Kurz gesagt: KI wird die Cybersicherheit nicht vollständig ersetzen, aber einen Großteil der sich wiederholenden Aufgaben im Security Operations Center (SOC) und im Bereich Security Engineering übernehmen. Als Filter und Zusammenfasser – mit menschlicher Überprüfung – beschleunigt sie die Triage und Priorisierung; wird sie jedoch als unfehlbares Orakel betrachtet, kann sie trügerische Sicherheit suggerieren.
Wichtigste Erkenntnisse:
Anwendungsbereich : KI ersetzt Aufgaben und Arbeitsabläufe, nicht aber den Beruf selbst oder die Verantwortlichkeit.
Arbeitserleichterung : Nutzen Sie KI für die Gruppierung von Warnmeldungen, prägnante Zusammenfassungen und die Priorisierung von Protokollmustern.
Entscheidungsbefugnis : Menschen sollten für Risikobereitschaft, Einsatzleitung und schwierige Abwägungen verantwortlich sein.
Missbrauchsresistenz : Konstruktion für schnelle Injektion, Vergiftung und Abwehrversuche des Gegners.
Governance : Sicherstellung von Datengrenzen, Prüfbarkeit und anfechtbaren menschlichen Eingriffen in den Tools.
Artikel, die Sie im Anschluss an diesen Artikel vielleicht interessieren:
🔗 Wie generative KI in der Cybersicherheit eingesetzt wird
Praktische Wege, wie KI die Erkennung, Reaktion und Abwehr von Bedrohungen verbessert.
🔗 KI-gestützte Pentesting-Tools für Cybersicherheit
Führende KI-gestützte Lösungen zur Automatisierung von Tests und zum Auffinden von Schwachstellen.
🔗 Ist KI gefährlich? Risiken und Realitäten
Klarer Blick auf Bedrohungen, Mythen und verantwortungsvolle KI-Schutzmaßnahmen.
🔗 Leitfaden zu den besten KI-Sicherheitstools
Die besten Sicherheitstools, die KI zum Schutz von Systemen und Daten nutzen.
Die „Ersetzen“-Masche ist die Falle 😅
Wenn Leute sagen „Kann KI Cybersicherheit ersetzen?“ , meinen sie in der Regel eines von drei Dingen:
-
Analysten ersetzen (keine Menschen mehr nötig)
-
Werkzeuge ersetzen (eine KI-Plattform erledigt alles)
-
Ersetzen Sie die Ergebnisse (weniger Verstöße, geringeres Risiko)
KI ist am stärksten darin, repetitive Aufgaben zu ersetzen und Entscheidungszeiten zu verkürzen. Am schwächsten ist sie darin, Verantwortlichkeit, Kontext und Urteilsvermögen zu ersetzen. Sicherheit bedeutet nicht nur Erkennung – sie beinhaltet schwierige Abwägungen, wirtschaftliche Zwänge, politische Faktoren (na ja) und menschliches Verhalten.
Du kennst das ja – der Sicherheitsverstoß lag nicht an fehlenden Warnmeldungen. Er lag vielmehr daran, dass niemand die Warnmeldungen für wichtig hielt. 🙃
Wo KI bereits (in der Praxis) die Arbeit im Bereich Cybersicherheit „ersetzt“ ⚙️
Künstliche Intelligenz übernimmt bereits bestimmte Arbeitsbereiche, auch wenn das Organigramm noch unverändert aussieht.
1) Triage und Alarmclusterung
-
Ähnliche Warnmeldungen zu einem einzigen Vorfall zusammenfassen
-
Entfernung von Duplikaten aus verrauschten Signalen
-
Rangfolge nach wahrscheinlicher Auswirkung
Das ist wichtig, weil Menschen in der Triage ihren Lebenswillen verlieren. Wenn KI die Informationsflut auch nur ein wenig reduziert, ist das, als würde man einen Feueralarm abstellen, der wochenlang schreit 🔥🔕
2) Protokollanalyse und Anomalieerkennung
-
Verdächtige Muster in Maschinengeschwindigkeit erkennen
-
Kennzeichnung „Dies ist im Vergleich zum Normalwert ungewöhnlich“
Es ist nicht perfekt, aber es kann wertvoll sein. KI ist wie ein Metalldetektor am Strand – er piept oft, und manchmal ist es ein Flaschenverschluss, aber gelegentlich auch ein Ring 💍… oder ein kompromittiertes Admin-Token.
3) Malware- und Phishing-Klassifizierung
-
Klassifizierung von Anhängen, URLs und Domains
-
Erkennung von Nachahmermarken und Spoofing-Mustern
-
Automatisierung von Sandbox-Urteilszusammenfassungen
4) Priorisierung des Schwachstellenmanagements
Nicht die Frage, „welche CVEs existieren“ – wir alle wissen, dass es zu viele gibt. KI hilft bei der Beantwortung dieser Frage:
-
Diese sind hier wahrscheinlich ausnutzbar. EPSS (FIRST)
-
welche nach außen hin exponiert sind
-
Welche Karte führt zu wertvollen Vermögenswerten? CISA KEV-Katalog
-
Welche dieser Schwachstellen sollte zuerst behoben werden, ohne das Unternehmen in Brand zu setzen? NIST SP 800-40 Rev. 4 (Enterprise Patch Management)
Und ja, das könnten auch Menschen – wenn die Zeit unendlich wäre und niemand jemals Urlaub nähme.
Was zeichnet eine gute KI-Version in der Cybersicherheit aus? 🧠
Diesen Teil überspringen die Leute, und dann geben sie der „KI“ die Schuld, als wäre sie ein einzelnes Produkt mit Gefühlen.
Eine gute KI-Implementierung im Bereich Cybersicherheit weist in der Regel folgende Eigenschaften auf:
-
Disziplin mit hohem Signal-Rausch-Verhältnis
-
Es muss den Lärm reduzieren, nicht durch ausgefallene Formulierungen zusätzlichen Lärm erzeugen.
-
-
Erklärbarkeit, die in der Praxis hilft
-
Kein Roman. Keine Ahnungen. Echte Hinweise: Was es sah, warum es sich darum kümmert, was sich verändert hat.
-
-
Enge Integration in Ihre Umgebung
-
IAM, Endpunkt-Telemetrie, Cloud-Status, Ticketing, Anlageninventarisierung… die unglamourösen Dinge.
-
-
Menschliche Übersteuerung integriert
-
Analysten müssen es korrigieren, optimieren und manchmal ignorieren. Wie ein junger Analyst, der nie schläft, aber gelegentlich in Panik gerät.
-
-
Sicherheitsgerechte Datenverarbeitung
-
Klare Grenzen für die Speicherung, das Training und die Aufbewahrung von Daten. NIST AI RMF 1.0
-
-
Widerstandsfähigkeit gegenüber Manipulation
-
Angreifer werden es immer wieder mit Prompt Injection, Poisoning und Täuschung versuchen. OWASP LLM01: Prompt Injection – Verhaltenskodex für KI-Cybersicherheit in Großbritannien
-
Seien wir ehrlich – viele KI-Sicherheitslösungen scheitern, weil sie darauf trainiert sind, sich sicher zu fühlen, nicht aber, korrekt zu sein. Selbstvertrauen ist keine Kontrollmaßnahme. 😵💫
Die Bereiche, die KI nur schwer ersetzen kann – und das ist wichtiger, als es klingt 🧩
Die unbequeme Wahrheit ist: Cybersicherheit ist nicht nur eine technische Angelegenheit. Sie ist auch soziotechnisch. Sie besteht aus Menschen, Systemen und Anreizen.
KI hat Schwierigkeiten mit:
1) Geschäftsumfeld und Risikobereitschaft
Sicherheitsentscheidungen lassen sich selten mit der Frage „Ist es schlecht?“ beantworten. Sie basieren eher auf Folgendem:
-
Ob es schwerwiegend genug ist, um die Einnahmen zu stoppen
-
Ob es sich lohnt, die Bereitstellungspipeline zu unterbrechen
-
Ob das Führungsteam dafür Ausfallzeiten akzeptieren wird
KI kann helfen, aber sie kann die Entscheidung nicht allein treffen. Jemand muss sie mit seinem Namen bestätigen. Jemand bekommt den Anruf um 2 Uhr nachts
2) Einsatzleitung und teamübergreifende Koordination
Bei realen Vorfällen besteht die „Arbeit“ darin:
-
Die richtigen Leute in den Raum bringen
-
Sich auf Fakten stützen, ohne in Panik zu geraten
-
Umgang mit Kommunikation, Beweismitteln, rechtlichen Bedenken, Kundenkommunikation NIST SP 800-61 (Leitfaden zum Umgang mit Sicherheitsvorfällen)
KI kann zwar einen Zeitplan erstellen oder Protokolle zusammenfassen, klar. Aber die Führung unter Druck zu ersetzen, ist … optimistisch. Das ist, als würde man einen Taschenrechner bitten, eine Feueralarmübung durchzuführen.
3) Bedrohungsmodellierung und Architektur
Bedrohungsmodellierung ist teils Logik, teils Kreativität, teils Paranoia (meistens gesunde Paranoia).
-
Aufzählung dessen, was schiefgehen könnte
-
Vorhersehen, was ein Angreifer tun würde
-
Die günstigste Kontrollmaßnahme auswählen, die die Berechnungen des Angreifers verändert
KI kann Muster vorschlagen, aber der wahre Wert liegt darin, Ihre Systeme, Ihre Mitarbeiter, Ihre Abkürzungen und Ihre besonderen Altlasten zu kennen.
4) Menschliche Faktoren und Kultur
Phishing, Wiederverwendung von Zugangsdaten, Schatten-IT, schlampige Zugriffsüberprüfungen – das sind menschliche Probleme im Gewand der Technik 🎭
KI kann sie erkennen, aber sie kann nicht beheben, warum sich die Organisation so verhält.
Auch die Angreifer nutzen KI – das Spielfeld ist also unausgewogen 😈🤖
Jede Diskussion über die Ablösung der Cybersicherheit muss die offensichtliche Tatsache berücksichtigen: Angreifer stehen nicht still.
KI hilft Angreifern:
-
Verfassen Sie überzeugendere Phishing-Nachrichten (weniger Grammatikfehler, mehr Kontext). FBI-Warnung vor KI-gestütztem Phishing. IC3-Mitteilung zu Betrug/Phishing durch generative KI.
-
Schnellere Generierung polymorpher Malware-Varianten OpenAI-Bedrohungsanalysen (Beispiele für missbräuchliche Verwendung)
-
Automatisierte Aufklärung und Social Engineering Europol „ChatGPT-Bericht“ (Übersicht zum Missbrauch)
-
Skalierungsversuche kostengünstig
Der Einsatz von KI durch die Verteidigung ist also langfristig keine Option. Es ist eher so, als würde man eine Taschenlampe mitbringen, weil die Gegenseite gerade Nachtsichtgeräte bekommen hat. Eine etwas ungelenke Metapher. Aber irgendwie trifft sie trotzdem zu.
Angreifer werden auch die KI-Systeme selbst ins Visier nehmen:
-
Prompt-Injection in Sicherheits-Copiloten OWASP LLM01: Prompt-Injection
-
Datenmanipulation zur Verfälschung von Modellen – Verhaltenskodex für KI-Cybersicherheit im Vereinigten Königreich
-
Adversarial Examples zur Vermeidung der Erkennung MITRE ATLAS
-
Modellextraktionsversuche in einigen Setups MITRE ATLAS
Sicherheit war schon immer ein Katz-und-Maus-Spiel. KI macht die Katzen nur schneller und die Mäuse erfinderischer 🐭
Die wahre Antwort: KI ersetzt Aufgaben, nicht Verantwortlichkeit ✅
Das ist die „unangenehme Zwischenstellung“, in der die meisten Teams landen:
-
KI bewältigt Skalierung
-
Menschen handhaben die Einsätze
-
Gemeinsam beherrschen sie Geschwindigkeit und Urteilsvermögen.
Meine eigenen Tests in verschiedenen Sicherheitsworkflows haben gezeigt, dass KI am besten funktioniert, wenn sie wie folgt behandelt wird:
-
Ein Triageassistent
-
Eine Zusammenfassung
-
Ein Korrelationsgenerator
-
Ein Politikberater
-
Ein Code-Review-Partner für riskante Muster
KI ist am schlimmsten, wenn sie so behandelt wird:
-
Ein Orakel
-
Ein einziger Wahrheitspunkt
-
Ein „einrichten und vergessen“-Verteidigungssystem
-
Ein Grund, das Team unterbesetzt zu haben (das rächt sich später… und zwar heftig)
Das ist, als würde man einen Wachhund einstellen, der auch E-Mails schreibt. Toll. Aber manchmal bellt er den Staubsauger an und übersieht den Kerl, der über den Zaun springt. 🐶🧹
Vergleichstabelle (Top-Optionen, die Teams täglich nutzen) 📊
Nachfolgend finden Sie eine praktische Vergleichstabelle – nicht perfekt, etwas ungleichmäßig, wie im wirklichen Leben.
| Werkzeug / Plattform | Am besten geeignet für (Zielgruppe) | Preisstimmung | Warum es funktioniert (und seine Eigenheiten) |
|---|---|---|---|
| Microsoft Sentinel Microsoft Learn | SOC-Teams, die in Microsoft-Ökosystemen arbeiten | $$ - $$$ | Starke Cloud-native SIEM-Muster; viele Konnektoren, können bei unzureichender Konfiguration unübersichtlich werden… |
| Splunk Splunk Enterprise Security | Größere Organisationen mit umfangreicher Protokollierung und individuellen Anforderungen | $$$ (ehrlich gesagt oft $$$$) | Leistungsstarke Suche und Dashboards; fantastisch, wenn die Daten gut gepflegt sind, problematisch, wenn niemand für die Datenhygiene verantwortlich ist |
| Google Security Operations Google Cloud | Teams, die Telemetrie im verwalteten Maßstab wünschen | $$ - $$$ | Gut geeignet für große Datenmengen; hängt wie so vieles vom Reifegrad der Integration ab |
| CrowdStrike Falcon CrowdStrike | Organisationen mit hohem Endpunktanteil, IR-Teams | $$$ | Hohe Transparenz der Endpunkte; große Erkennungstiefe, aber es werden weiterhin Mitarbeiter benötigt, um die Reaktion zu steuern |
| Microsoft Defender für Endpoint Microsoft Learn | M365-intensive Organisationen | $$ - $$$ | Enge Microsoft-Integration; kann großartig sein, kann aber bei Fehlkonfiguration zu „700 Warnmeldungen in der Warteschlange“ führen |
| Palo Alto Cortex XSOAR Palo Alto Networks | Automatisierungsorientierte SOCs | $$$ | Playbooks reduzieren die Arbeitsbelastung; sie erfordern Sorgfalt, sonst automatisiert man Chaos (ja, so etwas gibt es) |
| Wiz Wiz Plattform | Cloud-Sicherheitsteams | $$$ | Hohe Transparenz in der Cloud; hilft bei der schnellen Priorisierung von Risiken, erfordert aber weiterhin eine entsprechende Governance |
| Snyk Snyk Plattform | Entwicklerzentrierte Organisationen, AppSec | $$ - $$$ | Entwicklerfreundliche Arbeitsabläufe; der Erfolg hängt von der Akzeptanz durch die Entwickler ab, nicht nur vom Scannen |
Eine kleine Anmerkung: Kein Tool ist für sich allein „siegreich“. Das beste Tool ist das, das dein Team täglich nutzt, ohne es zu hassen. Das ist keine Wissenschaft, das ist Überlebensstrategie 😅
Ein realistisches Betriebsmodell: Wie Teams mit KI gewinnen 🤝
Wenn KI die Sicherheit sinnvoll verbessern soll, sieht die Vorgehensweise üblicherweise so aus:
Schritt 1: KI zur Reduzierung der Arbeitsbelastung
-
Zusammenfassungen der Alarmanreicherung
-
Ticketgestaltung
-
Checklisten zur Beweissicherung
-
Vorschläge für Protokollabfragen
-
„Was hat sich geändert?“ Unterschiede in den Konfigurationen
Schritt 2: Menschen zur Validierung und Entscheidung heranziehen
-
Auswirkungen und Umfang bestätigen
-
Wählen Sie Eindämmungsmaßnahmen aus
-
Teamübergreifende Fehlerbehebungen koordinieren
Schritt 3: Automatisieren Sie die sicheren Vorgänge
Gute Automatisierungsziele:
-
Bekannte schädliche Dateien mit hoher Sicherheit unter Quarantäne stellen
-
Zurücksetzen der Zugangsdaten nach bestätigter Kompromittierung
-
Blockierung offensichtlich schädlicher Domains
-
Durchsetzung der Politikdriftkorrektur (sorgfältig)
Risikoreiche Automatisierungsziele:
-
Automatische Isolierung von Produktionsservern ohne Schutzmaßnahmen
-
Ressourcen aufgrund unsicherer Signale löschen
-
Große IP-Bereiche blockieren, weil „das Modell es so wollte“ 😬
Schritt 4: Erkenntnisse in die Kontrollmechanismen einfließen lassen
-
Nachjustierung nach dem Vorfall
-
Verbesserte Erkennungsfunktionen
-
Bessere Anlageninventur (der ewige Schmerz)
-
Eingeschränkte Privilegien
Hier kommt die KI ins Spiel: Sie fasst Nachuntersuchungen zusammen, deckt Erkennungslücken auf und wandelt Unordnung in wiederholbare Verbesserungen um.
Die versteckten Risiken KI-gestützter Sicherheit (ja, es gibt einige) ⚠️
Wer KI in großem Umfang einsetzt, muss sich auf mögliche Fallstricke vorbereiten:
-
Erfundene Gewissheit
-
Sicherheitsteams benötigen Beweise, keine Geschichten. KI mag Geschichten. NIST AI RMF 1.0
-
-
Datenleck
-
Eingabeaufforderungen können versehentlich sensible Daten enthalten. Protokolle sind voller Geheimnisse, wenn man sie genau untersucht. OWASP Top 10 für LLM-Bewerbungen
-
-
Übermäßige Abhängigkeit
-
Die Leute hören auf, die Grundlagen zu lernen, weil der Copilot „immer Bescheid weiß“… bis er es nicht mehr weiß.
-
-
Modelldrift
-
Umgebungen verändern sich. Angriffsmuster verändern sich. Erkennungsmechanismen veralten unbemerkt. NIST AI RMF 1.0
-
-
gegnerischer Missbrauch
-
Angreifer werden versuchen, KI-basierte Arbeitsabläufe zu steuern, zu verwirren oder auszunutzen. Richtlinien für die sichere Entwicklung von KI-Systemen (NSA/CISA/NCSC-UK)
-
Das ist, als würde man ein besonders intelligentes Schloss bauen und den Schlüssel dann unter der Fußmatte verstecken. Das Schloss ist aber nicht das einzige Problem.
Kann KI also Cybersicherheit ersetzen? Eine klare Antwort 🧼
Kann KI Cybersicherheit ersetzen?
Sie kann viele repetitive Aufgaben innerhalb der Cybersicherheit übernehmen. Sie kann Erkennung, Priorisierung, Analyse und sogar Teile der Reaktion beschleunigen. Doch sie kann die Disziplin nicht vollständig ersetzen, da Cybersicherheit keine einzelne Aufgabe ist – sie umfasst Governance, Architektur, menschliches Verhalten, Incident-Management und kontinuierliche Anpassung.
Wenn Sie die ehrlichste und direkteste Darstellung wünschen (etwas direkt, sorry):
-
KI ersetzt Fleißarbeit
-
KI verbessert gute Teams
-
KI deckt schlechte Prozesse
-
Der Mensch bleibt für Risiko und Realität
Und ja, manche Rollen werden sich verändern. Aufgaben für Einsteiger werden sich am schnellsten wandeln. Aber es kommen auch neue Aufgaben hinzu: sichere Workflows, Modellvalidierung, Automatisierung der Sicherheit, Erkennungsentwicklung mit KI-gestützten Tools… die Arbeit verschwindet nicht, sie verändert sich 🧬
Schlussbemerkungen und kurze Zusammenfassung 🧾✨
Wenn Sie überlegen, wie Sie KI im Bereich Sicherheit einsetzen können, hier die wichtigsten praktischen Erkenntnisse:
-
Nutzen Sie KI, um Zeit zu sparen – schnellere Triage, schnellere Zusammenfassungen, schnellere Korrelation.
-
Menschen sollten für Urteilsfindung – Kontext, Abwägungen, Führung, Verantwortlichkeit – unerlässlich sein.
-
Gehen Sie davon aus, dass Angreifer ebenfalls KI einsetzen – planen Sie Täuschung und Manipulation ein. MITRE ATLAS- Richtlinien für die sichere Entwicklung von KI-Systemen (NSA/CISA/NCSC-UK)
-
Kaufen Sie keine „Wunderlösungen“ – kaufen Sie Arbeitsabläufe, die nachweislich Risiken und Arbeitsaufwand reduzieren.
Ja, KI kann Teile der Arbeit übernehmen, und das oft auf zunächst subtile Weise. Der Schlüssel zum Erfolg liegt darin, KI als Hebel und nicht als Ersatz zu nutzen.
Und falls du dir Sorgen um deine Karriere machst – konzentriere dich auf die Bereiche, in denen KI Schwierigkeiten hat: Systemdenken, Krisenmanagement, Architektur und die Fähigkeit, zwischen einer „interessanten Warnung“ und „uns steht ein sehr schlechter Tag bevor“ zu unterscheiden. 😄🔐
Häufig gestellte Fragen
Kann KI Cybersicherheitsteams vollständig ersetzen?
KI kann zwar große Teile der Cybersicherheitsarbeit übernehmen, aber nicht die gesamte Disziplin. Sie eignet sich hervorragend für repetitive Aufgaben wie die Gruppierung von Warnmeldungen, die Anomalieerkennung und das Erstellen erster Zusammenfassungen. Was sie jedoch nicht ersetzen kann, sind Verantwortlichkeit, Geschäftskontext und Urteilsvermögen in kritischen Situationen. In der Praxis befinden sich Teams in einer Art „unbequemer Zwischenstellung“, in der KI für Skalierbarkeit und Geschwindigkeit sorgt, während Menschen weiterhin die Verantwortung für wichtige Entscheidungen tragen.
Wo ersetzt KI bereits die alltägliche Arbeit im SOC?
In vielen Security Operations Centern (SOCs) übernimmt KI bereits zeitaufwändige Aufgaben wie die Priorisierung, die Entfernung von Duplikaten und die Priorisierung von Warnmeldungen nach ihrer wahrscheinlichen Auswirkung. Sie kann auch die Protokollanalyse beschleunigen, indem sie Abweichungen vom Normalverhalten erkennt. Das Ergebnis sind nicht etwa weniger Vorfälle wie von Zauberhand, sondern weniger Zeitaufwand für die Auswertung irrelevanter Meldungen, sodass sich Analysten auf die wirklich wichtigen Untersuchungen konzentrieren können.
Wie können KI-Tools beim Schwachstellenmanagement und der Priorisierung von Patches helfen?
KI trägt dazu bei, das Schwachstellenmanagement von der Frage „Zu viele CVEs?“ hin zur Frage „Welche Schwachstelle sollte zuerst gepatcht werden?“ zu verlagern. Ein gängiger Ansatz kombiniert Indikatoren für die Wahrscheinlichkeit von Exploits (wie EPSS), Listen bekannter Exploits (wie den KEV-Katalog der CISA) und den Kontext Ihrer Umgebung (Internetverfügbarkeit und Kritikalität der Assets). Bei korrekter Umsetzung reduziert dies das Rätselraten und ermöglicht das Patchen von Schwachstellen, ohne den Geschäftsbetrieb zu beeinträchtigen.
Was unterscheidet eine „gute“ KI in der Cybersicherheit von einer fehlerhaften KI?
Gute KI in der Cybersicherheit reduziert irrelevante Informationen, anstatt bedeutungsschwere Meldungen zu erzeugen. Sie bietet praktische Erklärbarkeit – konkrete Hinweise darauf, was sich geändert hat, was beobachtet wurde und warum es relevant ist – anstelle langer, vager Beschreibungen. Zudem integriert sie sich in Kernsysteme (IAM, Endpunkte, Cloud, Ticketing) und ermöglicht menschliche Eingriffe, sodass Analysten die Meldungen bei Bedarf korrigieren, anpassen oder ignorieren können.
Welche Bereiche der Cybersicherheit kann KI nur schwer ersetzen?
Die größte Herausforderung für KI liegt in den soziotechnischen Bereichen: Risikobereitschaft, Einsatzleitung und teamübergreifende Koordination. Während eines Vorfalls besteht die Arbeit häufig aus Kommunikation, Beweissicherung, rechtlichen Fragestellungen und Entscheidungsfindung unter Unsicherheit – Bereiche, in denen Führungskompetenz wichtiger ist als Mustererkennung. KI kann zwar Protokolle zusammenfassen oder Zeitpläne erstellen, aber sie kann die Verantwortung in Drucksituationen nicht zuverlässig ersetzen.
Wie setzen Angreifer KI ein, und verändert das die Aufgaben der Verteidiger?
Angreifer nutzen KI, um Phishing-Angriffe auszuweiten, überzeugendere Social-Engineering-Methoden zu entwickeln und Malware-Varianten schneller zu iterieren. Das verändert die Spielregeln: Der Einsatz von KI für Verteidigungsunternehmen wird zunehmend unerlässlich. Gleichzeitig entstehen neue Risiken, da Angreifer KI-Workflows durch Prompt Injection, Poisoning-Versuche oder gezielte Umgehungsmanöver angreifen können. Das bedeutet, dass auch KI-Systeme Sicherheitskontrollen benötigen und nicht blindem Vertrauen vertrauen dürfen.
Was sind die größten Risiken bei der Nutzung von KI für Sicherheitsentscheidungen?
Ein großes Risiko ist trügerische Gewissheit: KI kann selbst dann selbstsicher wirken, wenn sie falsch liegt, und Selbstsicherheit ist keine Kontrollmaßnahme. Datenlecks sind eine weitere häufige Falle – Sicherheitsabfragen können unbeabsichtigt sensible Details enthalten, und Protokolle bergen oft Geheimnisse. Übermäßiges Vertrauen kann zudem die Grundlagen untergraben, während Modellabweichungen die Erkennungsleistung schleichend verschlechtern, wenn sich Umgebungen und das Verhalten von Angreifern ändern.
Was ist ein realistisches Betriebsmodell für den Einsatz von KI in der Cybersicherheit?
Ein praktisches Modell sieht folgendermaßen aus: KI reduziert den Arbeitsaufwand, menschliche Expertise bleibt für Validierung und Entscheidungsfindung erhalten, und nur sichere Vorgänge werden automatisiert. KI eignet sich besonders für angereicherte Zusammenfassungen, Ticket-Erstellung, Checklisten für Beweise und die Darstellung von Änderungen. Automatisierung ist optimal für Aktionen mit hohem Sicherheitsrisiko, wie das Sperren bekanntermaßen schädlicher Domains oder das Zurücksetzen von Zugangsdaten nach einem bestätigten Sicherheitsvorfall, wobei Sicherheitsmechanismen einen Missbrauch verhindern.
Wird KI Einstiegspositionen im Bereich Cybersicherheit ersetzen, und welche Fähigkeiten werden an Wert gewinnen?
Aufgabenbereiche für Einsteiger dürften sich am schnellsten verändern, da KI repetitive Aufgaben wie Vorsortierung, Zusammenfassung und Klassifizierung übernehmen kann. Gleichzeitig entstehen aber auch neue Aufgaben, wie die Entwicklung von Workflows mit sicheren Abläufen, die Validierung von Modellergebnissen und die Entwicklung von Sicherheitsautomatisierung. Berufliche Resilienz basiert häufig auf Fähigkeiten, mit denen KI Schwierigkeiten hat: Systemdenken, Architektur, Incident-Management und die Übersetzung technischer Signale in Geschäftsentscheidungen.
Referenzen
-
FIRST - EPSS (FIRST) - first.org
-
Cybersecurity and Infrastructure Security Agency (CISA) – Katalog bekannter ausgenutzter Sicherheitslücken – cisa.gov
-
Nationales Institut für Standards und Technologie (NIST) – SP 800-40 Rev. 4 (Enterprise Patch Management) – csrc.nist.gov
-
Nationales Institut für Standards und Technologie (NIST) – AI RMF 1.0 – nvlpubs.nist.gov
-
OWASP - LLM01: Prompt Injection - genai.owasp.org
-
Britische Regierung – Verhaltenskodex für die Cybersicherheit von KI – gov.uk
-
Nationales Institut für Standards und Technologie (NIST) – SP 800-61 (Leitfaden zum Umgang mit Sicherheitsvorfällen) – csrc.nist.gov
-
Federal Bureau of Investigation (FBI) – FBI warnt vor zunehmender Bedrohung durch Cyberkriminelle, die künstliche Intelligenz einsetzen – fbi.gov
-
FBI Internet Crime Complaint Center (IC3) – IC3-Warnung zu KI-gestütztem Betrug/Phishing – ic3.gov
-
OpenAI – OpenAI-Bedrohungsanalysen (Beispiele für missbräuchliche Verwendung) – openai.com
-
Europol – Europol-Bericht „ChatGPT“ (Missbrauchsübersicht) – europol.europa.eu
-
MITRE - MITRE ATLAS - mitre.org
-
OWASP – OWASP Top 10 für LLM-Bewerbungen – owasp.org
-
National Security Agency (NSA) – Leitfaden zur Sicherung der KI-Systementwicklung (NSA/CISA/NCSC-UK und Partner) – nsa.gov
-
Microsoft Learn – Microsoft Sentinel-Übersicht – learn.microsoft.com
-
Splunk – Splunk Enterprise Security – splunk.com
-
Google Cloud – Google Security Operations – cloud.google.com
-
CrowdStrike – CrowdStrike Falcon Plattform – crowdstrike.com
-
Microsoft Learn – Microsoft Defender für Endpunkte – learn.microsoft.com
-
Palo Alto Networks – Cortex XSOAR – paloaltonetworks.com
-
Wiz – Wiz-Plattform – wiz.io
-
Snyk – Snyk-Plattform – snyk.io