Vernetzen Sie sich mit uns

Wenn sich entwickelnde Angriffe alte Verteidigungsmechanismen überlisten: Warum es Zeit für proaktive KI-Sicherheit ist

Vordenker

Wenn sich entwickelnde Angriffe alte Verteidigungsmechanismen überlisten: Warum es Zeit für proaktive KI-Sicherheit ist

mm
Veröffentlicht

Wer aktuell im Bereich IT-Sicherheit arbeitet, hat wahrscheinlich das Gefühl, ständig hinterherzuhinken. Ständig gibt es neue Sicherheitslücken, aktuelle Ransomware-Fälle und wieder einmal einen cleveren Trick, mit dem die Verteidiger nicht gerechnet haben. Gleichzeitig basieren viele Schutzmaßnahmen noch immer auf Konzepten aus einer älteren Internetära, in der Netzwerke klare Grenzen hatten und Angreifer sich langsamer bewegten.

Die Zahlen belegen, dass es sich hierbei nicht nur um ein Gefühl handelt. IBM-Bericht zu den Kosten einer Datenschutzverletzung Die Prognose geht davon aus, dass der durchschnittliche Schaden durch einen Datenverstoß weltweit im Jahr 2024 bei 4.88 Millionen US-Dollar liegen wird, gegenüber 4.45 Millionen US-Dollar im Vorjahr. Dieser Anstieg um 10 % ist der größte seit Beginn der Pandemie und erfolgt trotz erhöhter Investitionen der Sicherheitsteams in Tools und Personal.

Die Verizon Data Breach Investigation Report Die Studie für 2024 analysiert über 30,000 Vorfälle und mehr als 10,000 bestätigte Sicherheitslücken. Sie zeigt auf, wie Angreifer gestohlene Zugangsdaten, Schwachstellen in Webanwendungen und Social-Media-Aktionen wie Pretexting ausnutzen. Zudem stellt sie fest, dass Unternehmen im Durchschnitt nur etwa 55 Tage benötigen, um nach der Veröffentlichung von Patches lediglich die Hälfte ihrer kritischen Sicherheitslücken zu beheben. Diese 55 Tage bieten Angreifern, die kontinuierlich scannen, ein sehr komfortables Zeitfenster.

In Europa, die ENISA-Bedrohungslandschaft Ein Bericht für 2023 weist ebenfalls auf eine starke Mischung aus Ransomware-Angriffen, Denial-of-Service-Attacken, Lieferkettenangriffen und Social Engineering hin. Eine weitere ENISA-Studie, die sich auf Lieferkettenvorfälle konzentrierte, schätzte, dass es 2021 wahrscheinlich viermal so viele solcher Angriffe gab wie 2020 und dass sich dieser Trend weiter verstärkt hat. 

Das Bild ist also einfach, aber beunruhigend. Sicherheitslücken werden immer häufiger, kostspieliger und komplexer, trotz verbesserter Tools. Offenbar stimmt etwas Strukturelles nicht in der Art und Weise, wie viele Organisationen sich verteidigen.

Warum das klassische Sicherheitsmodell ins Hintertreffen gerät

Lange Zeit war das Bild von Cyberabwehr simpel. Man unterschied klar zwischen Innen und Außen. Man errichtete einen starken Perimeter mit Firewalls und Filtern. Antivirenprogramme wurden auf Endgeräten installiert und nach bekannten Schadprogrammen gesucht. Regeln wurden angepasst, Warnmeldungen überwacht und bei offensichtlichen Vorfällen reagiert.

Dieses Modell hat in der heutigen Welt drei große Probleme.

Erstens ist die Perimeterkontrolle weitgehend verschwunden. Mitarbeiter arbeiten von überall aus mit einer Mischung aus verwalteten und nicht verwalteten Geräten. Daten werden auf öffentlichen Cloud-Plattformen und in Software-as-a-Service-Tools gespeichert. Partner und Lieferanten greifen direkt auf interne Systeme zu. Berichte wie die ENISA-Studie zur Lieferkette zeigen, dass Angriffe heutzutage häufiger über einen vertrauenswürdigen Partner oder ein Software-Update erfolgen als durch einen direkten Frontalangriff auf einen zentralen Server.

Zweitens birgt die Fokussierung auf bekannte Signaturen ein großes Risiko. Moderne Angreifer kombinieren individuell angepasste Malware mit sogenannten „Living-off-the-Land“-Angriffen. Sie nutzen integrierte Skripting-Tools, Fernwartungsprogramme und alltägliche administrative Aktionen. Jeder einzelne Schritt mag harmlos erscheinen. Ein rein signaturbasierter Ansatz erfasst das Gesamtbild nicht, insbesondere wenn Angreifer in jeder Kampagne kleine Details ändern.

Drittens sind die Mitarbeiter überlastet. Der Verizon-Bericht zeigt, dass die Ausnutzung von Sicherheitslücken mittlerweile ein Hauptweg in Netzwerke ist und viele Unternehmen Schwierigkeiten haben, Patches schnell genug einzuspielen. IBMs Forschung ergänzt, dass lange Erkennungs- und Eindämmungszeiten ein Hauptgrund für die stetig steigenden Kosten von Sicherheitsvorfällen sind. Analysten sitzen unter einem Berg von Warnmeldungen, Protokollen und manueller Vorauswahl, während Angreifer so viel wie möglich automatisieren.

Es gibt also Angreifer, die schneller und automatisierter agieren, und Verteidiger, die sich weiterhin stark auf manuelle Ermittlungen und altbewährte Vorgehensweisen stützen. In diese Lücke setzt die künstliche Intelligenz.

Angreifer behandeln KI bereits wie einen Teamkollegen.

Wenn von KI im Bereich der IT-Sicherheit die Rede ist, denkt man oft an Verteidigungswerkzeuge, die helfen, Angreifer zu überführen. Tatsächlich nutzen Angreifer KI aber genauso gern, um ihre Arbeit zu erleichtern.

Die Microsoft Digital Defense-Bericht Der Bericht „2025“ beschreibt, wie staatlich unterstützte Gruppen KI einsetzen, um synthetische Medien zu erstellen, Teile von Intrusion-Kampagnen zu automatisieren und Einflussoperationen auszuweiten. Zusammenfassung der Bedrohungsanalyse von Microsoft durch die Associated Press Berichten zufolge stieg die Zahl der Vorfälle mit KI-generierten gefälschten Inhalten von Mitte 2024 bis Mitte 2025 auf über 200, mehr als doppelt so hoch wie im Vorjahr und etwa zehnmal so hoch wie im Jahr 2023.

In der Praxis sieht das aus wie Phishing-Nachrichten, die sich lesen, als wären sie von einem Muttersprachler verfasst worden – in jeder beliebigen Sprache. Es sieht aus wie Deepfake-Audio- und -Videomaterial, mit dem Angreifer sich als Führungskräfte oder vertrauenswürdige Partner ausgeben können. Es sieht so aus, als würden KI-Systeme riesige Mengen gestohlener Daten durchsuchen, um die wertvollsten Informationen über Ihre IT-Umgebung, Ihre Mitarbeiter und Ihre Drittparteien zu finden.

Eine kürzlich Artikel der Financial Times über agentenbasierte KI bei Cyberangriffen Es wird sogar eine weitgehend autonome Spionageoperation beschrieben, bei der ein KI-Programmierer die meisten Schritte von der Aufklärung bis zur Datenexfiltration mit minimalem menschlichen Eingriff übernahm. Wie man diesen konkreten Fall auch bewerten mag, die Richtung ist klar: Angreifer überlassen die mühsamen Aufgaben gerne der KI.

Wenn Angreifer KI nutzen, um sich schneller zu bewegen, besser zu tarnen und mehr Ziele zu treffen, können Verteidiger nicht erwarten, dass herkömmliche Perimeter-Tools und die manuelle Alarmauswertung ausreichen. Entweder man integriert ähnliche Intelligenz in die Verteidigung, oder die Lücke vergrößert sich immer weiter.

Von reaktiver Verteidigung zu proaktivem Sicherheitsdenken

Der erste wirkliche Wandel ist nicht technischer Natur, sondern mentaler.

Eine reaktive Vorgehensweise basiert auf der Annahme, dass man auf eindeutige Anzeichen von Problemen wartet und dann reagiert. Eine neue Binärdatei wird entdeckt. Eine Warnung wird ausgelöst, weil der Datenverkehr einem bekannten Muster entspricht. Ein Konto weist eindeutige Anzeichen einer Kompromittierung auf. Das Team schaltet sich ein, untersucht den Vorfall, bereinigt die Schwachstelle und aktualisiert gegebenenfalls eine Regel, um genau dieses Muster künftig zu verhindern.

In einer Welt mit langsamen und seltenen Angriffen mag das noch ausreichen. In einer Welt mit ständigen Scans, rasanter Ausnutzung von Sicherheitslücken und KI-gestützten Kampagnen ist es jedoch zu spät. Bis eine einfache Regel greift, haben Angreifer oft schon Ihr Netzwerk erkundet, sensible Daten manipuliert und Ausweichrouten vorbereitet.

Eine proaktive Herangehensweise geht von einem anderen Ausgangspunkt aus. Sie setzt voraus, dass man ständig mit potenziell schädlichem Datenverkehr konfrontiert wird. Sie geht davon aus, dass einige Kontrollmechanismen versagen werden. Es geht darum, wie schnell man ungewöhnliches Verhalten erkennt, wie schnell man es eindämmen kann und wie konsequent man daraus lernt. In diesem Kontext werden die Kernfragen sehr praxisnah.

  • Haben Sie jederzeit Einblick in Ihre wichtigsten Systeme, Identitäten und Datenspeicher?

  • Können Sie neben bekannten Fehlersignaturen auch kleine Abweichungen vom normalen Verhalten feststellen?

  • Lässt sich diese Erkenntnis in schnelle, wiederholbare Maßnahmen umsetzen, ohne Ihr Team zu überlasten?

KI ist nicht die Lösung allein, aber sie ist ein leistungsstarkes Mittel, um diese Fragen in dem Umfang zu beantworten, den moderne Umgebungen erfordern.

Wie eine KI-gestützte Cybersicherheitsstrategie aussieht

KI hilft Ihnen, Bedrohungen nicht mehr nur als einfache Ja/Nein-Kategorie zu betrachten, sondern ein umfassenderes, verhaltensbasiertes Bild zu erhalten. Im Bereich der Erkennung können Modelle Identitätsaktivitäten, Endpunkt-Telemetriedaten und Netzwerkflüsse überwachen und lernen, was in Ihrer Umgebung normal ist. Anstatt nur bekannte Schadsoftware zu blockieren, können sie Alarm schlagen, wenn sich ein Konto von einem ungewöhnlichen Ort zu einer ungewöhnlichen Zeit anmeldet, auf ein System zugreift, das es zuvor noch nie benutzt hat, und anschließend große Datenmengen überträgt. Jedes einzelne Ereignis kann leicht übersehen werden. Das Gesamtbild ist jedoch aufschlussreich.

Auf der Seite der Sicherheitslückenanalyse können KI-gestützte Tools Ihre tatsächliche Angriffsfläche abbilden. Sie scannen öffentliche Cloud-Konten, internetbasierte Dienste und interne Netzwerke, um vergessene Testsysteme, falsch konfigurierte Speicher und ungeschützte Administrationsbereiche aufzuspüren. Anstatt diese Ergebnisse in Listen darzustellen, fassen sie sie in praxisnahe Risikoszenarien zusammen. Dies ist besonders wichtig, da Schatten-KI in Unternehmen immer häufiger eingesetzt wird und Teams eigene Modelle und Tools ohne zentrale Aufsicht entwickeln – ein Trend, den IBM in einem aktuellen Bericht hervorhebt. Kosten einer Datenschutzverletzung Arbeiten als ernsthaftes Risikogebiet. 

Im Bereich der Reaktion kann KI dazu beitragen, schneller und einheitlicher zu handeln. Einige Security Operations Center nutzen bereits KI-gestützte Systeme, um in Echtzeit Eindämmungsmaßnahmen zu empfehlen und lange Untersuchungszeiten für menschliche Analysten zusammenzufassen. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) beschreibt mehrere solcher Anwendungsfälle in ihrem Bericht. Ressourcen für künstliche Intelligenzund zeigt, wie KI dabei helfen kann, ungewöhnliche Netzwerkaktivitäten zu erkennen und große Mengen an Bedrohungsdaten in föderalen Systemen zu analysieren.

Nichts davon macht menschliches Urteilsvermögen überflüssig. Vielmehr wird KI zu einem Multiplikator. Sie übernimmt die ständige Überwachung, das Erkennen von Mustern und einen Teil der ersten Priorisierung, sodass menschliche Sicherheitskräfte mehr Zeit für tiefgreifende Untersuchungen und schwierige Designfragen wie Identitätsstrategie und Segmentierung haben.

Wie man den ersten Schritt in diese Richtung machen kann

Wenn Sie für die Sicherheit verantwortlich sind, mag das alles zunächst komplex und abstrakt klingen. Die gute Nachricht ist: Der Wandel von reaktivem zu proaktivem Handeln beginnt meist mit wenigen konkreten Schritten und nicht mit einer riesigen Umstrukturierung.

Der erste Schritt besteht darin, Ihre Datenströme zu ordnen. KI ist nur so nützlich wie die Signale, die sie erfassen kann. Wenn Ihr Identitätsanbieter, Ihre Endpunkt-Tools, Ihre Netzwerksteuerung und Ihre Cloud-Plattformen Protokolle in getrennten Systemen speichern, weist jedes Modell blinde Flecken auf und Angreifer finden Versteckmöglichkeiten. Die Investition in eine zentrale Übersicht Ihrer wichtigsten Telemetriedaten ist selten glamourös, aber sie bildet die Grundlage für eine sinnvolle KI-Unterstützung.

Der zweite Schritt besteht darin, konkrete Anwendungsfälle auszuwählen, anstatt KI flächendeckend einzusetzen. Viele Teams beginnen mit Verhaltensanalysen für Benutzerkonten, Anomalieerkennung in Cloud-Umgebungen oder intelligenterer E-Mail- und Phishing-Erkennung. Ziel ist es, Bereiche zu identifizieren, in denen bereits Risiken bekannt sind und in denen Mustererkennung in großen Datensätzen eindeutig hilfreich ist.

Der dritte Schritt besteht darin, jedes neue KI-gestützte Tool mit einem expliziten Satz von Leitplanken zu verknüpfen. Dazu gehört die Definition dessen, was das Modell selbstständig tun darf, was stets die Beteiligung eines Menschen erfordert und wie die Ehrlichkeit und Nützlichkeit des Systems im Laufe der Zeit gemessen wird. Hierbei geht es um die Denkweise in der NIST-KI-Rahmenwerk Und die Beratung durch Institutionen wie CISA kann Sie davor bewahren, alles selbst neu erfinden zu müssen.

Warum proaktive KI-Sicherheit nicht warten kann

Cyberangriffe entwickeln sich immer mehr zu einem ständigen Hintergrundproblem anstatt zu einem seltenen Notfall, und Angreifer überlassen künstliche Intelligenz gerne einen Großteil der Arbeit. Die Kosten steigen, die Angriffspunkte vervielfachen sich, und die Werkzeuge der Angreifer werden jedes Jahr intelligenter. Ein reaktives Modell, das auf Warnsignale wartet und dann panisch reagiert, ist für diese Realität schlichtweg nicht mehr gerüstet.

Eine proaktive, KI-gestützte Strategie bedeutet weniger, einem kurzlebigen Trend hinterherzujagen, sondern vielmehr, die unscheinbare Arbeit der Datenaufbereitung zu leisten, verhaltensbasierte Erkenntnisse zu gewinnen und klare Leitlinien für neue KI-Systeme zu etablieren, damit diese die Verteidigung unterstützen, anstatt sie zu überraschen. Die Kluft zwischen Angreifern und Verteidigern ist real, aber nicht unüberwindbar. Die Entscheidungen, die Sie jetzt hinsichtlich des Einsatzes von KI in Ihrer Sicherheitsarchitektur treffen, werden darüber entscheiden, welche Seite in den nächsten Jahren die Nase vorn hat.

Verwandte Themen:
mm

Mirgen Hoxha ist der CEO von Motomtech Dort leitet er Teams, die KI-gestützte Softwareprodukte für Kunden in Nordamerika und Europa entwickeln und erstellen. Er arbeitet an der Schnittstelle von Produktstrategie und angewandtem maschinellem Lernen und unterstützt Unternehmen dabei, reale Probleme in praktische KI-Lösungen umzusetzen.