Strategien für den Einsatz von Large Language ModelsLLMs für Cybersecurity-Aufgaben nutzen
Ein Gastbeitrag von
Mislav Findrik
5 min Lesedauer
Große Sprachmodelle (Large Language Models, kurz LLM) sind ein wichtiges Diskussionsthema bei Strategiesitzungen in allen Branchen, einschließlich der Cybersicherheit. Um zu verstehen, wie genau die Cybersicherheitsbranche von dieser fortschrittlichen KI-Technologie profitieren könnte, werden in diesem Beitrag die LLM-Technologie und die Cybersicherheitsaufgaben, die sie lösen kann, näher erläutert.
Es gibt vielfältige Einsatzgebiete für Large Language Models im Bereich der Cybersicherheit. Neben der Erkennung von Bedrohungen können LLMs beispielsweiuse auch bei der Generierung und Analyse von Informationen über Cyber-Bedrohungen wirksam sein.
(Bild: MrHuman - stock.adobe.com)
Das Aufkommen von Large Language Models, kurz LLMs, eröffnet neue Möglichkeiten im Bereich der Cybersicherheit. Während ChatGPT die Öffentlichkeit mit seinem kreativen Ansatz und seinen menschenähnlichen Fähigkeiten zur Verarbeitung natürlicher Sprache in seinen Bann gezogen hat, versuchen Unternehmen, LLMs zu nutzen, um ihre Produkte und Prozesse zu verbessern und neue Dienstleistungen anzubieten. Bevor wir spezifische Anwendungsfälle im Bereich der Cybersicherheit näher erörtern, wollen wir uns zunächst die gängigsten Strategien zur Nutzung der LLM-Technologie ansehen.
Eine einfache Strategie besteht darin, geschlossene und kommerzielle LLM-Anbieter wie GPT-4 von OpenAI oder Gemini von Google zu verwenden. Dies funktioniert gut in Fällen, in denen Informationen aus öffentlichen Webdaten. Im Bereich der Cybersicherheit könnte dies bedeuten, dass öffentliche Bedrohungsdaten abgerufen werden, ethische Hacking-Ratschläge angeboten werden oder Hilfe beim Schreiben von sicherem Code geleistet wird.
Der entgegengesetzte Ansatz könnte darin bestehen, ein LLM von Grund auf zu entwickeln oder zu trainieren. Dies erfordert große Datenmengen, Computerressourcen und ein qualifiziertes Team für Schulung und Einsatz. Für die meisten Unternehmen ist dies aufgrund der hohen Kosten nicht durchführbar. Daher bevorzugen die meisten Unternehmen entweder: (a) die Anpassung eines vortrainierten Closed-Source-LLM über APIs oder (b) die Anpassung eines vortrainierten Open-Source-Modells wie Llama. Sobald eine geeignete Option ausgewählt wurde, besteht der nächste Schritt in der Auswahl des richtigen LLM-Modells und der Anpassungsmethode.
Die Anpassung ist von entscheidender Bedeutung, da sie es generischen, vorab geschulten LLMs ermöglicht, spezifische Cybersicherheitsaufgaben zu bewältigen. Anpassungsmethoden werden im Allgemeinen in drei Kategorien eingeteilt: Prompt Engineering, Feinabstimmung und externe Erweiterung.
Prompt-Engineering beinhaltet die Anleitung von LLMs zur Durchführung von Aufgaben und zur Präsentation von Ergebnissen unter Verwendung natürlicher Sprache, oft durch die Bereitstellung einiger Beispiele von Fragen und zugehörigen Antworten.
Externe Erweiterungen verbessern das LLM-Wissen, indem sie relevante Informationen aus externen Quellen, wie Datenbanken, abrufen. MagicUnprotect nutzt diese Methode zum Beispiel, um Informationen über Malware-Umgehungstechniken zu finden.
Bei der Feinabstimmung werden die Parameter eines Modells mithilfe spezieller Datensätze so angepasst, dass sie für bestimmte Aufgaben besser geeignet sind. Diese Methode ist komplexer als Prompt-Engineering oder eine externe Erweiterung, kann aber sehr genaue Ergebnisse liefern. Beispiele hierfür sind Googles Sec-PaLM, ein PaLM-Modell, das für Sicherheitszwecke feinabgestimmt wurde, und SecureFalcon, das für die Erkennung von Softwareschwachstellen feinabgestimmt wurde.
Es ist wichtig anzumerken, dass LLMs zwar bei legitimen Cybersicherheitsbemühungen helfen können, aber auch von Cyberkriminellen für Phishing, die Erstellung von Malware und mehr verwendet werden können. Dieser Beitrag konzentriert sich jedoch auf ihre legitime Verwendung in der Cybersicherheit.
1. Erkennung von Bedrohungen und Aufklärung
Einer der wichtigsten Aspekte der Cybersicherheit ist die frühzeitige Erkennung und Analyse potenzieller Bedrohungen. LLMs können große Mengen unstrukturierter Daten wie Logs (siehe LogGPT), E-Mails, Malware, Phishing-Websites und Netzwerkverkehr verarbeiten und analysieren, um Anomalien oder bösartige Muster in verschiedenen Arten von unstrukturierten Daten im Zusammenhang mit Cybersicherheit zu erkennen. Bei der Auswahl von LLMs für die Erkennung von Bedrohungen ist es von Vorteil, die Option der Verwendung proprietärer maschineller Lernmodelle in Betracht zu ziehen, die weniger rechenintensiv sind, einen höheren Durchsatz haben und kosteneffizient sind, aber möglicherweise mit einer leichten Leistungsverschlechterung einhergehen.
Neben der Erkennung von Bedrohungen können LLMs auch bei der Generierung und Analyse von Informationen über Cyber-Bedrohungen wirksam sein. Angesichts ihrer Fähigkeit, menschliche Sprache zu interpretieren, könnte ein potenzieller Anwendungsfall im Bereich der Cyber-Bedrohungsaufklärung eine Konversationsschnittstelle zur Interpretation von öffentlichen und kommerziellen Sicherheitsberichten und von Informationen aus kriminellen Foren wie Darkweb sowie die Erstellung von Berichten auf der Grundlage solcher Informationen umfassen.
2. Reaktion auf Zwischenfälle und Automatisierung
Eine wirksame Reaktion auf Zwischenfälle im Bereich der Cybersicherheit erfordert rechtzeitige und genaue Informationen. LLMs können bei der Automatisierung vieler Aspekte des Incident-Response-Prozesses helfen, von der Einstufung von Warnmeldungen bis zur Verbesserung von Incident-Response-Plänen. Durch die schnelle Zusammenfassung großer Datenmengen und die Bereitstellung verwertbarer Erkenntnisse ermöglichen LLMs den Sicherheitsteams eine effizientere Reaktion auf Zwischenfälle.
Darüber hinaus können LLMs bei der Erstellung und Aktualisierung von Playbooks für die Reaktion auf Zwischenfälle beraten und die in den Reaktionsplänen auf Zwischenfälle verwendeten Standardbetriebsverfahren verbessern, wodurch sichergestellt wird, dass Sicherheitsteams Zugang zu den neuesten Best Practices und Verfahren haben. Darüber hinaus können LLMs auch in SIEM-Systeme (Security Information and Event Management) integriert werden, um die Priorisierung von Warnmeldungen nach Schweregrad und Kontext der Bedrohung zu unterstützen. Die Automatisierungsfunktionen von LLMs entlasten die menschlichen Analysten und ermöglichen es ihnen, sich auf komplexere Aufgaben zu konzentrieren, die menschliches Urteilsvermögen erfordern.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
3. Sicherheitskodierung und Schwachstellenmanagement
Das Schwachstellenmanagement ist eine ständige Herausforderung für Cybersicherheitsteams. LLMs können diesen Prozess durch die Analyse von Daten aus Schwachstellendatenbanken, Patch-Hinweisen und Sicherheitshinweisen verbessern, um die kritischsten Schwachstellen zu identifizieren, die behoben werden müssen. Indem sie die potenziellen Auswirkungen einer Schwachstelle im Kontext der spezifischen Umgebung eines Unternehmens verstehen, können LLMs dabei helfen, die Prioritäten für Patching-Maßnahmen effektiver zu setzen.
Neben der Identifizierung und Behebung von Sicherheitslücken können LLMs die Sicherheit von Codes verbessern, indem sie Entwicklern dabei helfen, einen sichereren Code zu schreiben und potenzielle Sicherheitslücken während der Entwicklung zu erkennen. Beispielsweise könnten Code-Reviews durch die automatische Identifizierung potenzieller Sicherheitsschwachstellen, wie Injektionsangriffe, durchgeführt werden und den Entwicklern Echtzeit-Feedback und Vorschläge zur Behebung liefern. Bei Sicherheitsaudits können LLMs große Codebasen analysieren, um Muster und Anomalien zu erkennen, die auf Sicherheitsrisiken hindeuten können, und bieten so eine umfassendere Bewertung als herkömmliche Methoden. Bei der Erkennung von Fehlern und Schwachstellen können LLMs den Code auf bekannte Schwachstellen und unsichere Kodierungspraktiken untersuchen und so dazu beitragen, Probleme frühzeitig im Entwicklungsprozess zu erkennen. Sie können auch sichere Codeschnipsel generieren und Verbesserungen vorschlagen (ähnlich wie der Copilot von Github), wodurch die Wahrscheinlichkeit der Einführung neuer Schwachstellen verringert wird. Darüber hinaus können LLMs dabei helfen, die Ergebnisse klar und einheitlich zu dokumentieren und zu melden, was die Kommunikation zwischen Entwicklungs- und Sicherheitsteams erleichtert.
4. Sicherheitsbewusstsein und Schulung
Menschliches Versagen ist nach wie vor eine der Hauptursachen für Sicherheitsverstöße. LLMs können eine entscheidende Rolle bei der Verbesserung des Sicherheitsbewusstseins und der Schulungsprogramme spielen, indem sie personalisierte und kontextbezogene Schulungsinhalte bereitstellen. LLMs können in diesem Kontext zudem realistische Phishing-Simulationen oder andere Social-Engineering-Szenarien erstellen, die auf die spezifischen Risiken einer Organisation zugeschnitten sind. Dieser gezielte Schulungsansatz stellt sicher, dass die Mitarbeiter besser darauf vorbereitet sind, Cyber-Bedrohungen zu erkennen und auf sie zu reagieren. Darüber hinaus können LLMs bei der Erstellung von ansprechendem und aktuellem Schulungsmaterial behilflich sein, wodurch Programme zur Sensibilisierung für Sicherheitsfragen effektiver und weniger anfällig für Ermüdung werden.
Über den Autor: Mislav Findrik, PhD, leitet das Datenanalyseteam bei der cyan AG, wo er Forschungsprojekte und die Entwicklung der Threat Intelligence Plattform beaufsichtigt. Seine Arbeit konzentriert sich auf die Weiterentwicklung von Methoden zur Erkennung von Bedrohungen, um die Qualität der Cybersecurity-Lösungen der cyan AG zu verbessern.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/11/b7/11b76b96dbdb151a31906cad21db8a64/0123327739v1.jpeg "Der Autor: Matthias Bissinger ist Senior Security Consultant (DACH) bei aDvens. (Bild: aDvens)")
:quality(80)/p7i.vogel.de/wcms/bc/38/bc38089b6b1de468c5bcfdf6ec327ede/0122931556v2.jpeg "KI eröffnet neue und vielfältige Möglichkeiten, auch bei der Erkennung und Abwehr von Bedrohungen, sie öffnet aber auch neue Angriffsvektoren. (Bild: Sutthiphong - stock.adobe.com)")