Menschen verlieren die Kontrolle über ihre digitale Umgebung

Manchmal durch einen Angriff, einen unbedachten Klick oder einen LinkedIn-Post, der verlockend nach Erfolg klingt.

Und manchmal durch Schlagzeilen, die mehr Verwirrung stiften als Klarheit.

Was sagen die Fakten?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ausgewertet, wie Angreifergruppen KI einsetzen. Das Ergebnis ist nüchterner und lehrreicher als die meisten Medienberichte.

Was KI-gestützte Angriffe heute bedeuten

Das BSI unterscheidet drei Angriffstypen.

Erstens: KI als Recherche- und Täuschungswerkzeug. Angreifer nutzen KI, um Informationen über Unternehmen und deren Mitarbeitende schneller auszuwerten. Phishing-Mails werden überzeugender, weil KI sprachliche Fehler eliminiert und Texte personalisiert. Bekannt ist ein Fall aus Februar 2024: Staatliche Akteure nutzten ChatGPT zur Auswertung gestohlener Daten und zur Vorbereitung gezielter Angriffe.

Zweitens: Angriffe auf Cloud-KI-Systeme selbst. Unternehmen, die interne (Cloud-basierte) Chatbots oder KI-Tools einsetzen, werden zur Zielscheibe. Sogenannte „Prompt-Jailbreaks“ versuchen, dem System internes Wissen zu entlocken. Daneben gibt es „Poisoning-Angriffe" auf Trainingsdaten. Dieser Angriffstyp ist noch theoretischer Natur.

Drittens: Trojanisierte KI-Tools. Wer ein kostenloses KI-Tool aus unsicherer Quelle herunterlädt, riskiert Schadsoftware. Diese zielt bisher vor allem auf Privatnutzer, zunehmend jedoch auch auf Unternehmen. Ein dokumentierter Fall: Ein Angreifer nutzte ChatGPT als Hilfe bei der Entwicklung von Schadcode für einen „Information Stealer" – Software, die Zugangsdaten stiehlt.

Ein aktuelles Beispiel macht es greifbar

Der KI-Assistent OpenClaw – bekannt unter den Namen Clawdbot und Moltbot – erreichte innerhalb weniger Wochen über 100.000 GitHub-Sterne. Das Tool verspricht vollständige Automatisierung: E-Mails beantworten, Kalender verwalten, Aufgaben erledigen – alles selbstständig.

Bitdefenders Unternehmens-Telemetrie zeigt: Mitarbeitende installieren solche Agenten mit einem einzigen Befehl direkt auf Firmenrechnern und erteilen ihnen dabei vollen Terminal- und Festplattenzugriff. Sicherheitsverantwortliche wissen oft nichts davon. Bitdefender

Dafür gibt es den Begriff: Shadow AI.

Was passiert konkret – Szenario für Unternehmen: Der Mitarbeiter installiert OpenClaw auf dem Firmenrechner. Er steht unter Druck und will produktiver werden. Im Hintergrund öffnet es eine Hintertür, die sich dauerhaft einrichtet und Daten nach aussen sendet. Die IT-Abteilung sieht nichts. Der Mitarbeiter ahnt nichts. Der Angreifer hat ab diesem Moment dauerhaften Zugriff. Auf einen Firmenrechner mit Zugang zu Firmendaten.

Was passiert konkret – Szenario für Einzelunternehmer: Der Einzelunternehmer sieht OpenClaw auf LinkedIn. 100.000 GitHub-Sterne. Einige Geschäftskollegen tauschen sich über ihre Erfahrungen aus und berichten fast euphorisch über die Erfolge. Erst zweifelt er, dann installiert er es doch, um nicht als Technologieverweigerer zu gelten. Dann sucht er im Erweiterungsverzeichnis nach nützlichen Zusatzfunktionen. Klickt auf eine, die gut klingt. Sieht eine professionell aussehende Warnmeldung, klickt „Weiter". Ein Befehl landet in seiner Zwischenablage. Er fügt ihn ins Terminal ein, weil die Anleitung genau das beschreibt. Fertig. Ein Schadprogramm läuft im Hintergrund und sendet Passwörter, Browserdaten und API-Schlüssel an Angreifer.

Das Tückische: Er hat das getan, was das Tool an Meldungen nach der Installation ausgab. Kein Leichtsinn im klassischen Sinne. Nur Vertrauen in ein virales Tool, mit dem Geschäftskollegen von Erfolgen berichten, das er nicht wirklich verstand.

Bitdefender hat beide Szenarien im LinkedIn-Webinar Ctrl-Alt-DECODE, Episode 6, öffentlich dokumentiert.

Was auf LinkedIn gerade passiert und warum ich darüber publiziere

Wenn Sie in den letzten Wochen auf LinkedIn aktiv waren, haben Sie sie gesehen: die Beiträge mit erfolgsversprechenden Erfahrungen.

„OpenClaw hat mein Business verändert." „Ich spare 10 Stunden pro Woche." „Das ist die Zukunft der Arbeit; wer das jetzt nicht nutzt, wird abgehängt." Dazu Zahlen, die Autorität suggerieren: 100.000 GitHub-Sterne. 2 Millionen Besucher in einer Woche.

Hinter der Inszenierung steckt Marketingpsychologie

Sozialer Beweis als Druckmittel. „Ich sah das Tool überall in meinem Netzwerk auftauchen. Irgendwann gab ich dem Peer Pressure nach und installierte es." Substack

Das schrieb ein Technologieredakteur und beschreibt damit genau, wie virales Marketing funktioniert. Nicht Qualität überzeugt, sondern Sichtbarkeit.

FOMO als Antrieb. Das Narrativ ist eindeutig: Wer dieses Tool nicht nutzt, hat das Nachsehen. Führungskräfte prognostizieren, dass KI-Agenten wie OpenClaw bald ganze Unternehmen selbstständig führen werden. CNBC

Wer will schon zurückbleiben?

Zahlen ohne Substanz. GitHub-Sterne messen Interesse, keine Qualität. Besucher messen Neugier, keine Eignung. Wie viele Menschen das Tool tatsächlich aktiv und sicher nutzen, bleibt unklar. CNBC

Der Experten-Anstrich. IBM, Silicon Valley, chinesische Tech-Giganten: Wer diese Namen liest, fühlt sich klein. Dabei gilt: Der Entwickler selbst hat OpenClaw wiederholt als junges Hobbyprojekt beschrieben, das für die meisten Nicht-Techniker nicht geeignet ist. Vectra AI

Was Sicherheitsforschende wirklich sagen, klingt anders. AI-Forscher Gary Marcus warnte öffentlich:

Wer die Sicherheit seines Geräts oder die Privatsphäre seiner Daten schützen will, solle OpenClaw nicht nutzen. Substack

Fortune nannte das gesamte Ökosystem einen potenziellen „Datenschutz- und Sicherheitsalbtraum". Taskade

LinkedIn ist ein Businessnetzwerk – oder war es? Heute ist es auch ein Verbreitungskanal für virales Marketing, das Dringlichkeit erzeugt, wo keine ist. Wer auf LinkedIn verspricht, dass ein Tool Ihr Business vollständig automatisiert, verkauft meistens etwas.

Was BSI und Bitdefender kommunizieren

Aus dem BSI-Bericht:

KI bringt derzeit keine neuen Angriffsmethoden hervor. Sie beschleunigt und vereinfacht bestehende Techniken. Phishing existiert seit Jahrzehnten. KI macht es schneller und sprachlich glatter. Aber der Angriff selbst bleibt derselbe. Deepfakes erzeugen mediale Aufmerksamkeit. Im tatsächlichen Repertoire staatlicher Angreifergruppen wurden sie bislang nicht beobachtet.

Bitdefender kommuniziert:

Ernstzunehmende Angreifer finden LLMs nützlicher für Social Engineering als für die Entwicklung autonomer Schadsoftware. KI-„Super-Malware" bleibt vorerst Science-Fiction. Bitdefender

Was das für Sie konkret bedeutet

a) Weniger persönliche und berufliche Informationen im Netz. KI-gestützte Angriffe basieren auf öffentlich verfügbaren Informationen. Was nicht online steht, kann nicht ausgewertet werden. Hinterfragen Sie, was Plattformen mit Ihren Daten tun.

Das Internet und die sozialen Medien sind nicht mehr das, wofür sie erschaffen wurden. Was als offenes Kommunikationsnetz begann, ist heute ein blühendes Datenfeld, reif für die Ernte. Jeder Kommentar, jedes Bild, jede Reaktion ist ein Datenpunkt. Er liest Ihre Persönlichkeit, Ihre Haltung, Ihre Gewohnheiten. Und die Plattformbetreiber geben diese Informationen weiter.

Daten sind kein abstraktes Konzept. Sie entscheiden, ob Ihnen ein Kredit gewährt wird. Ob eine Versicherung leistet. Ob ein Arbeitgeber Sie einstellt. Ob ein Grenzbeamter Sie durchlässt. Ob ein Angreifer weiss, wann Sie verreist sind, wo Sie behandelt werden oder wer Ihr Anwalt ist. Welche Schwachstellen sind zu finden? Die Trennung zwischen beruflicher, gesundheitlicher und privater Existenz existiert in Datenbanken nicht. Dort sind Sie eine einzige Akte, zusammengesetzt aus allem, was Sie je geteilt haben.

Dieselbe Logik gilt auch für die Gesichtserkennung. Wer der Nutzung seines Gesichts zustimmt, gibt eine biometrische Information preis, die er nie zurückbekommt. Lesen Sie die Zustimmungserklärungen. Und entscheiden Sie bewusst.

b) Vorsicht bei kostenlosen KI-Tools aus unbekannter Quelle. Wer das Produkt nicht bezahlt, ist oft selbst das Produkt (kostenlose Messenger). Trojanisierte KI-Software zielt genau auf diejenigen, die jedes neue Tool unkritisch ausprobieren.

c) Phishing erkennen bleibt Pflicht – trotz KI. KI schreibt fehlerfreies Deutsch. Der alte Erkennungshelfer „komisches Sprachgefühl" fällt damit weg. Was bleibt: Absender prüfen – nicht nur den Anzeigenamen, sondern auch die tatsächliche E-Mail-Adresse dahinter. Kopfzeilen der E-Mail auf Unstimmigkeiten prüfen. Links grundsätzlich nicht anklicken. Unbekannte Anrufe nicht entgegennehmen, unbekannte E-Mails löschen. Im Zweifel: direkt anrufen, bei der echten Nummer, nicht der aus der Mail.

d.) Kein KI-Tool blind installieren. Viral bedeutet nicht sicher. Wer ein Tool nicht versteht, sollte es nicht auf Rechnern installieren, auf denen Kundendaten, Passwörter oder Geschäftszahlen liegen.

e.) LinkedIn-Lobeshymnen einordnen. Drei Fragen zum nächsten Enthusiasten-Post: Wer profitiert davon, dass ich das installiere? FOMO ist ein psychologisches Phänomen. Seine Instrumentalisierung ist ein Geschäftsmodell. Ein professionelles LinkedIn-Profil ist weder ein Qualitätsmerkmal noch eine Garantie. Es ist eine Visitenkarte, die jeder drucken kann. Wer von oben herab erklärt, was Sie falsch machen, verkauft meistens etwas: sich selbst, einen Kurs, Reichweite oder ein Tool, dessen Risiken er verschweigt.

Kritisches Denken ist die Schranke. Nicht gegenüber Technologie. Sondern gegenüber Inszenierung.

Ein Blick in die nächsten drei Jahre

BSI und Bitdefender sind sich einig: Die Angriffsmenge steigt, die Methoden bleiben unverändert. KI verändert sowohl den Angriff als auch die Verteidigung. Angreifer nutzen generative KI-Tools, was die Risiken auch für weniger erfahrene Akteure erhöht. Bitdefender

Was bleibt unwahrscheinlich? Dass KI vollständig neue Angriffsmethoden erfindet. Und dass AGI – die allgemeine künstliche Intelligenz, die alles verändert – in absehbarer Zeit eintrifft. Häufig zu lesen in KI-Communities. Das BSI bewertet dieses Szenario ausdrücklich als sehr unwahrscheinlich.

Fazit

KI verändert Cyberangriffe. Sie revolutioniert sie nicht.

Die gefährlichste Wirkung des KI-Hypes liegt nicht in der Technologie selbst. Es ist das blinde Vertrauen in Tools, die man nicht versteht, auf Rechnern, auf denen alles liegt, was das eigene Business am Laufen hält. Und in LinkedIn-Posts, die Dringlichkeit verkaufen, wo Vorsicht und kritisches Nachfragen angebracht wären.

Wer das versteht, trifft bessere Entscheidungen. Aus Klarheit.

Warum dann OpenClaw und FOMO im Artikel?

Weil beides auf unterschiedlichen Wegen zur gleichen Leichtfertigkeit führt. Wer täglich Schlagzeilen über KI-Cyberangriffe liest und sich ohnehin ausgeliefert fühlt, wird aus Erschöpfung manchmal nachlässiger mit seinen Daten. Wer auf LinkedIn sieht, dass Geschäftskollegen ein Tool bereits nutzen, installiert es eventuell aus sozialem Vertrauen ohne kritische Prüfung.

Manche sagen, ich habe nichts zu verbergen. Es wird übersehen, dass jemand anderes entscheidet, was er mit den Daten macht, die er über sie gesammelt hat.

Das senkt die Schwelle, über die man innehält und fragt: Was tue ich eigentlich?Genau diese Schwelle ist die Angriffsfläche.

Quellen:

Deutschland: Bundesamt für Sicherheit in der Informationstechnik (BSI), Lagebericht KI und Cyberbedrohungen 2024.

Bitdefender, Cybersecurity Predictions 2025: Hype vs. Reality.

Bitdefender Labs, Technical Advisory OpenClaw.

Bitdefender LinkedIn-Webinar Ctrl-Alt-DECODE, Episode 6.

CNBC, Gary Marcus Substack, Vectra AI, Fortune.

Schweiz: Das Bundesamt für Cybersicherheit (BACS) verzeichnete 2024 rund 63.000 gemeldete Cybervorfälle, fast eine Verdoppelung gegenüber 2023.

Manuela Frenzel ist unabhängige Publizistin für Technologie und Gesellschaft.