KI und Machine Learning helfen, Gefahren proaktiv zu erkennen – liefern in der Praxis jedoch oft schwer verwertbare Ergebnisse. Zuverlässiger wird es durch automatisiertes Clustern von Nutzertypen und kontextbasierte Verhaltensanalysen, die Sicherheitsregeln dynamisch anpassen und Angriffsflächen reduzieren.
Klassische KI-basierte Verhaltensanalysen scheitern oft an Fehlalarmen und Kontextblindheit. Adaptive Nutzerprofilierung, individuelle Rollen-Cluster und kontextbezogene Regeln können aber ohne Produktivitätseinbußen die IT-Abwehr stärken.
Angesichts der überwältigenden Flut an immer raffinierteren Cyberangriffen, denen Unternehmen ausgesetzt sind, haben sich auch die Ansprüche an die IT-Abwehr gewandelt. Es bedarf starker und zuverlässiger Präventionsmaßnahmen, die mehr leisten als nur Angriffe zu erkennen oder auf sie zu reagieren. Entscheidend für den Erfolg der Abwehr ist es, proaktiv Angriffsflächen zu reduzieren und IT-Umgebungen zu härten, bevor es zu einem Sicherheitsvorfall kommt.
Verschiedene Technologien haben für eine effektive Abwehr im Vorfeld vieles versprochen: Ein Weg, Erkennung und Reaktion durch Prävention zu verbessern, sollte das Machine Learning- und die Verhaltensanalyse durch KI sein. Jedoch konnten solche Verfahren – wie auch andere – ihr Versprechen bisher nicht einhalten.
Eine ungefilterte Verhaltensanalyse auf Basis von Machine Learning und dem Erkennen von Verhalten liefert keine praktikable Handhabe für eine Abwehr, wenn sie jeden einzelnen Benutzer als isolierte Einheit ohne Kontext und Kontrolle betrachtet und eine Regelflut erzeugt. Ein weiteres Problem ist die hohe Varianz im legitimen Benutzerverhalten, wodurch das legitime Verhalten schwer zu definieren ist. In der Folge erzeugen legitime Besonderheiten im Nutzerverhalten unterschiedlicher Nutzer häufig Fehlalarme, was bei den Sicherheitsteams Alarmmüdigkeit und ein Zuviel an Arbeit verursacht.
Auch vernachlässigt die traditionellen Verhaltensanalyse branchen- und unternehmensspezifische Kontext, was allgemeine, generische Modelle zur Konsequenz hat, die besondere Arbeitsabläufe nicht berücksichtigen. Angreifer können eine darauf aufbauende Abwehr zudem umgehen, indem sie generische, vereinfachte Benutzermuster imitieren. Die dafür notwendige Mehrarbeit nehmen Cyberkriminelle gerne auf sich. Insbesondere bei gezielten Angriffen auf Unternehmen kundschaften sie zunächst die eingesetzte Sicherheitssoftware aus, um im nächsten Schritt die effktivsten Verhaltensmuster zu identifizieren, mit denen sie sich erfolgreich tarnen. Dank der so entstehenden Playbooks ist es ihnen häufig möglich, jedes Unternehmen, das die entsprechenden Sicherheitssoftware im Einsatz hat, einfach zu infiltrieren.
Aufgrund dieser Probleme ergibt sich die Notwendigkeit eines proaktiven Ansatzes, der:
Hochrisikokonfigurationen vor dem Exploit identifiziert;
die Angriffsfläche dynamisch auf der Grundlage von Rolle, Verhalten und unternehmensspezifischem Kontext reduziert;
Fehlalarme minimiert, indem die Abwehr adaptive, auf jedes Benutzersegment zugeschnittene Schutzmaßnahmen anwendet; sowie
ganze Angriffskategorien in Echtzeit blockiert, ohne darauf zu warten, ob eine Anomalie sichtbar wird.
Clustering von Benutzergruppen als Basis individualisierter Schutzmaßnahmen
Die Definition von typischen Nutzergruppen und ihres jeweiligen Verhaltens, die dabei individuell auf den Unternehmenskontext und die jeweiligen Nutzer zugeschnitten sind und sich dynamisch anpassen, verbessert die Möglichkeiten, legitimes von nicht legitimen Verhalten zu unterscheiden. Die Merkmale einer solchen Nutzerkategorie definieren sich dabei aus der Funktion und Tätigkeit einer Person oder Personengruppe im Unternehmen, aus seiner Region und aus seiner Branchenzugehörigkeit.
Bisweilen ist abweichendes Verhalten aufgrund der individuellen Jobbeschreibung gerechtfertigt. Ein Beispiel dafür ist etwa ein Tech-Marketing-Evangelist, der im ständigen Kontakt mit den Entwicklern Windows PowerShell verwendet. Dagegen benötigt kein Human-Ressource-Mitarbeiter dieses Framework, und eine IT-Abwehr kann es für die entsprechende Nutzergruppe global blockieren. Auf diese Weise können Sicherheitsverantwortliche Richtlinien für PowerShell und Skripte automatisch und effizient an das jeweilige Nutzerverhalten anpassen, um Angriffsflächen effektiv zu reduzieren, ohne Arbeitsabläufe zu behindern.
Wirksam und effizient steigt die Sicherheit, wenn eine Abwehrtechnologie Einzelbenutzer automatisiert in aussagekräftige Nutzerprofile zusammenfasst und dynamisch Schutzmaßnahmen auf Grundlage ihrer Bedürfnisse als individuelle Regeln definiert. Das Erstellen der Profile erfasst folgende Nutzertypen:
Task User: Mitarbeiter mit vordefinierten Arbeitsabläufen, die Tools nur eingeschränkt oder kaum nutzen. Es gilt, strenge Ausführungsregeln durchzusetzen und unnötige Privilegien zu entfernen;
Knowledge-User: Fachleute wie zum Beispiel Ingenieure, Analysten und Berater, die Flexibilität benötigen, aber Mustern folgen;
C-Level: Entscheider, die umfassenden Zugriff haben, aber nur eine begrenzte Anzahl von Tools verwenden, benötigen eine präzise Verhaltensvorgabe. Hier gilt es sicherzustellen, dass privilegierte Aktionen mit dem erwarteten Verhalten übereinstimmen.
Sind die Benutzer in Gruppen segmentiert, können IT-Sicherheitsverantwortliche die Richtlinien individuell anpassen, anstatt pauschale Blockaden durchzusetzen. In der Praxis hat sich das manuelle Segmentieren als zu umständlich erwiesen und oft zu zusätzlichen Reibungsverlusten innerhalb des Unternehmens geführt. Durch den Einsatz eines adaptiven Sicherheitsmodells, welches das Verhalten jedes Einzelnen versteht und Benutzer automatisch auf der Grundlage ihres Verhaltens gruppiert, können Unternehmen bereits potenzielle Gefahren verhindern, ohne die Produktivität zu beeinträchtigen.
Darüber hinaus lassen sich auch für Angreifer Verhaltensmuster für legitimer Funktionalitäten zu definieren, um im Gegenschluss bösartige Unterschiede rasch zu erkennen. Hierzu zählen:
Skript-Kiddies: Angreifer mit geringem Fachwissen, die automatisierte Tools verwenden und gängige Fehlkonfigurationen ausnutzen;
Insider-Gefahren: Zugriff auf sensible Ressourcen mithilfe von der Eskalation von Privilegien durch böswillige Akteure;
Advanced Persistent Threats (APTs): Angreifer, die Stealth-Taktiken einsetzen, um Sicherheitsmechanismen zu umgehen und über geraume Zeit unentdeckt im System zu verbleiben;
Ransomware-Betreiber, die sich auf das Verschlüsseln von Daten oder die Blockade von Ressourcen spezialisiert haben, um Lösegelder zu erpressen.
Credential-Stuffing-Angreifer, die Anmeldeinformationen für den unbefugten Zugriff verwenden.
Nutzerprofiling zur präventiven Reduktion von Angriffsflächen
Klassische Verhaltensanalyse auf der Basis Künstlicher Intelligenz ohne Clustern von Nutzertypen liefert aufgrund einer mangelnden individualisierten und kontextbasierten Verhaltensanalyse häufig unzuverlässige Ergebnisse, was Fehlalarme und blinde Flecken in der Abwehr zur Folge hat. Darüber hinaus können daraus resultierende generischen Modelle für eine Verhaltensanalyse durch Angreifer leicht ausgehebelt werden. Jedoch kann ein neuer Ansatz, der Nutzergruppen segmentiert sowie Kontext und individuelle Benutzerverhaltensmuster granular und dynamisch in die Sicherheitsmaßnahmen mit einbezieht, hier eine präzisere Erkennung bieten. Mit den sich daraus ergebenden individuellen Nutzerregeln lassen sich legitimes Verhalten trennscharf definieren, proaktiv Sicherheitslücken schließen sowie Aufwand und Folgen im Vergleich zu einem nur reaktiven Erkennen und Abwehren von Gefahren deutlich reduzieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Über den Autor: Daniel Daraban ist Senior Director of Product Management bei Bitdefender.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/1f/2b/1f2bceb72469cea0323e7dd906576d1b/0129080111v2.jpeg "Der 28. Januar wurde als Europäischer Datenschutztag gewählt, da an diesem Datum im Jahr 1981 der Europarat das Übereinkommen Nr. 108 annahm, das erste rechtsverbindliche zwischenstaatliche Abkommen zum Schutz personenbezogener Daten bei automatischer Verarbeitung. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/a6/8da69ebdef1090970a7ef7d44f304864/0129086965v2.jpeg "Die Niedersächsische Landesregierung reagiert auf die zunehmenden Cyberangriffe, indem sie einen neuen digitalen Schutzschirm einführt. Der Anbieter des neuen Schutzschilds kommt aus den USA. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/de/d8/ded8d97ea17c741ea80d1d838e937b1e/0117771602.jpeg "User and Entity Behavior Analytics (UEBA) analysiert nicht nur das User-Verhalten, sondern auch das Verhalten von Geräten, Anwendungen und Netzwerken. (Bild: Limitless Visions - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/06/b8/06b8181aeab5f455bd2a2f9f2886a674/0121535631v2.jpeg "LotL-Angriffe sind schwer zu erkennen, da sie Binärdateien, Skripte und Tools verwenden, die Teil des Betriebssystems sind. (Bild: anaumenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/c2/2bc2fe89ae904c72e8603d5fd68b24bf/0118559223.jpeg "Die Suche nach Bedrohungen ist ein kontinuierlicher Prozess. Daher sollten Insider-Bedrohungsprofile regelmäßig überprüft werden. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/c6/5cc66ac6c9755f169df928abc815aac7/0120519841v2.jpeg "Microsoft Defender for Identity bietet durch seine Funktionen eine umfassende Lösung zur Überwachung und Sicherung von Active Directory. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/61/92/6192a4f77140e23f9b1a86fb414b8ece/0123680790v2.jpeg "Generative KI ist ein Wendepunkt für Innovation und Cyberkriminalität. Cyber-Betrüger nutzen GenAI als Waffe. So können Unternehmen sich in vor KI-gesteuertem Betrug schützen. (Bild: Ahmad - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/dc/a1dc6b1c292356a07131a878d573bc62/0127423989v2.jpeg "Ein modernes Bot-Management-System analysiert Nutzerverhalten im Hintergrund und schützt Online-Plattformen vor Angriffen, ohne den Zugriff zu behindern. (Bild: © Bussarin - stock.adobe.com)")