Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Künstliche Intelligenz 28.06.2026 · 3 min Lesezeit

Sophos-Bericht: KI-generierte Ransomware umgeht alle gängigen EDR-Lösungen

Sophos hat in einem Forschungsbericht dokumentiert, wie KI-Modelle wie Claude Opus 4.5 zur Generierung von Ransomware-Toolkits mit über 80 Evasions-Modulen eingesetzt werden können. Die damit erstellte Schadsoftware umging alle getesteten EDR-Lösungen.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
KI generierte Ransomware umgeht gängige EDR Lösungen laut Sophos Bericht, mit verschlüsseltem Server, Malware Code und Cybersecurity Warnsignal als IT News Symbol.

Sophos hat in einem Forschungsbericht dokumentiert, wie KI-Modelle wie Claude Opus 4.5 zur Generierung von Ransomware-Toolkits mit über 80 Evasions-Modulen eingesetzt werden können. Die damit erstellte Schadsoftware umging alle getesteten EDR-Lösungen von Sophos, CrowdStrike und weiteren Anbietern.

Was ist passiert?

Laut einem Bericht von Sophos, der am 27. Juni 2026 veröffentlicht wurde, haben Forscher in einem kontrollierten Laborexperiment Claude Opus 4.5 zur Erstellung eines vollständigen Ransomware-Toolkits genutzt. Das KI-Modell generierte über 80 Module zur Umgehung von Endpoint Detection and Response (EDR) Systemen. Die Module umfassten Techniken zur Prozessinjektion, zum Verstecken vor Verhaltensanalyse und zur Deaktivierung von Sicherheitsagenten. Die generierte Ransomware wurde gegen mehrere kommerzielle EDR-Lösungen getestet und umging diese in allen Fällen. Der Bericht zeigt, dass KI-Modelle heute in der Lage sind, komplexe Schadsoftware zu erstellen, die bisher nur erfahrenen Bedrohungsakteuren vorbehalten war.

Wer ist betroffen?

Der Bericht betrifft potenziell alle Unternehmen, die auf EDR-Lösungen als Hauptverteidigung gegen Ransomware vertrauen. Die Erkenntnis, dass KI-generierte Schadsoftware etablierte EDR-Produkte umgehen kann, bedeutet, dass Schutzkonzepte überarbeitet werden müssen. Betroffen sind zudem alle Anbieter von EDR-Lösungen, deren Produkte im Test umgangen wurden. Der Bericht nennt Sophos und CrowdStrike explizit, weitere Produkte wurden getestet aber nicht alle namentlich genannt.

Wie kritisch ist das?

Der Bericht hat keine akute Schwachstelle zum Gegenstand, sondern zeigt ein strategisches Risiko. Die Verfügbarkeit von KI-Modellen mit starken Code-Generierungskapazitäten senkt die Einstiegshürde für Ransomware-Entwicklung erheblich. Bisher benötigten Angreifer tiefes technisches Wissen und Wochen bis Monate für die Entwicklung von Evasion-Modulen. Mit KI lässt sich dies in Stunden erreichen. Die Tests von Sophos fanden in einer kontrollierten Umgebung statt, aber die Techniken sind übertragbar. Es gibt keine Hinweise auf aktive Nutzung dieses spezifischen Toolkits im Feld.

Was sollten Admins jetzt tun?

  1. EDR als alleinige Schutzmaßnahme hinterfragen und durch Defense-in-Depth ergänzen
  2. Application Whitelisting und strikte Ausführungsrichtlinien als zusätzliche Ebene einführen
  3. Backups nach der 3-2-1-1-0 Regel pflegen und Restore-Tests durchführen
  4. Netzwerksegmentierung umsetzen, um laterale Ausbreitung von Ransomware zu erschweren
  5. Mitarbeiter sensibilisieren, da KI-generierte Phishing- und Social-Engineering-Angriffe ebenfalls an Qualität gewinnen

Einordnung für Unternehmen

Für kleine und mittlere Unternehmen ist der Bericht ein Weckruf, EDR nicht als Panazee zu betrachten. Die Investition in gute Backups, Netzwerksegmentierung und Schulung bleibt mindestens genauso wichtig. KI senkt die Kosten für Angreifer und ermöglicht individualisierte Angriffe, die vorher nicht wirtschaftlich waren. Unternehmen sollten ihre Sicherheitsstrategie auf mehrere Ebenen verteilen, damit der Ausfall einer Ebene nicht die komplette Verteidigung bricht.

Passende Anleitungen auf S-EDV

  1. Gentlemen Ransomware: EDR-Killer deaktivieren Sicherheitssoftware von 48 Herstellern – Ein aktuelles Beispiel für Ransomware, die EDR-Lösungen gezielt ausschaltet, ohne auf KI zurückzugreifen.
  2. Geheimdienstbündnis warnt vor KI-gestützten Cyberangriffen – Die Warnung der Five Eyes vor genau den KI-getriebenen Angriffen, die Sophos im Labor demonstriert hat.

Quellen

  1. DecryptionDigest: Sophos AI Ransomware Lab
  2. CyberSecurityNews: Hackers Using AI Tools
Verwandt

Weiter lesen

Alle Artikel →
GPT 5.6 Newsbild mit lokaler KI Infrastruktur, getrennt dargestellter Cloud und redaktionellem IT News Panel zu OpenAI Sol, Terra und Luna als limitierte Preview
26.06.2026 ·5 min

GPT-5.6 vorgestellt: OpenAI startet Sol, Terra und Luna zunächst nur als limitierte Preview

OpenAI hat GPT-5.6 vorgestellt und teilt die Modellreihe in Sol, Terra und Luna auf. Die Verfügbarkeit ist vorerst stark begrenzt. Ein breiter Rollout für ChatGPT und API soll erst in den kommenden Wochen folgen.
DeepSeek R1 lokal betreiben: Modellwahl, Quantisierung und VRAM-Bedarf
26.06.2026 ·10 min

DeepSeek R1 lokal betreiben: Modellwahl, Quantisierung und VRAM-Bedarf

Welches DeepSeek-R1-Distillat passt zu deiner GPU? Konkrete VRAM-Tabellen für 1,5B bis 32B, Q4_K_M GGUF vs. AWQ erklärt und Ollama-Setup in unter 20 Minuten – ohne Cloud, ohne Abo.
Qwen3 lokal betreiben mit 4B bis 32B Modellen, Ollama und vLLM, Thinking Mode, lokaler GPU Inferenz, Modellverwaltung und API Nutzung.
26.06.2026 ·9 min

Qwen3 lokal betreiben: 4B bis 32B per Ollama und vLLM mit Thinking-Mode

Alibabas Qwen3 bietet einen schaltbaren Thinking-Mode: Ein Modell wechselt per /think zwischen Chain-of-Thought-Reasoning und direkten Antworten. Diese Anleitung zeigt Deployment per Ollama oder vLLM auf Consumer-GPUs – mit VRAM-Tabelle für 4B bis 32B.