Die Verteidigung von Unternehmen gegen Cyber-Bedrohungen wird immer anspruchsvoller. Der Branchenverband Bitkom ermittelte, dass digitale Angriffe in den vergangenen beiden Jahren bei 70 Prozent der deutschen Unternehmen einen Schaden versursacht haben.
Um Cyber-Bedrohungen wirksam zu begegnen, müssen sich Unternehmen nicht nur davor schützen, sondern diese am besten auch frühzeitig erkennen.
(Bild: Wipro)
Detaillierte Analysen schwerwiegender Datenschutzverletzungen haben gezeigt, dass Angreifer oft schon Monate im Voraus ihre Aktionen planen. Darüber hinaus haben sich mit der wachsenden Zahl von Geräten im „Internet der Dinge” die Angriffsflächen vervielfältigt. Organisationen müssen daher neue Wege zum Schutz ihrer Assets suchen.
Vor diesem Hintergrund verlagern sich die IT-Sicherheitsstrategien: Der reine Schutz vor Bedrohungen reicht nicht mehr aus, entscheidend ist vielmehr das rechtzeitige Erkennen und die entsprechende wirksame Reaktion darauf.
Bedrohungen mit Machine Learning identifizieren
Sicherheitsmechanismen zum Schutz vor und Erkennen von Bedrohungen haben in den vergangenen Jahrzehnten vor allem signaturbasierte Ansätze verwendet. Dieser Ansatz hat jedoch einige Nachteile:
Es werden nur bereits bekannte Bedrohungsvektoren und -akteure erkannt;
Lösungsansätze wie beispielsweise SIEM (Security Information and Event Management) können Informationen nur über einen kurzen Zeitraum prüfen und verarbeiten;
Ausgereifte SIEM-Anwendungsfälle spiegeln zwar das kollektive Wissen der Organisation über zuvor bekannte (oder gut recherchierte) Bedrohungsszenarien wider. Solche Lösungen sind aber wirkungslos, wenn Indikatoren für einen niedrigschwelligen und langsamen Sicherheitsverstoß über einen langen Zeitraum gesammelt werden müssen.
Das Aufdecken solcher Bedrohungen erfordert die Fähigkeit, Daten aus einer Vielzahl von Quellen und über einen langen Zeitraum zu analysieren und anormales Verhalten herauszufiltern. In den vergangenen zwei Jahren entstanden zahlreiche kommerzielle Lösungen, bei denen Machine Learning zur Erkennung unbekannter Bedrohungen eingesetzt wird. Bei diesem maschinellen Lernen handelt es sich um eine Art künstlicher Intelligenz (KI), die Computern die Fähigkeit verleiht, zu lernen, ohne explizit programmiert zu werden. Dabei wird oft zwischen beaufsichtigten und unbeaufsichtigten (supervised/ unsupervised) Algorithmen unterschieden.
Beaufsichtigte und unbeaufsichtigte Algorithmen für maschinelles Lernen
Beaufsichtigte Algorithmen können in der Vergangenheit Erlerntes auf neue Daten anwenden. Im Zusammenhang mit dem Erfassen von Bedrohungen bedeutet das zum einen, dass Cybersicherheitsexperten neue Schadsoftware, Angriffsmodelle, Techniken und Verfahren analysieren und mit den gewonnenen Erkenntnissen ihre Data-Science-Modelle trainieren. Auf der anderen Seite hilft die Analyse des Datenverkehrs dabei, Hauptmerkmale von Bedrohungen herauszuarbeiten. Beispielsweise kann ein beaufsichtigtes Machine-Learning-Modell anhand der Analyse von Werkzeugen für den Fernzugriff (Remote Access) lernen, wie sich der von diesen Tools verursachte Verkehr vom „Grundrauschen” unterscheidet.
Beaufsichtigte Lernalgorithmen unterstützen die Erkennung von Bedrohungen innerhalb des Netzwerks der Organisation ab dem ersten Tag ihres Einsatzes und ohne organisationsspezifische Lernphase. Unbeaufsichtigte Lernmodelle hingegen erweitern ihre Intelligenz speziell für die Umgebung des Kunden. Der Vorteil beaufsichtigter Lernmodelle liegt vor allem darin, dass sie vom ersten Tag an einsatzbereit sind. Allerdings können einige Bedrohungsszenarien nur spezifisch für jede Kundenumgebung gelernt werden.
Algorithmen für unbeaufsichtigtes Lernen konzentrieren sich darauf, zu verstehen, was das IT-Nutzungsmuster des Kunden einzigartig macht und erkennen Anomalien, wenn sie auftreten. Ihr Risiko besteht darin, dass sie falsches Verhalten als Normalität annehmen können, wenn sie einer solchen Nutzung ausgesetzt sind. Im Allgemeinen wird diese Kategorie von Algorithmen in höherem Maße mit falsch positiven Ergebnissen in Verbindung gebracht.
Übernahme von Fähigkeiten des maschinellen Lernens
Sicherheitsverstöße erfolgen in aller Regel an den sogenannten Endpunkten (Endpoints) über Benutzerdaten und verbreiten sich dann über das Netzwerk. Endpoints sind also der Dreh- und Angelpunkt bei der Einführung von Machine Learning zur Bedrohungserkennung. Besonders vielversprechend scheinen hier Lösungen im Bereich der „Endpoint Threat Detection and Response” (ETDR). Neben der Erkennung von Bedrohungen bieten diese Lösungen auch umfassende Möglichkeiten zu deren Eindämmung sowie forensische Fähigkeiten an den Endpunkten.
ETDR-Lösungen machen Bedrohungen am Endpoint granular sichtbar. Die Herausforderung für Organisationen besteht dann vor allem darin, Softwareagenten an den Endpunkten einzuführen und zu verwalten. Erschwerend kommt dabei hinzu, dass sich beispielsweise bei „Bring Your Own Device” (BYOD) oder dem Internet der Dinge der Formfaktor der Endpunkte ständig ändert und agentenbasierte Ansätze daher möglicherweise nicht schnell genug skalierbar sind.
In diesem Fall bietet das Netzwerk den besten Hebel zur Identifizierung von niedrigschwelligen und langsamen Bedrohungen. Es heißt, dass „das Netzwerk niemals lügt", eine interessante Lösungskategorie ist daher die Analyse des Netzwerkverkehrs (Network Traffic Analysis, kurz NTA). Mit NTA-Lösungen lassen sich beaufsichtigte und unbeaufsichtigte Lernalgorithmen in Verbindung mit dem Host- und Asset-Kontext einsetzen und der zeitliche Verlauf von Bedrohung verfolgen. Diese Maßnahmen helfen, die Sicherheitslage einer Organisation schnell und zuverlässig zu beurteilen. Die zum Einsatz von NTA-Lösungen nötigen Eingriffe in das Netzwerk fallen nicht groß ins Gewicht, daher ist die Schwelle zur Einführung recht gering.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ein weiterer Ansatz zur Nutzung von maschinellen Lernfähigkeiten zur Erkennung dieser Bedrohungen ist die Verwendung der Zugangsdaten der Benutzer. Dieses Segment von Lösungen wird als User and Entity Behavior (UEBA) klassifiziert und bietet einen alternativen Ansatz zur Nutzung von Machine Learning, um Bedrohungen frühzeitig zu erkennen. UEBA setzt in erster Linie unbeaufsichtigte Lernalgorithmen zur Erkennung von Bedrohungen ein. Zu den wichtigsten Anwendungsfällen gehören die Analyse der Nutzung privilegierter Konten, Insider-Bedrohungen, Datenexfiltration oder die gemeinsame Nutzung von Konten.
Welche Lösung in welchem Kontext empfehlenswert ist, hängt von vielen Faktoren ab. Die Grundvoraussetzung ist aber, dass die handelnden Personen die Mechanismen verstehen, um das Potential der unterschiedlichen Ansätze voll ausschöpfen zu können. Machine Learning eröffnet eine reelle Chance, die beschriebenen niedrigschwelligen und langsamen Bedrohungen besser aus den riesigen Datenmengen herauszufiltern als menschliche Spezialisten. Es gibt keinen Königsweg, um das Problem der Cybersicherheit zu lösen. Der Schlüssel liegt vielmehr darin, mehrschichtige Abwehrmechanismen mit den Fähigkeiten maschinellen Lernens zu verbinden, um das bestmögliche Ergebnis zu erzielen.
* Dirk Steiner ist Practice Director Cyber Security und Risk Services für Wipro (Continental Europe).
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/images.vogel.de/vogelonline/bdb/1572200/1572213/original.jpg "Um schmerzhafte Angriffe und Attacken als Verteidigung geht es beim Thema Malware, das in Zukunft auch von KI und ML bestimmt sein könnte. (gemeinfrei)")
:quality(80):fill(efefef,0)/p7i.vogel.de/wcms/60/00/60006a226ad48/listing.jpg "listing")
:quality(80)/images.vogel.de/vogelonline/bdb/1633300/1633313/original.jpg "Bilder zu erkennen, die sie noch nie gesehene haben, für Maschinen heute eine schwierige Aufgabe. (Roberto Schirdewahn)")
:quality(80)/p7i.vogel.de/wcms/93/1a/931ad14c054a5745ae168cbaa4b8fb4f/0125009083v1.jpeg "Jörg Hollerith, Product Manager bei Paessler GmbH. (Bild: Paessler)")
:quality(80)/p7i.vogel.de/wcms/bc/38/bc38089b6b1de468c5bcfdf6ec327ede/0122931556v2.jpeg "KI eröffnet neue und vielfältige Möglichkeiten, auch bei der Erkennung und Abwehr von Bedrohungen, sie öffnet aber auch neue Angriffsvektoren. (Bild: Sutthiphong - stock.adobe.com)")