Bisher brauchte ein Ransomware-Angriff vor allem eines: Zeit. Ein Angreifer verschaffte sich Zugang, bewegte sich manuell durch das Netzwerk, kartierte Systeme, eskalierte Rechte, suchte nach Backups — und schlug irgendwann zu. Zwischen dem initialen Zugang und der Verschlüsselung lagen oft Tage, manchmal Wochen. In dieser Zeitspanne konnte ein aufmerksames Security-Team den Angriff erkennen und stoppen.
Diese Zeitspanne schrumpft gerade dramatisch. Nicht weil die Angreifer besser werden. Sondern weil sie die Arbeit an Maschinen delegieren.
Der Begriff «Agentic AI» beschreibt KI-Systeme, die nicht nur auf Aufforderung reagieren, sondern eigenständig Ziele verfolgen. Ein klassisches KI-Modell generiert Text oder Code, wenn man es darum bittet. Ein Agentic-AI-System hingegen erhält ein Ziel — etwa: «Verschaffe dir Zugang zu diesem Netzwerk und verschlüssle alle Daten» — und arbeitet dann autonom daran, dieses Ziel zu erreichen. Es plant Schritte, setzt sie um, passt sich an Hindernisse an und versucht es erneut, bis der Auftrag erledigt ist oder das System gestoppt wird.
Trend Micro hat in seinen Security Predictions für 2026 genau dieses Szenario als die zentrale Bedrohung identifiziert. Die Prognose: Agentic AI wird kritische Teile der Ransomware-Angriffskette übernehmen — von der Aufklärung über das Ausnutzen von Schwachstellen bis hin zur Lösegeldverhandlung. Ohne menschliche Aufsicht.
Barracuda Networks spricht vom «Threat Multiplier 2026» und beschreibt, wie ein einzelner Angreifer mithilfe autonomer KI-Agenten parallel mehrere Angriffe koordinieren kann. Was früher ein eingespieltes Team brauchte, erledigt heute ein Agent, der rund um die Uhr arbeitet und nicht müde wird.
Die Automatisierung betrifft mittlerweile jede Phase eines Angriffs — und verändert dabei die Geschwindigkeit und Präzision fundamental.
Aufklärung und Zielauswahl: Autonome Agenten scannen Netzwerke, identifizieren Schwachstellen und bewerten, welche Ziele die höchste Zahlungsbereitschaft haben. Das geschieht nicht stichprobenartig, sondern systematisch und kontinuierlich. Sicherheitsforscher berichten, dass KI-gesteuerte Aufklärung Datenexfiltration bis zu hundertmal schneller durchführen kann als ein menschlicher Angreifer.
Adaptive Malware: Sogenannte polymorphe Schadsoftware analysiert die Sicherheitsumgebung ihres Ziels und schreibt ihren eigenen Code um, um Erkennungssysteme zu umgehen. Signaturbasierte Erkennung wird damit wirkungslos. Verhaltensbasierte Erkennung bleibt möglich, setzt aber voraus, dass Unternehmen entsprechende Systeme im Einsatz haben — was bei KMU selten der Fall ist.
Gezielte Zerstörung von Backups: KI-Agenten kartieren Backup-Infrastruktur automatisiert: Repositories, Snapshots, Aufbewahrungsrichtlinien, Cloud-Anbindungen. Dann löschen oder verschlüsseln sie Sicherungskopien, bevor die eigentliche Verschlüsselung der Produktivdaten beginnt. Das Kalkül bleibt dasselbe wie bei manuellen Angriffen — aber die Ausführung ist schneller, gründlicher und schwerer zu erkennen.
Automatisierte Erpressung: Laut Trend Micro arbeiten Ransomware-Gruppen bereits an «Extortion Bots», die Lösegeldforderungen automatisiert stellen, nachverhandeln und Fristen setzen. Die gesamte Interaktion — vom Erstkontakt bis zur Zahlungsabwicklung — läuft ohne menschliches Eingreifen.
Die Industrialisierung von Cyberangriffen durch KI hat eine direkte Konsequenz: Die Eintrittsbarriere sinkt. Was früher Spezialwissen und operative Kapazität erforderte, kann jetzt von technisch weniger versierten Akteuren durchgeführt werden. Trend Micro warnt explizit, dass KI-gestütztes Ransomware-as-a-Service auch unerfahrenen Akteuren komplexe Angriffe ermöglicht.
Für Schweizer KMU verschärft sich die Lage dadurch erheblich. Das BACS (ehemals NCSC) verzeichnete 2024 rund 63’000 Cybervorfälle — eine Verdoppelung gegenüber dem Vorjahr. Pro Woche treffen Schweizer Unternehmen durchschnittlich über 1’100 Angriffe. Und die KMU-Cybersicherheitsstudie 2025 zeigt, dass sich nur noch 40 Prozent der Unternehmen gut auf einen Cyberangriff vorbereitet fühlen.
Wer bisher darauf gesetzt hat, als kleines Unternehmen «unter dem Radar» zu fliegen, muss diese Annahme korrigieren. Autonome Agenten kennen keinen Radar. Sie scannen alles, bewerten alles und greifen an, was sich lohnt — automatisiert, skaliert und ohne Rücksicht auf Unternehmensgrösse.
Die Entwicklung rund um Agentic AI verändert nicht die Grundprinzipien der Datensicherung. Aber sie verschärft die Anforderungen an deren Umsetzung erheblich. Vier Punkte verdienen besondere Aufmerksamkeit:
Wenn ein KI-Agent innerhalb von Stunden statt Wochen zuschlägt, bleibt wenig Zeit für manuelle Reaktion. Backup-Systeme brauchen automatisierte Anomalie-Erkennung: ungewöhnliche Löschvorgänge, plötzliche Änderungen an Retention-Policies, massenhafte Snapshot-Löschungen. Wer das nicht überwacht, erkennt den Schaden erst, wenn er irreversibel ist.
Unveränderliche Sicherungskopien — Backups, die innerhalb einer definierten Aufbewahrungsfrist weder gelöscht noch überschrieben werden können — sind der wirksamste Schutz gegen die automatisierte Zerstörung von Backup-Daten. Object Lock auf S3-kompatiblem Storage macht genau das möglich. Kein Agent, kein kompromittierter Admin-Account und kein automatisiertes Skript kann diese Daten antasten.
Ein KI-Agent, der sich autonom durch ein Netzwerk bewegt, wird jeden erreichbaren Dienst kartieren und ausnutzen. Backup-Systeme, die im selben Netzsegment wie Produktivsysteme stehen und über dieselben Credentials erreichbar sind, werden als erstes kompromittiert. Dedizierte VLANs, eigene Zugangsdaten und strikte Firewall-Regeln sind keine Kür — sie sind die Pflicht.
Wenn ein autonomer Agent die komplette interne Infrastruktur kompromittieren kann — inklusive Backup-Server, Snapshots und lokaler Kopien — dann braucht es eine Sicherungskopie, die vollständig ausserhalb dieser Infrastruktur liegt. Bei einem externen Provider, auf unveränderlichem Storage, mit eigenen Zugangsdaten und ohne Verbindung zum Produktivnetz.
Für uns bestätigt die Entwicklung rund um Agentic AI einen Architekturansatz, den wir seit Jahren konsequent verfolgen: Backup-Infrastruktur darf nicht nur sicher sein — sie muss unabhängig, isoliert und im Ernstfall vollständig autonom wiederherstellbar sein. Genau die Szenarien, die in diesem Beitrag beschrieben sind, haben unsere Architekturentscheidungen geprägt.
Konkret bedeutet das: Georedundante Speicherung in vollständig entkoppelten Schweizer Rechenzentren in Zürich und Genf — nicht als Replikat im selben Netzwerk, sondern als eigenständige Infrastruktur. Zero-Knowledge-Verschlüsselung, bei der ausschliesslich Sie die Schlüssel halten. Separate Authentifizierung: Ihre Backup-Zugänge sind vollständig unabhängig von Ihrem Produktivnetz und Ihrem IT-Dienstleister. Kein kompromittierter Domain-Admin verschafft automatisch Zugang zu Ihren Sicherungskopien. Und Immutable Storage auf Objektebene per S3 Object Lock — nicht nur auf Dateiebene, sondern so, dass weder ein KI-Agent noch ein manueller Löschbefehl innerhalb der Aufbewahrungsfrist greifen kann.
Entscheidend ist dabei nicht nur die Technologie, sondern auch der Betrieb. Proaktives Monitoring — von aussen, nicht aus Ihrem Netzwerk heraus —, zeitnahes Patching und regelmässige Restore-Tests sorgen dafür, dass Ihr Backup nicht nur existiert, sondern im Ernstfall auch tatsächlich liefert. Denn gegen einen Angreifer, der autonom und rund um die Uhr operiert, reicht ein Backup, das nur auf dem Papier funktioniert, nicht mehr aus.
Die Frage, ob autonome KI-Agenten Ihre Infrastruktur angreifen werden, stellt sich nicht mehr. Sie greifen bereits an — schneller, systematischer und skalierbarer als jedes menschliche Angriffsteam. Was sich verändert hat, ist nicht die Art der Bedrohung, sondern das Tempo und die Eintrittsbarriere.
Für KMU heisst das: Die Backup-Strategie, die vor zwei Jahren ausgereicht hat, reicht heute möglicherweise nicht mehr. Immutable Storage, getrennte Zugänge, externe Sicherungskopien und automatisierte Überwachung sind keine Zukunftsthemen — sie sind die Antwort auf eine Realität, die bereits begonnen hat.
Die entscheidende Frage lautet nicht mehr, ob Sie ein Backup haben. Sondern ob Sie schneller wiederherstellen können, als ein autonomer Agent zerstört.
Das sind weitere Beiträge, die Sie interessieren könnten.
Zur Blogübersicht