Anthropic hat am 3. Juni einen Report veröffentlicht, der ein Jahr KI-gestützter Cyberangriffe seziert. Die Datenbasis: 832 Konten, die zwischen März 2025 und März 2026 wegen bösartiger Cyber-Aktivität gesperrt wurden. Jeder Fall wurde auf MITRE ATT&CK gemappt — die Standard-Datenbank, mit der Sicherheitsteams Angreifer-Techniken einordnen. Ein Teil der Ergebnisse floss in Verizons 2026 Data Breach Investigations Report ein.
Drei Erkenntnisse, die unbequem sind
Die erste: Angreifer nutzen KI zunehmend in den späten, komplexen Phasen eines Angriffs. Klar, der häufigste Einsatz bleibt die Vorbereitung — 67,3 Prozent der untersuchten Konten ließen sich KI beim Schreiben von Malware helfen. Aber der Trend zeigt nach innen: KI für ‘Account Discovery’ — also das Aufspüren gültiger Konten in einem bereits kompromittierten Netz — stieg um 8,9 Prozent, während KI-gestütztes Phishing um 8,6 Prozent zurückging. Heißt: Die Angreifer sind schon drin und lassen die KI die Drecksarbeit tiefer im System machen.
Die zweite: Angriffe werden autonomer. Im ersten Halbjahr stuften Anthropics Risiko-Scores 33 Prozent der Akteure als mittleres Risiko oder höher ein. Im zweiten Halbjahr waren es 56 Prozent — eine Verdopplung in Schlagdistanz. Tätigkeiten, die früher echtes Können verlangten, übernimmt jetzt das Modell für weniger versierte Akteure.
Die dritte trifft die Sicherheitsbranche selbst: MITRE ATT&CK bildet das nicht mehr sauber ab. Wer früher das Risiko eines Angreifers einschätzen wollte, zählte Techniken und schaute aufs Werkzeug. Funktioniert nicht mehr. Die unerfahrensten Akteure im Datensatz nutzten im Schnitt 16 Techniken, die versiertesten 20 — der Abstand ist winzig. Und ob jemand Claude Code, eine API oder ein Chat-Interface nutzte, sagte nichts über sein Risiko aus.
Was wirklich gefährlich macht
Das eigentliche Unterscheidungsmerkmal ist laut Anthropic das Gerüst, das ein Angreifer um das Modell herum baut: Architekturen, die das Modell einzelne Angriffsphasen eigenständig aneinanderketten lassen, mit minimalem menschlichem Eingreifen. Genau diese agentische Orchestrierung hat in MITRE ATT&CK schlicht keine ID. Anthropic verweist auf den im November 2025 gestoppten Spionagefall, bei dem ein Akteur Claude Code zu weitgehend autonomen Angriffen manipulierte: Nach ATT&CK gemessen wirkte er wie mittleres Risiko — nach Anthropics eigener Methodik war es das Maximum von 100.
Meine Einordnung
Mir gefällt, dass Anthropic hier nicht nur warnt, sondern Daten liefert und offen sagt: Unser Abwehr-Vokabular ist veraltet. Sie sind mit MITRE im Gespräch, die agentischen Verhaltensweisen aufzunehmen. Das ist der ehrliche Teil — und der unangenehme. Wenn ein durchschnittlicher Akteur mit dem richtigen Gerüst plötzlich wie ein Top-Angreifer agiert, dann ist nicht das Modell das Problem, sondern die Lücke zwischen dem, was Angreifer heute können, und dem, womit Verteidiger sie messen. Diese Lücke zu schließen ist kein Modell-Update. Das ist Arbeit am Fundament.
Das Thema berührt sensible Sicherheitsfragen. Die Details hier stammen aus Anthropics öffentlichem Report und sollen Verteidiger informieren, nicht Angreifer.
Quellen: Anthropic: What we learned mapping a year’s worth of AI-enabled cyber threats, Frontier Red Team Blog: Attack Navigator