Cybersicherheit hat ihren Preis. Im Jahr 2021 war das durchschnittliche IT-Sicherheitsbudget für Großunternehmen ca. 10 Millionen Euro und für KMU ca. 236.000 Euro. Dass diese Budgets gerechtfertigt sind, zeigen die durchschnittlichen Kosten einer Datenschutzverletzung von ca. 820.000 Euro bei einem großem Unternehmen. Außerdem können durch einen Sicherheitsvorfall Kunden abwandern und die Reputation Schaden nehmen.
Nur eine intelligente Mischung aus automatisierten Lösungen und menschlicher Kreativität, Kompetenz und Kontrolle kann eine umfassende Cyberabwehr gewährleisten und Unternehmen vor kostspieligen Sicherheitsvorfällen bewahren.
(Bild: NicoElNino - stock.adobe.com)
Daraus ergibt sich ein Dilemma: Einerseits würden Unternehmen gerne eine Lösung finden, um ihr Budget für Cyberabwehr zu senken, andererseits sind die Kosten für einen Fehler bei der Einführung neuer und billigerer Tools in diesem Bereich viel zu hoch. Eine automatisierte Vorfalls-Prävention kann hierfür theoretisch eine gute Lösung sein, die Kosten senkt und menschliches Fehlverhalten hinsichtlich Cyberbedrohungen eliminieren kann. In der Praxis ist ein wirksamer Cyberschutz jedoch nur durch eine Kombination aus automatisierten Lösungen und menschlicher Expertise möglich. Weshalb? Angreifer finden ständig neue Wege, um Sicherheitssysteme zu umgehen, entwickeln und implementieren neue ausgeklügelte Angriffstaktiken und nutzen aktiv menschliche Schwächen aus, um sich Zugang zur Infrastruktur eines Unternehmens zu verschaffen. Selbst die ausgefeilteste Künstliche Intelligenz (KI) kann die Vielfalt aller existierenden schädlicher Aktivitäten nicht bekämpfen, da sie auf der Grundlage zuvor erworbener und erlernter Erfahrungen arbeitet. Im Folgenden werden einige Cybersicherheitspraktiken vorgestellt, die eine Beteiligung von Menschen erfordern.
Erkennung komplexer Bedrohungen
Selbst die sorgfältigst tarierten Sensoren können bisher unbekannte schädliche Aktivitäten nicht erkennen, da solche Angriffe in der Regel aus einer Reihe separater und legitimer Aktionen bestehen, die leicht mit denen von Systemadministratoren oder normalen Nutzern verwechselt werden können. Dateilose Angriffe, die intensive Nutzung von LOLBAS-Tools (Living Off the Land Binaries and Scripts), Laufzeitverschlüsselung, Downloader und Packer – all dies setzen Angreifer häufig ein, um Sicherheitslösungen und -kontrollen zu umgehen.
Auch KI, die Telemetriedaten von Sensoren analysiert, kann nicht alle Daten oder Aktionen, die zu unterschiedlichen Zeiten stattfinden, erfassen und verarbeiten. Selbst wenn dies möglich wäre, gibt es eine weitere Herausforderung: das Situationsbewusstsein. Damit ist die Verfügbarkeit von Informationen über alle Vorgänge, die derzeit in der Infrastruktur stattfinden, gemeint. Ein einfaches Beispiel: eine KI beobachtet einen Vorgang, von dem sie glaubt, dass es sich um einen von Menschen gesteuerten Advanced Persistent Threat (APT) handelt, der sich aber als legitime Handlung eines Mitarbeiters herausstellt, der Recherchen durchführt. Dies kann nur durch eine direkte Kontaktaufnahme mit dem Kunden geklärt werden. Situationsbewusstsein ist deshalb entscheidend, um echte Vorfälle von False-Positives zu unterscheiden – unabhängig davon, ob die Warnlogik auf einer bestimmten Angriffstechnik oder einer Anomalie-Analyse basiert.
Das bedeutet nicht, dass KI bei der Erkennung von Bedrohungen unwirksam ist. Tatsächlich kann sie 100 Prozent der bekannten Gefährdungen erfolgreich bekämpfen und, wenn sie richtig konfiguriert ist, den Aufwand für Analysten erheblich verringern. Kaspersky hat dies beispielsweise als eigenen Machine-Learning (ML)-Analysten für seinen Managed Detection and Response (MDR) -Service entwickelt. Es handelt sich um einen überwachten ML-Algorithmus, der markierte historische Daten für die primäre Klassifizierung von Alarmen als False-Positive oder True-Positive verwendet. Alle Warnmeldungen geschützter Assets werden zunächst so verarbeitet. Etwas mehr als ein Drittel der Aktivitäten, die der Algorithmus klassifiziert, werden als False-Positive eingestuft, und alles, was den Schwellenwert oder die angegebene Filterregel überschreitet, wird zur Prüfung an das Sicherheitsanalystenteam geschickt. Dieses bewertet dann jeden Alarm, wobei zusätzliche Methoden und Daten verwendet werden, die für den jeweiligen Fall geeignet sind und von der KI möglicherweise nicht verwendet wurden. Nach der Problemlösung durch die menschlichen Analysten werden diese Informationen an den ML-Analysten weitergeben, so dass der nächste ähnliche Fall für die KI keine Herausforderung mehr darstellt.
Umfassende Expertise entscheidend für den „Jagderfolg“
Dieser Joint-Force-Ansatz erfordert besondere Fähigkeiten, hochgradige Analystenerfahrung und eine ständige Anpassung der Algorithmen. Sicherheitsteams sind dadurch in der Lage, selbst die gefährlichsten Situationen, wie etwa die bekannte Ausnutzung der Schwachstelle PrintNightmare oder den APT-Angriff MuddyWater, zu bewältigen und diese wertvollen Erkennungsszenarien mit anderen zu teilen.
Bei der Identifizierung neuer Bedrohungen ist zudem ein aktives manuelles Threat Hunting erforderlich. Auf diese Weise kann ein Sicherheitsteam solche Bedrohungen aufspüren, die zwar bisher unentdeckt blieben, aber in der Infrastruktur des Unternehmens noch aktiv sind. Diese aktive Bedrohungssuche ermöglicht es einem Unternehmen, aktuelle Aktionen von Cyberkriminellen und Cyberspionage im Netzwerk zu identifizieren, die Gründe für diese Vorfälle und die möglichen Quellen zu verstehen und wirksame Maßnahmen für deren Eindämmung zu planen, um ähnliche Angriffe zu vermeiden. Analysten müssen also den KI-basierten Algorithmus ständig anpassen und trainieren, damit dieser neue Bedrohungen erkennen und die Effizienz der Optimierungen testen kann.
Erweiterte Sicherheitsbewertungen
Evaluierungen sind von entscheidender Bedeutung, um einen detaillierten Überblick über den Stand der Cybersicherheit in einem Unternehmen zu erhalten. Auch dafür gibt es automatisierte Lösungen. So kann beispielsweise eine Schwachstellenbewertung dabei helfen, öffentlich bekannte Schwachstellen in einer genau definierten Gruppe von Systemen zu entdecken. Dieser Dienst nutzt zwar eine Datenbank mit bereits bekannten Sicherheitsproblemen, kann aber nicht die Widerstandsfähigkeit des Sicherheitssystems gegenüber ausgeklügelten Angriffen und unkonventionellem Verhalten der Angreifer testen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Um sicherzustellen, dass das Unternehmen sich selbst schützen kann, sollten fortschrittlichere Bewertungsverfahren eingesetzt werden. Zum Beispiel Dienste, die tatsächlich einen Cyberangriff simulieren können. Dazu zählen unter anderem Penetrationstests und Red Teaming, die zumeist manuell durchgeführt werden und auf dem Wissen und der Erfahrung eines Spezialisten beruhen. Diese Ansätze verwenden eine Mischung aus Techniken, Taktiken und Verfahren und passen sich den spezifischen Cyberabwehrfähigkeiten des Unternehmens an, indem sie das reale Verhalten von Angreifern imitieren.
Sicherheitsbewusstsein regelmäßig und intensiv schulen
Studien zeigen, dass ein Unternehmen jedes Jahr durchschnittlich mit über 700 Social-Engineering-Angriffen konfrontiert ist. Darüber hinaus gehören schwache Passwörter und Phishing-E-Mails nach wie vor zu den Haupteinfallstoren in Unternehmensnetzwerke. Cyberkriminelle folgen Trends und nutzen diese für ihre Zwecke: von der Pandemie bis zum neuen Album von Kanye West –Angreifer setzen auf Aktualität, um die Aufmerksamkeit eines potenziellen Opfers durch Phishing-E-Mails und schädliche Websites auf sich zu lenken und ihre Ziele zu erreichen.
Daher ist es von entscheidender Bedeutung, dass Mitarbeiter ein klares Verständnis für die Bedeutung von Cybersicherheitsrichtlinien sowie die Konsequenzen ihres Handelns haben. Es reicht nicht aus, einfach ein Handbuch oder einen Test zur Sensibilisierung zu entwickeln, der nur für die Einarbeitung neuer Teammitglieder verwendet wird. Das IT-Sicherheitsteam sollte sich der Relevanz von Sicherheitsschulungen bewusst sein und neue, nicht standardisierte Ansätze entwickeln, um allen Beschäftigten wichtige Informationen zu vermitteln. Ist dies intern nicht möglich, kann das Training an ein professionelles Sicherheitstrainingsteam ausgelagert werden, das die Informationen regelmäßig aktualisiert und eine ansprechende und motivierende Lernerfahrung bietet.
Sicherheitsteams sollten nicht gänzlich auf automatisierte Lösungen verzichten; ganz im Gegenteil: Angreifer setzen selbst häufig auf automatisierte Lösungen, wie beispielsweise maschinelles Lernen, um Informationen über potenzielle Ziele zu sammeln, Passwörter über Brute Force zu knacken, Schwachstellen durch Fuzzing zu finden, DDoS-Angriffe durchzuführen oder gar zur Entwicklung von Malware. Nur eine intelligente Mischung aus automatisierten Lösungen und menschlicher Kreativität, Kompetenz und Kontrolle kann eine umfassende Cyberabwehr gewährleisten und Unternehmen vor kostspieligen Sicherheitsvorfällen bewahren.
Über den Autor: Peter Aicher ist Senior Presales Engineer bei Kaspersky.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/bd/49/bd49220dba46f0e945be4cd6f998fe00/0127243777v2.jpeg "Für den erfolgreichen Einsatz von Multi-Agenten-Systemen im SOC empfiehlt Ontinue eine Kombination aus klarer Orchestrierung, kontrollierter Skalierung, ausgewogener Autonomie, dem Umgang mit KI-Halluzinationen, konsequenter Systemsicherheit und hoher Interoperabilität. (Bild: Jenar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/71/67719ea69654b5abfb255d97d46c8785/0127424133v2.jpeg "Cyberkriminelle setzen zunehmend KI-gestützte Bots und Sprachmodelle ein. Unternehmen müssen mit intelligenter Bedrohungserkennung und adaptiven Schutzmechanismen reagieren. (Bild: © rufous - stock.adobe.com)")