KI-Rennen macht Technologiebranche zum Top-Ziel
Die Technologiebranche steht im Zentrum einer neuen Angriffswelle: China-nahe Gruppen stehlen KI-Know-how, Nordkorea schleust Spione als IT-Personal ein, und Cyberkriminelle nutzen KI selbst als Werkzeug. CrowdStrike sieht darin eine neue Qualität digitaler Spionage.
Der neue „CrowdStrike 2026 Technology Threat Landscape Report“ zeichnet ein klares Bild: Die Technologiebranche ist weltweit zur am stärksten angegriffenen Branche geworden. Der Grund liegt in ihrer strategischen Rolle. Hier entstehen Künstliche Intelligenz (KI), Entwicklungswerkzeuge, Plattformen und geistiges Eigentum, das über wirtschaftliche und geopolitische Macht entscheidet. Laut CrowdStrike gingen mehr als 58 Prozent der staatlich geförderten Angriffe auf den Technologiesektor von China-nahen Akteuren aus.
Im Kern geht es nicht nur um klassische Spionage, sondern um technologische Aufholjagd. Angreifer versuchen, KI-Kompetenzen und geistiges Eigentum zu stehlen, die sich nicht schnell genug selbst entwickeln lassen. Der Report bringt die Lage auf eine einfache Formel: Dieselbe Innovation, die Technologieunternehmen wertvoll macht, macht sie auch zum bevorzugten Ziel.
China-nahe Gruppen zielen auf KI-Vorsprung
CrowdStrike stützt sich auf Erkenntnisse seiner Counter Adversary Operations, die mehr als 280 namentlich bekannte Gegner verfolgen. Besonders aktiv sind demnach China-nahe Gruppen wie MURKY PANDA, MUSTANG PANDA, OVERCAST PANDA, SUNRISE PANDA und WARP PANDA. Ihr Fokus liegt auf Technologieunternehmen, deren Forschung, Daten, Plattformen und Entwicklungsumgebungen für Pekings KI-Ambitionen strategisch wichtig sind.
Allein eine Password-Spraying-Kampagne von MURKY PANDA traf mehr als 340 US-amerikanische Organisationen. Bei solchen Angriffen werden bekannte oder häufig genutzte Passwörter automatisiert gegen viele Konten ausprobiert. Ziel ist nicht der spektakuläre Einbruch, sondern der skalierbare Zugang zu Identitäten, Cloud-Umgebungen und internen Systemen.
Adam Meyers, Head of Counter Adversary Operations bei CrowdStrike, ordnet die Entwicklung geopolitisch ein: „Technologieunternehmen schaffen die wertvollsten und am stärksten angegriffenen Assets der Welt. Jeder KI-Durchbruch schafft zugleich einen Wettbewerbsvorteil und eine neue Angriffsfläche.“
Nordkorea setzt auf Fake IT-Personal
Parallel verschärfen Akteure mit Verbindungen zur Demokratischen Volksrepublik Korea (DVRK) ihre betrügerischen IT-Arbeiter-Kampagnen. Die Gruppe FAMOUS CHOLLIMA nutzt laut Report KI-gestützte Fake-Identitäten und US-amerikanische Tarnfirmen, um Remote-Positionen in Technologieunternehmen zu erhalten. Diese Aktivitäten machten 47 Prozent aller staatlich geförderten interaktiven Angriffe auf den Sektor aus.
Das Ziel ist doppelt gefährlich: Einerseits können eingeschleuste Arbeiter Zugang zu sensiblen Systemen erhalten. Andererseits fließen die illegalen Einnahmen laut CrowdStrike direkt in die Waffenprogramme des Regimes. Damit werden Personalprozesse, Identitätsprüfung und Lieferkettenkontrolle zu sicherheitskritischen Aufgaben.
Cyberkriminelle skalieren Erpressung und Datendiebstahl
Auch finanziell motivierte Gruppen greifen Technologieunternehmen massiv an. Sie machten 65 Prozent aller interaktiven Operationen gegen den Sektor aus. Initial Access Broker boten Zugänge zu 277 Technologieunternehmen an, ein Anstieg von fast 30 Prozent. Zugleich nannten auf Big Game Hunting spezialisierte Erpresser 572 Technologieunternehmen auf Leak-Seiten.
Hinzu kommt der offensive Einsatz von KI. Laut Report nutzten eCrime-Akteure KI-generierte Skripte, um Anmeldedaten abzugreifen und forensische Spuren mit Maschinengeschwindigkeit zu löschen. Dadurch schrumpft das Zeitfenster für Verteidiger erheblich. Gefälschte OpenClaw-Erweiterungen und Download-Seiten dienten zudem zur Verbreitung von Skrawl, einem neuen Information Stealer für macOS.
Entwickler-Ökosysteme werden zur Angriffsfläche
Besonders brisant ist die zunehmende Infiltration von Software-Lieferketten. STARDUST CHOLLIMA kompromittierte laut CrowdStrike das Axios-NPM-Paket, das wöchentlich 100 Millionen Mal heruntergeladen wird. Damit könnten Millionen nachgelagerter Nutzer betroffen gewesen sein. Unabhängig davon wurden vor der Zerschlagung des Glassworm-Botnetzes 350 GitHub-Repositorys kompromittiert, um Schadcode in JavaScript- und Python-Projekte einzuschleusen.
Meyers warnt deshalb vor einem grundlegenden Perspektivwechsel: „China betreibt Cyberspionage als Industriepolitik, um die Lücke bei KI-Innovationen zu schließen.“ KI-Fähigkeiten seien selbst zum Ziel geworden. Für Unternehmen folgt daraus: Wer KI entwickelt oder einsetzt, muss Sicherheit von Beginn an integrieren – in Identitäten, Entwicklungsprozesse, Lieferketten und Datenzugriffe.
Den kompletten CrowdStrike 2026 Technology Threat Landscape Report gibt es hier.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
