite der Technikabdeckung war mit r = 0.27 kaum besser. Der mittlere Akteur nutzte 16 verschiedene Techniken, eine Zahl, die vor fünf Jahren auf eine gut ausgestattete, ausgereifte Operation hingedeutet hätte, heute aber bloß Durchschnitt ist. Die Wahl der Schnittstelle erzählte dieselbe flache Geschichte: 80% der Akteure nutzten Claude Code, agentisches Werkzeug ist also inzwischen der Standardweg hinein statt ein Warnsignal. Akteure am Chat-Interface, an der API und an Coding-Tools liefen auf statistisch nicht unterscheidbare Risikoprofile zusammen.

Für Einsteiger ist das die Erlaubnis, sich von der Mystik des Elite-Hackers nicht länger einschüchtern zu lassen. Was zählt, ist nicht, ob ein Akteur raffiniert aussieht, sondern was er tatsächlich praktisch in einem Netzwerk tut. Darauf zu achten, ist etwas weit Lernbareres, und es belohnt sorgfältige Beobachtung mehr als rohes Genie.

7. Selbst MITRE ATT&CK muss sich weiterentwickeln, und das ist deine Chance

Die letzte Lektion ist, dass die Karte selbst nun unvollständig ist. Anthropic bildete alle 13.873 Beobachtungen sauber auf ATT&CK ab, doch die Verhaltensweisen, die die schlimmsten Akteure gefährlich machten, autonome Orchestrierung der Killchain, Entscheidungen über Pivots in Echtzeit und KI-gesteuerte Ausführung ganz ohne Menschen in der Schleife, haben im Framework noch keine Technik-IDs. Die Taxonomie, auf die sich moderne Threat Intelligence stützt, hat nicht mit dem Schritt gehalten, wie Angriffe tatsächlich gefahren werden.

Anthropic unternimmt an mehreren Fronten etwas dagegen. Es hat die in Claude eingebauten Klassifikatoren feinjustiert und seine Verhaltenssonden erweitert, um die Indikatoren zu erwischen, die mit hohen ARiES-Scores korrelieren. Es hat Cyber-Schutzmaßnahmen in Echtzeit eingeführt, die verbotene Aktivität auf Anfrageebene blockieren, leitet Dual-Use-Fälle durch ein Cyber Verification Program und untersucht intern offensive Frontier-Fähigkeiten über Project Glasswing, bevor Modelle die Öffentlichkeit erreichen. Es steht außerdem in aktiven Gesprächen mit MITRE über neue Kategorien für ATT&CK für diese KI-nativen Verhaltensweisen.

Wenn das gemeinsame Framework, auf das sich alle verlassen, eine Lücke dieser Größe hat, dann sind es die Leute, die sie mitfüllen, die eingestellt werden. Diese Lücke ist eine Einladung, keine Wand.

Das ist die Karrierechance, die sich in einem Bedrohungsbericht versteckt. Ein Feld, das gerade sein eigenes Vokabular neu schreibt, braucht Leute, die in KI und Defense gleichermaßen flüssig sind. Der Bericht sagt unverblümt, dass Verteidiger KI nun mit derselben Dringlichkeit nutzen müssen wie Angreifer, Erkenntnisse schneller teilen und die Zeit von der Entdeckung einer Schwachstelle bis zum Patchen verkürzen müssen. Das sind Jobs. In dieser Form gab es sie vor drei Jahren nicht, und viele davon werden von Leuten besetzt, die gerade jetzt Einsteiger sind. Frameworks wie das NIST AI Risk Management Framework und MITRE D3FEND sind frühe Versuche, Verteidigern eine gemeinsame Sprache zu geben, während Anthropics Claude Mythos Preview zeigt, wohin sich die KI-Cyberfähigkeit als Nächstes entwickelt.

Wie sollte ein Cybersecurity-Einsteiger reagieren?

Von vorn bis hinten gelesen, weist der Bericht alle in dieselbe Richtung. Angreifer sind nicht mehr gefährlich wegen dessen, was sie wissen; sie sind gefährlich wegen dessen, was sie mit einer KI zusammenfügen können, die die Schwerarbeit übernimmt. Verteidiger werden auf derselben Achse gewinnen oder verlieren.

Lass also die Falle aus, ein Tool nach dem anderen auswendig zu lernen. Lerne zuerst die Killchain, durch die Linse von MITRE ATT&CK, damit sich jeder Angriff als Abfolge liest, die du unterbrechen kannst. Werde praktisch in der Detection der Post-Compromise-Verhaltensweisen, die Hochrisiko-Akteure tatsächlich kennzeichnen: laterale Bewegung, Credential Access und Web Shells. Baue echte KI-Kompetenz auf, denn die nächste Generation von Verteidigern wird menschliches Urteilsvermögen mit KI-Unterstützung paaren, so wie Angreifer bereits menschliche Absicht mit KI-Ausführung paaren. Und behandle Threat Hunting, Threat Intelligence und Incident Response als die zentralen Handwerke des Moments, nicht als optionale Extras.

Wenn dieser Karriereweg nach dem klingt, den du gehen willst, ist es genau der, den wir lehren. Der Unihackers Cybersecurity-Bootcamp ist rund um die Killchain, Live-Detection und die KI-bewusste Verteidigung gebaut, die dieser Bericht beschreibt, sodass du bereit für das Feld abschließt, wie es 2026 ist, nicht wie es vor einem Jahrzehnt war. Die Angreifer haben sich bereits angepasst. Du bist am Zug.

Häufig gestellte Fragen

Wie nutzen Hacker 2026 KI?

Die meisten Angreifer setzen KI in den Vorbereitungsphasen eines Angriffs ein: zum Bauen und Verfeinern von Malware, zum Verschleiern von Code, um der Erkennung zu entgehen, und zum Abgreifen von Daten aus kompromittierten Systemen. In Anthropics Studie war Develop Capabilities die häufigste Aktivität, eingesetzt von 69% der Akteure. Deutlich weniger nutzen KI für Live-Aktionen im Netzwerk wie laterale Bewegung, doch wer das tut, gehört zu den Akteuren mit dem höchsten Risiko. Der gefährlichste Einsatz ist die Orchestrierung, bei der ein KI-Agent mehrere Angriffsphasen miteinander verkettet und taktische Entscheidungen mit kaum menschlichem Zutun trifft.

Werden KI-gestützte Cyberangriffe tatsächlich schlimmer?

Ja, und das messbar. Der Anteil der KI-gestützten Bedrohungsakteure mit mittlerem Risiko oder höher kletterte von rund 33% in den ersten sechs Monaten der Studie auf rund 56% in den zweiten, ein Anstieg um das 1,7-Fache in unter einem Jahr. Mehr Akteure mit niedrigem und mittlerem Können nutzen KI inzwischen für Live-Operationen wie Konto-Discovery und automatisierte Exfiltration, nicht nur für die Vorbereitung. Das Wachstum konzentriert sich auf die riskantesten Aktivitäten, sodass die Untergrenze dessen, was ein durchschnittlicher Angreifer leisten kann, steigt.

Braucht man fortgeschrittene Programmierkenntnisse, um ein gefährlicher KI-gestützter Angreifer zu sein?

Nein, und genau das ist die Kernerkenntnis. Die eingeschätzte technische Raffinesse korrelierte mit dem Risiko nur mit r = 0.28, und die Anzahl der eingesetzten Techniken mit r = 0.27. Der Akteur mit dem maximalen Risiko-Score von 100 nutzte etwa 30 Techniken, vergleichbar mit Akteuren mittleren Risikos. Gefährlich machte ihn das Gerüst, das er rund um das Modell baute, um einen Angriff autonom zu fahren, nicht das rohe Können.

Was sollte ein Cybersecurity-Einsteiger daraus lernen, wie Hacker KI nutzen?

Lerne das MITRE-ATT&CK-Framework, damit du Angriffe als Abfolge von Phasen lesen kannst und nicht als isolierte Tools. Konzentriere dich auf die Detection von Post-Compromise-Verhalten wie laterale Bewegung, Credential Dumping und Web Shells, denn das kennzeichnet die Akteure mit dem höchsten Risiko. Baue KI-Kompetenz auf beiden Seiten auf, denn Verteidiger müssen KI heute mit derselben Dringlichkeit nutzen wie Angreifer. Detection Engineering, Threat Intelligence und Incident Response sind die Fähigkeiten, die dieser Wandel am meisten belohnt.