Wie kann generative KI in der Cybersicherheit eingesetzt werden?

Einführung

Generative KI – künstliche Intelligenzsysteme, die neue Inhalte erstellen oder Vorhersagen treffen können – entwickelt sich zu einer transformativen Kraft in der Cybersicherheit. Tools wie OpenAIs GPT-4 haben ihre Fähigkeit unter Beweis gestellt, komplexe Daten zu analysieren und menschenähnliche Texte zu generieren. Dies ermöglicht neue Ansätze zur Abwehr von Cyberbedrohungen. Cybersicherheitsexperten und Entscheidungsträger in Unternehmen verschiedenster Branchen untersuchen, wie generative KI die Abwehr gegen sich ständig weiterentwickelnde Angriffe stärken kann. Von Finanz- und Gesundheitseinrichtungen über Einzelhandel bis hin zu Behörden – Organisationen in allen Sektoren sehen sich mit ausgeklügelten Phishing-Angriffen, Malware und anderen Bedrohungen konfrontiert, denen generative KI entgegenwirken könnte. In diesem Whitepaper untersuchen wir die Einsatzmöglichkeiten generativer KI in der Cybersicherheit und beleuchten praktische Anwendungen, zukünftige Perspektiven und wichtige Aspekte für die Implementierung.

Generative KI unterscheidet sich von traditioneller analytischer KI dadurch, dass sie nicht nur Muster erkennt, sondern auch generiert – sei es durch die Simulation von Angriffen zum Training von Abwehrmechanismen oder durch die Erstellung von natürlichsprachlichen Erklärungen für komplexe Sicherheitsdaten. Diese doppelte Fähigkeit macht sie zu einem zweischneidigen Schwert: Sie bietet leistungsstarke neue Verteidigungswerkzeuge, kann aber auch von Angreifern ausgenutzt werden. In den folgenden Abschnitten werden verschiedene Anwendungsfälle für generative KI in der Cybersicherheit untersucht, von der Automatisierung der Phishing-Erkennung bis hin zur Verbesserung der Reaktion auf Sicherheitsvorfälle. Wir erörtern außerdem die Vorteile dieser KI-Innovationen sowie die Risiken (wie KI-„Halluzinationen“ oder Missbrauch durch Angreifer), die Unternehmen managen müssen. Abschließend geben wir praktische Hinweise, die Unternehmen helfen, generative KI zu evaluieren und verantwortungsvoll in ihre Cybersicherheitsstrategien zu integrieren.

Generative KI in der Cybersicherheit: Ein Überblick

Generative KI in der Cybersicherheit bezeichnet KI-Modelle – häufig große Sprachmodelle oder andere neuronale Netze –, die Erkenntnisse, Empfehlungen, Code oder sogar synthetische Daten generieren können, um Sicherheitsaufgaben zu unterstützen. Im Gegensatz zu rein prädiktiven Modellen kann generative KI Szenarien simulieren und auf Basis ihrer Trainingsdaten lesbare Ergebnisse (z. B. Berichte, Warnmeldungen oder sogar Schadcodebeispiele) erzeugen. Diese Fähigkeit wird genutzt, um Bedrohungen dynamischer als bisher vorherzusagen, zu erkennen und darauf zu reagieren Was ist generative KI in der Cybersicherheit? – Palo Alto Networks ). Beispielsweise können generative Modelle umfangreiche Protokolle oder Datenbanken mit Bedrohungsdaten analysieren und eine prägnante Zusammenfassung oder Handlungsempfehlung erstellen. Sie fungieren damit quasi als KI-Assistent für Sicherheitsteams.

Frühe Anwendungen generativer KI für die Cyberabwehr haben vielversprechende Ergebnisse gezeigt. 2023 stellte Microsoft Security Copilot , einen GPT-4-basierten Assistenten für Sicherheitsanalysten, der bei der Identifizierung von Sicherheitslücken und der Auswertung der täglich von Microsoft verarbeiteten 65 Billionen Signale hilft ( Microsoft Security Copilot ist ein neuer GPT-4-KI-Assistent für Cybersicherheit | The Verge ). Analysten können das System in natürlicher Sprache anweisen (z. B. „Fassen Sie alle Sicherheitsvorfälle der letzten 24 Stunden zusammen“ ), woraufhin der Copilot eine aussagekräftige Zusammenfassung erstellt. Auch Googles KI für Bedrohungsanalyse nutzt ein generatives Modell namens Gemini , um die dialogbasierte Suche in Googles umfangreicher Bedrohungsdatenbank zu ermöglichen. Verdächtiger Code wird schnell analysiert und die Ergebnisse werden zusammengefasst, um Malware-Jäger zu unterstützen ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Diese Beispiele verdeutlichen das Potenzial: Generative KI kann komplexe, umfangreiche Cybersicherheitsdaten verarbeiten und Erkenntnisse in verständlicher Form präsentieren, wodurch die Entscheidungsfindung beschleunigt wird.

Gleichzeitig kann generative KI äußerst realistische gefälschte Inhalte erzeugen, was ein Segen für Simulation und Training ist (und leider auch Angreifern, die Social Engineering einsetzen). Im Folgenden werden wir konkrete Anwendungsfälle betrachten, die zeigen, dass die Fähigkeit generativer KI, Informationen zu synthetisieren und zu analysieren, die Grundlage für ihre vielfältigen Anwendungen im Bereich Cybersicherheit bildet. Wir gehen auf wichtige Anwendungsfälle ein, die von der Phishing-Prävention bis zur sicheren Softwareentwicklung reichen, und zeigen anhand von Beispielen, wie diese in verschiedenen Branchen eingesetzt werden.

Wichtigste Anwendungsgebiete von generativer KI in der Cybersicherheit

Abbildung: Zu den wichtigsten Anwendungsfällen für generative KI in der Cybersicherheit gehören KI-Copiloten für Sicherheitsteams, Code-Schwachstellenanalyse, adaptive Bedrohungserkennung, Zero-Day-Angriffssimulation, verbesserte biometrische Sicherheit und Phishing-Erkennung ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ).

Phishing-Erkennung und -Prävention

Phishing zählt weiterhin zu den größten Cyberbedrohungen und verleitet Nutzer dazu, auf schädliche Links zu klicken oder Zugangsdaten preiszugeben. Generative KI wird eingesetzt, um Phishing-Versuche zu erkennen und das Nutzertraining zu verbessern, um erfolgreiche Angriffe zu verhindern. Im defensiven Bereich können KI-Modelle E-Mail-Inhalte und das Verhalten von Absendern analysieren, um subtile Anzeichen von Phishing zu erkennen, die regelbasierte Filter möglicherweise übersehen. Durch das Lernen aus großen Datensätzen legitimer und betrügerischer E-Mails kann ein generatives Modell Anomalien in Tonfall, Wortwahl oder Kontext erkennen, die auf Betrug hindeuten – selbst wenn Grammatik und Rechtschreibung keine eindeutigen Hinweise mehr liefern. Forscher von Palo Alto Networks weisen darauf hin, dass generative KI „subtile Anzeichen von Phishing-E-Mails identifizieren kann, die sonst unentdeckt bleiben würden“ und Unternehmen so hilft, Betrügern einen Schritt voraus zu sein ( What Is Generative AI in Cybersecurity? - Palo Alto Networks ).

Sicherheitsteams nutzen generative KI auch zur Simulation von Phishing-Angriffen für Training und Analyse. Ironscales hat beispielsweise ein GPT-basiertes Phishing-Simulationstool eingeführt, das automatisch gefälschte Phishing-E-Mails generiert, die auf die Mitarbeiter eines Unternehmens zugeschnitten sind ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Diese KI-generierten E-Mails spiegeln die neuesten Angreifertaktiken wider und bieten Mitarbeitern realistische Übung im Erkennen von Phishing-Inhalten. Solches personalisiertes Training ist entscheidend, da Angreifer selbst KI einsetzen, um überzeugendere Köder zu erstellen. Obwohl generative KI sehr ausgefeilte Phishing-Nachrichten erzeugen kann (die Zeiten leicht erkennbarer Grammatikfehler sind vorbei), haben Sicherheitsexperten festgestellt, dass KI nicht unbesiegbar ist. Im Jahr 2024 führten Forscher von IBM Security ein Experiment durch, in dem sie von Menschen verfasste Phishing-E-Mails mit KI-generierten verglichen. „Überraschenderweise waren die KI-generierten E-Mails trotz ihrer korrekten Grammatik immer noch leicht zu erkennen“ ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Dies lässt darauf schließen, dass menschliche Intuition in Kombination mit KI-gestützter Erkennung immer noch subtile Unstimmigkeiten oder Metadatensignale in KI-generierten Betrugsmaschen erkennen kann.

Generative KI unterstützt die Phishing-Abwehr auch auf andere Weise. Modelle können genutzt werden, um automatisierte Antworten oder Filter , die verdächtige E-Mails prüfen. Beispielsweise könnte ein KI-System auf eine E-Mail mit bestimmten Anfragen antworten, um die Legitimität des Absenders zu überprüfen, oder mithilfe eines LLM die Links und Anhänge einer E-Mail in einer Sandbox analysieren und anschließend etwaige schädliche Absichten zusammenfassen. Die Sicherheitsplattform Morpheus demonstriert die Leistungsfähigkeit von KI in diesem Bereich: Sie verwendet generative NLP-Modelle, um E-Mails schnell zu analysieren und zu klassifizieren, und konnte die Erkennung von Spear-Phishing-E-Mails im Vergleich zu herkömmlichen Sicherheitstools 21 % 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Morpheus erstellt sogar Profile von Benutzerkommunikationsmustern, um ungewöhnliches Verhalten zu erkennen (z. B. wenn ein Benutzer plötzlich viele externe Adressen anschreibt), was auf ein kompromittiertes Konto hindeuten kann, das Phishing-E-Mails versendet.

In der Praxis setzen Unternehmen branchenübergreifend zunehmend auf KI, um E-Mails und Web-Traffic auf Social-Engineering-Angriffe zu filtern. Finanzunternehmen nutzen beispielsweise generative KI, um die Kommunikation auf Identitätsdiebstahlversuche zu überprüfen, die zu Betrug führen könnten. Gesundheitsdienstleister verwenden KI, um Patientendaten vor Phishing-Angriffen zu schützen. Durch die Generierung realistischer Phishing-Szenarien und die Identifizierung der Merkmale schädlicher Nachrichten ergänzt generative KI Phishing-Präventionsstrategien um eine wichtige Komponente. Fazit: KI kann helfen, Phishing-Angriffe schneller und präziser zu erkennen und abzuwehren , selbst wenn Angreifer dieselbe Technologie nutzen, um ihre Methoden zu verfeinern.

Malware-Erkennung und Bedrohungsanalyse

Moderne Malware entwickelt sich ständig weiter – Angreifer erstellen neue Varianten oder verschleiern ihren Code, um Virensignaturen zu umgehen. Generative KI bietet neuartige Techniken sowohl zur Malware-Erkennung als auch zum Verständnis ihres Verhaltens. Ein Ansatz besteht darin, mithilfe von KI „böse Zwillinge“ von Malware zu generieren : Sicherheitsforscher können eine bekannte Malware-Probe in ein generatives Modell einspeisen, um zahlreiche mutierte Varianten dieser Malware zu erzeugen. Dadurch können sie die möglichen Anpassungen eines Angreifers effektiv antizipieren. Diese KI-generierten Varianten können dann zum Trainieren von Virenschutz- und Intrusion-Detection-Systemen verwendet werden, sodass selbst modifizierte Versionen der Malware in freier Wildbahn erkannt werden ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Diese proaktive Strategie hilft, den Kreislauf zu durchbrechen, in dem Hacker ihre Malware leicht verändern, um der Erkennung zu entgehen, und Verteidiger jedes Mal neue Signaturen erstellen müssen. Wie in einem Branchenpodcast erwähnt, nutzen Sicherheitsexperten generative KI, um „Netzwerkverkehr zu simulieren und Schadsoftware zu generieren, die ausgeklügelte Angriffe imitiert“. So testen sie ihre Abwehrmechanismen gegen eine ganze Familie von Bedrohungen anstatt nur gegen einzelne. Diese adaptive Bedrohungserkennung macht Sicherheitstools widerstandsfähiger gegen polymorphe Malware, die sonst unentdeckt bliebe.

Über die Erkennung hinaus unterstützt generative KI die Malware-Analyse und das Reverse Engineering , Aufgaben, die für Bedrohungsanalysten traditionell sehr aufwendig sind. Große Sprachmodelle können damit beauftragt werden, verdächtigen Code oder Skripte zu untersuchen und deren Funktion in natürlicher Sprache zu erklären. Ein praktisches Beispiel ist VirusTotal Code Insight , eine Funktion von Googles VirusTotal, die ein generatives KI-Modell (Googles Sec-PaLM) nutzt, um Zusammenfassungen potenziell schädlichen Codes in natürlicher Sprache zu erstellen ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Im Wesentlichen handelt es sich um eine Art ChatGPT, speziell für die Sicherheitsprogrammierung entwickelt, das als KI-Malware-Analyst rund um die Uhr arbeitet, um menschliche Analysten beim Verständnis von Bedrohungen zu unterstützen ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Anstatt sich mühsam durch unbekannte Skripte oder Binärcode zu wühlen, erhält ein Mitglied des Sicherheitsteams sofort eine Erklärung von der KI – beispielsweise: „Dieses Skript versucht, eine Datei vom XYZ-Server herunterzuladen und anschließend die Systemeinstellungen zu ändern, was auf Malware-Verhalten hindeutet.“ Dies beschleunigt die Reaktion auf Sicherheitsvorfälle erheblich, da Analysten neue Malware schneller als je zuvor analysieren und verstehen können.

Generative KI wird auch zur Malware-Erkennung in riesigen Datensätzen . Traditionelle Antivirenprogramme scannen Dateien nach bekannten Signaturen, während ein generatives Modell die Eigenschaften einer Datei auswerten und anhand gelernter Muster sogar vorhersagen kann, ob sie schädlich ist. Durch die Analyse der Attribute von Milliarden von Dateien (schädlichen wie harmlosen) kann eine KI schädliche Absichten erkennen, selbst wenn keine explizite Signatur vorhanden ist. Beispielsweise könnte ein generatives Modell eine ausführbare Datei als verdächtig einstufen, weil ihr Verhaltensprofil ähnelt , die es während des Trainings kennengelernt hat – obwohl die Binärdatei neu ist. Diese verhaltensbasierte Erkennung hilft, neuartige oder Zero-Day-Malware abzuwehren. Googles Threat Intelligence AI (Teil von Chronicle/Mandiant) nutzt Berichten zufolge sein generatives Modell, um potenziell schädlichen Code zu analysieren und „Sicherheitsexperten effizienter und effektiver bei der Bekämpfung von Malware und anderen Bedrohungen zu unterstützen“ ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ).

Andererseits müssen wir anerkennen, dass Angreifer generative KI auch hier einsetzen können – um automatisch Malware zu erstellen, die sich selbst anpasst. Sicherheitsexperten warnen sogar davor, dass generative KI Cyberkriminellen helfen kann, schwerer erkennbare Malware zu entwickeln ( Was ist generative KI in der Cybersicherheit? – Palo Alto Networks ). Ein KI-Modell kann angewiesen werden, Malware wiederholt zu verändern (Dateistruktur, Verschlüsselungsmethoden usw. anzupassen), bis sie alle bekannten Virenscanner umgeht. Diese missbräuchliche Verwendung ist ein wachsendes Problem (manchmal auch als „KI-gestützte Malware“ oder polymorphe Malware als Dienstleistung bezeichnet). Wir werden diese Risiken später genauer betrachten, aber es unterstreicht, dass generative KI ein Werkzeug in diesem Katz-und-Maus-Spiel ist, das sowohl von Verteidigern als auch von Angreifern genutzt wird.

Insgesamt verbessert generative KI die Malware-Abwehr, indem sie Sicherheitsteams in die Lage versetzt, wie Angreifer zu denken – und so neue Bedrohungen und Lösungen intern zu entwickeln. Ob es nun um die Erstellung synthetischer Malware zur Verbesserung der Erkennungsrate oder um den Einsatz von KI zur Analyse und Eindämmung realer Malware in Netzwerken geht – diese Techniken sind branchenübergreifend anwendbar. Eine Bank könnte beispielsweise KI-gestützte Malware-Analyse nutzen, um ein verdächtiges Makro in einer Tabellenkalkulation schnell zu analysieren, während ein Fertigungsunternehmen KI zur Erkennung von Malware einsetzen könnte, die auf industrielle Steuerungssysteme abzielt. Durch die Ergänzung der traditionellen Malware-Analyse mit generativer KI können Unternehmen schneller und proaktiver auf Malware-Kampagnen reagieren als je zuvor.

Bedrohungsanalyse und automatisierte Analyse

Unternehmen werden täglich mit Daten zur Bedrohungsanalyse überflutet – von Meldungen über neu entdeckte Indikatoren für Kompromittierung (IOCs) bis hin zu Analystenberichten über neue Hackertaktiken. Die Herausforderung für Sicherheitsteams besteht darin, diese Informationsflut zu durchforsten und daraus handlungsrelevante Erkenntnisse zu gewinnen. Generative KI erweist sich dabei als unschätzbar wertvoll, da sie die Analyse und Auswertung von Bedrohungsdaten automatisiert . Anstatt Dutzende von Berichten oder Datenbankeinträgen manuell zu lesen, können Analysten KI einsetzen, um Bedrohungsdaten in Echtzeit zusammenzufassen und in den Kontext zu setzen.

Ein konkretes Beispiel ist Googles Threat Intelligence Suite, die generative KI (das Gemini-Modell) mit Googles umfangreichen Bedrohungsdaten von Mandiant und VirusTotal integriert. Diese KI ermöglicht eine „konversationelle Suche in Googles riesigem Repository an Bedrohungsdaten“ , sodass Nutzer natürliche Fragen zu Bedrohungen stellen und prägnante Antworten erhalten können ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Beispielsweise könnte ein Analyst fragen: „Gab es Malware der Bedrohungsgruppe X, die unsere Branche angreift?“ Die KI liefert daraufhin relevante Informationen und vermerkt beispielsweise : „Ja, die Bedrohungsgruppe X war letzten Monat an einer Phishing-Kampagne mit Malware Y beteiligt“ , zusammen mit einer Zusammenfassung des Verhaltens dieser Malware. Dadurch wird der Zeitaufwand für die Gewinnung von Erkenntnissen erheblich reduziert, da andernfalls mehrere Tools abgefragt oder lange Berichte gelesen werden müssten.

Generative KI kann Bedrohungstrends korrelieren und zusammenfassen . Sie durchsucht beispielsweise Tausende von Sicherheitsblogbeiträgen, Meldungen zu Sicherheitsvorfällen und Darknet-Diskussionen und erstellt daraus eine Managementzusammenfassung der „wichtigsten Cyberbedrohungen dieser Woche“ für das Briefing des CISO. Früher erforderte diese Art der Analyse und Berichterstattung einen erheblichen menschlichen Aufwand; heute kann ein gut trainiertes Modell dies in Sekundenschnelle erledigen, wobei die Ergebnisse lediglich vom Menschen verfeinert werden. Unternehmen wie ZeroFox haben FoxGPT , ein generatives KI-Tool, das speziell dafür konzipiert wurde, „die Analyse und Zusammenfassung von Informationen aus großen Datensätzen zu beschleunigen“, darunter auch schädliche Inhalte und Phishing-Daten ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Durch die Automatisierung des aufwendigen Lesens und Abgleichens von Daten ermöglicht KI Threat-Intelligence-Teams, sich auf Entscheidungsfindung und Reaktion zu konzentrieren.

Ein weiterer Anwendungsfall ist die dialogbasierte Bedrohungsanalyse . Stellen Sie sich vor, ein Sicherheitsanalyst interagiert mit einem KI-Assistenten: „Zeigen Sie mir Anzeichen für Datenexfiltration in den letzten 48 Stunden“ oder „Welche neuen Schwachstellen nutzen Angreifer diese Woche am häufigsten aus?“ Die KI kann die Anfrage interpretieren, interne Protokolle oder externe Informationsquellen durchsuchen und eine klare Antwort oder sogar eine Liste relevanter Vorfälle liefern. Das ist keine Zukunftsmusik – moderne SIEM-Systeme (Security Information and Event Management) integrieren zunehmend Abfragen in natürlicher Sprache. IBMs Sicherheitssuite QRadar beispielsweise wird 2024 generative KI-Funktionen einführen, mit denen Analysten „spezifische Fragen zum zusammengefassten Angriffspfad“ eines Vorfalls stellen und detaillierte Antworten erhalten können. Sie kann außerdem „hochrelevante Bedrohungsdaten automatisch interpretieren und zusammenfassen“ ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Im Wesentlichen wandelt generative KI riesige Mengen technischer Daten in leicht verständliche, dialogbasierte Erkenntnisse um.

Branchenübergreifend hat dies weitreichende Folgen. Ein Gesundheitsdienstleister kann KI nutzen, um sich über die neuesten Ransomware-Gruppen, die Krankenhäuser angreifen, auf dem Laufenden zu halten, ohne einen Analysten für die Vollzeitforschung abstellen zu müssen. Das Security Operations Center (SOC) eines Einzelhandelsunternehmens kann neue Malware-Taktiken für Kassensysteme schnell zusammenfassen und so die IT-Mitarbeiter der Filialen optimal informieren. Und im öffentlichen Sektor, wo Bedrohungsdaten verschiedener Behörden zusammengeführt werden müssen, kann KI einheitliche Berichte erstellen, die die wichtigsten Warnungen hervorheben. Durch die Automatisierung der Erfassung und Auswertung von Bedrohungsdaten hilft generative KI Organisationen, schneller auf neue Bedrohungen zu reagieren und das Risiko zu verringern, wichtige Warnungen im Informationsrauschen zu übersehen.

Optimierung des Security Operations Center (SOC)

Security Operations Center (SOCs) sind bekannt für ihre Alarmflut und die enorme Datenmenge, die sie bewältigen müssen. Ein typischer SOC-Analyst muss täglich Tausende von Alarmen und Ereignissen durchgehen und potenzielle Vorfälle untersuchen. Generative KI wirkt in SOCs als Multiplikator, indem sie Routinearbeiten automatisiert, intelligente Zusammenfassungen erstellt und sogar einige Reaktionen koordiniert. Ziel ist es, die SOC-Workflows so zu optimieren, dass sich die Analysten auf die wichtigsten Probleme konzentrieren können, während die KI die restlichen Aufgaben übernimmt.

Eine wichtige Anwendung ist der Einsatz von generativer KI als „Analysten-Copilot“ . Microsofts Security Copilot, der bereits erwähnt wurde, ist ein gutes Beispiel dafür: Er „ist darauf ausgelegt, die Arbeit von Sicherheitsanalysten zu unterstützen, nicht sie zu ersetzen“ und hilft bei der Untersuchung und Berichterstattung von Sicherheitsvorfällen ( Microsoft Security Copilot ist ein neuer GPT-4-KI-Assistent für Cybersicherheit | The Verge ). In der Praxis bedeutet dies, dass ein Analyst Rohdaten – Firewall-Protokolle, eine Ereigniszeitleiste oder eine Vorfallsbeschreibung – eingeben und die KI bitten kann, diese zu analysieren oder zusammenzufassen. Der Copilot könnte beispielsweise folgende Meldung ausgeben: „Anscheinend war um 2:35 Uhr ein verdächtiger Login von IP X auf Server Y erfolgreich, gefolgt von ungewöhnlichen Datenübertragungen, was auf einen möglichen Sicherheitsverstoß auf diesem Server hindeutet.“ Diese Art der unmittelbaren Kontextualisierung ist von unschätzbarem Wert, wenn es auf jede Minute ankommt.

KI-gestützte Systeme tragen außerdem dazu bei, den Aufwand für die Priorisierung von Sicherheitswarnungen (Level 1) zu reduzieren. Branchenangaben zufolge verbringt ein Sicherheitsteam wöchentlich bis zu 15 Stunden damit, rund 22.000 Warnmeldungen und Fehlalarme zu sichten ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Mithilfe generativer KI lassen sich viele dieser Warnmeldungen automatisch priorisieren: Die KI kann eindeutig harmlose Warnmeldungen (mit Begründung) verwerfen und diejenigen hervorheben, die tatsächlich Aufmerksamkeit erfordern, und schlägt mitunter sogar die Priorität vor. Die Stärke generativer KI im Kontextverständnis ermöglicht es ihr, Warnmeldungen miteinander zu verknüpfen, die einzeln betrachtet harmlos erscheinen mögen, aber gemeinsam auf einen mehrstufigen Angriff hindeuten. Dadurch wird die Wahrscheinlichkeit verringert, einen Angriff aufgrund von „Warnmüdigkeit“ zu übersehen.

SOC-Analysten nutzen zudem natürliche Sprache in Kombination mit KI, um die Suche und Untersuchung von Bedrohungen zu beschleunigen. Die Purple AI- Plattform von SentinelOne beispielsweise kombiniert eine LLM-basierte Schnittstelle mit Echtzeit-Sicherheitsdaten. So können Analysten „komplexe Fragen zur Bedrohungsanalyse in einfacher Sprache stellen und schnell präzise Antworten erhalten“ ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Ein Analyst könnte beispielsweise eingeben: „Haben in den letzten 30 Tagen Endpunkte mit der Domain badguy123[.]com kommuniziert?“ , woraufhin Purple AI die Protokolle durchsucht und antwortet. Dadurch entfällt für den Analysten das Schreiben von Datenbankabfragen oder Skripten – die KI erledigt dies im Hintergrund. Auch jüngere Analysten können so Aufgaben übernehmen, die zuvor erfahrene Ingenieure mit Kenntnissen in Abfragesprachen erforderten. Die KI-Unterstützung trägt somit effektiv zur Weiterbildung des Teams bei . Analysten berichten, dass die Unterstützung durch generative KI ihre Fähigkeiten und Kompetenzen steigert , da jüngere Mitarbeiter nun bei Bedarf Unterstützung beim Codieren oder Analysetipps von der KI erhalten können, wodurch die Abhängigkeit von der ständigen Nachfrage bei erfahrenen Teammitgliedern verringert wird ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ).

Eine weitere Optimierungsmöglichkeit für Security Operations Center (SOCs) ist die automatisierte Zusammenfassung und Dokumentation von Sicherheitsvorfällen . Nach der Bearbeitung eines Vorfalls muss der Bericht verfasst werden – eine Aufgabe, die viele als mühsam empfinden. Generative KI kann die forensischen Daten (Systemprotokolle, Malware-Analyse, Chronologie der Ereignisse) nutzen und einen ersten Entwurf des Vorfallberichts erstellen. IBM integriert diese Funktion in QRadar, sodass mit nur einem Klick eine Zusammenfassung eines Vorfalls für verschiedene Stakeholder (Führungskräfte, IT-Teams usw.) erstellt werden kann ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Dies spart nicht nur Zeit, sondern stellt auch sicher, dass im Bericht nichts übersehen wird, da die KI alle relevanten Details konsistent einbeziehen kann. Ebenso kann KI im Rahmen von Compliance- und Auditierungsverfahren Formulare oder Nachweistabellen auf Basis der Vorfalldaten ausfüllen.

Die Ergebnisse aus der Praxis sind überzeugend. Pioniere, die Swimlanes KI-gestützte SOAR-Lösung (Security Orchestration, Automation and Response) einsetzen, berichten von enormen Produktivitätssteigerungen. So konnte beispielsweise das SecOps-Team von Global Data Systems ein deutlich höheres Fallaufkommen bewältigen. Ein Direktor erklärte: die KI-gestützte Automatisierung wahrscheinlich 20 Mitarbeiter erfordern“ Wie kann generative KI in der Cybersicherheit eingesetzt werden ?). Anders ausgedrückt: KI im SOC kann die Kapazität vervielfachen . Branchenübergreifend, ob Technologieunternehmen, die Cloud-Sicherheitswarnungen bearbeiten, oder Produktionsbetriebe, die OT-Systeme überwachen – SOC-Teams profitieren von schnellerer Erkennung und Reaktion, weniger übersehenen Vorfällen und effizienteren Abläufen durch den Einsatz generativer KI-Assistenten. Es geht darum, intelligenter zu arbeiten: Maschinen sollen repetitive und datenintensive Aufgaben übernehmen, damit sich die Mitarbeiter auf ihre Intuition und Expertise konzentrieren können.

Schwachstellenmanagement und Bedrohungssimulation

Die Identifizierung und das Management von Schwachstellen – also Sicherheitslücken in Software oder Systemen, die Angreifer ausnutzen könnten – sind eine Kernaufgabe der Cybersicherheit. Generative KI verbessert das Schwachstellenmanagement, indem sie die Erkennung beschleunigt, die Priorisierung von Patches unterstützt und sogar Angriffe auf diese Schwachstellen simuliert, um die Vorbereitung zu optimieren. Kurz gesagt: KI hilft Unternehmen, Sicherheitslücken schneller zu finden und zu beheben und ihre proaktiv zu testen, bevor es tatsächliche Angreifer tun.

Eine wichtige Anwendung ist der Einsatz von generativer KI für automatisierte Code-Reviews und die Erkennung von Sicherheitslücken . Große Codebasen (insbesondere Legacy-Systeme) bergen oft unentdeckte Sicherheitslücken. Generative KI-Modelle können mit sicheren Programmierpraktiken und häufigen Fehlermustern trainiert und anschließend auf Quellcode oder kompilierte Binärdateien angewendet werden, um potenzielle Schwachstellen aufzuspüren. So entwickelten beispielsweise Forscher von NVIDIA eine generative KI-Pipeline, die Legacy-Software-Container analysieren und Schwachstellen „mit hoher Genauigkeit – bis zu viermal schneller als menschliche Experten“ ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Die KI lernte im Wesentlichen, wie unsicherer Code aussieht, und konnte jahrzehntealte Software durchsuchen, um riskante Funktionen und Bibliotheken zu kennzeichnen. Dadurch wurde der normalerweise langsame Prozess der manuellen Code-Prüfung erheblich beschleunigt. Solche Tools können für Branchen wie den Finanzsektor oder die öffentliche Verwaltung, die auf große, ältere Codebasen angewiesen sind, bahnbrechend sein – die KI trägt zur Modernisierung der Sicherheit bei, indem sie Probleme aufdeckt, für deren Entdeckung Mitarbeiter Monate oder Jahre benötigen würden (wenn überhaupt).

Generative KI unterstützt auch Workflows im Bereich des Schwachstellenmanagements , indem sie Scan-Ergebnisse verarbeitet und priorisiert. Tools wie Tenables ExposureAI nutzen generative KI, um Analysten die Abfrage von Schwachstellendaten in einfacher Sprache und die sofortige Beantwortung von Fragen zu ermöglichen ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). ExposureAI kann den gesamten Angriffspfad einer kritischen Schwachstelle in einer zusammenfassenden Beschreibung darstellen und erklären, wie ein Angreifer diese mit anderen Schwachstellen kombinieren könnte, um ein System zu kompromittieren. Die KI empfiehlt sogar Maßnahmen zur Behebung der Schwachstelle und beantwortet Folgefragen zum Risiko. Das bedeutet: Wird eine neue kritische CVE (Common Vulnerabilities and Exposures) bekannt gegeben, kann ein Analyst die KI fragen: „Sind unsere Server von dieser CVE betroffen und was wäre das Worst-Case-Szenario, wenn wir sie nicht patchen?“ und erhält eine klare Bewertung basierend auf den Scan-Daten des Unternehmens. Durch die Kontextualisierung von Schwachstellen (z. B. ist diese Schwachstelle dem Internet ausgesetzt und befindet sich auf einem Server mit hohem Wert, daher hat sie höchste Priorität) hilft generative KI den Teams, mit begrenzten Ressourcen intelligent Patches zu erstellen.

Neben dem Aufspüren und Beheben bekannter Schwachstellen trägt generative KI zu Penetrationstests und Angriffssimulationen – im Wesentlichen geht es darum, unbekannte Schwachstellen zu entdecken oder Sicherheitskontrollen zu testen. Generative Adversarial Networks (GANs), eine Form der generativen KI, werden eingesetzt, um synthetische Daten zu erzeugen, die realen Netzwerkverkehr oder Benutzerverhalten imitieren und dabei auch versteckte Angriffsmuster beinhalten können. Eine Studie aus dem Jahr 2023 schlug vor, GANs zur Generierung realistischen Zero-Day-Angriffsverkehrs zu verwenden, um Intrusion-Detection-Systeme (IDS) zu trainieren ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Indem Unternehmen ihre IDS mit KI-generierten Angriffsszenarien füttern (die nicht das Risiko bergen, echte Malware in Produktionsnetzwerken einzusetzen), können sie ihre Abwehrmechanismen trainieren, neue Bedrohungen zu erkennen, ohne auf einen tatsächlichen Angriff warten zu müssen. Ebenso kann KI einen Angreifer simulieren, der ein System untersucht – beispielsweise durch das automatische Ausprobieren verschiedener Exploit-Techniken in einer sicheren Umgebung, um deren Erfolg zu prüfen. Die US-amerikanische Forschungsagentur DARPA (Defense Advanced Research Projects Agency) sieht hier großes Potenzial: Ihre KI-Cyber-Challenge 2023 nutzt generative KI (wie große Sprachmodelle) explizit, um im Rahmen eines Wettbewerbs „automatisch Schwachstellen in Open-Source-Software zu finden und zu beheben“ DARPA will KI- und Autonomieanwendungen entwickeln, denen Soldaten vertrauen können > US-Verteidigungsministerium > Nachrichten des Verteidigungsministeriums ). Diese Initiative unterstreicht, dass KI nicht nur bekannte Sicherheitslücken schließt, sondern aktiv neue aufdeckt und Lösungen vorschlägt – eine Aufgabe, die traditionell qualifizierten (und teuren) Sicherheitsforschern vorbehalten war.

Generative KI kann sogar intelligente Honeypots und digitale Zwillinge zur Verteidigung erstellen. Startups entwickeln KI-gesteuerte Ködersysteme, die echte Server oder Geräte überzeugend imitieren. Wie ein CEO erklärte, kann generative KI „digitale Systeme klonen, um reale Systeme nachzuahmen und Hacker anzulocken“ ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Diese KI-generierten Honeypots verhalten sich wie die reale Umgebung (z. B. ein gefälschtes IoT-Gerät, das normale Telemetriedaten sendet), dienen aber ausschließlich dazu, Angreifer anzulocken. Wenn ein Angreifer den Köder angreift, hat die KI ihn im Grunde dazu gebracht, seine Methoden preiszugeben. Diese können die Verteidiger dann analysieren und zur Verstärkung der realen Systeme nutzen. Dieses Konzept, das auf generativer Modellierung basiert, bietet einen zukunftsweisenden Ansatz, um Angreifer mithilfe von KI-gestützter Täuschung in die Schranken zu weisen .

Branchenübergreifend führt ein schnelleres und intelligenteres Schwachstellenmanagement zu weniger Sicherheitsvorfällen. Im Gesundheitswesen beispielsweise könnte KI eine veraltete und anfällige Bibliothek in einem medizinischen Gerät schnell erkennen und ein Firmware-Update veranlassen, bevor ein Angreifer diese ausnutzen kann. Im Bankwesen könnte KI einen Insiderangriff auf eine neue Anwendung simulieren, um die Sicherheit der Kundendaten in allen Szenarien zu gewährleisten. Generative KI fungiert somit als Mikroskop und Stresstester für die Sicherheitslage von Organisationen: Sie deckt verborgene Schwachstellen auf und testet Systeme auf innovative Weise, um deren Resilienz zu stärken.

Sichere Codegenerierung und Softwareentwicklung

Die Fähigkeiten generativer KI beschränken sich nicht auf die Erkennung von Angriffen – sie ermöglichen auch die Entwicklung sichererer Systeme von Anfang an . In der Softwareentwicklung können KI-Codegeneratoren (wie GitHub Copilot, OpenAI Codex usw.) Entwicklern helfen, schneller Code zu schreiben, indem sie Code-Schnipsel oder sogar ganze Funktionen vorschlagen. Im Bereich der Cybersicherheit geht es darum, sicherzustellen, dass diese KI-generierten Codebausteine ​​sicher sind und KI zur Verbesserung der Programmierpraktiken eingesetzt wird.

Einerseits kann generative KI als Programmierassistent fungieren, der bewährte Sicherheitspraktiken integriert . Entwickler können ein KI-Tool beispielsweise anweisen: „Generiere eine Funktion zum Zurücksetzen von Passwörtern in Python“ und erhalten idealerweise Code zurück, der nicht nur funktional ist, sondern auch Sicherheitsrichtlinien befolgt (z. B. korrekte Eingabevalidierung, Protokollierung, Fehlerbehandlung ohne Informationsverlust usw.). Ein solcher Assistent, der mit umfangreichen Beispielen sicheren Codes trainiert wurde, kann dazu beitragen, menschliche Fehler zu reduzieren, die zu Sicherheitslücken führen. Wenn ein Entwickler beispielsweise vergisst, Benutzereingaben zu bereinigen (und damit SQL-Injection oder ähnliche Probleme ermöglicht), könnte eine KI dies entweder standardmäßig implementieren oder eine Warnung ausgeben. Einige KI-Programmierwerkzeuge werden derzeit mit sicherheitsrelevanten Daten optimiert, um genau diesem Zweck zu dienen – im Wesentlichen KI-gestützte Paarprogrammierung mit einem ausgeprägten Sicherheitsbewusstsein .

Es gibt jedoch auch eine Kehrseite: Generative KI kann, wenn sie nicht ordnungsgemäß gesteuert wird, ebenso leicht Sicherheitslücken verursachen. Wie der Sophos-Sicherheitsexperte Ben Verschaeren anmerkte, ist der Einsatz generativer KI für die Programmierung „für kurzen, überprüfbaren Code in Ordnung, aber riskant, wenn ungeprüfter Code in Produktionssysteme integriert wird“. Das Risiko besteht darin, dass eine KI logisch korrekten Code erzeugt, der jedoch Sicherheitslücken aufweist, die einem Laien möglicherweise nicht auffallen. Darüber hinaus könnten Angreifer öffentliche KI-Modelle absichtlich beeinflussen, indem sie diese mit anfälligen Codemustern versehen (eine Form der Datenvergiftung), sodass die KI unsicheren Code vorschlägt. Die meisten Entwickler sind keine Sicherheitsexperten . Wenn eine KI also eine vermeintlich bequeme Lösung vorschlägt, verwenden sie diese möglicherweise unreflektiert, ohne die Schwachstelle zu erkennen ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Diese Sorge ist berechtigt – es gibt sogar eine OWASP Top 10-Liste für große Sprachmodelle (LLMs), die häufige Risiken wie diese beim Einsatz von KI für die Programmierung aufzeigt.

Um diesen Problemen entgegenzuwirken, schlagen Experten vor, „generative KI mit generativer KI zu bekämpfen“ . Konkret bedeutet dies, KI zur Überprüfung und zum Testen von Code , der von anderer KI (oder von Menschen) geschrieben wurde. Eine KI kann neue Code-Commits deutlich schneller scannen als ein menschlicher Code-Reviewer und potenzielle Schwachstellen oder Logikfehler aufdecken. Es gibt bereits Tools, die sich in den Softwareentwicklungszyklus integrieren: Code wird geschrieben (möglicherweise mit KI-Unterstützung), anschließend überprüft ein generatives Modell, das auf Prinzipien sicheren Codes trainiert wurde, diesen und erstellt einen Bericht über etwaige Probleme (z. B. Verwendung veralteter Funktionen, fehlende Authentifizierungsprüfungen usw.). Die bereits erwähnte Forschung von NVIDIA, die eine viermal schnellere Erkennung von Schwachstellen im Code erreichte, ist ein Beispiel für den Einsatz von KI zur sicheren Codeanalyse ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ).

der Erstellung sicherer Konfigurationen und Skripte helfen . Benötigt ein Unternehmen beispielsweise eine sichere Cloud-Infrastruktur, kann ein Entwickler eine KI beauftragen, die Konfigurationsskripte (Infrastructure as Code) mit integrierten Sicherheitskontrollen (wie z. B. korrekter Netzwerksegmentierung und IAM-Rollen mit minimalen Berechtigungen) zu generieren. Die KI, die mit Tausenden solcher Konfigurationen trainiert wurde, kann eine Basiskonfiguration erstellen, die der Entwickler anschließend feinabstimmt. Dies beschleunigt die sichere Einrichtung von Systemen und reduziert Fehlkonfigurationen – eine häufige Ursache für Sicherheitsvorfälle in der Cloud.

Einige Organisationen nutzen generative KI, um eine Wissensdatenbank mit sicheren Codierungsmustern zu pflegen. Wenn ein Entwickler unsicher ist, wie er eine bestimmte Funktion sicher implementieren kann, kann er eine interne KI befragen, die aus früheren Projekten und Sicherheitsrichtlinien des Unternehmens gelernt hat. Die KI liefert dann möglicherweise einen empfohlenen Ansatz oder sogar einen Code-Schnipsel, der sowohl den funktionalen Anforderungen als auch den Sicherheitsstandards des Unternehmens entspricht. Dieser Ansatz wird beispielsweise von Tools wie Secureframes Questionnaire Automation , die Antworten aus den Unternehmensrichtlinien und früheren Lösungen abruft, um konsistente und präzise Antworten zu gewährleisten (und so im Wesentlichen eine sichere Dokumentation zu generieren) ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Das Konzept lässt sich auf die Codierung übertragen: Eine KI „erinnert“ sich daran, wie Sie etwas zuvor sicher implementiert haben, und leitet Sie an, es erneut auf diese Weise zu tun.

Zusammenfassend lässt sich sagen, dass generative KI die Softwareentwicklung beeinflusst, indem sie die Unterstützung beim sicheren Codieren zugänglicher macht . Branchen, die viel kundenspezifische Software entwickeln – wie Technologie, Finanzen und Verteidigung – profitieren von KI-gestützten Systemen, die nicht nur die Codierung beschleunigen, sondern auch als ständige Sicherheitsüberprüfer fungieren. Bei korrekter Anwendung können diese KI-Tools die Entstehung neuer Schwachstellen reduzieren und Entwicklungsteams dabei unterstützen, Best Practices einzuhalten, selbst wenn nicht in jedem Schritt ein Sicherheitsexperte beteiligt ist. Das Ergebnis ist Software, die von Anfang an robuster gegen Angriffe ist.

Unterstützung bei der Reaktion auf Vorfälle

Bei einem Cybersicherheitsvorfall – sei es ein Malware-Ausbruch, ein Datenleck oder ein Systemausfall infolge eines Angriffs – ist Zeit entscheidend. Generative KI wird zunehmend eingesetzt, um Incident-Response-Teams (IR-Teams) dabei zu unterstützen , Vorfälle schneller und mit mehr Informationen einzudämmen und zu beheben. Die Idee dahinter ist, dass KI einen Teil der Untersuchungs- und Dokumentationsarbeit während eines Vorfalls übernehmen und sogar einige Reaktionsmaßnahmen vorschlagen oder automatisieren kann.

Eine Schlüsselrolle von KI im Incident Response (IR) ist die Echtzeit-Analyse und -Zusammenfassung von Sicherheitsvorfällen . Mitten in einem Vorfall benötigen die Einsatzkräfte Antworten auf Fragen wie: „Wie ist der Angreifer eingedrungen?“ , „Welche Systeme sind betroffen?“ und „Welche Daten könnten kompromittiert worden sein?“ . Generative KI kann Protokolle, Warnmeldungen und forensische Daten betroffener Systeme analysieren und schnell Erkenntnisse liefern. Beispielsweise ermöglicht Microsoft Security Copilot den Einsatzkräften, verschiedene Beweismittel (Dateien, URLs, Ereignisprotokolle) einzugeben und eine Zeitleiste oder Zusammenfassung anzufordern ( Microsoft Security Copilot ist ein neuer GPT-4-KI-Assistent für Cybersicherheit | The Verge ). Die KI könnte beispielsweise antworten: „Der Angriff begann wahrscheinlich mit einer Phishing-E-Mail an Benutzer JohnDoe um 10:53 Uhr GMT, die Schadsoftware X enthielt. Nach der Ausführung erstellte die Schadsoftware eine Hintertür, die zwei Tage später genutzt wurde, um sich lateral auf den Finanzserver auszubreiten und dort Daten zu sammeln.“ Dieses zusammenhängende Bild innerhalb von Minuten statt Stunden zu erhalten, ermöglicht es dem Team, fundierte Entscheidungen (z. B. welche Systeme isoliert werden sollen) viel schneller zu treffen.

Generative KI kann auch Eindämmungs- und Behebungsmaßnahmen vorschlagen . Wenn beispielsweise ein Endpunkt mit Ransomware infiziert ist, könnte ein KI-Tool ein Skript oder eine Reihe von Anweisungen generieren, um den betroffenen Rechner zu isolieren, bestimmte Konten zu deaktivieren und bekannte schädliche IP-Adressen auf der Firewall zu blockieren – im Wesentlichen die Ausführung eines Handlungsplans. Palo Alto Networks merkt an, dass generative KI in der Lage ist, „anhand der Art des Vorfalls geeignete Aktionen oder Skripte zu generieren“ und so die ersten Schritte der Reaktion zu automatisieren ( Was ist generative KI in der Cybersicherheit? – Palo Alto Networks ). In einem Szenario, in dem das Sicherheitsteam überlastet ist (beispielsweise bei einem großflächigen Angriff auf Hunderte von Geräten), könnte die KI einige dieser Aktionen unter vorab genehmigten Bedingungen sogar direkt ausführen und so wie ein unermüdlicher Mitarbeiter im Krisenmanagement agieren. Beispielsweise könnte ein KI-Agent automatisch Anmeldeinformationen zurücksetzen, die er als kompromittiert einstuft, oder Hosts unter Quarantäne stellen, die schädliche Aktivitäten aufweisen, die dem Profil des Vorfalls entsprechen.

Bei der Reaktion auf Sicherheitsvorfälle ist die Kommunikation entscheidend – sowohl innerhalb des Teams als auch gegenüber den Stakeholdern. Generative KI kann dabei helfen, indem sie im Handumdrehen Berichte oder Kurzzusammenfassungen zum Vorfall erstellt . Anstatt dass ein Techniker seine Fehlersuche unterbricht, um eine E-Mail zu schreiben, könnte er die KI bitten: „Fassen Sie zusammen, was bisher in diesem Vorfall passiert ist, um die Führungskräfte zu informieren.“ Die KI, die die Vorfalldaten verarbeitet hat, kann eine prägnante Zusammenfassung erstellen: „Stand 15:00 Uhr haben Angreifer Zugriff auf 2 Benutzerkonten und 5 Server erlangt. Betroffene Daten umfassen Kundendatensätze in Datenbank X. Eindämmungsmaßnahmen: Der VPN-Zugang für kompromittierte Konten wurde gesperrt und die Server wurden isoliert. Nächste Schritte: Suche nach Persistenzmechanismen.“ Der zuständige Mitarbeiter kann diese Zusammenfassung dann schnell überprüfen, anpassen und versenden, um sicherzustellen, dass die Stakeholder stets mit genauen und aktuellen Informationen versorgt sind.

Nachdem sich die Aufregung gelegt hat, muss in der Regel ein detaillierter Vorfallsbericht erstellt und die gewonnenen Erkenntnisse zusammengetragen werden. Auch hier spielt KI ihre Stärken aus. Sie kann alle Vorfalldaten analysieren und einen Abschlussbericht generieren, der die Ursache, den zeitlichen Ablauf, die Auswirkungen und Handlungsempfehlungen umfasst. IBM integriert beispielsweise generative KI, um auf Knopfdruck „einfache Zusammenfassungen von Sicherheitsfällen und -vorfällen zu erstellen, die mit Stakeholdern geteilt werden können“ Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Durch die Optimierung der Nachbereitung von Vorfällen können Unternehmen Verbesserungen schneller umsetzen und gleichzeitig eine bessere Dokumentation für Compliance-Zwecke erstellen.

Eine innovative und zukunftsweisende Anwendung sind KI-gestützte Vorfallsimulationen . Ähnlich wie bei einer Brandschutzübung nutzen einige Unternehmen generative KI, um verschiedene Vorfallszenarien durchzuspielen. Die KI simuliert beispielsweise, wie sich Ransomware in Abhängigkeit von der Netzwerkstruktur ausbreiten könnte oder wie ein Insider Daten exfiltrieren könnte, und bewertet anschließend die Effektivität der aktuellen Reaktionspläne. Dies hilft Teams, ihre Notfallpläne vorzubereiten und zu optimieren, bevor ein realer Vorfall eintritt. Es ist, als hätte man einen sich ständig verbessernden Berater für die Reaktion auf Vorfälle, der die Einsatzbereitschaft kontinuierlich testet.

In risikoreichen Branchen wie dem Finanz- oder Gesundheitswesen, wo Ausfallzeiten oder Datenverluste durch Vorfälle besonders kostspielig sind, sind diese KI-gestützten Incident-Response-Funktionen äußerst attraktiv. Ein Krankenhaus, das von einem Cyberangriff betroffen ist, kann sich keine längeren Systemausfälle leisten – eine KI, die schnell bei der Eindämmung hilft, kann buchstäblich lebensrettend sein. Ebenso kann ein Finanzinstitut KI nutzen, um die erste Einschätzung eines vermuteten Betrugsversuchs um 3 Uhr nachts vorzunehmen, sodass bereits viele Vorarbeiten (Abmeldung betroffener Konten, Sperrung von Transaktionen usw.) erledigt sind, wenn die Bereitschaftsmitarbeiter online sind. Durch die Unterstützung von Incident-Response-Teams mit generativer KI können Unternehmen die Reaktionszeiten deutlich verkürzen und die Gründlichkeit ihrer Maßnahmen verbessern, wodurch letztendlich die Schäden durch Cyberangriffe minimiert werden.

Verhaltensanalyse und Anomalieerkennung

Viele Cyberangriffe lassen sich erkennen, indem man Abweichungen vom „normalen“ Verhalten bemerkt – sei es ein Benutzerkonto, das ungewöhnlich viele Daten herunterlädt, oder ein Netzwerkgerät, das plötzlich mit einem unbekannten Host kommuniziert. Generative KI bietet fortschrittliche Techniken zur Verhaltensanalyse und Anomalieerkennung . Sie lernt die normalen Muster von Benutzern und Systemen und meldet Auffälligkeiten.

Herkömmliche Anomalieerkennung nutzt häufig statistische Schwellenwerte oder einfaches maschinelles Lernen anhand spezifischer Metriken (z. B. CPU-Auslastungsspitzen, Anmeldungen zu ungewöhnlichen Zeiten). Generative KI geht noch einen Schritt weiter, indem sie differenziertere Verhaltensprofile erstellt. So kann ein KI-Modell beispielsweise die Anmeldungen, Dateizugriffsmuster und E-Mail-Gewohnheiten eines Mitarbeiters über einen längeren Zeitraum erfassen und ein mehrdimensionales Verständnis seines „Normalverhaltens“ entwickeln. Wenn dieses Konto später etwas tut, das drastisch von der Norm abweicht (z. B. sich aus einem anderen Land anmeldet und um Mitternacht auf eine große Menge an Personalakten zugreift), erkennt die KI eine Abweichung nicht nur bei einer einzelnen Metrik, sondern als ein gesamtes Verhaltensmuster, das nicht zum Profil des Benutzers passt. Technisch ausgedrückt: Generative Modelle (wie Autoencoder oder Sequenzmodelle) können modellieren, wie „Normalverhalten“ aussieht, und daraus einen erwarteten Verhaltensbereich generieren. Weicht das tatsächliche Verhalten von diesem Bereich ab, wird dies als Anomalie gekennzeichnet ( Was ist generative KI in der Cybersicherheit? – Palo Alto Networks ).

Eine praktische Anwendung findet sich in der Netzwerkverkehrsüberwachung . Laut einer Umfrage aus dem Jahr 2024 nannten 54 % der US-Unternehmen die Überwachung des Netzwerkverkehrs als einen der wichtigsten Anwendungsfälle für KI in der Cybersicherheit ( Nordamerika: Wichtigste KI-Anwendungsfälle in der Cybersicherheit weltweit 2024 ). Generative KI kann die normalen Kommunikationsmuster eines Unternehmensnetzwerks erlernen – welche Server typischerweise miteinander kommunizieren, welche Datenmengen während der Geschäftszeiten im Vergleich zu den Nächten übertragen werden usw. Beginnt ein Angreifer, Daten von einem Server zu exfiltrieren, selbst wenn dies langsam geschieht, um nicht entdeckt zu werden, könnte ein KI-basiertes System feststellen, dass „Server A niemals um 2 Uhr nachts 500 MB Daten an eine externe IP-Adresse sendet“ und eine Warnung ausgeben. Da die KI nicht nur statische Regeln, sondern ein sich entwickelndes Modell des Netzwerkverhaltens verwendet, kann sie subtile Anomalien erkennen, die statische Regeln (wie „Warnung, wenn Daten > X MB“) möglicherweise übersehen oder fälschlicherweise als solche melden. Diese adaptive Natur macht die KI-gestützte Anomalieerkennung in Umgebungen wie Banktransaktionsnetzwerken, Cloud-Infrastrukturen oder IoT-Geräteflotten so leistungsstark, wo die Definition fester Regeln für normal vs. abnormal äußerst komplex ist.

Generative KI unterstützt auch die Verhaltensanalyse von Nutzern (User Behavior Analytics, UBA) , die entscheidend ist, um Insider-Bedrohungen oder kompromittierte Konten aufzudecken. Durch die Erstellung eines Basisprofils für jeden Nutzer oder jede Entität kann KI beispielsweise den Missbrauch von Zugangsdaten erkennen. Wenn beispielsweise Bob aus der Buchhaltung plötzlich die Kundendatenbank abfragt (was er zuvor noch nie getan hat), markiert das KI-Modell für Bobs Verhalten dies als ungewöhnlich. Es muss sich nicht unbedingt um Malware handeln – Bobs Zugangsdaten könnten gestohlen und von einem Angreifer missbraucht worden sein, oder Bob greift auf Bereiche zu, die er nicht durchsuchen sollte. In jedem Fall erhält das Sicherheitsteam einen Hinweis und kann den Vorfall untersuchen. Solche KI-gestützten UBA-Systeme sind in verschiedenen Sicherheitsprodukten integriert, und generative Modellierungstechniken verbessern deren Genauigkeit und reduzieren Fehlalarme, indem sie den Kontext berücksichtigen (beispielsweise arbeitet Bob an einem speziellen Projekt, was die KI manchmal aus anderen Daten ableiten kann).

Im Bereich Identitäts- und Zugriffsmanagement die Erkennung von Deepfakes zunehmend an Bedeutung. Generative KI kann synthetische Stimmen und Videos erzeugen, die biometrische Sicherheitssysteme täuschen. Interessanterweise kann generative KI auch bei der Erkennung dieser Deepfakes helfen, indem sie subtile Artefakte in Audio- oder Videodateien analysiert, die für Menschen kaum wahrnehmbar sind. Ein Beispiel hierfür ist Accenture, die generative KI einsetzten, um unzählige Gesichtsausdrücke und -situationen zu simulieren und so ihre biometrischen Systeme zu trainieren , echte Nutzer von KI-generierten Deepfakes zu unterscheiden. Innerhalb von fünf Jahren konnte Accenture mit diesem Ansatz Passwörter für 90 % ihrer Systeme abschaffen (und stattdessen Biometrie und andere Faktoren nutzen) und Angriffe um 60 % reduzieren ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Im Wesentlichen nutzten sie generative KI, um die biometrische Authentifizierung zu stärken und sie resistent gegen generative Angriffe zu machen (ein hervorragendes Beispiel für KI im Kampf gegen KI). Diese Art der Verhaltensmodellierung – in diesem Fall die Unterscheidung zwischen einem echten menschlichen Gesicht und einem KI-synthetisierten – ist entscheidend, da wir uns bei der Authentifizierung zunehmend auf KI verlassen.

Anomalieerkennung mittels generativer KI findet branchenübergreifend Anwendung: im Gesundheitswesen durch die Überwachung des Verhaltens medizinischer Geräte auf Anzeichen von Hacking; im Finanzwesen durch die Beobachtung von Handelssystemen auf Unregelmäßigkeiten, die auf Betrug oder algorithmische Manipulation hindeuten könnten; und in der Energie- und Versorgungswirtschaft durch die Analyse von Kontrollsystemsignalen auf Anzeichen von Eindringversuchen. Die Kombination aus umfassender (Betrachtung aller Verhaltensaspekte) und tiefgreifender (Erkennen komplexer Muster) Analyse , die generative KI bietet, macht sie zu einem leistungsstarken Werkzeug, um die schwer zu findenden Indikatoren eines Cyberangriffs aufzuspüren. Da Bedrohungen immer subtiler werden und sich im normalen Geschäftsbetrieb verbergen, ist die Fähigkeit, „normal“ präzise zu definieren und Abweichungen sofort zu erkennen, von entscheidender Bedeutung. Generative KI fungiert somit als unermüdlicher Wächter, der ständig dazulernt und seine Definition von Normalität an die sich verändernde Umgebung anpasst, um Sicherheitsteams auf Anomalien aufmerksam zu machen, die einer genaueren Untersuchung bedürfen.

Chancen und Vorteile generativer KI in der Cybersicherheit

Der Einsatz generativer KI in der Cybersicherheit bietet Organisationen, die diese Werkzeuge einsetzen möchten, zahlreiche Möglichkeiten und Vorteile . Im Folgenden fassen wir die wichtigsten Vorteile zusammen, die generative KI zu einer überzeugenden Ergänzung von Cybersicherheitsprogrammen machen:

• Schnellere Bedrohungserkennung und -abwehr: Generative KI-Systeme analysieren riesige Datenmengen in Echtzeit und erkennen Bedrohungen deutlich schneller als manuelle Analysen. Dieser Geschwindigkeitsvorteil ermöglicht die frühere Erkennung von Angriffen und eine schnellere Eindämmung von Vorfällen. In der Praxis kann KI-gestützte Sicherheitsüberwachung Bedrohungen aufdecken, deren Zuordnung für Menschen wesentlich länger dauern würde. Durch die umgehende Reaktion auf Vorfälle (oder sogar die autonome Durchführung erster Maßnahmen) können Unternehmen die Verweildauer von Angreifern in ihren Netzwerken drastisch reduzieren und so den Schaden minimieren.

• Verbesserte Genauigkeit und umfassendere Bedrohungsabdeckung: Da generative Modelle kontinuierlich aus neuen Daten lernen, können sie sich an sich verändernde Bedrohungen anpassen und subtilere Anzeichen schädlicher Aktivitäten erkennen. Dies führt zu einer höheren Erkennungsgenauigkeit (weniger Fehlalarme und falsch positive Ergebnisse) im Vergleich zu statischen Regeln. Beispielsweise kann eine KI, die die Merkmale von Phishing-E-Mails oder Malware-Verhalten gelernt hat, bisher unbekannte Varianten identifizieren. Das Ergebnis ist eine breitere Abdeckung von Bedrohungsarten – einschließlich neuartiger Angriffe – und stärkt so die allgemeine Sicherheitslage. Sicherheitsteams erhalten zudem detaillierte Einblicke aus der KI-Analyse (z. B. Erklärungen zum Malware-Verhalten), was präzisere und gezieltere Abwehrmaßnahmen ermöglicht ( Was ist generative KI in der Cybersicherheit? – Palo Alto Networks ).

• Automatisierung wiederkehrender Aufgaben: Generative KI eignet sich hervorragend zur Automatisierung routinemäßiger, arbeitsintensiver Sicherheitsaufgaben – von der Durchsicht von Protokollen und der Erstellung von Berichten bis hin zum Schreiben von Skripten zur Reaktion auf Sicherheitsvorfälle. Diese Automatisierung entlastet menschliche Analysten und ermöglicht es ihnen, sich auf strategische Überlegungen und komplexe Entscheidungen zu konzentrieren ( Was ist generative KI in der Cybersicherheit? – Palo Alto Networks ). Alltägliche, aber wichtige Aufgaben wie Schwachstellenscans, Konfigurationsprüfungen, Benutzeraktivitätsanalysen und Compliance-Berichte können von KI übernommen (oder zumindest in erster Entwurfsphase) werden. Durch die Bearbeitung dieser Aufgaben in Maschinengeschwindigkeit verbessert KI nicht nur die Effizienz, sondern reduziert auch menschliche Fehler (einen wesentlichen Faktor bei Sicherheitsverletzungen).

• Proaktive Verteidigung und Simulation: Generative KI ermöglicht es Unternehmen, von reaktiver zu proaktiver Sicherheit überzugehen. Mithilfe von Techniken wie Angriffssimulation, der Generierung synthetischer Daten und szenariobasiertem Training können Sicherheitsexperten Bedrohungen antizipieren und sich darauf vorbereiten, bevor diese in der realen Welt Realität werden. Sicherheitsteams können Cyberangriffe (Phishing-Kampagnen, Malware-Ausbrüche, DDoS-Angriffe usw.) in sicheren Umgebungen simulieren, um ihre Reaktionen zu testen und Schwachstellen zu beheben. Dieses kontinuierliche Training, das mit menschlicher Kraft oft nicht umfassend durchführbar ist, hält die Verteidigung scharf und auf dem neuesten Stand. Es ist vergleichbar mit einer Cyber-„Feuerübung“ – KI kann zahlreiche hypothetische Bedrohungen auf Ihre Verteidigung werfen, sodass Sie üben und sich verbessern können.

• Erweiterung menschlicher Expertise (KI als Multiplikator): Generative KI fungiert als unermüdlicher Nachwuchsanalyst, Berater und Assistent in einer Person. Sie kann weniger erfahrenen Teammitgliedern Anleitungen und Empfehlungen geben, die man normalerweise von erfahrenen Experten erwartet, und demokratisiert so effektiv das Fachwissen im gesamten Team ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Dies ist angesichts des Fachkräftemangels in der Cybersicherheit besonders wertvoll – KI hilft kleineren Teams, mit weniger Ressourcen mehr zu erreichen. Erfahrene Analysten profitieren wiederum davon, dass KI Routineaufgaben übernimmt und nicht offensichtliche Erkenntnisse liefert, die sie anschließend validieren und umsetzen können. Das Gesamtergebnis ist ein deutlich produktiveres und leistungsfähigeres Sicherheitsteam, in dem KI die Wirkung jedes einzelnen Teammitglieds verstärkt ( Wie kann generative KI in der Cybersicherheit eingesetzt werden ?).

• Verbesserte Entscheidungsunterstützung und Berichterstattung: Durch die Übersetzung technischer Daten in verständliche, natürliche Sprache optimiert generative KI die Kommunikation und Entscheidungsfindung. Sicherheitsverantwortliche erhalten dank KI-generierter Zusammenfassungen einen besseren Überblick über Probleme und können fundierte strategische Entscheidungen treffen, ohne Rohdaten analysieren zu müssen. Auch die funktionsübergreifende Kommunikation (mit Führungskräften, Compliance-Beauftragten usw.) wird verbessert, wenn KI leicht verständliche Berichte zum Sicherheitsstatus und zu Vorfällen erstellt ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Dies stärkt nicht nur das Vertrauen und die Abstimmung in Sicherheitsfragen auf Führungsebene, sondern hilft auch, Investitionen und Veränderungen zu rechtfertigen, indem Risiken und von der KI aufgedeckte Schwachstellen klar dargestellt werden.

Zusammengenommen bedeuten diese Vorteile, dass Unternehmen, die generative KI in der Cybersicherheit einsetzen, eine stärkere Sicherheitslage bei potenziell geringeren Betriebskosten erreichen können. Sie können auf zuvor überwältigende Bedrohungen reagieren, unentdeckte Sicherheitslücken schließen und sich durch KI-gesteuerte Feedbackschleifen kontinuierlich verbessern. Letztendlich bietet generative KI die Chance, Angreifern einen Schritt voraus zu sein, indem sie Geschwindigkeit, Umfang und Raffinesse moderner Angriffe mit ebenso ausgefeilten Abwehrmechanismen begegnet. Wie eine Umfrage ergab, erwartet über die Hälfte der Führungskräfte aus Wirtschaft und Cybersicherheit eine schnellere Bedrohungserkennung und höhere Genauigkeit durch den Einsatz von generativer KI ( [PDF] Global Cybersecurity Outlook 2025 | Weltwirtschaftsforum ) ( Generative AI in Cybersecurity: A Comprehensive Review of LLM ... ) – ein Beleg für den Optimismus hinsichtlich der Vorteile dieser Technologien.

Risiken und Herausforderungen beim Einsatz von generativer KI in der Cybersicherheit

Die Chancen sind zwar beträchtlich, doch ist es entscheidend, generative KI in der Cybersicherheit mit Blick auf die Risiken und Herausforderungen . Blindes Vertrauen in KI oder ihr Missbrauch können neue Schwachstellen schaffen. Im Folgenden erläutern wir die wichtigsten Bedenken und Fallstricke sowie den jeweiligen Kontext:

• Missbrauch durch Cyberkriminelle: Dieselben generativen Fähigkeiten, die Verteidigern helfen, können Angreifern neue Möglichkeiten eröffnen. Bedrohungsakteure nutzen generative KI bereits, um überzeugendere Phishing-E-Mails zu erstellen, gefälschte Profile und Deepfake-Videos für Social Engineering zu generieren, polymorphe Malware zu entwickeln, die sich ständig verändert, um der Erkennung zu entgehen, und sogar Aspekte des Hackings zu automatisieren ( Was ist generative KI in der Cybersicherheit? – Palo Alto Networks ). Fast die Hälfte (46 %) der Verantwortlichen für Cybersicherheit befürchtet, dass generative KI zu komplexeren Angriffen führen wird ( Sicherheit mit generativer KI: Trends, Bedrohungen und Abwehrstrategien ). Dieses „KI-Wettrüsten“ bedeutet, dass Angreifer nicht weit hinter den Verteidigern zurückbleiben (tatsächlich könnten sie in einigen Bereichen sogar die Nase vorn haben, indem sie unregulierte KI-Tools einsetzen). Unternehmen müssen auf KI-gestützte Bedrohungen vorbereitet sein, die häufiger, ausgefeilter und schwerer nachzuverfolgen sind.

• KI-Halluzinationen und Ungenauigkeiten: plausible, aber falsche oder irreführende Ergebnisse liefern – ein Phänomen, das als Halluzination bekannt ist. Im Sicherheitskontext könnte eine KI einen Vorfall analysieren und fälschlicherweise eine bestimmte Schwachstelle als Ursache identifizieren oder ein fehlerhaftes Skript zur Behebung des Problems generieren, das einen Angriff nicht eindämmen kann. Solche Fehler können gefährlich sein, wenn sie unkritisch übernommen werden. Wie NTT Data warnt: „Generative KI kann plausible, aber falsche Inhalte ausgeben. Dieses Phänomen wird als Halluzination bezeichnet … derzeit ist es schwierig, sie vollständig zu eliminieren“ ( Sicherheitsrisiken generativer KI und Gegenmaßnahmen sowie deren Auswirkungen auf die Cybersicherheit | NTT DATA Group ). Eine übermäßige Abhängigkeit von KI ohne Überprüfung kann zu Fehlentscheidungen oder einem falschen Sicherheitsgefühl führen. Beispielsweise könnte eine KI ein kritisches System fälschlicherweise als sicher einstufen, obwohl es das nicht ist, oder umgekehrt Panik auslösen, indem sie einen Sicherheitsvorfall „erkennt“, der nie stattgefunden hat. Eine strenge Validierung der KI-Ergebnisse und die Einbeziehung von Menschen in kritische Entscheidungsprozesse sind unerlässlich, um dieses Risiko zu mindern.

• Falsch-positive und falsch-negative Ergebnisse: Ähnlich wie bei Halluzinationen kann ein schlecht trainiertes oder konfiguriertes KI-Modell harmlose Aktivitäten fälschlicherweise als schädlich einstufen (falsch-positive Ergebnisse) oder, schlimmer noch, echte Bedrohungen übersehen (falsch-negative Ergebnisse) ( Wie kann generative KI in der Cybersicherheit eingesetzt werden ?). Zu viele Fehlalarme können Sicherheitsteams überfordern und zu Alarmmüdigkeit führen (wodurch die von KI versprochenen Effizienzgewinne zunichtegemacht werden), während übersehene Bedrohungen die Organisation angreifbar machen. Generative Modelle optimal einzustellen, ist eine Herausforderung. Jede Umgebung ist einzigartig, und eine KI arbeitet möglicherweise nicht sofort optimal. Kontinuierliches Lernen ist zudem ein zweischneidiges Schwert: Lernt die KI aus verzerrtem Feedback oder aus einer sich verändernden Umgebung, kann ihre Genauigkeit schwanken. Sicherheitsteams müssen die KI-Leistung überwachen und Schwellenwerte anpassen oder den Modellen Korrekturfeedback geben. In kritischen Kontexten (wie der Erkennung von Eindringlingen in kritische Infrastrukturen) kann es ratsam sein, KI-Vorschläge für einen gewissen Zeitraum parallel zu bestehenden Systemen zu testen, um sicherzustellen, dass sie aufeinander abgestimmt sind und sich ergänzen, anstatt in Konflikt zu geraten.

• Datenschutz und Datenlecks: Generative KI-Systeme benötigen oft große Datenmengen für Training und Betrieb. Sind diese Modelle cloudbasiert oder nicht ausreichend isoliert, besteht das Risiko, dass sensible Informationen nach außen dringen. Nutzer könnten versehentlich firmeneigene oder personenbezogene Daten in einen KI-Dienst eingeben (beispielsweise ChatGPT bitten, einen vertraulichen Vorfallsbericht zusammenzufassen), wodurch diese Daten Teil des Modellwissens werden könnten. Eine aktuelle Studie ergab, dass 55 % der Eingaben für generative KI-Tools sensible oder personenbezogene Daten enthielten , was ernsthafte Bedenken hinsichtlich Datenlecks aufwirft ( Generative AI Security: Trends, Threats & Mitigation Strategies ). Wurde eine KI mit internen Daten trainiert und auf bestimmte Weise abgefragt, kann sie zudem weitergeben . Unternehmen müssen daher strenge Richtlinien für den Umgang mit Daten implementieren (z. B. die Verwendung lokaler oder privater KI-Instanzen für sensible Daten) und ihre Mitarbeiter darin schulen, keine vertraulichen Informationen in öffentliche KI-Tools einzufügen. Auch Datenschutzbestimmungen (DSGVO usw.) kommen ins Spiel – die Verwendung personenbezogener Daten zum Trainieren von KI ohne entsprechende Einwilligung oder Schutzmaßnahmen könnte gegen geltendes Recht verstoßen.

• Modellsicherheit und Manipulation: Generative KI-Modelle selbst können Ziel von Angriffen werden. Angreifer könnten versuchen, das Modell zu vergiften , indem sie während der Trainings- oder Nachtrainingsphase schädliche oder irreführende Daten einspeisen, sodass die KI falsche Muster lernt ( Wie kann generative KI in der Cybersicherheit eingesetzt werden ?). Beispielsweise könnte ein Angreifer Bedrohungsdaten subtil manipulieren, sodass die KI die eigene Malware des Angreifers nicht als schädlich erkennt. Eine weitere Taktik ist die Eingabe von Eingabeaufforderungen oder die Manipulation von Ausgaben . Dabei findet ein Angreifer einen Weg, Eingaben an die KI zu senden, die zu unvorhergesehenem Verhalten führen – beispielsweise dazu, dass sie ihre Sicherheitsmechanismen ignoriert oder Informationen preisgibt, die sie nicht preisgeben sollte (wie interne Eingabeaufforderungen oder Daten). Zusätzlich besteht das Risiko der Modellumgehung : Angreifer erstellen Eingaben, die speziell darauf ausgelegt sind, die KI zu täuschen. Dies sehen wir in Beispielen für Angriffe – leicht veränderte Daten, die ein Mensch als normal wahrnimmt, die KI aber falsch klassifiziert. Die Gewährleistung einer sicheren KI-Lieferkette (Datenintegrität, Modellzugriffskontrolle, Robustheitstests gegen Angriffe) ist ein neuer, aber notwendiger Bestandteil der Cybersicherheit beim Einsatz dieser Tools ( Was ist generative KI in der Cybersicherheit? - Palo Alto Networks ).

• Übermäßige Abhängigkeit und Kompetenzverlust: Es besteht die Gefahr, dass Organisationen sich zu sehr auf KI verlassen und dadurch menschliche Fähigkeiten verkümmern. Wenn Nachwuchsanalysten KI-Ergebnissen blind vertrauen, entwickeln sie möglicherweise nicht das kritische Denken und die Intuition, die für Situationen erforderlich sind, in denen die KI nicht verfügbar oder fehlerhaft ist. Ein zu vermeidendes Szenario ist ein Sicherheitsteam, das zwar über hervorragende Tools verfügt, aber nicht weiß, wie es vorgehen soll, wenn diese ausfallen (ähnlich wie Piloten, die sich zu sehr auf den Autopiloten verlassen). Regelmäßige Übungen ohne KI-Unterstützung und die Förderung des Bewusstseins, dass KI ein Assistent und kein unfehlbares Orakel ist, sind wichtig, um die Leistungsfähigkeit menschlicher Analysten zu erhalten. Menschen müssen weiterhin die letztendlichen Entscheidungsträger bleiben, insbesondere bei weitreichenden Entscheidungen.

• Ethische und Compliance-Herausforderungen: Der Einsatz von KI in der Cybersicherheit wirft ethische Fragen auf und kann Probleme mit der Einhaltung regulatorischer Vorgaben nach sich ziehen. Beispielsweise kann die fälschliche Einstufung eines Mitarbeiters als böswilliger Insider durch ein KI-System aufgrund einer Anomalie dessen Ruf oder Karriere ungerechtfertigt schädigen. KI-Entscheidungen können intransparent sein (das „Black-Box“-Problem), was es erschwert, gegenüber Prüfern oder Aufsichtsbehörden die Gründe für bestimmte Maßnahmen zu erläutern. Angesichts der zunehmenden Verbreitung KI-generierter Inhalte ist Transparenz und Verantwortlichkeit unerlässlich. Aufsichtsbehörden beginnen, KI genauer unter die Lupe zu nehmen – die EU-KI-Richtlinie beispielsweise stellt Anforderungen an „Hochrisiko“-KI-Systeme, und KI in der Cybersicherheit könnte in diese Kategorie fallen. Unternehmen müssen sich mit diesen Vorschriften vertraut machen und gegebenenfalls Standards wie das NIST AI Risk Management Framework einhalten, um generative KI verantwortungsvoll einzusetzen ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Die Einhaltung der Vorschriften erstreckt sich auch auf die Lizenzierung: Bei der Verwendung von Open-Source- oder Drittanbietermodellen können Bedingungen gelten, die bestimmte Nutzungen einschränken oder die Weitergabe von Verbesserungen erfordern.

Zusammenfassend lässt sich sagen, dass generative KI kein Allheilmittel ist . Bei unsachgemäßer Implementierung kann sie, selbst wenn sie bestehende Probleme behebt, neue Schwachstellen schaffen. Eine Studie des Weltwirtschaftsforums aus dem Jahr 2024 hob hervor, dass rund 47 % der Unternehmen die Fortschritte von Angreifern im Bereich der generativen KI als Hauptsorge ansehen. Dies macht sie zur „besorgniserregendsten Auswirkung generativer KI“ auf die Cybersicherheit ( [PDF] Global Cybersecurity Outlook 2025 | Weltwirtschaftsforum ) ( Generative AI in Cybersecurity: A Comprehensive Review of LLM ... ). Unternehmen müssen daher einen ausgewogenen Ansatz verfolgen: die Vorteile der KI nutzen und gleichzeitig die damit verbundenen Risiken durch Governance, Tests und menschliche Aufsicht konsequent managen. Im Folgenden werden wir erörtern, wie dieses Gleichgewicht in der Praxis erreicht werden kann.

Zukunftsaussichten: Die sich wandelnde Rolle der generativen KI in der Cybersicherheit

Mit Blick auf die Zukunft dürfte generative KI ein integraler Bestandteil der Cybersicherheitsstrategie werden – und gleichzeitig ein Werkzeug, das Cyberkriminelle weiterhin ausnutzen werden. Das Katz-und-Maus-Spiel wird sich beschleunigen, da KI auf beiden Seiten eine Rolle spielt. Hier einige zukunftsweisende Einblicke, wie generative KI die Cybersicherheit in den kommenden Jahren prägen könnte:

• KI-gestützte Cyberabwehr wird zum Standard: Bis 2025 und darüber hinaus ist zu erwarten, dass die meisten mittelständischen und großen Unternehmen KI-gestützte Tools in ihre Sicherheitsmaßnahmen integriert haben werden. So wie Antivirenprogramme und Firewalls heute Standard sind, könnten KI-gestützte Systeme und Anomalieerkennung zu grundlegenden Bestandteilen von Sicherheitsarchitekturen werden. Diese Tools werden sich voraussichtlich stärker spezialisieren – beispielsweise durch spezielle KI-Modelle, die für Cloud-Sicherheit, die Überwachung von IoT-Geräten, die Sicherheit von Anwendungscode usw. optimiert sind und nahtlos zusammenarbeiten. Eine Prognose besagt: „2025 wird generative KI integraler Bestandteil der Cybersicherheit sein und Unternehmen in die Lage versetzen, sich proaktiv gegen komplexe und sich ständig weiterentwickelnde Bedrohungen zu verteidigen“ ( Wie kann generative KI in der Cybersicherheit eingesetzt werden ?). KI wird die Bedrohungserkennung in Echtzeit verbessern, viele Reaktionsmaßnahmen automatisieren und Sicherheitsteams dabei unterstützen, deutlich größere Datenmengen zu verwalten, als dies manuell möglich wäre.

• Kontinuierliches Lernen und Anpassen: Zukünftige generative KI-Systeme im Bereich Cybersicherheit werden immer besser darin, zu lernen und ihre Wissensbasis nahezu in Echtzeit zu aktualisieren. Dies könnte zu wirklich adaptiven Abwehrmechanismen führen – stellen Sie sich eine KI vor, die morgens von einer neuen Phishing-Kampagne gegen ein anderes Unternehmen erfährt und am Nachmittag bereits die E-Mail-Filter Ihres Unternehmens entsprechend angepasst hat. Cloudbasierte KI-Sicherheitsdienste könnten diese Art des kollektiven Lernens ermöglichen, bei dem anonymisierte Erkenntnisse einer Organisation allen Abonnenten zugutekommen (ähnlich dem Austausch von Bedrohungsinformationen, jedoch automatisiert). Dies erfordert jedoch einen sorgfältigen Umgang, um die Weitergabe sensibler Informationen zu vermeiden und zu verhindern, dass Angreifer fehlerhafte Daten in die gemeinsamen Modelle einspeisen.

• Konvergenz von KI und Cybersicherheitsexperten: Die Kompetenzen von Cybersicherheitsexperten werden sich weiterentwickeln und KI- und Data-Science-Kenntnisse umfassen. So wie Analysten heute Abfragesprachen und Skriptsprachen erlernen, werden Analysten von morgen regelmäßig KI-Modelle optimieren oder „Playbooks“ für die KI-Ausführung erstellen. Es könnten neue Rollen wie „KI-Sicherheitstrainer“ oder „KI-Cybersicherheitsingenieur“ – Experten, die KI-Tools an die Bedürfnisse einer Organisation anpassen, ihre Leistung validieren und ihren sicheren Betrieb gewährleisten. Umgekehrt werden Cybersicherheitsaspekte die KI-Entwicklung zunehmend beeinflussen. KI-Systeme werden von Grund auf mit Sicherheitsfunktionen ausgestattet (sichere Architektur, Manipulationserkennung, Audit-Logs für KI-Entscheidungen usw.), und Frameworks für vertrauenswürdige KI (fair, erklärbar, robust und sicher) werden ihren Einsatz in sicherheitskritischen Kontexten leiten.

• Raffiniertere KI-gestützte Angriffe: Leider wird sich die Bedrohungslandschaft mit der KI weiterentwickeln. Wir gehen davon aus, dass KI häufiger eingesetzt wird, um Zero-Day-Schwachstellen aufzudecken, hochgradig zielgerichtete Spear-Phishing-Angriffe zu erstellen (z. B. durch KI-gestütztes Scraping sozialer Medien, um einen perfekt zugeschnittenen Köder zu generieren) und überzeugende Deepfake-Stimmen oder -Videos zu erzeugen, um biometrische Authentifizierung zu umgehen oder Betrug zu begehen. Es könnten automatisierte Hacking-Agenten entstehen, die selbstständig mehrstufige Angriffe (Aufklärung, Ausnutzung, laterale Bewegung usw.) mit minimaler menschlicher Aufsicht durchführen können. Dies wird die Verteidiger unter Druck setzen, ebenfalls auf KI zu setzen – im Grunde ein Wettstreit zwischen Automatisierung und Automatisierung . Einige Angriffe könnten in Maschinengeschwindigkeit erfolgen, beispielsweise indem KI-Bots tausende Phishing-E-Mail-Varianten testen, um herauszufinden, welche die Filter passiert. Cyberabwehrsysteme müssen mit ähnlicher Geschwindigkeit und Flexibilität arbeiten, um mithalten zu können ( Was ist generative KI in der Cybersicherheit? – Palo Alto Networks ).

• Regulierung und ethische KI in der Sicherheit: Mit der zunehmenden Integration von KI in Cybersicherheitsfunktionen wird es verstärkte Kontrollen und möglicherweise auch Regulierungen geben, um den verantwortungsvollen Einsatz dieser KI-Systeme zu gewährleisten. Es ist mit Rahmenwerken und Standards speziell für KI in der Sicherheit zu rechnen. Regierungen könnten Transparenzrichtlinien festlegen – beispielsweise, dass wichtige Sicherheitsentscheidungen (wie die Sperrung des Mitarbeiterzugangs bei Verdacht auf böswillige Aktivitäten) nicht allein von KI ohne menschliche Überprüfung getroffen werden dürfen. Auch Zertifizierungen für KI-Sicherheitsprodukte könnten eingeführt werden, um Käufern zu versichern, dass die KI auf Voreingenommenheit, Robustheit und Sicherheit geprüft wurde. Darüber hinaus könnte die internationale Zusammenarbeit im Bereich KI-bezogener Cyberbedrohungen zunehmen; beispielsweise durch Abkommen zum Umgang mit KI-generierter Desinformation oder Normen gegen bestimmte KI-gesteuerte Cyberwaffen.

• Integration in umfassendere KI- und IT-Ökosysteme: Generative KI in der Cybersicherheit wird sich voraussichtlich in andere KI-Systeme und IT-Management-Tools integrieren. Beispielsweise könnte eine KI zur Netzwerkoptimierung mit der Sicherheits-KI zusammenarbeiten, um zu verhindern, dass Änderungen Sicherheitslücken öffnen. KI-gestützte Business-Analytics könnte Daten mit Sicherheits-KIs austauschen, um Anomalien zu korrelieren (wie einen plötzlichen Umsatzrückgang mit einem möglichen Website-Problem aufgrund eines Angriffs). Kurz gesagt: KI wird nicht isoliert existieren, sondern Teil eines umfassenderen intelligenten Netzwerks der betrieblichen Abläufe eines Unternehmens sein. Dies eröffnet Möglichkeiten für ein ganzheitliches Risikomanagement, bei dem operative Daten, Bedrohungsdaten und sogar Daten zur physischen Sicherheit mithilfe von KI kombiniert werden können, um einen umfassenden Überblick über die Sicherheitslage des Unternehmens zu erhalten.

Langfristig besteht die Hoffnung, dass generative KI dazu beitragen wird, das Kräfteverhältnis zugunsten der Verteidiger zu verschieben. Indem sie die Komplexität und den Umfang moderner IT-Umgebungen bewältigt, kann KI den Cyberspace verteidigungsfähiger machen. Dies ist jedoch ein Prozess, der mit Anlaufschwierigkeiten verbunden sein wird, während wir diese Technologien weiterentwickeln und lernen, ihnen angemessen zu vertrauen. Organisationen, die sich informieren und in den verantwortungsvollen Einsatz von KI für die Sicherheit investieren, werden voraussichtlich am besten gerüstet sein, um die Bedrohungen der Zukunft zu meistern.

Wie Gartner in seinem jüngsten Bericht zu Cybersicherheitstrends feststellte, „erzeugt das Aufkommen generativer KI-Anwendungsfälle (und -Risiken) einen Transformationsdruck“ ( Cybersecurity Trends: Resilience Through Transformation – Gartner ). Wer sich anpasst, wird KI als mächtigen Verbündeten nutzen; wer hinterherhinkt, läuft Gefahr, von KI-gestützten Angreifern überholt zu werden. Die nächsten Jahre werden entscheidend dafür sein, wie KI das Schlachtfeld im Cyberraum verändern wird.

Praktische Erkenntnisse für die Einführung von generativer KI in der Cybersicherheit

Für Unternehmen, die den Einsatz von generativer KI in ihrer Cybersicherheitsstrategie erwägen, finden Sie hier einige praktische Erkenntnisse und Empfehlungen für eine verantwortungsvolle und effektive Einführung:

1. Beginnen Sie mit Schulung und Weiterbildung: Stellen Sie sicher, dass Ihr Sicherheitsteam (und die gesamte IT-Abteilung) die Möglichkeiten und Grenzen generativer KI versteht. Bieten Sie Schulungen zu den Grundlagen KI-gestützter Sicherheitstools an und aktualisieren Sie Ihre Sensibilisierungsprogramme für IT-Sicherheit , um alle Mitarbeiter über KI-basierte Bedrohungen aufzuklären. Zeigen Sie Ihren Mitarbeitern beispielsweise, wie KI überzeugende Phishing-Angriffe und Deepfake-Anrufe generieren kann. Schulen Sie Ihre Mitarbeiter gleichzeitig im sicheren und sachgemäßen Umgang mit KI-Tools. Gut informierte Nutzer neigen weniger dazu, KI falsch einzusetzen oder KI-gestützten Angriffen zum Opfer zu fallen ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ).

2. Definieren Sie klare Richtlinien für die KI-Nutzung: Behandeln Sie generative KI wie jede leistungsstarke Technologie – mit entsprechenden Richtlinien. Entwickeln Sie Richtlinien, die festlegen, wer KI-Tools nutzen darf, welche Tools zulässig sind und zu welchen Zwecken. Fügen Sie Richtlinien für den Umgang mit sensiblen Daten hinzu (z. B. keine Weitergabe vertraulicher Daten an externe KI-Dienste), um Datenlecks zu verhindern. Beispielsweise könnten Sie nur Mitgliedern des Sicherheitsteams die Nutzung eines internen KI-Assistenten für die Reaktion auf Sicherheitsvorfälle erlauben, und dem Marketing die Nutzung einer geprüften KI für Inhalte – für alle anderen gilt eine Einschränkung. Viele Organisationen thematisieren generative KI mittlerweile explizit in ihren IT-Richtlinien, und führende Normungsorganisationen empfehlen Richtlinien für eine sichere Nutzung anstelle von generellen Verboten ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Stellen Sie sicher, dass Sie diese Regeln und deren Begründung allen Mitarbeitern kommunizieren.

3. „Schatten-KI“ eindämmen und Nutzung überwachen: Ähnlich wie Schatten-IT entsteht „Schatten-KI“, wenn Mitarbeiter KI-Tools oder -Dienste ohne Wissen der IT-Abteilung nutzen (z. B. ein Entwickler, der einen nicht autorisierten KI-Code-Assistenten verwendet). Dies kann unvorhergesehene Risiken bergen. Implementieren Sie Maßnahmen zur Erkennung und Kontrolle nicht genehmigter KI-Nutzung . Netzwerküberwachung kann Verbindungen zu gängigen KI-APIs aufdecken, und Umfragen oder Tool-Audits können die Nutzung durch die Mitarbeiter decken. Bieten Sie genehmigte Alternativen an, damit gutmeinende Mitarbeiter nicht in Versuchung geraten, eigenmächtig zu handeln (z. B. ein offizielles ChatGPT Enterprise-Konto bereitstellen, falls dieses als nützlich empfunden wird). Indem die KI-Nutzung transparent gemacht wird, können Sicherheitsteams die Risiken bewerten und managen. Die Überwachung ist ebenfalls entscheidend – protokollieren Sie die Aktivitäten und Ergebnisse von KI-Tools so umfassend wie möglich, um einen Prüfpfad für die von der KI beeinflussten Entscheidungen zu erstellen ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ).

4. Nutzen Sie KI defensiv – bleiben Sie nicht zurück: Angreifer setzen KI ein, daher sollte auch Ihre Verteidigung darauf ausgerichtet sein. Identifizieren Sie einige Bereiche mit hohem Potenzial, in denen generative KI Ihre Sicherheitsmaßnahmen sofort unterstützen kann (z. B. bei der Priorisierung von Warnmeldungen oder der automatisierten Protokollanalyse), und führen Sie Pilotprojekte durch. Ergänzen Sie Ihre Abwehrmaßnahmen durch die Geschwindigkeit und Skalierbarkeit von KI , um schnelllebigen Bedrohungen entgegenzuwirken ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Selbst einfache Integrationen, wie die Verwendung von KI zur Zusammenfassung von Malware-Berichten oder zur Generierung von Abfragen für die Bedrohungsanalyse, können Analysten wertvolle Stunden sparen. Beginnen Sie klein, werten Sie die Ergebnisse aus und optimieren Sie Ihre Vorgehensweise. Erfolge werden die Argumente für eine breitere KI-Einführung stärken. Ziel ist es, KI als Multiplikator zu nutzen – beispielsweise, wenn Phishing-Angriffe Ihren Helpdesk überlasten, setzen Sie einen KI-gestützten E-Mail-Klassifikator ein, um das E-Mail-Aufkommen proaktiv zu reduzieren.

5. Investieren Sie in sichere und ethische KI-Praktiken: Befolgen Sie bei der Implementierung generativer KI sichere Entwicklungs- und Bereitstellungspraktiken. Verwenden Sie private oder selbstgehostete Modelle für sensible Aufgaben, um die Kontrolle über Ihre Daten zu behalten. Überprüfen Sie bei der Nutzung von KI-Diensten Dritter deren Sicherheits- und Datenschutzmaßnahmen (Verschlüsselung, Datenaufbewahrungsrichtlinien usw.). Integrieren Sie KI-Risikomanagement-Frameworks (wie das KI-Risikomanagement-Framework des NIST oder die ISO/IEC-Richtlinien), um Aspekte wie Verzerrungen, Erklärbarkeit und Robustheit Ihrer KI-Tools systematisch anzugehen ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Planen Sie außerdem Modellaktualisierungen/Patches als Teil der Wartung ein – auch KI-Modelle können Schwachstellen aufweisen (z. B. müssen sie neu trainiert werden, wenn sie sich verändern oder eine neue Art von Angriff auf das Modell entdeckt wird). Indem Sie Sicherheit und Ethik in Ihre KI-Nutzung integrieren, schaffen Sie Vertrauen in die Ergebnisse und gewährleisten die Einhaltung neuer Vorschriften.

6. Beziehen Sie den Menschen in den Entscheidungsprozess ein: Nutzen Sie KI, um menschliches Urteilsvermögen in der Cybersicherheit zu unterstützen, nicht um es vollständig zu ersetzen. Definieren Sie Entscheidungspunkte, an denen eine menschliche Validierung erforderlich ist (beispielsweise könnte eine KI einen Vorfallsbericht erstellen, der aber vor der Veröffentlichung von einem Analysten geprüft wird; oder eine KI könnte die Sperrung eines Benutzerkontos vorschlagen, die aber von einem Menschen genehmigt wird). Dies verhindert nicht nur, dass KI-Fehler unentdeckt bleiben, sondern ermöglicht es Ihrem Team auch, von der KI zu lernen und umgekehrt. Fördern Sie einen kollaborativen Workflow: Analysten sollten sich wohlfühlen, KI-Ergebnisse zu hinterfragen und Plausibilitätsprüfungen durchzuführen. Dieser Dialog kann im Laufe der Zeit sowohl die KI (durch Feedback) als auch die Fähigkeiten der Analysten verbessern. Gestalten Sie Ihre Prozesse so, dass sich die Stärken von KI und Mensch ergänzen – KI bewältigt Datenvolumen und -geschwindigkeit, Menschen bewältigen Unklarheiten und treffen endgültige Entscheidungen.

7. Messen, Überwachen und Anpassen: Betrachten Sie Ihre generativen KI-Tools als lebendige Komponenten Ihres Sicherheitsökosystems. Messen Sie kontinuierlich ihre Leistung : Verkürzen sie die Reaktionszeiten bei Sicherheitsvorfällen? Erkennen sie Bedrohungen früher? Wie entwickelt sich die Rate falsch positiver Ergebnisse? Holen Sie Feedback vom Team ein: Sind die Empfehlungen der KI hilfreich oder erzeugen sie Fehlalarme? Nutzen Sie diese Kennzahlen, um Modelle zu verfeinern, Trainingsdaten zu aktualisieren oder die Integration der KI anzupassen. Cyberbedrohungen und Geschäftsanforderungen entwickeln sich ständig weiter, daher sollten Ihre KI-Modelle regelmäßig aktualisiert oder neu trainiert werden, um effektiv zu bleiben. Entwickeln Sie einen Plan für die Modellverwaltung, der festlegt, wer für die Pflege verantwortlich ist und wie oft die Modelle überprüft werden. Durch aktives Management des KI-Lebenszyklus stellen Sie sicher, dass die KI ein Gewinn und keine Belastung bleibt.

Zusammenfassend lässt sich sagen, dass generative KI die Cybersicherheit deutlich verbessern kann. Eine erfolgreiche Implementierung erfordert jedoch sorgfältige Planung und kontinuierliche Überwachung. Unternehmen, die ihre Mitarbeiter schulen, klare Richtlinien festlegen und KI ausgewogen und sicher integrieren, profitieren von einem schnelleren und intelligenteren Bedrohungsmanagement. Diese Erkenntnisse bilden die Grundlage für eine erfolgreiche Strategie: Kombinieren Sie menschliches Fachwissen mit KI-Automatisierung, gewährleisten Sie die grundlegenden Governance-Prinzipien und bleiben Sie flexibel, da sich sowohl die KI-Technologie als auch die Bedrohungslandschaft stetig weiterentwickeln.

Durch diese praktischen Schritte können Organisationen die Frage „Wie kann generative KI in der Cybersicherheit eingesetzt werden?“ – nicht nur theoretisch, sondern auch im täglichen Gebrauch – sicher beantworten und so ihre Abwehr in unserer zunehmend digitalisierten und KI-gesteuerten Welt stärken. ( Wie kann generative KI in der Cybersicherheit eingesetzt werden ?)

Weitere Whitepaper, die Sie im Anschluss an dieses Whitepaper interessieren könnten:

🔗 Jobs, die KI nicht ersetzen kann und welche Jobs KI ersetzen wird?
Entdecken Sie die globale Perspektive, welche Berufe vor Automatisierung sicher sind und welche nicht.

🔗 Kann KI den Aktienmarkt vorhersagen?
Ein genauerer Blick auf die Grenzen, Durchbrüche und Mythen rund um die Fähigkeit von KI, Marktbewegungen vorherzusagen.

🔗 Was kann generative KI ohne menschliches Eingreifen leisten?
Verstehen Sie, wo KI selbstständig agieren kann und wo menschliche Aufsicht weiterhin unerlässlich ist.