Die Prognose wird langsam Realität: Cyberkriminelle nutzen zunehmend KI-Lösungen, da einige Tools Angriffe deutlich vereinfachen. Herkömmliche Security-Ansätze können diese nicht mehr aufdecken, damit müssen sich Unternehmen mit Hilfe von KI schützen. So wird IT-Sicherheit zu einem Wettbewerb zwischen KI-Systemen.
Cyberkriminelle testen bereits die Möglichkeiten von KI für Cyberangriffe aus. Inzwischen gibt es auch zahlreiche KI-basierte Security-Tools verschiedener Anbieter, aber hier lohnt sich ein genaues Hinsehen.
(Bild: phonlamaiphoto - stock.adobe.com)
Aktuelle KI-Tools wie ChatGPT erzielen bereits beeindruckende Ergebnisse – die automatisch erstellten Texte lassen sich oft kaum noch von manuell geschriebenen unterscheiden. Doch wie jede Technologie können sie zum Guten oder zum Bösen verwendet werden. So probieren Cyberkriminelle bereits die Eigenschaften von ChatGPT für Cyberangriffe im großen Stil aus. Dies umfasst nicht nur Texte für Phishing-Mails, sondern auch mit Hilfe der Programmierfunktionen eine direkte automatische Code-Entwicklung. Damit muss der Angreifer selbst keine Programmierkenntnisse mehr haben, wodurch diese Einstiegshürde deutlich sinkt.
Die zu erwartenden Folgen: viel mehr Angriffe durch Script-Kiddies oder „Hobby-Hacker“ sowie eine wesentlich höhere Flexibilität und Variabilität der Malware. Für Unternehmen bedeutet dies aber nicht nur eine Steigerung der Intensität von Attacken, sondern auch einen echten Paradigmenwechsel. Denn herkömmliche Security-Lösungen und -Ansätze können die neuartigen Bedrohungen nicht mehr abwehren.
Eine völlig veränderte Situation
Warum ist das so? Für die Antwort hilft ein Blick zurück. Bis vor zehn Jahren verließen sich die Security-Tools zur Erkennung von Bedrohungen in der Regel auf bekannte Muster in der Malware, so genannte Signaturen. Entsprechend suchten sie nach exakten Übereinstimmungen mit bereits bekannten Schadprogrammen. Bei geringer Variabilität des Angriffscodes reicht dieser Ansatz aus.
Seitdem wurden die Attacken jedoch immer raffinierter und sie verändern sich ständig. Hinzu kommt die zunehmende Vernetzung der Unternehmen mit komplexen Lieferketten, hybriden Multicloud-Umgebungen und dem Internet der Dinge. Dadurch vergrößert sich deutlich die mögliche Angriffsfläche.
Heute ist klar, dass die einfache Mustererkennung mit der Geschwindigkeit dieser Entwicklungen nicht mithalten kann. Gleichzeitig können menschliche Security-Teams nicht mehr den Umfang und die Komplexität der Sicherung moderner IT-Umgebungen bewältigen. Mit steigenden KI-basierten Angriffen wird es daher immer dringlicher, KI-basierte Sicherheitslösungen einzusetzen. Denn nur diese können mit der Menge und Variabilität der Attacken Schritt halten.
Reaktive, lernende KI
Inzwischen stehen zahlreiche KI-basierte Security-Tools verschiedener Anbieter zur Verfügung. Doch hier lohnt sich ein genaues Hinsehen. Viele davon suchen mit Hilfe von Machine Learning nach Ähnlichkeiten mit zuvor aufgetretenen Angriffen.
Das ist zwar besser als starre Signaturen, bleibt aber reaktiv. Das heißt, solche Lösungen können keine völlig neuen Angriffstechniken erkennen. Denn im Prinzip basieren sie immer noch auf denselben historischen Angriffsdaten. Der Ansatz erfordert weiterhin einen ersten erfolgreichen Angriff, um ähnliche zu entdecken.
Dieses „Vortraining“ auf Basis bekannter Daten wird auch als überwachtes maschinelles Lernen bezeichnet. Das Problem ist jedoch, dass dieser Ansatz nur so gut funktioniert, wie es sein historischer Trainingssatz erlaubt. Dabei ist ein zentralisierter Datenspeicher in der Cloud nötig, um die Kundendaten umfassend zu analysieren. Der Trainingssatz muss ständig aktualisiert werden, und neue Erkenntnisse sind an jeden Kunden weiterzugeben. Bis dann ein Unternehmen von einer neuen Bedrohung erfährt, ist es aber oft schon zu spät – und unbekannte Bedrohungen werden gar nicht entdeckt.
Aktive, mitdenkende KI
Aufgrund der hohen Variabilität von Angriffen und der immer stärkeren individuellen Anpassung an ihre Opfer, benötigen Unternehmen heute jedoch einen schnellen, aktiven und maßgeschneidertem Schutz. Dieser sollte sowohl Fehlalarme vermeiden als auch sämtliche Angriffe zuverlässig erkennen. Das kann keine Standardlösung bieten. Denn hierzu ist der Kontext des jeweiligen Unternehmens, das geschützt werden soll, zu berücksichtigen.
Auch solche Lösungen gibt es bereits. Sie verfolgen einen grundlegend anderen Ansatz zur Abwehr des gesamten Angriffsspektrums. Anstatt einer Maschine beizubringen, wie eine Attacke aussieht, lernt die KI beim unüberwachten maschinellen Lernen das Unternehmen und seine Umgebung erst kennen. So versteht sie, was in dieser einzigartigen digitalen Umgebung „normal“ ist – eine entscheidende Voraussetzung zum Erkennen von Abweichungen und anormalem Verhalten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
KI ist nicht gleich KI
Den Unterschied zwischen diesen ML-Ansätzen zeigen die weit verbreiteten Hafnium-Angriffe auf Microsoft Exchange Server im vergangenen Jahr. Dabei handelte es sich um neuartige Kampagnen, die von unüberwachtem ML in Echtzeit in vielen Kundenumgebungen erkannt und gestoppt wurden. Zu diesem Zeitpunkt lagen keinerlei Informationen über diese Bedrohung vor. Im Gegensatz dazu waren andere Unternehmen mit überwachtem ML der Gefahr schutzlos ausgeliefert, bis Microsoft sie einige Monate später bekannt gab.
Das belegt die Vorteile von unüberwachtem ML: autonomes Erkennen, Untersuchen und Reagieren – selbst auf fortschrittliche und unbekannte Bedrohungen – auf Basis eines individuellen Verständnisses der zu schützenden IT-Umgebung. Dieses Verständnis für jeden Benutzer und jedes Gerät im gesamten Unternehmen entwickelt sich im laufenden Betrieb weiter.
So erkennt unüberwachtes ML auch neuartige KI-basierte Angriffe, sobald diese damit beginnen, Daten zu manipulieren, Abwehrmaßnahmen zu umgehen oder andere ungewöhnliche Aktivitäten durchzuführen. Damit dürfte Geschwindigkeit die wichtigste Disziplin im Wettbewerb KI gegen KI sein. Denn es bleibt die Frage, wie schnell KI-Attacken das kurze Zeitfenster bis zu ihrer Entdeckung ausnutzen können – und wie schnell die KI-Abwehr reagiert. Das Rennen geht also auf einem neuen Niveau weiter.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2f/a7/2fa79f6402a1117c8496159a24092fc6/0129859499v2.jpeg "Governance wird unter NIS2 zur sicherheitskritischen Funktion: Geschäftsleitungen müssen Cyberrisiken aktiv steuern, Entscheidungen nachweislich treffen und können die Verantwortung nicht mehr einfach delegieren. (Bild: © Khfd - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8a/36/8a36b00d7f6be97b488df00401360c18/0129877671v1.jpeg "Jailbreaking und andere Angriffe auf KI-Systeme erfordern neue Sicherheitsansätze. Unternehmen müssen Schutzmechanismen außerhalb des Modells verankern und KI-spezifisches Red-Teaming einsetzen. (Bild: © InfiniteFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/06/8306e6732e1cdfca7c3c5f7667d0a31a/0129631503v2.jpeg "Das aktuelle Ransomware-Ökosystem zeichnet sich durch einen kontinuierlichen Anstieg an Angriffen in der DACH-Region aus, der durch eine arbeitsteilige Struktur unter Cyberkriminellen und Millionen kompromittierter Accounts im Darknet gefördert wird. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/95/9b95467aad0c6c19529d9ccb0edb0ce5/0129748679v2.jpeg "Ein Cyberkrimineller konnte 150 Gigabyte an Daten von mexikanischen Behörden stehlen. Darunter Informationen zu Steuerzahlungen, Ausweisdaten, Registerdaten, Mitarbeiterzugangsdaten sowie Betriebsdaten. (Bild: Benjamin - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/16/20/16206132726f712c72dbe82f73faf383/0129606410v2.jpeg "Angreifer könnten laut Palo Alto Networks LLMs ausnutzen, indem sie die Art und Weise, wie diese auf API-Aufrufe reagieren, manipulieren, um dynamisch schädlichen JavaScript-Code zu generieren. Diesen könnten sie auf scheinbar harmlosen Webseiten zur Erstellung von Phishing-Seiten einsetzen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/97/c2/97c233365254f16ac4f7fda04075660c/0129380266v1.jpeg "Cohesity Data Cloud: Werden beim Scan verdächtige Dateien gefunden, werden diese mit Kompromittierungsindikatoren angezeigt. (Bild: Cohesity)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/1c/2c/1c2c56c2cb8fe952631e9741158f7c7f/0125129708v1.jpeg "Shai-Hulud kompromittierte über 25.000 GitHub-Repositories im NPM-Ökosystem. Im Deep-Dive-Video mit Mondoo zeigen wir, wie man Supply-Chain-Angriffe rechtzeitig erkennen kann und welche Schutzmethoden es gibt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/04/92/049241d64160979bbcff397d28d51bd2/0129753548v2.jpeg "Cyberkriminelle nutzen die Content-Type-Confusion-Schwachstelle aus, indem sie manipulierte Webhook-Requests mit falschem Content-Type senden und darüber ein gefälschtes „files“-Objekt einschleusen. So können sie lokale Dateien und Secrets auslesen und Schadcode schmuggeln. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f3/7d/f37dc8c76ed53109bcb9f0685833b476/0129556118v1.jpeg "Die neue App soll Unternehmen helfen, die eigene Krisen-Resilienz zu überprüfen. (Bild: © Wanan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cc/83cc8ef3d0201c8a899011eb2428a3a4/0129633537v1.jpeg "Bei einem amerikanischen Unternehmen, das sich auf KI-basierte Identitätsverifikation spezialisiert hat, kam es zu einem massiven Datenleck. Dabei wurden drei Milliarden Datensätze, darunter rund eine Milliarde sensible Daten, aus 26 Ländern offengelegt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/75/b9/75b947d0d652fabc454a61cb164dbbb6/0129898446v2.jpeg "Evrotrust, Anbieter für digitale Identitäts- und qualifizierte Vertrauensdienste mit Hauptsitz in Sofia, gründet mit der Evrotrust Technologies GmbH eine Niederlassung in Deutschland. (Bild: Evrotrust)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/69/9d/699da109d631b/onapsis-logo-full-color-rgb-150dpi.png "onapsis-logo-full-color-rgb-150dpi (Onapsis)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/66/91/669182f35112651909deeba31e92c0a9/0117565333.jpeg "Was macht ChatGPT so undurchschaubar und zugleich attraktiv für Skriptkiddies, Fuzzing und Seitenkanal-Attacken? (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/57/a2/57a2e54c9779751005c92592e51e3c0c/0123581721v2.jpeg "Um in den kommenden Jahren KI sicher nutzen zu können, brauchen Unternehmen eine klare KI-Governance sowie eindeutige KI-Nutzungsrichtlinien. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/95/bb/95bbd9abdcef3a607b8a8f1841efe072/0124594202v2.jpeg "Cyberkriminelle attackieren Unternehmen zunehmend simultan über diverse Kommunikationswege. Der Artikel beleuchtet, wie diese Multivektor-Angriffe funktionieren und welche Strategien IT-Sicherheits-Experten ergreifen können, um ihre Organisationen wirksam zu schützen. (Bild: © StockUp - stock.adobe.com)")