AI Cybersecurity: Warum die KI-Pentesterin bald jeden externen Sicherheitsberater ersetzt – und was dann wirklich zählt

Nicholas Carlini, einer der renommiertesten Cybersicherheitsforscher der Welt, hat in den letzten Wochen mit KI-Unterstützung mehr Schwachstellen gefunden als in seinem gesamten bisherigen Berufsleben. ^[1] Nicht in irgendeiner Sandbox. In realer Software, die auf Millionen von Geräten läuft. Das ist keine Zukunftsvision. Das ist April 2026.

Die IT-Sicherheitsbranche steht vor ihrer größten Erschütterung seit der Erfindung des Penetrationstests. Und der Diskurs verpasst den Punkt. Er dreht sich um spektakuläre Zero-Days und emergente Fähigkeiten. Was er nicht fragt: Was passiert mit einem 50-Milliarden-Dollar-Markt, wenn die teuerste Dienstleistung darin – das manuelle Finden von Schwachstellen – plötzlich 156-mal billiger wird?

Die Zahlen, die alles verändern

Die Ökonomie des Angriffs hat sich in 18 Monaten umgekehrt. Hadrians Forschungsteam hat bis März 2026 über 70 Open-Source-KI-Penetrationstools katalogisiert. Vor der Veröffentlichung von GPT-4 im April 2023 existierten weniger als fünf. ^[2]

Die Kostenstruktur ist dabei das eigentlich Revolutionäre: Das CAI-Framework erreicht eine 156-fache Kostenreduktion gegenüber menschlichen Testern – 109 Dollar statt 17.218 Dollar für vergleichbare Engagements. RapidPen kommt auf 30 bis 60 Cent pro Testlauf. Der Excalibur-Benchmark vom Februar 2026 zeigt: Ein komplettes Active-Directory-Engagement über fünf Hosts kostet 28,50 Dollar an API-Gebühren. Ein menschliches Pentest-Team berechnet dafür 15.000 bis 50.000 Dollar. ^[2]

ARTEMIS, ein System von Stanford, CMU und Gray Swan AI, belegte im Dezember 2025 den zweiten Platz gegen menschliche Penetrationstester auf einem Live-Enterprise-Netzwerk: 9 valide Schwachstellen bei 82% Präzision – für 18 Dollar pro Stunde statt 60 Dollar für die menschlichen Profis, die es übertraf. ^[3]

Diese Zahlen sind kein Ausreißer. Sie sind ein Trend mit exponentieller Dynamik. Gartner prognostiziert, dass bis 2027 über 40% der Penetrationstest-Aktivitäten bei Großunternehmen KI-gestützte Automatisierung integrieren werden. ^[3] Die Realität dürfte diese Prognose überholen, bevor sie veröffentlicht wird.

Der Mythos-Moment: Wenn Emergenz zur Waffe wird

Anthropics Claude Mythos hat der Branche den Spiegel vorgehalten. Das Modell wurde nicht für Cybersicherheit trainiert. Seine offensiven Fähigkeiten sind ein emergentes Nebenprodukt des Trainings auf generelle Coding-Aufgaben. Und genau das macht es so beunruhigend. ^[4]

Die Zahlen aus der Mythos-Systemkarte sprechen eine klare Sprache: Während das Vorgängermodell Opus 4.6 zwei funktionierende Exploits in Mozilla Firefox fand, identifizierte Mythos 181. ^[5] Es verkettete autonom drei bis fünf einzelne Schwachstellen zu komplexen Exploit-Ketten – eine Aufgabe, für die menschliche Forscher typischerweise einen ganzen Arbeitstag benötigen. Die Kosten? Etwa 50 Dollar pro Exploit. ^[6]

Anthropic hat darauf reagiert, indem es Mythos nicht veröffentlichte. Stattdessen startete das Unternehmen „Project Glasswing" – eine Initiative mit zwölf ausgewählten Partnern wie AWS, Cisco und Apple, um kritische Software zu härten, bevor vergleichbare Fähigkeiten in Open-Source-Modellen auftauchen. ^[7] Die geschätzte Zeitspanne: 6 bis 12 Monate.

Parallel dazu hat OpenAI mit GPT-5.4-Cyber eine speziell für Cybersicherheit feinabgestimmte Modellvariante entwickelt, zu der authentifizierte Sicherheitsforscher über das „Trusted Access for Cyber"-Programm Zugang beantragen können. ^[8] Das Wettrüsten zwischen offensiver und defensiver KI ist keine Metapher mehr. Es ist Geschäftsstrategie.

Das Ende des externen Pentesters – wie wir ihn kennen

Der klassische Penetrationstest funktioniert nach einem Modell, das seit 20 Jahren weitgehend unverändert ist: Ein Unternehmen beauftragt ein externes Team, das über Wochen manuell Schwachstellen sucht, einen Bericht schreibt und dann verschwindet. Die nächste Prüfung kommt in einem Jahr. Dazwischen: Blindflug.

Dieses Modell ist aus drei Gründen am Ende:

Erstens: Geschwindigkeit. KI-Systeme arbeiten nicht sequenziell. Sie scannen gesamte Angriffsflächen parallel, testen jeden bekannten Exploit gegen jeden entdeckten Endpunkt gleichzeitig. Was ein menschliches Team in Wochen erarbeitet, liefert ein autonomes System in Stunden. ^[2]

Zweitens: Kontinuität. Plattformen wie Penetrify – als weltweit erstes vollständig autonomes KI-Red-Team angekündigt – testen nicht einmal im Jahr. Sie testen ständig. Attack Surfaces verändern sich mit jedem Deployment, jeder Konfigurationsänderung, jedem neuen Service. Ein Point-in-Time-Assessment ist ein Foto eines Flusses. ^[9]

Drittens: Demokratisierung. Eine HackerOne-Umfrage von 2026 zeigt, dass Bug-Bounty-Forscher mit KI-gestützten Tools 28% mehr valide Reports pro Monat einreichen – mit höherer Severity-Verteilung. ^[3] Ein Undergraduate ohne Cybersicherheits-Hintergrund erreichte mit KI-Assistenz das Niveau mittlerer CTF-Wettbewerbe. ^[2] Die Einstiegshürde für offensive Sicherheit sinkt auf nahezu null.

Das bedeutet nicht, dass morgen alle Pentester arbeitslos werden. Es bedeutet, dass das Finden von Schwachstellen aufhört, die wertschöpfende Kernleistung zu sein. Wenn eine KI für 28,50 Dollar dasselbe findet wie ein Team für 50.000 Dollar, ist das Finden kein Differenzierungsmerkmal mehr.

Die neue Kernkompetenz: Nicht finden, sondern durchsetzen

Hier liegt die eigentliche Pointe, die der Hype-Diskurs übersieht: Die Fähigkeit, Schwachstellen zu finden, ist durch KI dramatisch gestiegen. Die Fähigkeit, sie zu patchen und Systeme robuster zu machen, bleibt menschlich und limitiert. ^[6]

Jedes Unternehmen, das morgen ein autonomes Red Team einschaltet, wird nicht fünf Schwachstellen finden, sondern fünfhundert. Oder fünftausend. Und dann beginnt das eigentliche Problem: Welche davon sind kritisch? Welche sind im spezifischen Geschäftskontext relevant? Welche können gepatcht werden, ohne Produktivsysteme zu destabilisieren? Und vor allem: Wer überzeugt das Management, dass der Patch für die obskure Library-Dependency am Wochenende eingespielt werden muss?

Das ist keine technische Frage. Das ist eine politische. Und genau hier entsteht das neue Geschäftsmodell der IT-Sicherheit:

Triage statt Discovery. Die wertschöpfende Arbeit verschiebt sich vom Finden zum Priorisieren. Ein autonomes System, das 500 Findings ausspuckt, ist wertlos ohne jemanden, der die drei identifiziert, die morgen ausgenutzt werden.

Kontext statt Katalog. KI-Systeme finden technische Schwachstellen. Sie verstehen nicht, dass der verwundbare Service nur von einem internen Team genutzt wird und hinter drei Firewalls sitzt – oder dass die vermeintlich harmlose XSS-Lücke im Kundenportal den gesamten Checkout-Prozess eines E-Commerce-Unternehmens gefährdet.

Durchsetzung statt Dokumentation. Der 200-Seiten-Pentest-Report, den niemand liest, wird durch ein Dashboard ersetzt, das Echtzeit-Findings liefert. Aber das Dashboard braucht einen Menschen, der den CISO davon überzeugt, dass die Legacy-Migration um ein Quartal verschoben werden muss, weil die Angriffsfläche sonst unkontrollierbar wird.

Das Asymmetrie-Problem: Angreifer skalieren, Verteidiger nicht

Die strategische Gefahr liegt in der Parallelisierungsökonomie. Angreifer erzielen Effektivität durch Volumen bei nahezu null Grenzkosten. Verteidiger müssen Sicherheit überall gleichzeitig aufrechterhalten. ^[2]

Zero-Day-Exploitation-Timelines haben sich von 756 Tagen im Jahr 2018 auf 4 Stunden im Jahr 2024 komprimiert. CyberStrikeAI ging von der Veröffentlichung zu bestätigten Angriffen auf über 600 Geräte in 55 Ländern – in zwei Monaten. ^[2] Nationalstaatliche Akteure – bestätigte Einsätze durch chinesische und russische Gruppen – nutzen diese Tools bereits aktiv.

Das Fenster zwischen „Schwachstelle gefunden" und „Schwachstelle ausgenutzt" schrumpft schneller, als Organisationen patchen können. Und genau in diesem Fenster entscheidet sich, ob KI-gestützte Sicherheit ein Segen oder eine Katastrophe ist.

Die unbequeme Wahrheit: Nicht die KI, die Schwachstellen findet, ist das Problem. Sondern die organisatorische Trägheit, die verhindert, dass gefundene Schwachstellen rechtzeitig geschlossen werden. Kein autonomes Red Team der Welt hilft, wenn der Patch-Prozess sechs Wochen dauert und drei Genehmigungsebenen durchlaufen muss.

Was jetzt passiert – und was nicht

Die RSAC 2026 im April hat das neue Paradigma offiziell gemacht: KI definiert die Zukunft des Penetrationstestings neu. ^[10] Plattformen wie PentAGI (Open Source), Penetrify, und dutzende weitere Anbieter drängen auf einen Markt, der sich gerade grundlegend transformiert.

Was nicht passieren wird: eine vollständige Ersetzung menschlicher Expertise. Business-Logik-Schwachstellen in Custom-Applikationen, Social-Engineering-Vektoren, die Bewertung organisatorischer Resilienz – das bleibt menschliche Domäne. Die Branche, die sich darauf einstellt, wird überleben. Die, die weiterhin Tagessätze für Port-Scans abrechnet, wird es nicht.

Der Pentest-Report ist tot. Lang lebe der Sicherheitsberater, der weiß, welche der 500 KI-Findings das Unternehmen tatsächlich bedrohen – und der die politische Kompetenz hat, die nötigen Änderungen durchzusetzen. Die teuerste Schwachstelle in jedem Unternehmen war noch nie technisch. Sie sitzt im Meeting, in dem entschieden wird, ob der Patch eingespielt wird oder nicht.

Referenzen

1. Wes Roth: „Mythos is about to CRASH the markets" – Nicholas Carlini findet mit KI-Assistenz mehr Bugs als in seinem gesamten Berufsleben, April 2026
   https://www.youtube.com/watch?v=r4JGNJfNQeA
2. Hadrian: „The AI Hacking Boom: What 70 New Offensive Security Tools Mean for Defenders" – 70+ Tools, Kostenvergleiche, Parallelisierungsökonomie, März 2026
   https://hadrian.io/blog/the-ai-offensive-security-boom-seventy-tools-in-eighteen-months
3. RedFoxSec: „The State of AI Pentesting in 2026" – Gartner-Prognose, HackerOne-Umfrage, ARTEMIS-System, 2026
   https://www.redfoxsec.com/blog/the-state-of-ai-pentesting-in-2026-trends-statistics-and-whats-next
4. „Claude Mythos: Highlights from 244-page Release" – Emergente Cybersicherheitsfähigkeiten, Benchmark-Ergebnisse, April 2026
   https://www.youtube.com/watch?v=txx6ec6MLNY
5. „Claude Mythos might actually be AGI… wtf" – Firefox-Exploit-Vergleich Opus vs. Mythos (2 vs. 181), April 2026
   https://www.youtube.com/watch?v=ZruZhMdFdl8
6. „Kritische Cybersicherheitsfähigkeiten von KI-Modellen und ihre Auswirkungen" – Asymmetrie zwischen Finden und Patchen, April 2026
   https://www.youtube.com/watch?v=WSl8Ci8-cGg
7. Anthropic: „An initiative to secure the world's software – Project Glasswing" – Partnernetzwerk, Schwachstellen-Verkettung, April 2026
   https://www.youtube.com/watch?v=INGOC6-LLv0
8. X/Twitter Zusammenfassung 2026-04-15 – OpenAI GPT-5.4-Cyber, Trusted Access for Cyber-Programm
   https://x.com/OpenAI
9. Penetrify: Weltweit erstes vollständig autonomes KI-Red-Team für kontinuierliches Security Testing, 2026
   https://www.penligent.ai/hackinglabs/the-2026-ultimate-guide-to-ai-penetration-testing-the-era-of-agentic-red-teaming/
10. Security Boulevard: „At RSAC 2026, AI Redefines the Future of Penetration Testing", April 2026
    https://securityboulevard.com/2026/04/at-rsac-2026-ai-redefines-the-future-of-penetration-testing/