Vordenker

Wenn sich entwickelnde Angriffe alte Verteidigungen überholen: Warum es Zeit für proaktive AI-Sicherheit ist

mm
Published
Updated

Wenn Sie derzeit in der Nähe der Sicherheit arbeiten, fühlen Sie sich wahrscheinlich oft wie im Rückstand. Es gibt einen neuen Datenleck in den Nachrichten, eine frische Ransomware-Geschichte und einen weiteren cleveren Trick, den Verteidiger nicht kommen sahen. Gleichzeitig basiert ein großer Teil des Schutzes noch auf Ideen aus einer älteren Internet-Ära, in der Netzwerke klare Grenzen hatten und Angreifer langsamer vorgingen.

Die Zahlen sagen Ihnen, dass dies nicht nur ein Gefühl ist. Der neueste IBM-Cost-of-a-Data-Breach-Bericht gibt den globalen Durchschnittswert für ein Datenleck im Jahr 2024 mit 4,88 Millionen US-Dollar an, im Vergleich zu 4,45 Millionen US-Dollar im Vorjahr. Dieser Anstieg von 10 Prozent ist der größte Sprung seit den Pandemiejahren und kommt sogar, während Sicherheitsteams mehr in Tools und Personal investieren.

Der Verizon-Data-Breach-Investigations-Bericht für 2024 betrachtet über 30.000 Vorfälle und mehr als 10.000 bestätigte Datenlecks. Er hebt hervor, wie Angreifer auf gestohlene Anmeldeinformationen, Web-Anwendungsexploits und soziale Aktionen wie Pretexting angewiesen sind und feststellt, dass Organisationen im Durchschnitt etwa 55 Tage benötigen, um nur die Hälfte ihrer kritischen Schwachstellen nach dem Release von Patches zu beheben. Diese 55 Tage sind ein sehr komfortables Zeitfenster für einen Angreifer, der kontinuierlich scannet.

In Europa weist der ENISA-Threat-Landscape-Bericht für 2023 auf eine starke Mischung aus Ransomware, Denial-of-Service-Angriffen, Lieferkettengriffen und sozialer Manipulation hin. Ein weiterer ENISA-Studie, die sich auf Lieferkettengriffe konzentrierte, schätzte, dass es 2021 wahrscheinlich viermal so viele solcher Angriffe wie 2020 gab und dass diese Trendkontinuität aufrechterhalten wurde. 

Das Bild ist also einfach, aber unangenehm. Datenlecks werden häufiger, teurer und komplexer, auch wenn die Tools verbessert werden. Etwas Strukturelles ist falsch im Weg, wie viele Organisationen sich noch verteidigen.

Warum das klassische Sicherheitsmodell hinterherhinkt

Lange Zeit war das mentale Bild der Cybersicherheit einfach. Man hatte eine klare Innen- und Außenseite. Man baute eine starke Perimeter mit Firewalls und Filtern. Man setzte Antivirus auf Endgeräten ein und suchte nach bekannten schlechten Signaturen. Man stimmte Regeln ab, beobachtete Warnungen und reagierte, wenn etwas Offensichtliches ausgelöst wurde.

Dieses Modell hat drei große Probleme in der heutigen Welt.

Erstens ist die Perimeter größtenteils verschwunden. Menschen arbeiten von überall auf einer Mischung aus verwalteten und unverwalteten Geräten. Daten befinden sich in öffentlichen Cloud-Plattformen und Software-as-a-Service-Tools. Partner und Lieferanten verbinden sich direkt mit internen Systemen. Berichte wie die ENISA-Lieferkettengriff-Studie zeigen, wie oft Eindringungen jetzt durch einen vertrauenswürdigen Partner oder Software-Update beginnen, anstatt durch einen direkten Frontalangriff auf einen zentralen Server.

Zweitens lässt der Fokus auf bekannte Signaturen eine große Blindheit entstehen. Moderne Angreifer mischen benutzerdefiniertes Malware mit dem, was Verteidiger “living off the land” nennen. Sie stützen sich auf integrierte Skript-Tools, Remote-Management-Agenten und alltägliche administrative Aktionen. Jeder Schritt, der einzeln betrachtet wird, mag harmlos aussehen. Ein einfacher signature-basierter Ansatz sieht das größere Muster nicht, besonders wenn Angreifer kleine Details in jeder Kampagne ändern.

Drittens sind Menschen überlastet. Der Verizon-Bericht zeigt, dass die Ausnutzung von Schwachstellen jetzt ein wichtiger Weg in Netzwerke ist und dass viele Organisationen Schwierigkeiten haben, Patches schnell genug anzuwenden. IBM-Forschung fügt hinzu, dass lange Erkennungs- und Eindämmungszeiten ein wichtiger Grund für die steigenden Kosten von Datenlecks sind. Analysten sitzen unter einem Berg von Warnungen, Protokollen und manueller Triage, während Angreifer so viel wie möglich automatisieren.

Also haben Sie Angreifer, die schneller und automatisierter sind, und Verteidiger, die noch stark auf manuelle Untersuchung und alte Muster angewiesen sind. In diese Lücke kommt künstliche Intelligenz.

Angreifer behandeln AI bereits als Teammitglied

Wenn Menschen über AI in der Sicherheit sprechen, stellen sie sich oft defensive Tools vor, die helfen, böse Akteure zu fangen. Die Realität ist, dass Angreifer genauso begierig sind, AI zu verwenden, um ihre Arbeit zu erleichtern.

Der Microsoft-Digital-Defense-Bericht 2025 beschreibt, wie staatlich unterstützte Gruppen AI verwenden, um synthetische Medien zu erstellen, Teile von Eindringungskampagnen zu automatisieren und Einflussoperationen zu skalieren. Ein separates Associated-Press-Zusammenfassung von Microsoft-Bedrohungs-Intelligence berichtet, dass von Mitte 2024 bis Mitte 2025 die Vorfälle mit AI-generiertem Fake-Inhalt auf über 200 stiegen, mehr als doppelt so viel wie im Vorjahr und etwa zehnmal so viel wie 2023.

In der Praxis sieht dies wie Phishing-Nachrichten aus, die so klingen, als ob ein Muttersprachler sie geschrieben hat, in jeder Sprache, die Sie möchten. Es sieht wie Deepfake-Audio und -Video aus, das Angreifern hilft, sich als Senior-Führer oder vertrauenswürdige Partner auszugeben. Es sieht wie AI-Systeme aus, die durch enorme Mengen an gestohlenen Daten sortieren, um die wertvollsten Details Ihrer Umgebung, Ihres Personals und Ihrer Drittanbieter zu finden.

Ein kürzlicher Financial-Times-Artikel über agente AI in Cyberangriffen beschreibt sogar eine weitgehend autonome Spionageoperation, bei der ein AI-Coding-Agent die meisten Schritte von der Aufklärung bis zur Datenexfiltration mit begrenzter menschlicher Eingabe durchführte. Wie auch immer Sie über diesen spezifischen Fall denken, die Richtung ist klar. Angreifer sind sehr bereit, AI die langweiligen Teile der Arbeit überlassen zu lassen.

Wenn Angreifer AI verwenden, um schneller zu sein, besser zu verschmelzen und mehr Ziele zu treffen, können Verteidiger nicht erwarten, dass herkömmliche Perimeter-Tools und manuelle Warn-Triage ausreichen. Sie bringen entweder ähnliche Intelligenz in ihre Verteidigung ein oder die Lücke wird größer.

Von reaktiver Verteidigung zu proaktiver Sicherheitsdenkweise

Der erste echte Wechsel ist nicht technisch, sondern mental.

Eine reaktive Haltung basiert auf der Idee, dass man auf klare Anzeichen von Schwierigkeiten warten kann und dann reagieren kann. Ein neues Binär-Format wird erkannt. Eine Warnung wird ausgelöst, weil der Datenverkehr einem bekannten Muster entspricht. Ein Konto zeigt ein offensichtliches Anzeichen von Kompromittierung. Das Team springt ein, untersucht, bereinigt und aktualisiert möglicherweise eine Regel, um genau dieses Muster zu verhindern.

In einer Welt mit langsamen und seltenen Angriffen mag dies in Ordnung sein. In einer Welt mit ständigen Sondierungen, schneller Ausnutzung und AI-gestützten Kampagnen ist es zu spät. Wenn eine einfache Regel ausgelöst wird, haben Angreifer oft bereits Ihr Netzwerk erkundet, sensible Daten berührt und Rückzugswege vorbereitet.

Eine proaktive Haltung beginnt an einem anderen Punkt. Sie geht davon aus, dass Sie ständig von feindlichem Datenverkehr berührt werden. Sie geht davon aus, dass einige Kontrollen fehlschlagen. Sie kümmert sich um die Geschwindigkeit, mit der Sie ungewöhnliches Verhalten erkennen, die Geschwindigkeit, mit der Sie es eindämmen, und die Konsistenz, mit der Sie daraus lernen. In diesem Rahmen werden die Kernfragen sehr praktisch.

  • Haben Sie kontinuierliche Einsicht in Ihre wichtigsten Systeme, Identitäten und Datenbestände?

  • Können Sie kleine Abweichungen vom normalen Verhalten erkennen, nicht nur bekannte schlechte Signaturen?

  • Können Sie diese Erkenntnis mit schnellen, wiederholbaren Aktionen verbinden, ohne Ihr Team zu überfordern?

AI ist nicht die Lösung an sich, aber es ist ein leistungsfähiger Weg, um diese Fragen in dem Maße zu beantworten, das moderne Umgebungen verlangen.

Was eine AI-getriebene Cybersicherheits-Haltung aussieht

AI hilft Ihnen, von einer einfachen Ja-oder-Nein-Sicht auf Bedrohungen zu einer reicheren, verhaltensbasierten Darstellung zu gelangen. Auf der Erkennungsseite können Modelle Identitätsaktivitäten, Endgeräte-Telemetrie und Netzwerkflüsse beobachten und lernen, was normal für Ihre Umgebung aussieht. Anstatt nur eine bekannte schädliche Datei zu blockieren, können sie eine Warnung auslösen, wenn ein Konto von einem ungewöhnlichen Ort aus angemeldet wird, zu einem System wechselt, das es noch nie zuvor berührt hat, und dann große Mengen an Daten bewegt. Jedes einzelne Ereignis mag leicht zu übersehen sein. Das kombinierte Muster ist interessant.

Auf der Expositionsseite können AI-gestützte Tools Ihre tatsächliche Angriffsfläche kartieren. Sie können öffentliche Cloud-Konten, internetfähige Dienste und interne Netzwerke scannen, um vergessene Testsysteme, falsch konfigurierte Speicher und offene Admin-Panel zu finden. Sie können diese Ergebnisse in praktische Risikogeschichten anstatt roher Listen gruppieren. Dies ist besonders wichtig, da sich Schatten-AI innerhalb von Organisationen ausbreitet, mit Teams, die ihre eigenen Modelle und Tools ohne zentrale Aufsicht einsetzen, eine Entwicklung, die IBM in seinem jüngsten Cost-of-a-Data-Breach-Bericht als ernstes Risikogebiet hervorhebt. 

Auf der Reaktionsseite kann AI Ihnen helfen, schneller und konsistenter zu handeln. Einige Sicherheits-Operations-Center verwenden bereits AI-gestützte Systeme, um Eindämmungsschritte in Echtzeit zu empfehlen und lange Untersuchungszeiträume für menschliche Analysten zusammenzufassen. Die United-States-Cybersecurity-and-Infrastructure-Security-Agency beschreibt mehrere solcher Anwendungen in ihren künstlichen-Intelligenz-Ressourcen, indem sie zeigt, wie AI helfen kann, ungewöhnliche Netzwerkaktivitäten zu erkennen und große Ströme von Bedrohungsdaten über föderale Systeme hinweg zu analysieren.

Keines davon entfernt die Notwendigkeit menschlicher Urteilsfähigkeit. Stattdessen wird AI zu einem Multiplikator. Es übernimmt das ständige Beobachten, das Muster-Erkennen und einen Teil der frühen Triage, damit menschliche Verteidiger mehr Zeit für tiefe Untersuchungen und harte Design-Fragen wie Identitätsstrategie und Segmentierung aufwenden können.

Wie man in diese Richtung beginnen kann

Wenn Sie für die Sicherheit verantwortlich sind, kann all dies groß und abstrakt klingen. Die gute Nachricht ist, dass der Wechsel von reaktiver zu proaktiver Sicherheit meistens mit einigen fundierten Schritten beginnt, anstatt mit einer riesigen Transformation.

Der erste Schritt ist, Ihre Datenströme in Ordnung zu bringen. AI ist nur so nützlich wie die Signale, die sie sehen kann. Wenn Ihr Identitätsanbieter, Endgeräte-Tools, Netzwerk-Kontrollen und Cloud-Plattformen alle Protokolle in separate Silos senden, haben alle Modelle Blindstellen und Angreifer haben Versteckmöglichkeiten. Die Investition in eine zentrale Sicht auf Ihre wichtigsten Telemetriedaten ist selten glamourös, aber sie ist die Grundlage, die sinnvolle AI-Unterstützung ermöglicht.

Der zweite Schritt ist, spezifische Anwendungsfälle auszuwählen, anstatt zu versuchen, AI überall zu streuen. Viele Teams beginnen mit Verhaltensanalytik für Benutzerkonten, Anomalie-Erkennung in Cloud-Umgebungen oder intelligenterer E-Mail- und Phishing-Erkennung. Das Ziel ist, Bereiche auszuwählen, in denen Sie bereits wissen, dass Sie Risiken haben und in denen Muster-Erkennung über große Datenmengen clearly helfen kann.

Der dritte Schritt ist, jedes neue AI-gestützte Tool mit einer expliziten Reihe von Schutzvorkehrungen zu paaren. Dazu gehört die Definition dessen, was das Modell alleine tun darf, was immer menschliche Eingabe erfordert und wie Sie messen, ob das System ehrlich und nützlich über die Zeit ist. Hier kann das Denken im NIST-AI-Rahmenwerk und die Richtlinien von Agenturen wie CISA Ihnen helfen, alles selbst neu zu erfinden.

Warum proaktive AI-Sicherheit nicht warten kann

Cyber-Angriffe werden zu etwas, das einer ständigen Hintergrundbedingung näher kommt als einer seltenen Notlage, und Angreifer sind sehr bereit, künstliche Intelligenz viel von der harten Arbeit für sie erledigen zu lassen. Die Kosten steigen, die Einstiegspunkte vermehren sich und die Werkzeuge auf der Angreifer-Seite werden jedes Jahr intelligenter. Ein reaktives Modell, das auf laute Warnungen wartet und dann hastig reagiert, ist einfach nicht für diese Welt gebaut.

Eine proaktive AI-getriebene Haltung ist weniger darum, einer modischen Trend zu folgen, und mehr darum, die stille, unglamouröse Arbeit zu leisten, Ihre Daten in Ordnung zu bringen, verhaltensbasierte Erkenntnisse hinzuzufügen und klare Schutzvorkehrungen um neue AI-Systeme zu legen, damit sie Ihren Verteidigern helfen, anstatt sie zu überraschen. Die Lücke zwischen Angreifern und Verteidigern ist real, aber sie ist nicht festgelegt, und die Entscheidungen, die Sie jetzt über die Verwendung von AI in Ihrem Sicherheits-Stack treffen, werden bestimmen, welche Seite in den nächsten Jahren schneller vorankommt.

mm

Mirgen Hoxha ist der CEO von Motomtech , wo er Teams leitet, die künstliche Intelligenz-getriebene Softwareprodukte für Kunden in Nordamerika und Europa entwerfen und entwickeln. Er arbeitet an der Schnittstelle zwischen Produktstrategie und angewandtem Machine Learning, um Organisationen zu helfen, reale Probleme in praktische KI-Lösungen umzuwandeln.