Alle Beiträge

KI-Sicherheit Juli 2026 · 8 Min. Lesezeit

JadePuffer: Ransomware ohne Mensch an der Tastatur

Ein leerer Operator-Stuhl vor einem Terminal, das von selbst einen kompletten Ransomware-Einbruch ausführt, kein Mensch an der Tastatur

Im Juli 2026 dokumentierte die Cloud-Security-Firma Sysdig einen Ransomware-Angriff, den kein Mensch steuerte. Nicht ein Mensch, der ein cleveres Skript schrieb und wegging, sondern ein Angriff, bei dem ein KI-Agent die Aufklärung übernahm, Zugangsdaten stahl, sich lateral bewegte, Rechte ausweitete und Daten verschlüsselte, und dabei in Echtzeit auf Hindernisse reagierte, so wie es ein Mensch täte. Sie nannten ihn JadePuffer, und er gilt als die erste vollständig agentische Ransomware-Operation, die in freier Wildbahn beobachtet wurde. Das eine Detail, das jeden Incident Responder erstarren lassen sollte: An einer Stelle stieß der Agent auf einen fehlgeschlagenen Login, diagnostizierte das Problem und hatte 31 Sekunden später einen funktionierenden Fix laufen. Er verschlüsselte 1.342 Dienst-Konfigurationselemente, bevor er die Originale löschte. Kein Operator war für irgendetwas davon wach.

Ich stecke seit Langem in der Enterprise-Sicherheit, und fast jeder Incident-Response-Plan, den ich je geprüft, geschrieben oder gefahren habe, ruht auf einer stillen Annahme: dass am anderen Ende des Angriffs ein Mensch sitzt, im Menschentempo arbeitet, schläft, zögert, sich vertippt und Kaffeepausen macht. JadePuffer ist der Moment, in dem diese Annahme aufhörte, sicher zu sein. Dies ist kein Beitrag über eine neue Malware-Familie. Es geht darum, was in Ihrem Verteidigungsmodell bricht, wenn Tempo und Kosten des Angreifers gleichzeitig zusammenbrechen.

Was tatsächlich passierte

Die Fakten aus Sysdigs Analyse und der folgenden Berichterstattung bei BleepingComputer sind gerade deshalb der Erwähnung wert, weil die Präzision der Punkt ist. Der Einbruch begann mit der Ausnutzung von CVE-2025-3248, einer kritischen Remote-Code-Execution-Lücke in Langflow, einem Open-Source-Werkzeug zum Bauen von LLM-Anwendungen. Auf dem ersten Server übernahm ein autonomer Agent: Er sammelte Informationen über die Umgebung, erntete Zugangsdaten, kartierte das Netzwerk nach lohnenderen Zielen, richtete Persistenz ein, weitete Rechte aus und verschlüsselte schließlich Daten.

Was ihn von einem gut automatisierten Skript unterscheidet, ist die Anpassung. Wenn ein Schritt scheiterte, hielt der Agent nicht an und wartete auf seinen Operator, er diagnostizierte den Fehler, justierte seine Parameter und versuchte es erneut, genau die Schleife, die ein geübter menschlicher Eindringling fährt. Die 31-Sekunden-Erholung von einem fehlgeschlagenen Login ist das verräterische Zeichen. Ein Skript scheitert und stoppt. Ein Mensch scheitert, denkt nach und versucht es in ein paar Minuten erneut. Dieses Ding scheiterte, überlegte und erholte sich schneller, als Sie die Logzeile lesen konnten, die das Scheitern beschrieb.

Zwei Dinge brachen zugleich zusammen: Tempo und Kosten

Der Grund, warum JadePuffer mehr zählt als die Summe seiner Techniken, ist, dass er zwei Grenzen gleichzeitig einreißt, und Verteidiger haben sich still auf beide verlassen.

Die erste ist das Tempo. Jedes Detection-and-Response-Programm ist um ein Fenster herum gebaut: die Zeit zwischen dem Fuß in der Tür des Angreifers und dem Bemerken und Handeln des Verteidigers. Wir haben Namen dafür, Verweildauer, mittlere Zeit bis zur Erkennung, mittlere Zeit bis zur Reaktion, und eine ganze Werkzeugindustrie, um es zu verkürzen. All das setzt voraus, dass auch der Angreifer nach einer menschlichen Uhr arbeitet. Ein Agent, der in 31 Sekunden von einem fehlgeschlagenen Login zum funktionierenden Fix kommt, ist nicht innerhalb Ihres Reaktionsfensters. Er ist fertig, bevor Ihr erster Alarm die Triage verlassen hat. Ich schrieb über diesen Zusammenbruch, als der erste durchgängig autonome Einbruch noch eine Forschungsdemonstration war, in dem Beitrag über den autonomen KI-Angreifer. JadePuffer ist diese Demonstration mit einem Namen, einer CVE und einem Opfer.

Die zweite sind die Kosten. Ransomware war immer durch die Knappheit qualifizierter Operatoren begrenzt. Eine kriminelle Bande hat nur so viele Leute, die einen Hands-on-Keyboard-Einbruch fahren können, also wählt sie Ziele, die die Zeit eines Menschen wert sind. Nimmt man den Menschen heraus, verdampft diese Beschränkung. Der Keynote-Titel der Black Hat USA 2026 lautet ohne Übertreibung „The End of Rare: Defending When Offense Is Cheap“. Das ist die ganze These in fünf Worten. Wenn ein Einbruch fast nichts kostet, ist er nicht länger den Zielen vorbehalten, die groß genug sind, die Aufmerksamkeit eines Angreifers zu rechtfertigen, und die kleine Organisation, die sich für unbeachtet hielt, wird angreifbar, einfach weil Angreifen fast umsonst ist.

Was im Standard-IR-Playbook bricht

Legt man die beiden Zusammenbrüche übereinander, beginnen bestimmte, tragende Annahmen der Art, wie die meisten Teams verteidigen, zu versagen. Diese würde ich zuerst überdenken.

Was tatsächlich weiterhin funktioniert

Die ehrliche und leicht ernüchternde Nachricht ist, dass die Verteidigungen, die gegen einen maschinellen Angreifer standhalten, dieselben Grundlagen sind, die gegen einen menschlichen standhielten. Sie hören nur auf, optional zu sein, und werden zum ganzen Spiel, weil der Spielraum für Nachlässigkeit, den ein langsamer menschlicher Angreifer Ihnen ließ, verschwunden ist.

Überlernen Sie die Lektion aber auch nicht

Es lohnt sich, nüchtern zu bleiben, was das ist und was nicht. Ein dokumentierter Fall ist keine Epidemie, der Erstzugang war eine bekannte CVE und nichts Neuartiges, und dieselbe KI-Fähigkeit, die diesen Angriff fuhr, steht Verteidigern zur Verfügung, um im selben Tempo zu triagieren, zu erkennen und zu reagieren. Der Agent erfand keine neue Schwachstellenklasse; er industrialisierte die Ausnutzung einer alten. Die richtige Reaktion ist nicht Panik und schon gar keine neue Produktlinie, sondern zu bemerken, dass sich die Ökonomie des Angegriffenwerdens gerade geändert hat, und sicherzustellen, dass Ihre Grundlagen fest genug sind, um einen Angreifer zu überleben, der nicht länger im Menschentempo oder zu Menschenkosten arbeitet.

Warum es wichtig ist

Fünfundzwanzig Jahre lang war der stille Verbündete des Verteidigers die Menschlichkeit des Angreifers, die Tatsache, dass es nur so viele von ihnen gab, dass sie müde wurden, dass sie teuer waren, dass sie in einem Tempo arbeiteten, mit dem man an einem guten Tag Schritt halten konnte. JadePuffer ist das erste klare, benannte Zeichen in freier Wildbahn, dass dieser Verbündete geht. Die Antwort ist nicht Verzweiflung und kein glänzendes neues Werkzeug. Sie ist, Ihr eigenes Patch-Fenster zu verkürzen, Ihren eigenen Schadensradius einzudämmen, Ihre stehenden Zugangsdaten zu beseitigen und Ihre Eindämmung im Maschinentempo handeln zu lassen, weil das Ding am anderen Ende es schon tut. Die Teams, die durch diese Verschiebung ruhig bleiben, werden die sein, die diese Grundlagen die ganze Zeit als die Aufgabe behandelt haben, statt als das Kästchen, das sie fürs Audit abhakten.


Wenn Sie eine zweite Meinung dazu wollen, ob Ihre Erkennung und Reaktion einen Angreifer im Maschinentempo überstehen, fragen Sie ein Review an. Ich führe KI- und Netzwerksicherheits-Engagements durch, gestützt auf Enterprise-Erfahrung.

Hält Ihre Reaktion mit einem Angreifer Schritt, der in Sekunden arbeitet?

Prüfen Sie Erkennung, Eindämmung und Zugangsdaten-Modell unter Druck, bevor es für Sie geprüft wird.

Review anfragen