AI im Cybercrime-Untergrund: Hype trifft Handwerk
Inhaltsverzeichnis
Wenn man im Moment über AI und Cybercrime liest, klingt vieles nach Science-Fiction: autonome Malware, digitale Superhacker, Modelle, die nachts selbstständig Firmennetze zerlegen. Ich glaube, diese Erzählung ist zu bequem. Sie ist laut, sie verkauft sich gut, und sie lenkt vom eigentlichen Problem ab.
Das Gefährliche an AI im Cybercrime ist nicht, dass plötzlich jede kriminelle Gruppe ein eigenes Genie im Keller hat. Das Gefährliche ist, dass viele langweilige Arbeitsschritte billiger, schneller und besser skalierbar werden.
Übersetzen. Umschreiben. Opfer sortieren. Phishing glaubwürdiger machen. Code erklären lassen. Fehlermeldungen debuggen. Datenlecks auswerten. Social-Engineering-Skripte variieren. Tools verpacken. Behauptungen professioneller aussehen lassen.
Das klingt weniger spektakulär als “AI schreibt Zero-Day-Malware”. Aber genau deshalb ist es operativ so wichtig.
Die gefährlichste AI im Cybercrime ist nicht der autonome Superhacker, sondern der Assistent, der kriminelle Routinearbeit beschleunigt.
Der Untergrund verkauft selten Wahrheit pur
Man muss bei diesem Thema mit einer Portion Misstrauen starten. In kriminellen Foren, Telegram-Gruppen und sogenannten Cybercrime-as-a-Service-Angeboten wird viel behauptet. Manche Anbieter verkaufen echte Werkzeuge. Andere verkaufen umbenannte Open-Source-Tools, simple Wrapper um öffentliche Modelle, gestohlene Accounts, Jailbreak-Prompts, nutzlose Panels oder schlicht Betrug an anderen Betrügern.
Wenn irgendwo ein “AI-Hacking-Tool” beworben wird, heisst das noch nicht, dass es technisch beeindruckend ist. Es kann ein echtes Hilfsmittel sein. Es kann aber auch nur Marketing sein.
Eine gute Einordnung liefert hier die USENIX-Studie zu sogenannten Malla-Diensten, also “Malicious LLM-integrated applications”. Die Forscher untersuchten 212 reale Dienste aus Untergrundumgebungen und fanden unter anderem acht Backend-LLMs sowie 182 Jailbreak-Prompts. Das belegt zwei Dinge gleichzeitig: Der Markt ist real. Aber viele Angebote bestehen nicht aus geheimen Supermodellen, sondern aus Wrappern, Jailbreaks und missbrauchten öffentlichen oder offenen Modellen.
Google Threat Intelligence beschreibt dieses Muster sehr ähnlich. Ein Dienst wie Xanthorox wurde im Untergrund als eigenes Offensivmodell beworben, basierte laut Google aber in Wirklichkeit auf jailbroken kommerziellen APIs und Open-Source-Komponenten. Genau das ist typisch für diesen Markt: Die Verpackung klingt nach Untergrundlabor, die Technik darunter ist oft viel prosaischer.
Das ist wichtig, weil die Debatte sonst in zwei falsche Extreme kippt.
Das erste Extrem sagt: Alles ist nur Hype. Kriminelle reden gerne gross, also muss man es nicht ernst nehmen.
Das zweite Extrem sagt: AI übernimmt Cybercrime, und klassische Security ist bald wertlos.
Beides ist zu simpel.
Die sinnvollere Sicht ist nüchterner: AI ist im Untergrund nicht automatisch Magie. Aber sie ist ein Werkzeug, das in bestehende Arbeitsabläufe passt. Und sobald ein Werkzeug Zeit spart, Sprachbarrieren reduziert oder mehr Varianten pro Stunde erzeugt, wird es interessant.
Was heute schon plausibel ist
Öffentliche Threat-Reports von OpenAI, Google Threat Intelligence und Europol zeigen ein recht konsistentes Bild: Angreifer nutzen generative AI vor allem dort, wo sie Arbeit beschleunigt und Qualität erhöht. Nicht als vollständigen Ersatz für Können, sondern als Verstärker.
Besonders relevant sind fünf Bereiche.
Erstens: Phishing und Social Engineering. Texte werden natürlicher, lokaler und variantenreicher. Schlechte Grammatik war nie ein verlässlicher Schutz, aber sie war manchmal ein Warnsignal. Wenn Mails, Chat-Nachrichten und Support-Skripte sprachlich sauberer werden, verliert dieses Warnsignal weiter an Wert.
Zweitens: Betrug und Identitätsmissbrauch. AI hilft beim Erstellen glaubwürdiger Profile, beim Formulieren von Bewerbungen, Rechnungen, Support-Anfragen oder Investment-Geschichten. Dazu kommen Bild-, Stimm- und Video-Fakes. Nicht jede Kampagne braucht Deepfakes, aber dort, wo Vertrauen über Stimme, Video oder vermeintliche Nähe entsteht, werden solche Techniken attraktiver.
Drittens: Datenverarbeitung. Gestohlene Daten sind oft unordentlich. Logs, Dumps, Mailboxen, CRM-Exporte, Screenshots und Chatverläufe müssen sortiert, durchsucht und bewertet werden. AI kann helfen, Namen, Rollen, Projekte, Rechnungsbeziehungen, Zugangsdaten, interne Begriffe und Erpressungspunkte schneller herauszufiltern.
Viertens: technische Hilfsarbeit. Modelle können Code erklären, Skripte umbauen, Fehlermeldungen interpretieren, einfache Loader schreiben, Regex bauen, API-Antworten verstehen oder Exploit-Ideen strukturieren. Das macht aus einem Anfänger keinen Spitzenforscher. Aber es senkt die Reibung.
Fünftens: Verpackung und Verkauf. Ein mittelmässiges Tool kann mit AI besser dokumentiert, besser beworben und besser unterstützt werden. Auch das gehört zum Untergrund. Cybercrime ist nicht nur Technik. Es ist Markt, Vertrauen, Support, Reputation und Betrug an Kunden, die selbst kriminell handeln.
Die härtesten Belege sitzen bei Betrug
Je technischer die Behauptung wird, desto dünner wird oft die öffentliche Beweislage. Bei Fraud und Social Engineering ist das anders. Dort gibt es inzwischen harte Indikatoren.
Der FBI IC3 Report für 2025 erfasst “AI Related” als Descriptor und nennt 22'364 Beschwerden mit 893'346'472 US-Dollar gemeldeten Verlusten. Das ist keine perfekte forensische Messung. “AI Related” bedeutet nicht automatisch, dass AI kausal bewiesen wurde. Es bedeutet, dass Betroffene oder Ermittler einen AI-Bezug berichteten.
Trotzdem ist die Zahl ein starkes Signal. Besonders auffällig sind Investment-Scams mit gemeldetem AI-Bezug und mehr als 632 Millionen US-Dollar Verlust, BEC-Fälle mit über 30 Millionen US-Dollar und Employment-Scams mit fast 13 Millionen US-Dollar. Das passt genau zur These: Der grösste belegte Schaden entsteht nicht durch autonome Malware, sondern durch bessere Täuschung, bessere Skalierung und glaubwürdigere Identitäten.
Auch die viel zitierte Phishing-Zahl muss man vorsichtig lesen. Studien und Vendor-Berichte zeigen, dass AI-generierte Phishing-Mails sehr wirksam sein können. Aber die ehrliche Version ist nicht: “AI schlägt Menschen magisch.” Die ehrlichere Version ist: AI kann gute menschliche Qualität günstiger, schneller und in mehr Varianten erreichen.
Was ich nicht glaube
Ich glaube nicht, dass wir schon an dem Punkt sind, an dem kriminelle Gruppen breit mit autonomen AI-Agenten arbeiten, die ohne menschliche Führung realistische Ziele auswählen, kompromittieren, lateral bewegen, Daten abziehen und Erpressung sauber abschliessen.
Einzelne Experimente wird es geben. Proofs of Concept sowieso. Aber die öffentlich belastbaren Berichte zeigen eher etwas anderes: AI wird für Teilaufgaben genutzt. Für Recherche, Übersetzung, Codehilfe, Kampagnenvorbereitung, Variantenbildung, Social Engineering und Datenanalyse.
Das deckt sich auch mit der Einschätzung des britischen NCSC. Vollautomatisierte, fortgeschrittene End-to-End-Angriffe hält das NCSC bis 2027 für unwahrscheinlich. Wahrscheinlicher ist Human-Machine-Teaming: Menschen setzen Ziele, wählen Opfer, prüfen Ergebnisse und lassen AI einzelne Schritte schneller machen.
Das ist weniger Hollywood. Aber es ist nicht beruhigend.
Denn Cybercrime muss nicht vollautonom werden, um gefährlicher zu werden. Es reicht, wenn dieselben Gruppen mit denselben Menschen mehr Versuche starten, schneller lokalisieren, schneller lernen und professioneller wirken.
In der Praxis zählt nicht, ob ein Angriff “von AI” kommt. Es zählt, ob er überzeugender, schneller und billiger wird.
Die Qualität der Täuschung steigt
Viele Sicherheitskonzepte setzen immer noch stark auf menschliches Erkennen: Mitarbeitende sollen verdächtige Mails melden, falsche Links erkennen, komische Sprache bemerken, untypische Anfragen hinterfragen.
Das bleibt wichtig. Aber es wird schwieriger.
Wenn ein Angreifer eine Rechnung im Stil eines bekannten Lieferanten formulieren kann, wenn eine Support-Anfrage sauber zu einer echten Produktumgebung passt, wenn eine LinkedIn-Nachricht nicht mehr nach Maschinenübersetzung klingt und wenn ein Scam in zehn Sprachen gleichzeitig sauber ausgerollt wird, dann verschiebt sich die Verteidigung.
Awareness allein reicht dann noch weniger.
Man braucht technische Bremsen:
- starke MFA, idealerweise phishing-resistent
- Conditional Access und Gerätebindung
- saubere Mail-Authentifizierung mit SPF, DKIM und DMARC
- gute Erkennung von OAuth-App-Missbrauch
- Schutz vor neuen Inbox-Regeln und verdächtigen Weiterleitungen
- klare Zahlungs- und Freigabeprozesse ausserhalb von E-Mail
- Logging, das nicht erst nach dem Schaden eingeschaltet wird
AI macht Social Engineering nicht neu. Aber sie kann die handwerkliche Qualität anheben. Und das ist genau der Bereich, in dem viele Unternehmen schon heute schwach sind.
Cybercrime-as-a-Service wird professioneller
Der zweite Punkt ist der Markt selbst.
Cybercrime ist längst arbeitsteilig. Es gibt Initial-Access-Broker, Phishing-Kits, Malware-Loader, Ransomware-Partnerprogramme, Datenhändler, Hosting, Bulletproof-Infrastruktur, Geldwäschenetzwerke, Übersetzer, Callcenter und Support-Kanäle.
AI passt in diese Struktur hinein.
Ein Anbieter kann schneller Dokumentation schreiben. Ein Affiliate kann schneller Kampagnen anpassen. Ein Datenhändler kann Leaks besser beschreiben. Ein Scammer kann Kundenfragen beantworten. Ein Entwickler kann Fehler schneller debuggen. Ein weniger erfahrener Täter kann sich durch technische Hürden coachen lassen.
Microsoft beschreibt AI genau in dieser Rolle als “Tradecraft”: nicht primär als eigenständige Waffe, sondern als Beschleuniger für Text, Code, Medien, Datenzusammenfassung, Persona-Aufbau, Malware-Debugging und Infrastruktur-Scaffolding. Google sieht parallel erste Experimente mit AI-integrierter Malware wie HONESTCUE, die über eine LLM-API Code für eine zweite Stufe erzeugen soll. Das ist ernst zu nehmen, aber auch hier gilt: Es sind Bausteine in einem Workflow, nicht der Beweis für massenhaft autonome Angriffe.
Das klingt banal. Aber Märkte verändern sich oft nicht durch den einen grossen Durchbruch, sondern durch viele kleine Effizienzgewinne.
Wenn ein Ransomware-Ökosystem zehn Prozent schneller Opferdaten bewertet, ist das relevant. Wenn Phishing-Kits leichter lokalisiert werden, ist das relevant. Wenn ein krimineller Dienst besser verkauft und unterstützt wird, ist das relevant. Wenn ein Anfänger mit AI-Unterstützung die ersten Hürden leichter nimmt, ist das relevant.
AI ist hier kein Ersatz für das kriminelle Ökosystem. Sie ist Schmiermittel.
Der Verteidiger sieht mehr Rauschen
Für Admins, MSPs und Security-Teams entsteht dadurch ein unangenehmer Nebeneffekt: Das Rauschen nimmt zu.
Mehr Phishing-Varianten. Mehr gut formulierte Support-Fakes. Mehr Scans mit saubereren User-Agents. Mehr halbautomatisierte Recon. Mehr angebliche Exploits. Mehr Reports, die plausibel klingen. Mehr Tools, die AI im Namen tragen, aber technisch wenig Substanz haben.
Das bedeutet nicht, dass man alles ernster nehmen muss. Es bedeutet, dass man besser triagieren muss.
Die zentrale Frage lautet nicht: “Wurde hier AI verwendet?”
Die bessere Frage lautet:
- Ist ein echter Angreiferpfad erkennbar?
- Gibt es ein betroffenes System in unserer Umgebung?
- Ist die Identitätsschicht geschützt?
- Gibt es externe Angriffsfläche?
- Gibt es Telemetrie, die eine Ausnutzung oder Vorbereitung zeigt?
- Ist der gemeldete Impact belegt oder nur behauptet?
- Muss ich patchen, konfigurieren, blockieren, überwachen oder nur dokumentieren?
Das passt auch zu meinem letzten Gedanken zum Patchday im KI-Zeitalter: Die Zahl der Signale steigt. Aber Security gewinnt man nicht durch Panik vor jeder Zahl, sondern durch bessere Priorisierung.
Weniger Angriffsfläche wird wertvoller
Je mehr Angriffe skalieren, desto wertvoller wird langweilige Reduktion.
Weniger öffentlich erreichbare Dienste. Weniger lokale Tools. Weniger Browser-Extensions. Weniger Admin-Konten. Weniger dauerhafte Tokens. Weniger Schatten-IT. Weniger “nur schnell freigegeben”. Weniger alte Testsysteme, die niemand mehr besitzt.
Das ist kein glamouröser AI-Gegenangriff. Es ist Hygiene.
Aber genau diese Hygiene wird wichtiger, wenn Täuschung besser und Recon billiger wird. Ein Angreifer, der schneller sortieren kann, findet auch schneller die schlecht gepflegten Ecken. Eine Phishing-Kampagne, die besser lokalisiert ist, trifft eher jemanden. Ein Datenleck, das schneller ausgewertet wird, wird schneller zur Erpressungsvorlage.
AI erhöht nicht nur die Qualität einzelner Angriffe. Sie erhöht die Geschwindigkeit, mit der schlechte Entscheidungen sichtbar werden.
Was man jetzt praktisch tun sollte
Ich würde das Thema nicht mit Angst beantworten, sondern mit ein paar sehr konkreten Fragen.
Erstens: Sind unsere wichtigsten Accounts phishing-resistent geschützt? Wenn Admins, Finanzabteilung, HR, Helpdesk oder Geschäftsleitung nur mit klassischer Push-MFA geschützt sind, ist das eine Lücke.
Zweitens: Können wir verdächtige Identitätsereignisse sehen? Neue OAuth-Apps, ungewöhnliche Login-Orte, neue Inbox-Regeln, verdächtige Weiterleitungen und massenhafte Fehlversuche gehören in die Basisüberwachung.
Drittens: Haben wir klare Prozesse für Geld, Daten und Zugang? Wenn eine gut formulierte Mail reicht, um eine Zahlung, ein Passwort-Reset oder eine neue Freigabe auszulösen, ist das kein AI-Problem. Es ist ein Prozessproblem, das AI besser ausnutzen kann.
Viertens: Verifizieren wir kritische Anfragen ausserhalb des Ursprungskanals? Zahlungsfreigaben, Lieferanten-Bankdaten, Passwort-Resets, MFA-Resets und Notfallanfragen sollten nie nur über die Nachricht selbst entschieden werden. Ein zweiter, vorher definierter Kanal ist langweilig, aber sehr wirksam.
Fünftens: Prüfen wir Remote-Hiring und Helpdesk-Prozesse streng genug? Fake-Kandidaten, synthetische Profile, Voice-Changer und gefälschte Dokumente sind nicht nur ein Konzernproblem. Wer externe Admins, Entwickler oder Support-Rollen einstellt, braucht sauberere Identitäts- und Geräteprüfungen.
Sechstens: Patchen wir nach Risiko statt nach Kalendergefühl? Internetexponierte Systeme, VPNs, Firewalls, Browser, Remote-Tools und Identitätskomponenten brauchen eine schnellere Spur als irgendein internes Nebenprodukt.
Siebtens: Reduzieren wir Werkzeuge, die wir nicht wirklich brauchen? Jedes zusätzliche Tool ist ein Update-Risiko, ein Berechtigungsrisiko und manchmal ein Datenrisiko. Gerade auf Arbeitsgeräten ist weniger oft ein sehr vernünftiger Security-Entscheid.
Meine Einordnung
Ich halte AI im Cybercrime-Untergrund nicht für eine ferne Zukunftsdebatte. Sie ist bereits Teil der Arbeitsweise. Aber der wichtigste Punkt ist nicht der spektakuläre Begriff “AI”.
Der wichtigste Punkt ist Geschwindigkeit.
Cybercrime wird produktiver, sprachlich besser, stärker automatisiert und professioneller verpackt. Viele Angebote bleiben übertrieben, manche sind Betrug, manche sind technisch banal. Trotzdem verschiebt sich der Gesamtmarkt.
Wer nur auf die angeblich neue Superwaffe schaut, verpasst die eigentliche Veränderung. Die findet in den Zwischenschritten statt: Text, Code, Daten, Support, Varianten, Skalierung.
Genau dort sollten Verteidiger ansetzen.
Nicht jede Organisation braucht ein eigenes AI-SOC. Aber jede Organisation braucht weniger Angriffsfläche, bessere Identitätssicherheit, sauberere Prozesse, schnellere Patch-Pfade und genug Telemetrie, um nicht blind zu sein.
AI macht Cybercrime nicht automatisch genial.
Aber sie macht mittelmässigen Cybercrime produktiver. Und das reicht, um sehr ernst zu sein.
Bis zum nächsten Mal,
Euer Joe
Quellen
- Google Threat Intelligence Group: Adversarial misuse of generative AI
- Google Threat Intelligence Group: Distillation, experimentation, and continued integration of AI for adversarial use
- OpenAI: Disrupting malicious uses of AI by state-affiliated threat actors
- OpenAI: Disrupting malicious uses of AI, October 2025
- Microsoft Threat Intelligence: AI as tradecraft
- FBI IC3: 2025 Internet Crime Report
- USENIX Security 24: Malla
- Europol: Internet Organised Crime Threat Assessment 2026
- NCSC: Impact of AI on cyber threat from now to 2027
