Cybersicherheitsexperte analysiert Bedrohungen mithilfe generativer KI-Tools.

Wie kann generative KI in der Cybersicherheit eingesetzt werden?

Einführung

Generative KI – künstliche Intelligenzsysteme, die neue Inhalte oder Vorhersagen erstellen können – entwickelt sich zu einer transformativen Kraft in der Cybersicherheit. Tools wie GPT-4 von OpenAI haben bewiesen, dass sie komplexe Daten analysieren und menschenähnlichen Text generieren können, was neue Ansätze zur Abwehr von Cyberbedrohungen ermöglicht. Cybersicherheitsexperten und Entscheidungsträger in Unternehmen aller Branchen erforschen, wie generative KI die Abwehr gegen neuartige Angriffe stärken kann. Von Finanzen und Gesundheitswesen bis hin zu Einzelhandel und Behörden sind Organisationen in allen Sektoren mit ausgeklügelten Phishing-Versuchen, Malware und anderen Bedrohungen konfrontiert, gegen die generative KI helfen könnte. In diesem Whitepaper untersuchen wir, wie generative KI in der Cybersicherheit eingesetzt werden kann , und beleuchten reale Anwendungen, zukünftige Möglichkeiten und wichtige Überlegungen zur Einführung.

Generative KI unterscheidet sich von herkömmlicher analytischer KI, indem sie nicht nur Muster erkennt, sondern auch erstellt – sei es durch die Simulation von Angriffen zum Trainieren von Abwehrmechanismen oder durch die Erstellung natürlichsprachlicher Erklärungen für komplexe Sicherheitsdaten. Diese doppelte Fähigkeit macht sie zu einem zweischneidigen Schwert: Sie bietet leistungsstarke neue Abwehrtools, kann aber auch von Bedrohungsakteuren ausgenutzt werden. Die folgenden Abschnitte untersuchen ein breites Spektrum an Anwendungsfällen für generative KI in der Cybersicherheit, von der Automatisierung der Phishing-Erkennung bis zur Verbesserung der Reaktion auf Vorfälle. Wir erörtern außerdem die Vorteile dieser KI-Innovationen sowie die Risiken (wie KI-„Halluzinationen“ oder gegnerischer Missbrauch), die Unternehmen bewältigen müssen. Abschließend liefern wir praktische Tipps, die Unternehmen dabei helfen, generative KI zu bewerten und verantwortungsvoll in ihre Cybersicherheitsstrategien zu integrieren.

Generative KI in der Cybersicherheit: Ein Überblick

Generative KI in der Cybersicherheit bezieht sich auf KI-Modelle – oft große Sprachmodelle oder andere neuronale Netzwerke – die Erkenntnisse, Empfehlungen, Code oder sogar synthetische Daten generieren können, um Sicherheitsaufgaben zu unterstützen. Im Gegensatz zu rein prädiktiven Modellen kann generative KI Szenarien simulieren und auf Basis ihrer Trainingsdaten menschenlesbare Ergebnisse (z. B. Berichte, Warnungen oder sogar Beispiele für Schadcode) erzeugen. Diese Fähigkeit wird genutzt, um Bedrohungen dynamischer als bisher vorherzusagen, zu erkennen und darauf zu reagieren Was ist generative KI in der Cybersicherheit? – Palo Alto Networks ). Generative Modelle können beispielsweise umfangreiche Protokolle oder Bedrohungsdatenspeicher analysieren und eine prägnante Zusammenfassung oder Handlungsempfehlung erstellen und fungieren so fast wie ein KI-„Assistent“ für Sicherheitsteams.

Frühe Implementierungen generativer KI für die Cyberabwehr haben sich als vielversprechend erwiesen. Im Jahr 2023 führte Microsoft Security Copilot , einen GPT-4-basierten Assistenten für Sicherheitsanalysten, der dabei helfen soll, Sicherheitsverletzungen zu erkennen und die 65 Billionen Signale zu durchforsten, die Microsoft täglich verarbeitet ( Microsoft Security Copilot ist ein neuer GPT-4-KI-Assistent für Cybersicherheit | The Verge ). Analysten können diesem System in natürlicher Sprache Anweisungen geben (z. B. „Fassen Sie alle Sicherheitsvorfälle der letzten 24 Stunden zusammen“ ), und der Copilot erstellt eine nützliche narrative Zusammenfassung. In ähnlicher Weise verwendet Googles Threat Intelligence AI ein generatives Modell namens Gemini , um eine dialogorientierte Suche in Googles umfangreicher Threat-Intelligence-Datenbank zu ermöglichen, verdächtigen Code schnell zu analysieren und Ergebnisse zusammenzufassen, um Malware-Jäger zu unterstützen ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Diese Beispiele veranschaulichen das Potenzial: Generative KI kann komplexe, umfangreiche Cybersicherheitsdaten verarbeiten und Erkenntnisse in einer zugänglichen Form präsentieren, wodurch die Entscheidungsfindung beschleunigt wird.

Gleichzeitig kann generative KI hochrealistische Fake-Inhalte erstellen, was für Simulation und Training (und leider auch für Social-Engineering-Angreifer) von Vorteil ist. Im weiteren Verlauf spezifischer Anwendungsfälle werden wir sehen, dass die Fähigkeit generativer KI, Informationen zu synthetisieren und zu analysieren, die Grundlage für ihre zahlreichen Cybersicherheitsanwendungen bildet. Im Folgenden gehen wir auf wichtige Anwendungsfälle ein, die von der Phishing-Prävention bis zur sicheren Softwareentwicklung reichen, und zeigen Beispiele für deren Anwendung in verschiedenen Branchen.

Wichtige Anwendungen der generativen KI in der Cybersicherheit

Abbildung: Zu den wichtigsten Anwendungsfällen für generative KI in der Cybersicherheit gehören KI-Copiloten für Sicherheitsteams, Code-Schwachstellenanalyse, adaptive Bedrohungserkennung, Simulation von Zero-Day-Angriffen, verbesserte biometrische Sicherheit und Phishing-Erkennung ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ).

Phishing-Erkennung und -Prävention

Phishing bleibt eine der am weitesten verbreiteten Cyberbedrohungen. Benutzer werden dabei dazu verleitet, auf schädliche Links zu klicken oder Anmeldeinformationen preiszugeben. Generative KI wird eingesetzt, um Phishing-Versuche zu erkennen und Benutzer besser zu schulen, damit erfolgreiche Angriffe verhindert werden. Zur Abwehr können KI-Modelle E-Mail-Inhalte und das Verhalten der Absender analysieren, um subtile Anzeichen von Phishing zu erkennen, die regelbasierten Filtern möglicherweise entgehen. Durch das Lernen aus großen Datensätzen legitimer und betrügerischer E-Mails kann ein generatives Modell Anomalien in Ton, Wortwahl oder Kontext erkennen, die auf Betrug hindeuten – selbst wenn Grammatik und Rechtschreibung diese nicht mehr verraten. Forscher von Palo Alto Networks stellen fest, dass generative KI „subtile Anzeichen von Phishing-E-Mails identifizieren kann, die sonst möglicherweise unentdeckt bleiben“, und Unternehmen so hilft, Betrügern immer einen Schritt voraus zu sein ( Was ist generative KI in der Cybersicherheit? – Palo Alto Networks ).

Sicherheitsteams verwenden generative KI auch, um Phishing-Angriffe zu Trainings- und Analysezwecken zu simulieren. Ironscales hat beispielsweise ein GPT-basiertes Phishing-Simulationstool eingeführt, das automatisch gefälschte, auf die Mitarbeiter eines Unternehmens zugeschnittene Phishing-E-Mails generiert ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Diese von KI erstellten E-Mails spiegeln die neuesten Taktiken der Angreifer wider und bieten den Mitarbeitern realistische Übung im Erkennen von Phishing-Inhalten. Solche personalisierten Trainings sind von entscheidender Bedeutung, da Angreifer selbst KI einsetzen, um überzeugendere Köder zu erstellen. Obwohl generative KI sehr ausgefeilte Phishing-Nachrichten erstellen kann (die Zeiten leicht zu erkennenden gebrochenen Englischs sind vorbei), haben Verteidiger festgestellt, dass KI nicht unschlagbar ist. Im Jahr 2024 führten Forscher von IBM Security ein Experiment durch, bei dem von Menschen verfasste Phishing-E-Mails mit von KI generierten verglichen wurden. „Überraschenderweise waren KI-generierte E-Mails trotz ihrer korrekten Grammatik immer noch leicht zu erkennen“ ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Dies deutet darauf hin, dass die menschliche Intuition in Kombination mit KI-gestützter Erkennung immer noch subtile Unstimmigkeiten oder Metadatensignale in von KI erstellten Betrügereien erkennen kann.

automatisierte Antworten oder Filter generiert werden, die verdächtige E-Mails testen. Ein KI-System könnte beispielsweise auf eine E-Mail mit bestimmten Abfragen antworten, um die Legitimität des Absenders zu überprüfen, oder mithilfe eines LLM die Links und Anhänge einer E-Mail in einer Sandbox analysieren und anschließend böswillige Absichten zusammenfassen. NVIDIAs Sicherheitsplattform Morpheus demonstriert die Leistungsfähigkeit von KI in diesem Bereich – sie verwendet generative NLP-Modelle zur schnellen Analyse und Klassifizierung von E-Mails und verbessert die Erkennung von Spear-Phishing-E-Mails im Vergleich zu herkömmlichen Sicherheitstools 21 % 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Morpheus erstellt sogar Profile der Kommunikationsmuster von Benutzern, um ungewöhnliches Verhalten zu erkennen (z. B. wenn ein Benutzer plötzlich viele externe Adressen anruft), was auf ein kompromittiertes Konto hinweisen kann, das Phishing-E-Mails versendet.

In der Praxis vertrauen Unternehmen branchenübergreifend zunehmend auf KI, um E-Mail- und Webverkehr auf Social-Engineering-Angriffe zu prüfen. Finanzunternehmen beispielsweise nutzen generative KI, um ihre Kommunikation auf Identitätsbetrugsversuche zu prüfen, während Gesundheitsdienstleister KI einsetzen, um Patientendaten vor Phishing-Verstößen zu schützen. Durch die Generierung realistischer Phishing-Szenarien und die Identifizierung der Kennzeichen bösartiger Nachrichten ergänzt generative KI Phishing-Präventionsstrategien um eine leistungsstarke Ebene. Fazit: KI kann helfen, Phishing-Angriffe schneller und präziser zu erkennen und zu entschärfen, selbst wenn Angreifer dieselbe Technologie nutzen, um ihre Strategie zu verbessern.

Malware-Erkennung und Bedrohungsanalyse

Moderne Schadsoftware entwickelt sich ständig weiter – Angreifer generieren neue Varianten oder verschleiern Code, um Antiviren-Signaturen zu umgehen. Generative KI bietet neuartige Techniken, um Malware zu erkennen und ihr Verhalten zu verstehen. Ein Ansatz besteht darin, mithilfe von KI sogenannte „böse Zwillinge“ von Schadsoftware zu erzeugen : Sicherheitsforscher können ein Beispiel bekannter Schadsoftware in ein generatives Modell einspeisen, um viele mutierte Varianten dieser Schadsoftware zu erstellen. Auf diese Weise antizipieren sie effektiv die möglichen Änderungen eines Angreifers. Diese KI-generierten Varianten können dann zum Trainieren von Antiviren- und Intrusion-Detection-Systemen verwendet werden, sodass selbst modifizierte Versionen der Schadsoftware in freier Wildbahn erkannt werden ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Diese proaktive Strategie hilft, den Kreislauf zu durchbrechen, in dem Hacker ihre Schadsoftware leicht verändern, um einer Erkennung zu entgehen, und die Verteidiger sich jedes Mal beeilen müssen, neue Signaturen zu schreiben. Wie in einem Branchen-Podcast erwähnt, nutzen Sicherheitsexperten mittlerweile generative KI, um „Netzwerkverkehr zu simulieren und schädliche Payloads zu generieren, die komplexe Angriffe nachahmen“. So werden ihre Abwehrmechanismen einem Stresstest unterzogen, der auf eine ganze Familie von Bedrohungen statt auf eine einzelne Instanz abzielt. Diese adaptive Bedrohungserkennung macht Sicherheitstools widerstandsfähiger gegen polymorphe Malware, die sonst durchkommen würde.

Über die Erkennung hinaus unterstützt generative KI die Malware-Analyse und das Reverse Engineering , die für Bedrohungsanalysten traditionell arbeitsintensiv sind. Große Sprachmodelle können damit beauftragt werden, verdächtigen Code oder Skripte zu untersuchen und in einfacher Sprache zu erklären, was der Code bewirken soll. Ein Beispiel aus der Praxis ist VirusTotal Code Insight , eine Funktion von Google VirusTotal, die ein generatives KI-Modell (Google Sec-PaLM) nutzt, um Zusammenfassungen potenziell schädlichen Codes in natürlicher Sprache zu erstellen ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Im Wesentlichen handelt es sich dabei um „eine Art ChatGPT, das sich der Sicherheitscodierung widmet“, und fungiert als KI-Malware-Analyst, der rund um die Uhr arbeitet, um menschlichen Analysten beim Verständnis von Bedrohungen zu helfen ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Anstatt sich mit unbekannten Skripten oder Binärcodes herumzuschlagen, erhält ein Mitglied des Sicherheitsteams von der KI sofort eine Erklärung – zum Beispiel: „Dieses Skript versucht, eine Datei vom XYZ-Server herunterzuladen und dann die Systemeinstellungen zu ändern, was auf das Verhalten von Schadsoftware hindeutet.“ Dadurch wird die Reaktion auf Vorfälle erheblich beschleunigt, da Analysten neue Schadsoftware schneller als je zuvor einstufen und verstehen können.

Generative KI wird auch verwendet, um Schadsoftware in riesigen Datensätzen zu erkennen . Herkömmliche Antivirenprogramme scannen Dateien nach bekannten Signaturen, aber ein generatives Modell kann die Eigenschaften einer Datei auswerten und anhand erlernter Muster sogar vorhersagen, ob die Datei schädlich ist. Durch die Analyse der Attribute von Milliarden von Dateien (bösartige und harmlose) kann eine KI böswillige Absichten erkennen, wo keine explizite Signatur vorhanden ist. Beispielsweise könnte ein generatives Modell eine ausführbare Datei als verdächtig kennzeichnen, weil ihr Verhaltensprofil „ähnelt“ , obwohl die Binärdatei neu ist. Diese verhaltensbasierte Erkennung hilft, neuartige oder Zero-Day-Schadsoftware zu bekämpfen. Die Threat Intelligence AI von Google (Teil von Chronicle/Mandiant) verwendet Berichten zufolge ihr generatives Modell, um potenziell schädlichen Code zu analysieren und „Sicherheitsexperten effizienter und effektiver bei der Bekämpfung von Malware und anderen Arten von Bedrohungen zu unterstützen.“ ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ).

Andererseits müssen wir anerkennen, dass Angreifer auch hier generative KI nutzen können – um automatisch Schadsoftware zu erstellen, die sich selbst anpasst. Sicherheitsexperten warnen sogar davor, dass generative KI Cyberkriminellen dabei helfen kann, Schadsoftware zu entwickeln , die schwerer zu erkennen ist ( Was ist generative KI in der Cybersicherheit? – Palo Alto Networks ). Ein KI-Modell kann angewiesen werden, ein Schadprogramm wiederholt zu verändern (Dateistruktur, Verschlüsselungsmethoden usw. ändern), bis es alle bekannten Antivirenprogramme umgeht. Dieser feindliche Einsatz (manchmal auch als „KI-gestützte Schadsoftware“ oder polymorphe Malware als Service bezeichnet) gibt zunehmend Anlass zur Sorge. Wir werden diese Risiken später erörtern, aber es unterstreicht, dass generative KI ein Werkzeug in diesem Katz-und-Maus-Spiel ist, das sowohl von Verteidigern als auch von Angreifern eingesetzt wird.

Insgesamt verbessert generative KI die Malware-Abwehr, indem sie Sicherheitsteams ermöglicht, wie Angreifer zu denken und intern neue Bedrohungen und Lösungen zu entwickeln. Ob es um die Entwicklung synthetischer Malware zur Verbesserung der Erkennungsraten oder den Einsatz von KI zur Erklärung und Eindämmung realer Malware in Netzwerken geht – diese Techniken sind branchenübergreifend anwendbar. Eine Bank könnte KI-gesteuerte Malware-Analyse nutzen, um schnell ein verdächtiges Makro in einer Tabelle zu analysieren, während ein Fertigungsunternehmen KI nutzt, um Malware zu erkennen, die auf industrielle Steuerungssysteme abzielt. Durch die Ergänzung der traditionellen Malware-Analyse mit generativer KI können Unternehmen schneller und proaktiver als bisher auf Malware-Kampagnen reagieren.

Bedrohungsinformationen und automatisierte Analyse

Unternehmen werden täglich mit Bedrohungsdaten bombardiert – von Feeds mit neu entdeckten Indikatoren für Kompromittierungen (IOCs) bis hin zu Analystenberichten über neue Hackertaktiken. Die Herausforderung für Sicherheitsteams besteht darin, diese Informationsflut zu durchforsten und daraus umsetzbare Erkenntnisse zu gewinnen. Generative KI erweist sich bei der Automatisierung der Analyse und Nutzung von Bedrohungsdaten . Anstatt Dutzende von Berichten oder Datenbankeinträgen manuell zu lesen, können Analysten KI nutzen, um Bedrohungsdaten in Maschinengeschwindigkeit zusammenzufassen und zu kontextualisieren.

Ein konkretes Beispiel ist die Threat Intelligence Suite von Google, die generative KI (das Gemini-Modell) mit den umfangreichen Bedrohungsdaten von Mandiant und VirusTotal integriert. Diese KI ermöglicht eine „dialogbasierte Suche in Googles riesigem Bestand an Bedrohungsdaten“ , sodass Benutzer natürliche Fragen zu Bedrohungen stellen und klare Antworten erhalten können ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Ein Analyst könnte beispielsweise fragen: „Haben wir Malware der Bedrohungsgruppe X gesehen, die auf unsere Branche abzielt?“ und die KI zieht relevante Informationen heran und vermerkt beispielsweise: „Ja, Bedrohungsgruppe X wurde letzten Monat mit einer Phishing-Kampagne in Verbindung gebracht, bei der die Malware Y verwendet wurde“ , zusammen mit einer Zusammenfassung des Verhaltens dieser Malware. Dadurch lässt sich viel Zeit zum Sammeln von Erkenntnissen sparen, für die sonst die Abfrage mehrerer Tools oder das Lesen langer Berichte erforderlich wäre.

Generative KI kann auch Bedrohungstrends korrelieren und zusammenfassen . Sie kann Tausende von Sicherheitsblogbeiträgen, Nachrichten über Sicherheitsverletzungen und Darknet-Chats durchforsten und dann eine Zusammenfassung der „größten Cyberbedrohungen dieser Woche“ für das Briefing eines CISO erstellen. Traditionell war für diese Art der Analyse und Berichterstattung ein erheblicher menschlicher Aufwand erforderlich. Heute kann ein gut abgestimmtes Modell diese in Sekundenschnelle erstellen, und der Mensch verfeinert das Ergebnis nur noch. Unternehmen wie ZeroFox haben FoxGPT , ein generatives KI-Tool, das speziell dafür konzipiert ist, „die Analyse und Zusammenfassung von Informationen über große Datensätze hinweg zu beschleunigen“, darunter auch schädliche Inhalte und Phishing-Daten ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Indem KI das aufwändige Lesen und Querverweisen von Daten automatisiert, ermöglicht sie es Threat-Intelligence-Teams, sich auf die Entscheidungsfindung und Reaktion zu konzentrieren.

Ein weiterer Anwendungsfall ist die konversationelle Bedrohungssuche . Stellen Sie sich vor, ein Sicherheitsanalyst interagiert mit einem KI-Assistenten: „Zeigen Sie mir Anzeichen für Datenexfiltration in den letzten 48 Stunden“ oder „Welches sind die wichtigsten neuen Schwachstellen, die Angreifer diese Woche ausnutzen?“ Die KI kann die Abfrage interpretieren, interne Protokolle oder externe Informationsquellen durchsuchen und mit einer klaren Antwort oder sogar einer Liste relevanter Vorfälle reagieren. Das ist nicht weit hergeholt – moderne SIEM-Systeme (Security Information and Event Management) beginnen, Abfragen in natürlicher Sprache zu integrieren. IBMs QRadar-Sicherheitssuite beispielsweise wird 2024 um generative KI-Funktionen erweitert, damit Analysten „spezifische Fragen zum zusammengefassten Angriffspfad“ eines Vorfalls stellen und detaillierte Antworten erhalten können. Sie kann auch „hochrelevante Bedrohungsinformationen interpretieren und zusammenfassen“ ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Im Wesentlichen verwandelt generative KI Berge technischer Daten auf Abruf in chatgroße Erkenntnisse.

Dies hat branchenübergreifend große Auswirkungen. Ein Gesundheitsdienstleister kann KI nutzen, um über die neuesten Ransomware-Gruppen, die Krankenhäuser angreifen, auf dem Laufenden zu bleiben, ohne einen Analysten in Vollzeit mit der Recherche beauftragen zu müssen. Das SOC eines Einzelhandelsunternehmens kann bei der Einweisung der IT-Mitarbeiter des Geschäfts schnell neue POS-Malware-Taktiken zusammenfassen. Und im öffentlichen Dienst, wo Bedrohungsdaten verschiedener Behörden zusammengefasst werden müssen, kann KI einheitliche Berichte erstellen, die die wichtigsten Warnungen hervorheben. Durch die Automatisierung der Erfassung und Interpretation von Bedrohungsdaten hilft generative KI Unternehmen, schneller auf neu auftretende Bedrohungen zu reagieren und das Risiko zu verringern, wichtige Warnungen zu übersehen, die im Datenfluss verborgen sind.

Optimierung des Security Operations Center (SOC)

Sicherheitsbetriebszentren sind bekannt für Alarmmüdigkeit und eine überwältigende Datenmenge. Ein typischer SOC-Analyst muss täglich Tausende von Alarmen und Ereignissen durchgehen und potenzielle Vorfälle untersuchen. Generative KI wirkt in SOCs als Kraftmultiplikator, indem sie Routinearbeiten automatisiert, intelligente Zusammenfassungen erstellt und sogar einige Reaktionen orchestriert. Ziel ist es, SOC-Workflows zu optimieren, damit sich menschliche Analysten auf die kritischsten Probleme konzentrieren können, während der KI-Copilot den Rest erledigt.

Eine wichtige Anwendung ist die Verwendung generativer KI als „Copilot für Analysten“ . Der bereits erwähnte Security Copilot von Microsoft ist ein Beispiel dafür: Er „soll die Arbeit eines Sicherheitsanalysten unterstützen, nicht ersetzen“ und bei der Untersuchung und Meldung von Vorfällen helfen ( Microsoft Security Copilot ist ein neuer GPT-4-KI-Assistent für Cybersicherheit | The Verge ). In der Praxis bedeutet dies, dass ein Analyst Rohdaten – Firewall-Protokolle, eine Ereigniszeitleiste oder eine Vorfallbeschreibung – eingeben und die KI bitten kann, diese zu analysieren oder zusammenzufassen. Der Copilot könnte eine Meldung wie diese ausgeben: „Anscheinend war um 2:35 Uhr eine verdächtige Anmeldung von IP X auf Server Y erfolgreich, gefolgt von ungewöhnlichen Datenübertragungen, die auf einen möglichen Angriff auf diesem Server hindeuten.“ Diese Art der sofortigen Kontextualisierung ist von unschätzbarem Wert, wenn es schnell gehen muss.

KI-Copiloten tragen auch dazu bei, den Triage-Aufwand auf Stufe 1 zu reduzieren. Branchendaten zufolge kann ein Sicherheitsteam 15 Stunden pro Woche allein mit der Sichtung von rund 22.000 Warnmeldungen und Fehlalarmen verbringen ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Mit generativer KI können viele dieser Warnmeldungen automatisch priorisiert werden – die KI kann eindeutig harmlose Warnmeldungen (mit Begründung) verwerfen und diejenigen hervorheben, die wirklich Aufmerksamkeit erfordern, und manchmal sogar deren Priorität vorschlagen. Die Stärke der generativen KI im Kontextverständnis bedeutet, dass sie Warnmeldungen korrelieren kann, die isoliert betrachtet harmlos erscheinen, aber zusammengenommen auf einen mehrstufigen Angriff hinweisen. Dies verringert die Wahrscheinlichkeit, einen Angriff aufgrund von „Warnmeldungsmüdigkeit“ zu übersehen.

SOC-Analysten verwenden außerdem natürliche Sprache mit KI, um die Suche und Untersuchungen zu beschleunigen. Die Purple AI- Plattform von SentinelOne kombiniert beispielsweise eine LLM-basierte Schnittstelle mit Echtzeit-Sicherheitsdaten, sodass Analysten „komplexe Fragen zur Bedrohungssuche in einfachem Englisch stellen und schnelle, präzise Antworten erhalten“ ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Ein Analyst könnte eingeben: „Haben im letzten Monat Endpunkte mit der Domäne badguy123[.]com kommuniziert?“ , und Purple AI durchsucht die Protokolle, um zu antworten. Dadurch muss der Analyst keine Datenbankabfragen oder Skripte schreiben – die KI erledigt das im Hintergrund. Außerdem können Junioranalysten Aufgaben übernehmen, für die zuvor ein erfahrener Ingenieur mit Kenntnissen in Abfragesprachen erforderlich war, wodurch das Team durch die Unterstützung durch KI effektiv weitergebildet wird . Tatsächlich berichten Analysten, dass die Anleitung durch generative KI „ihre Fähigkeiten und Kompetenzen steigert“ , da Nachwuchskräfte nun bei Bedarf Programmierunterstützung oder Analysetipps von der KI erhalten können und so nicht mehr ständig erfahrene Teammitglieder um Hilfe bitten müssen ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ).

Eine weitere SOC-Optimierung ist die automatisierte Vorfallzusammenfassung und -dokumentation . Nach der Bearbeitung eines Vorfalls muss jemand den Bericht schreiben – eine Aufgabe, die viele als mühsam empfinden. Generative KI kann aus den forensischen Daten (Systemprotokolle, Malware-Analyse, Zeitleiste der Aktionen) einen ersten Entwurf eines Vorfallberichts erstellen. IBM integriert diese Funktion in QRadar, sodass mit „einem einzigen Klick“ eine Vorfallzusammenfassung für verschiedene Beteiligte (Führungskräfte, IT-Teams usw.) erstellt werden kann ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Das spart nicht nur Zeit, sondern stellt auch sicher, dass im Bericht nichts übersehen wird, da die KI alle relevanten Details durchgängig aufnehmen kann. Ebenso kann KI für Compliance und Audits Formulare oder Beweistabellen basierend auf Vorfalldaten ausfüllen.

Die Ergebnisse in der Praxis sind überzeugend. Frühe Anwender von Swimlanes KI-gesteuertem SOAR (Security Orchestration, Automation and Response) berichten von enormen Produktivitätssteigerungen – Global Data Systems beispielsweise konnte feststellen, dass ihr SecOps-Team eine viel größere Falllast bewältigen musste; ein Direktor sagte: die KI-gestützte Automatisierung wahrscheinlich 20 Mitarbeiter erfordern“ Wie kann generative KI in der Cybersicherheit eingesetzt werden ?). Mit anderen Worten: KI im SOC kann die Kapazität vervielfachen . Branchenübergreifend – sei es ein Technologieunternehmen, das sich mit Cloud-Sicherheitswarnungen befasst, oder eine Produktionsanlage, die OT-Systeme überwacht – können SOC-Teams durch den Einsatz generativer KI-Assistenten schnellere Erkennung und Reaktion, weniger übersehene Vorfälle und effizientere Abläufe erzielen. Es geht darum, intelligenter zu arbeiten – Maschinen die sich wiederholenden und datenintensiven Aufgaben erledigen zu lassen, damit Menschen ihre Intuition und ihr Fachwissen dort einsetzen können, wo es am wichtigsten ist.

Schwachstellenmanagement und Bedrohungssimulation

Das Erkennen und Beheben von Schwachstellen – also von Schwachstellen in Software oder Systemen, die Angreifer ausnutzen könnten – ist eine zentrale Aufgabe der Cybersicherheit. Generative KI verbessert das Schwachstellenmanagement, indem sie die Erkennung beschleunigt, die Priorisierung von Patches unterstützt und sogar Angriffe auf diese Schwachstellen simuliert, um die Abwehrmaßnahmen zu verbessern. Im Wesentlichen hilft KI Unternehmen, Schwachstellen schneller zu finden und zu schließen und proaktiv zu testen, bevor echte Angreifer dies tun.

Eine wichtige Anwendung ist die Nutzung generativer KI zur automatisierten Codeüberprüfung und Schwachstellenerkennung . Große Codebasen (insbesondere Legacy-Systeme) bergen oft Sicherheitslücken, die unbemerkt bleiben. Modelle generativer KI können anhand sicherer Codierungspraktiken und gängiger Fehlermuster trainiert und dann auf Quellcode oder kompilierte Binärdateien angewendet werden, um potenzielle Schwachstellen zu finden. Forscher von NVIDIA entwickelten beispielsweise eine Pipeline für generative KI, die Legacy-Softwarecontainer analysieren und Schwachstellen „mit hoher Genauigkeit – bis zu 4-mal schneller als menschliche Experten“ ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Die KI lernte im Wesentlichen, wie unsicherer Code aussieht, und konnte Jahrzehnte alte Software scannen, um riskante Funktionen und Bibliotheken zu kennzeichnen. Dadurch wurde der normalerweise langsame Prozess der manuellen Codeprüfung erheblich beschleunigt. Tools dieser Art können für Branchen wie das Finanzwesen oder die Regierung, die auf große, ältere Codebasen angewiesen sind, bahnbrechend sein – die KI hilft bei der Modernisierung der Sicherheit, indem sie Probleme aufdeckt, für deren Entdeckung Mitarbeiter Monate oder Jahre benötigen würden (wenn überhaupt).

Generative KI unterstützt außerdem Arbeitsabläufe im Schwachstellenmanagement , indem sie die Ergebnisse von Schwachstellenscans verarbeitet und priorisiert. Tools wie ExposureAI verwenden generative KI, um Analysten die Abfrage von Schwachstellendaten in einfacher Sprache zu ermöglichen und sofortige Antworten zu erhalten ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). ExposureAI kann den „vollständigen Angriffspfad in einer Erzählung zusammenfassen“ und erklären, wie ein Angreifer diese mit anderen Schwachstellen verknüpfen und so ein System kompromittieren könnte. Die Software empfiehlt sogar Maßnahmen zur Behebung des Problems und beantwortet Folgefragen zum Risiko. Das bedeutet, wenn eine neue kritische CVE (Common Vulnerabilities and Exposures) bekannt gegeben wird, kann ein Analyst die KI fragen: „Sind einige unserer Server von dieser CVE betroffen und was ist das Worst-Case-Szenario, wenn wir keinen Patch installieren?“ und erhält eine klare Einschätzung auf Grundlage der Scandaten des Unternehmens. Durch die Kontextualisierung von Schwachstellen (z. B. ist diese dem Internet ausgesetzt und befindet sich auf einem hochwertigen Server, sodass sie höchste Priorität hat) hilft generative KI Teams dabei, Patches mit begrenzten Ressourcen intelligent durchzuführen.

Generative KI findet und verwaltet nicht nur bekannte Schwachstellen, sondern trägt auch zu Penetrationstests und Angriffssimulationen – im Wesentlichen geht es darum, unbekannte Schwachstellen zu entdecken oder Sicherheitskontrollen zu testen. Generative Adversarial Networks (GANs), eine Art generativer KI, wurden verwendet, um synthetische Daten zu erstellen, die echten Netzwerkverkehr oder Benutzerverhalten imitieren, was versteckte Angriffsmuster enthalten kann. Eine Studie aus dem Jahr 2023 schlug vor, GANs zu verwenden, um realistischen Zero-Day-Angriffsverkehr zu generieren und so Intrusion Detection Systems zu trainieren ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Indem sie das IDS mit von KI erstellten Angriffsszenarien füttern (bei denen nicht das Risiko besteht, echte Schadsoftware in Produktionsnetzwerken einzusetzen), können Unternehmen ihre Abwehr trainieren, neue Bedrohungen zu erkennen, ohne darauf warten zu müssen, in der Realität von ihnen getroffen zu werden. Auf ähnliche Weise kann KI einen Angreifer simulieren, der ein System austestet – beispielsweise indem automatisch verschiedene Exploit-Techniken in einer sicheren Umgebung ausprobiert werden, um zu sehen, ob eine davon erfolgreich ist. Die US-amerikanische Defense Advanced Research Projects Agency (DARPA) sieht hier Potenzial: Bei ihrer AI Cyber ​​Challenge 2023 wird im Rahmen eines Wettbewerbs „automatisch Schwachstellen in Open-Source-Software zu finden und zu beheben“ DARPA will KI- und Autonomieanwendungen entwickeln, denen Soldaten vertrauen können > US-Verteidigungsministerium > Nachrichten des Verteidigungsministeriums ). Diese Initiative unterstreicht, dass KI nicht nur hilft, bekannte Schwachstellen zu schließen, sondern aktiv neue Schwachstellen aufdeckt und Lösungen vorschlägt – eine Aufgabe, die traditionell qualifizierten (und teuren) Sicherheitsforschern vorbehalten ist.

Generative KI kann sogar intelligente Honeypots und digitale Zwillinge zur Verteidigung erstellen. Start-ups entwickeln KI-gesteuerte Täuschungssysteme, die echte Server oder Geräte überzeugend emulieren. Wie ein CEO erklärte, kann generative KI „digitale Systeme klonen, um echte nachzuahmen und Hacker anzulocken“ ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Diese KI-generierten Honeypots verhalten sich wie die reale Umgebung (sagen wir, ein gefälschtes IoT-Gerät, das normale Telemetriedaten sendet), existieren jedoch nur, um Angreifer anzulocken. Wenn ein Angreifer die Täuschung ins Visier nimmt, hat die KI ihn im Wesentlichen dazu gebracht, seine Methoden preiszugeben, die die Verteidiger dann studieren und verwenden können, um die echten Systeme zu verstärken. Dieses auf generativer Modellierung basierende Konzept bietet eine zukunftsweisende Möglichkeit, den Spieß umzudrehen und dabei KI-gestützte Täuschungsmanöver einzusetzen.

Branchenübergreifend führt ein schnelleres und intelligenteres Schwachstellenmanagement zu weniger Sicherheitsverletzungen. In der Gesundheits-IT beispielsweise kann KI eine anfällige, veraltete Bibliothek in einem medizinischen Gerät schnell erkennen und eine Firmware-Korrektur veranlassen, bevor ein Angreifer sie ausnutzt. Im Bankwesen könnte KI einen Insider-Angriff auf eine neue Anwendung simulieren, um sicherzustellen, dass Kundendaten unter allen Umständen geschützt bleiben. Generative KI fungiert somit sowohl als Mikroskop als auch als Stresstester für die Sicherheitslage von Unternehmen: Sie deckt versteckte Schwachstellen auf und setzt Systeme auf kreative Weise unter Druck, um deren Widerstandsfähigkeit zu gewährleisten.

Sichere Codegenerierung und Softwareentwicklung

Die Fähigkeiten generativer KI beschränken sich nicht nur auf die Erkennung von Angriffen, sondern ermöglichen auch die Entwicklung sichererer Systeme von Anfang an . In der Softwareentwicklung können KI-Codegeneratoren (wie GitHub Copilot, OpenAI Codex usw.) Entwicklern helfen, Code schneller zu schreiben, indem sie Codefragmente oder sogar ganze Funktionen vorschlagen. Der Cybersicherheitsaspekt besteht darin, die Sicherheit dieser KI-vorgeschlagenen Codeteile sicherzustellen und KI zur Verbesserung der Programmierpraktiken zu nutzen.

Einerseits kann generative KI als Programmierassistent fungieren, der bewährte Sicherheitspraktiken einbettet . Entwickler können ein KI-Tool auffordern, eine Funktion zum Zurücksetzen des Passworts in Python zu generieren, und erhalten im Idealfall Code zurück, der nicht nur funktionsfähig ist, sondern auch Sicherheitsrichtlinien befolgt (z. B. ordnungsgemäße Eingabevalidierung, Protokollierung, Fehlerbehandlung ohne Informationslecks usw.). Ein solcher Assistent, der anhand umfangreicher sicherer Codebeispiele trainiert wurde, kann dazu beitragen, menschliche Fehler zu reduzieren, die zu Sicherheitslücken führen. Wenn ein Entwickler beispielsweise vergisst, Benutzereingaben zu bereinigen (und damit SQL-Injection oder ähnlichen Problemen Tür und Tor öffnet), kann eine KI dies entweder standardmäßig einbeziehen oder den Entwickler warnen. Einige KI-Programmiertools werden derzeit mit sicherheitsorientierten Daten optimiert, um genau diesem Zweck zu dienen – im Wesentlichen KI-Paarprogrammierung mit Sicherheitsbewusstsein .

Es gibt jedoch auch eine Kehrseite: Generative KI kann bei unzureichender Kontrolle ebenso leicht Sicherheitslücken einführen. Wie der Sophos-Sicherheitsexperte Ben Verschaeren anmerkte, ist die Verwendung generativer KI für die Codierung „für kurzen, überprüfbaren Code in Ordnung, aber riskant, wenn ungeprüfter Code in Produktionssysteme integriert wird“ . Das Risiko besteht darin, dass eine KI logisch korrekten Code produzieren könnte, der auf eine Weise unsicher ist, die einem Laien möglicherweise nicht auffällt. Darüber hinaus könnten böswillige Akteure öffentliche KI-Modelle absichtlich beeinflussen, indem sie diese mit anfälligen Codemustern versehen (eine Art von Datenvergiftung), sodass die KI unsicheren Code vorschlägt. Die meisten Entwickler sind keine Sicherheitsexperten . Wenn eine KI also eine praktische Lösung vorschlägt, verwenden sie diese möglicherweise blind, ohne zu bemerken, dass sie eine Schwachstelle hat ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Diese Sorge ist real – tatsächlich gibt es mittlerweile eine OWASP-Top-10-Liste für LLMs (Large Language Models), die häufige Risiken dieser Art bei der Verwendung von KI für die Codierung auflistet.

Um diesen Problemen zu begegnen, schlagen Experten vor, im Bereich der Programmierung „generative KI mit generativer KI zu bekämpfen“ Überprüfen und Testen von Code , den andere KI (oder Menschen) geschrieben haben. Eine KI kann neue Code-Commits viel schneller scannen als ein menschlicher Code-Prüfer und potenzielle Schwachstellen oder Logikprobleme kennzeichnen. Es entstehen bereits Tools, die sich in den Lebenszyklus der Softwareentwicklung integrieren lassen: Der Code wird geschrieben (ggf. mit Hilfe von KI), dann überprüft ihn ein generatives Modell, das auf die Prinzipien sicheren Codes trainiert wurde, und erstellt einen Bericht mit etwaigen Bedenken (z. B. Verwendung veralteter Funktionen, fehlende Authentifizierungsprüfungen usw.). Die bereits erwähnte Forschung von NVIDIA, die eine viermal schnellere Schwachstellenerkennung im Code erreichte, ist ein Beispiel für die Nutzung von KI zur sicheren Codeanalyse ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ).

Darüber hinaus kann generative KI bei der Erstellung sicherer Konfigurationen und Skripte . Muss ein Unternehmen beispielsweise eine sichere Cloud-Infrastruktur bereitstellen, kann ein Ingenieur eine KI mit der Generierung von Konfigurationsskripten (Infrastructure as Code) beauftragen, die Sicherheitskontrollen (wie Netzwerksegmentierung und IAM-Rollen mit geringsten Berechtigungen) enthalten. Die KI, die mit Tausenden solcher Konfigurationen trainiert wurde, kann eine Basislinie erstellen, die der Ingenieur anschließend verfeinert. Dies beschleunigt die sichere Einrichtung von Systemen und reduziert Konfigurationsfehler – eine häufige Ursache für Sicherheitsvorfälle in der Cloud.

Einige Organisationen nutzen generative KI auch, um eine Wissensdatenbank mit sicheren Codierungsmustern zu pflegen. Wenn ein Entwickler unsicher ist, wie er eine bestimmte Funktion sicher implementieren soll, kann er eine interne KI abfragen, die aus früheren Projekten und Sicherheitsrichtlinien des Unternehmens gelernt hat. Die KI könnte eine empfohlene Vorgehensweise oder sogar einen Codeausschnitt zurückgeben, der sowohl den funktionalen Anforderungen als auch den Sicherheitsstandards des Unternehmens entspricht. Dieser Ansatz wird von Tools wie der Questionnaire Automation von Secureframe , die Antworten aus Unternehmensrichtlinien und früheren Lösungen zieht, um konsistente und genaue Reaktionen zu gewährleisten (und so im Wesentlichen eine sichere Dokumentation zu generieren) ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Das Konzept lässt sich auf die Codierung übertragen: eine KI, die sich „merkt“, wie Sie etwas zuvor sicher implementiert haben, und Sie anleitet, es erneut auf diese Weise zu tun.

Zusammenfassend lässt sich sagen, dass generative KI die Softwareentwicklung beeinflusst, indem sie Unterstützung bei der sicheren Programmierung zugänglicher macht . Branchen, die viel kundenspezifische Software entwickeln – Technologie, Finanzen, Verteidigung usw. – profitieren von KI-Copiloten, die nicht nur die Programmierung beschleunigen, sondern auch als stets wachsame Sicherheitsprüfer fungieren. Richtig gesteuert können diese KI-Tools die Entstehung neuer Schwachstellen reduzieren und Entwicklungsteams dabei unterstützen, Best Practices einzuhalten, selbst wenn nicht bei jedem Schritt ein Sicherheitsexperte beteiligt ist. Das Ergebnis ist Software, die vom ersten Tag an robuster gegen Angriffe ist.

Unterstützung bei der Reaktion auf Vorfälle

Bei einem Cybersicherheitsvorfall – sei es ein Malware-Ausbruch, ein Datenleck oder ein Systemausfall durch einen Angriff – ist Zeit entscheidend. Generative KI wird zunehmend eingesetzt, um Incident-Response-Teams (IR-Teams) dabei zu unterstützen, Vorfälle schneller und mit mehr Informationen einzudämmen und zu beheben. Die Idee dahinter ist, dass KI einen Teil der Ermittlungs- und Dokumentationslast während eines Vorfalls übernehmen und sogar Reaktionsmaßnahmen vorschlagen oder automatisieren kann.

Eine Schlüsselrolle von KI in der IR ist die Analyse und Zusammenfassung von Vorfällen in Echtzeit . Während eines Vorfalls benötigen die Helfer möglicherweise Antworten auf Fragen wie „Wie ist der Angreifer hereingekommen?“ , „Welche Systeme sind betroffen?“ und „Welche Daten könnten kompromittiert sein?“ . Generative KI kann Protokolle, Warnungen und forensische Daten von betroffenen Systemen analysieren und schnell Erkenntnisse liefern. Microsoft Security Copilot beispielsweise ermöglicht es einem Vorfallhelfer, verschiedene Beweisstücke (Dateien, URLs, Ereignisprotokolle) einzugeben und eine Zeitleiste oder Zusammenfassung anzufordern ( Microsoft Security Copilot ist ein neuer GPT-4-KI-Assistent für Cybersicherheit | The Verge ). Die KI könnte etwa folgendermaßen antworten: „Der Verstoß begann wahrscheinlich mit einer Phishing-E-Mail an den Benutzer JohnDoe um 10:53 GMT, die die Malware X enthielt. Nach der Ausführung erstellte die Malware eine Hintertür, die zwei Tage später verwendet wurde, um sich seitlich auf den Finanzserver zu bewegen, wo sie Daten sammelte.“ Da dieses schlüssige Bild innerhalb von Minuten statt Stunden vorliegt, kann das Team fundierte Entscheidungen (z. B. welche Systeme isoliert werden sollen) viel schneller treffen.

Generative KI kann auch Eindämmungs- und Abhilfemaßnahmen vorschlagen . Wenn beispielsweise ein Endpunkt mit Ransomware infiziert ist, kann ein KI-Tool ein Skript oder eine Reihe von Anweisungen generieren, um diese Maschine zu isolieren, bestimmte Konten zu deaktivieren und bekannte bösartige IPs auf der Firewall zu blockieren – im Wesentlichen die Ausführung eines Playbooks. Palo Alto Networks weist darauf hin, dass generative KI in der Lage ist, „angemessene Aktionen oder Skripte basierend auf der Art des Vorfalls zu generieren“ und so die ersten Reaktionsschritte zu automatisieren ( Was ist generative KI in der Cybersicherheit? – Palo Alto Networks ). In einem Szenario, in dem das Sicherheitsteam überfordert ist (sagen wir bei einem großflächigen Angriff auf Hunderte von Geräten), kann die KI einige dieser Aktionen unter vorab genehmigten Bedingungen sogar direkt ausführen und so wie ein unermüdlich arbeitender Junior-Responder agieren. Ein KI-Agent könnte beispielsweise automatisch Anmeldeinformationen zurücksetzen, die er für kompromittiert hält, oder Hosts unter Quarantäne stellen, die bösartige Aktivitäten aufweisen, die dem Profil des Vorfalls entsprechen.

Bei der Reaktion auf einen Vorfall ist Kommunikation unerlässlich – sowohl innerhalb des Teams als auch mit den Beteiligten. Generative KI kann helfen, indem sie spontan aktualisierte Berichte oder Briefings zu Vorfällen verfasst . Anstatt dass ein Techniker die Fehlerbehebung unterbricht, um ein E-Mail-Update zu schreiben, könnte er die KI bitten: „Fassen Sie zusammen, was bei diesem Vorfall bisher passiert ist, um die Führungskräfte zu informieren.“ Nachdem die KI die Vorfalldaten aufgenommen hat, kann sie eine prägnante Zusammenfassung erstellen: „Seit 15:00 Uhr haben Angreifer auf 2 Benutzerkonten und 5 Server zugegriffen. Betroffen sind unter anderem Kundendatensätze in Datenbank X. Eindämmungsmaßnahmen: Der VPN-Zugriff für kompromittierte Konten wurde widerrufen und die Server isoliert. Nächste Schritte: Suchen nach Persistenzmechanismen.“ Der Responder kann dies dann schnell überprüfen oder optimieren und versenden, um sicherzustellen, dass die Beteiligten mit genauen und aktuellen Informationen auf dem Laufenden gehalten werden.

Nachdem sich der Staub gelegt hat, muss in der Regel ein detaillierter Vorfallbericht erstellt und die gewonnenen Erkenntnisse zusammengefasst werden. Auch hier kann KI-Unterstützung überzeugen. Sie kann alle Vorfalldaten prüfen und einen Nachbericht erstellen, der Ursache, Chronologie, Auswirkungen und Empfehlungen enthält. IBM beispielsweise integriert generative KI, um auf Knopfdruck „einfache Zusammenfassungen von Sicherheitsfällen und -vorfällen zu erstellen, die mit Stakeholdern geteilt werden können“ Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Durch die Optimierung der Nachberichterstellung können Unternehmen Verbesserungen schneller umsetzen und verfügen zudem über eine bessere Dokumentation für Compliance-Zwecke.

Eine innovative und zukunftsweisende Anwendung sind KI-gesteuerte Vorfallsimulationen . Ähnlich wie bei einer Feuerübung nutzen einige Unternehmen generative KI, um Was-wäre-wenn-Szenarien durchzuspielen. Die KI simuliert beispielsweise, wie sich Ransomware in der jeweiligen Netzwerkstruktur ausbreiten oder wie ein Insider Daten exfiltrieren könnte, und bewertet anschließend die Effektivität der aktuellen Reaktionspläne. Dies hilft Teams, Playbooks vorzubereiten und zu verfeinern, bevor ein echter Vorfall eintritt. Es ist, als hätten Sie einen ständig verbesserten Incident-Response-Berater, der Ihre Einsatzbereitschaft ständig testet.

In risikoreichen Branchen wie dem Finanz- oder Gesundheitswesen, in denen Ausfallzeiten oder Datenverluste durch Vorfälle besonders kostspielig sind, sind diese KI-gesteuerten IR-Funktionen sehr attraktiv. Ein Krankenhaus, das von einem Cybervorfall betroffen ist, kann sich keine längeren Systemausfälle leisten – eine KI, die schnell bei der Eindämmung hilft, könnte buchstäblich lebensrettend sein. Ebenso kann ein Finanzinstitut KI nutzen, um die erste Sichtung eines mutmaßlichen Betrugsangriffs um 3 Uhr morgens durchzuführen, sodass bis die diensthabenden Mitarbeiter online sind, ein Großteil der Vorarbeit (Abmeldung betroffener Konten, Sperren von Transaktionen usw.) bereits erledigt ist. Durch die Erweiterung von Incident-Response-Teams mit generativer KI können Unternehmen die Reaktionszeiten deutlich verkürzen und die Gründlichkeit ihrer Bearbeitung verbessern, wodurch letztlich Schäden durch Cybervorfälle gemindert werden.

Verhaltensanalyse und Anomalieerkennung

Viele Cyberangriffe lassen sich erkennen, indem man Abweichungen vom „normalen“ Verhalten erkennt – sei es ein Benutzerkonto, das ungewöhnlich viele Daten herunterlädt, oder ein Netzwerkgerät, das plötzlich mit einem unbekannten Host kommuniziert. Generative KI bietet fortschrittliche Techniken zur Verhaltensanalyse und Anomalieerkennung . Sie lernt die normalen Verhaltensmuster von Benutzern und Systemen und meldet dann, wenn etwas nicht stimmt.

Herkömmliche Anomalieerkennung nutzt häufig statistische Schwellenwerte oder einfaches maschinelles Lernen anhand bestimmter Kennzahlen (CPU-Auslastungsspitzen, Anmeldungen zu ungewöhnlichen Zeiten usw.). Generative KI kann noch einen Schritt weitergehen, indem sie differenziertere Verhaltensprofile erstellt. Ein KI-Modell kann beispielsweise die Anmeldungen, Dateizugriffsmuster und E-Mail-Gewohnheiten eines Mitarbeiters im Laufe der Zeit erfassen und sich ein mehrdimensionales Bild vom „Normalzustand“ dieses Benutzers machen. Wenn dieses Konto später etwas drastisch von seiner Norm abweicht (z. B. sich aus einem neuen Land anmeldet und um Mitternacht auf eine Fülle von Personalakten zugreift), erkennt die KI nicht nur eine Abweichung anhand einer Kennzahl, sondern ein ganzes Verhaltensmuster, das nicht zum Profil des Benutzers passt. Technisch ausgedrückt können generative Modelle (wie Autoencoder oder Sequenzmodelle) modellieren, was „normal“ aussieht, und dann einen erwarteten Verhaltensbereich generieren. Liegt die Realität außerhalb dieses Bereichs, wird dies als Anomalie gekennzeichnet ( Was ist generative KI in der Cybersicherheit? – Palo Alto Networks ).

Eine praktische Implementierung ist die Überwachung des Netzwerkverkehrs . Laut einer Umfrage aus dem Jahr 2024 nannten 54 % der US-Unternehmen die Überwachung des Netzwerkverkehrs als wichtigsten Anwendungsfall für KI in der Cybersicherheit ( Nordamerika: weltweit wichtigste KI-Anwendungsfälle in der Cybersicherheit 2024 ). Generative KI kann die normalen Kommunikationsmuster eines Unternehmensnetzwerks erlernen – welche Server typischerweise miteinander kommunizieren, welche Datenmengen während der Geschäftszeiten und welche über Nacht übertragen werden usw. Wenn ein Angreifer beginnt, Daten von einem Server zu exfiltrieren, selbst langsam, um nicht entdeckt zu werden, könnte ein KI-basiertes System bemerken, dass „Server A niemals 500 MB Daten um 2 Uhr morgens an eine externe IP sendet“ und einen Alarm auslösen. Da die KI nicht nur statische Regeln verwendet, sondern ein sich entwickelndes Modell des Netzwerkverhaltens, kann sie subtile Anomalien erkennen, die von statischen Regeln (wie „Alarm, wenn Daten > X MB“) übersehen oder fälschlicherweise gekennzeichnet werden könnten. Diese Anpassungsfähigkeit macht die KI-gesteuerte Anomalieerkennung in Umgebungen wie Banktransaktionsnetzwerken, Cloud-Infrastrukturen oder IoT-Geräteflotten so leistungsstark, in denen die Definition fester Regeln für normal und abnormal extrem komplex ist.

Generative KI hilft auch bei der Analyse des Benutzerverhaltens (UBA) , die für die Erkennung von Insider-Bedrohungen oder kompromittierten Konten von entscheidender Bedeutung ist. Durch die Generierung einer Baseline jedes Benutzers oder jeder Entität kann KI Dinge wie den Missbrauch von Anmeldeinformationen erkennen. Wenn beispielsweise Bob aus der Buchhaltung plötzlich beginnt, die Kundendatenbank abzufragen (was er nie zuvor getan hat), kennzeichnet das KI-Modell für Bobs Verhalten dies als ungewöhnlich. Dabei muss es sich nicht unbedingt um Schadsoftware handeln – es könnten Bobs Anmeldeinformationen gestohlen und von einem Angreifer verwendet worden sein oder Bob hat sich an Stellen versucht, an denen er nichts unternehmen sollte. In jedem Fall wird das Sicherheitsteam gewarnt und kann der Sache nachgehen. Solche KI-gesteuerten UBA-Systeme gibt es in verschiedenen Sicherheitsprodukten, und generative Modellierungstechniken steigern ihre Genauigkeit und reduzieren Fehlalarme durch die Berücksichtigung des Kontexts (vielleicht arbeitet Bob an einem Sonderprojekt usw., was die KI manchmal aus anderen Daten ableiten kann).

Im Bereich Identitäts- und Zugriffsverwaltung an der Erkennung von Deepfakes – generative KI kann synthetische Stimmen und Videos erstellen, die die biometrische Sicherheit täuschen. Interessanterweise kann generative KI auch dabei helfen, diese Deepfakes zu erkennen, indem sie subtile Artefakte in Audio- oder Videodateien analysiert, die für Menschen schwer zu erkennen sind. Ein Beispiel hierfür ist Accenture, das generative KI einsetzte, um zahllose Gesichtsausdrücke und -zustände zu simulieren und seine biometrischen Systeme darauf zu trainieren , echte Benutzer von KI-generierten Deepfakes zu unterscheiden. Über einen Zeitraum von fünf Jahren half dieser Ansatz Accenture dabei, Passwörter für 90 % seiner Systeme zu eliminieren (durch Umstellung auf Biometrie und andere Faktoren) und Angriffe um 60 % zu reduzieren ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Im Wesentlichen nutzten sie generative KI, um die biometrische Authentifizierung zu stärken und sie widerstandsfähiger gegen generative Angriffe zu machen (ein großartiges Beispiel dafür, wie KI gegen KI kämpft). Diese Art der Verhaltensmodellierung – in diesem Fall das Erkennen des Unterschieds zwischen einem echten menschlichen Gesicht und einem KI-synthetisierten – ist von entscheidender Bedeutung, da wir uns bei der Authentifizierung immer mehr auf KI verlassen.

Anomalieerkennung durch generative KI ist branchenübergreifend anwendbar: Im Gesundheitswesen überwacht sie das Verhalten medizinischer Geräte auf Anzeichen von Hackerangriffen; im Finanzwesen beobachtet sie Handelssysteme auf unregelmäßige Muster, die auf Betrug oder algorithmische Manipulation hindeuten könnten; im Energie- und Versorgungssektor beobachtet sie Signale von Steuerungssystemen auf Anzeichen von Eindringlingen. Die Kombination aus Breite (Berücksichtigung aller Verhaltensaspekte) und Tiefe (Verständnis komplexer Muster) , die generative KI bietet, macht sie zu einem wirksamen Werkzeug, um die Nadel im Heuhaufen eines Cybervorfalls zu erkennen. Da Bedrohungen immer heimtückischer werden und sich im normalen Betrieb verstecken, ist die Fähigkeit, „normal“ genau zu charakterisieren und Abweichungen zu melden, von entscheidender Bedeutung. Generative KI fungiert somit als unermüdlicher Wächter, der ständig lernt und seine Definition von Normalität aktualisiert, um mit Veränderungen in der Umgebung Schritt zu halten, und Sicherheitsteams auf Anomalien aufmerksam macht, die einer genaueren Untersuchung bedürfen.

Chancen und Vorteile generativer KI in der Cybersicherheit

Der Einsatz generativer KI in der Cybersicherheit bietet Unternehmen, die diese Tools nutzen möchten, zahlreiche Chancen und Vorteile . Im Folgenden fassen wir die wichtigsten Vorteile zusammen, die generative KI zu einer attraktiven Ergänzung für Cybersicherheitsprogramme machen:

  • Schnellere Bedrohungserkennung und -reaktion: Generative KI-Systeme können riesige Datenmengen in Echtzeit analysieren und Bedrohungen deutlich schneller erkennen als manuelle menschliche Analysen. Dieser Geschwindigkeitsvorteil ermöglicht eine frühere Erkennung von Angriffen und eine schnellere Eindämmung von Vorfällen. In der Praxis kann KI-gesteuertes Sicherheitsmonitoring Bedrohungen erkennen, deren Korrelation durch Menschen deutlich länger dauern würde. Durch die schnelle Reaktion auf Vorfälle (oder sogar die autonome Ausführung erster Maßnahmen) können Unternehmen die Verweildauer von Angreifern in ihren Netzwerken drastisch verkürzen und so den Schaden minimieren.

  • Verbesserte Genauigkeit und Bedrohungsabdeckung: Da generative Modelle kontinuierlich aus neuen Daten lernen, können sie sich an sich entwickelnde Bedrohungen anpassen und subtilere Anzeichen böswilliger Aktivitäten erkennen. Dies führt zu einer verbesserten Erkennungsgenauigkeit (weniger falsch-negative und falsch-positive Ergebnisse) im Vergleich zu statischen Regeln. Beispielsweise kann eine KI, die die Merkmale einer Phishing-E-Mail oder des Verhaltens von Malware erlernt hat, Varianten identifizieren, die bisher unbekannt waren. Das Ergebnis ist eine breitere Abdeckung von Bedrohungsarten – einschließlich neuartiger Angriffe – und stärkt so die allgemeine Sicherheitslage. Sicherheitsteams gewinnen durch KI-Analysen zudem detaillierte Erkenntnisse (z. B. Erklärungen zum Verhalten von Malware), was eine präzisere und gezieltere Abwehr ermöglicht ( Was ist generative KI in der Cybersicherheit? – Palo Alto Networks ).

  • Automatisierung wiederkehrender Aufgaben: Generative KI eignet sich hervorragend zur Automatisierung routinemäßiger, arbeitsintensiver Sicherheitsaufgaben – vom Durchforsten von Protokollen und Erstellen von Berichten bis hin zum Schreiben von Skripten zur Reaktion auf Vorfälle. Diese Automatisierung entlastet menschliche Analysten und gibt ihnen den Freiraum, sich auf übergeordnete Strategien und komplexe Entscheidungen zu konzentrieren ( Was ist generative KI in der Cybersicherheit? – Palo Alto Networks ). Alltägliche, aber wichtige Aufgaben wie Schwachstellenscans, Konfigurationsprüfungen, Benutzeraktivitätsanalysen und Compliance-Berichte können von KI übernommen (oder zumindest zunächst erstellt) werden. Indem KI diese Aufgaben in Maschinengeschwindigkeit erledigt, verbessert sie nicht nur die Effizienz, sondern reduziert auch menschliche Fehler (ein wesentlicher Faktor bei Sicherheitsverletzungen).

  • Proaktive Verteidigung und Simulation: Generative KI ermöglicht Unternehmen den Übergang von reaktiver zu proaktiver Sicherheit. Durch Techniken wie Angriffssimulation, synthetische Datengenerierung und szenariobasiertes Training können Verteidiger Bedrohungen vorhersehen und sich darauf vorbereiten, bevor sie in der realen Welt eintreten. Sicherheitsteams können Cyberangriffe (Phishing-Kampagnen, Malware-Ausbrüche, DDoS-Angriffe usw.) in sicheren Umgebungen simulieren, um ihre Reaktionen zu testen und Schwachstellen zu beheben. Dieses kontinuierliche Training, das allein durch menschliches Eingreifen oft nicht vollständig zu bewältigen ist, hält die Abwehrkräfte scharf und aktuell. Es ähnelt einer Cyber-Feuerübung – KI kann Ihre Abwehr mit vielen hypothetischen Bedrohungen konfrontieren, damit Sie üben und sich verbessern können.

  • Erweiterung menschlicher Expertise (KI als Kraftmultiplikator): Generative KI fungiert als unermüdlicher Junioranalyst, Berater und Assistent in einer Person. Sie kann weniger erfahrenen Teammitgliedern Anleitungen und Empfehlungen geben, die normalerweise von erfahrenen Experten erwartet werden, und so das Fachwissen im gesamten Team demokratisieren ( 6 Anwendungsfälle für generative KI in der Cybersicherheit [+ Beispiele] ). Dies ist besonders wertvoll angesichts des Fachkräftemangels in der Cybersicherheit – KI hilft kleineren Teams, mit weniger mehr zu erreichen. Erfahrene Analysten hingegen profitieren davon, dass KI Routinearbeiten übernimmt und nicht offensichtliche Erkenntnisse ans Licht bringt, die sie dann validieren und umsetzen können. Das Gesamtergebnis ist ein deutlich produktiveres und leistungsfähigeres Sicherheitsteam, wobei KI die Wirkung jedes einzelnen menschlichen Mitglieds verstärkt ( Wie kann generative KI in der Cybersicherheit eingesetzt werden ?).

  • Verbesserte Entscheidungsunterstützung und Berichterstattung: Durch die Übersetzung technischer Daten in natürliche Sprache verbessert generative KI die Kommunikation und Entscheidungsfindung. Sicherheitsverantwortliche erhalten durch KI-generierte Zusammenfassungen einen besseren Einblick in Probleme und können fundierte strategische Entscheidungen treffen, ohne Rohdaten analysieren zu müssen. Ebenso verbessert sich die abteilungsübergreifende Kommunikation (mit Führungskräften, Compliance-Beauftragten usw.), wenn KI leicht verständliche Berichte über Sicherheitslage und -vorfälle erstellt ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Dies schafft nicht nur Vertrauen und Einigkeit in Sicherheitsfragen auf Führungsebene, sondern hilft auch, Investitionen und Änderungen zu rechtfertigen, indem Risiken und von KI entdeckte Lücken klar formuliert werden.

Zusammengenommen bedeuten diese Vorteile, dass Unternehmen, die generative KI in der Cybersicherheit nutzen, ihre Sicherheitslage bei potenziell geringeren Betriebskosten verbessern können. Sie können auf zuvor überwältigende Bedrohungen reagieren, unentdeckte Lücken schließen und sich durch KI-gesteuerte Feedbackschleifen kontinuierlich verbessern. Letztlich bietet generative KI die Chance, Gegnern einen Schritt voraus zu sein, indem Geschwindigkeit , Ausmaß und Raffinesse moderner Angriffe mit ebenso ausgeklügelten Abwehrmechanismen kombiniert werden. Einer Umfrage zufolge erwarten über die Hälfte der Unternehmens- und Cyber-Führungskräfte durch den Einsatz generativer KI eine schnellere Bedrohungserkennung und höhere Genauigkeit ( [PDF] Global Cybersecurity Outlook 2025 | Weltwirtschaftsforum ) ( Generative KI in der Cybersicherheit: Eine umfassende Überprüfung von LLM ... ) – ein Beleg für den Optimismus hinsichtlich der Vorteile dieser Technologien.

Risiken und Herausforderungen beim Einsatz generativer KI in der Cybersicherheit

Obwohl die Chancen groß sind, ist es wichtig, generative KI in der Cybersicherheit mit offenen Augen zu betrachten und sich der Risiken und Herausforderungen bewusst zu sein. Blindes Vertrauen in KI oder ihr Missbrauch können neue Schwachstellen schaffen. Im Folgenden skizzieren wir die wichtigsten Bedenken und Fallstricke sowie den jeweiligen Kontext:

  • Gegnerischer Einsatz durch Cyberkriminelle: Dieselben generativen Fähigkeiten, die Verteidigern helfen, können Angreifern Macht verleihen. Bedrohungsakteure nutzen bereits generative KI, um überzeugendere Phishing-E-Mails zu verfassen, gefälschte Personas und Deepfake-Videos für Social Engineering zu erstellen, polymorphe Schadsoftware zu entwickeln, die sich ständig verändert, um der Erkennung zu entgehen, und sogar Aspekte des Hackens zu automatisieren ( Was ist generative KI in der Cybersicherheit? – Palo Alto Networks ). Fast die Hälfte (46 %) der Cybersicherheitsverantwortlichen ist besorgt, dass generative KI zu komplexeren gegnerischen Angriffen führen wird ( Generative KI-Sicherheit: Trends, Bedrohungen und Minderungsstrategien ). Dieses „KI-Wettrüsten“ bedeutet, dass Angreifer nicht weit hinterherhinken werden, wenn Verteidiger KI einsetzen (tatsächlich könnten sie in einigen Bereichen sogar die Nase vorn haben, da sie unregulierte KI-Tools verwenden). Unternehmen müssen auf KI-gestützte Bedrohungen vorbereitet sein, die häufiger, ausgefeilter und schwieriger zu verfolgen sind.

  • Halluzinationen und Ungenauigkeiten von KI: Generative KI-Modelle können Ergebnisse produzieren, die zwar plausibel, aber falsch oder irreführend sind – ein Phänomen, das als Halluzination bezeichnet wird. Im Sicherheitskontext könnte eine KI einen Vorfall analysieren und fälschlicherweise zu dem Schluss kommen, dass eine bestimmte Schwachstelle die Ursache war, oder sie könnte ein fehlerhaftes Behebungsskript generieren, das einen Angriff nicht eindämmen kann. Diese Fehler können gefährlich sein, wenn man sie für bare Münze nimmt. NTT Data warnt: „Die generative KI könnte plausibel unwahre Inhalte ausgeben, und dieses Phänomen wird als Halluzination bezeichnet … es ist derzeit schwierig, sie vollständig zu vermeiden“ ( Sicherheitsrisiken generativer KI und Gegenmaßnahmen sowie ihre Auswirkungen auf die Cybersicherheit | NTT DATA Group ). Ein übermäßiges Vertrauen in KI ohne Überprüfung könnte zu fehlgeleiteten Bemühungen oder einem falschen Sicherheitsgefühl führen. So könnte eine KI beispielsweise ein kritisches System fälschlicherweise als sicher kennzeichnen, obwohl dies nicht der Fall ist, oder umgekehrt Panik auslösen, indem sie einen Verstoß „erkennt“, der nie stattgefunden hat. Um dieses Risiko zu mindern, ist eine strenge Validierung der KI-Ergebnisse und die Einbeziehung von Menschen in kritische Entscheidungen unerlässlich.

  • Falsch-Positive und Falsch-Negative: Ähnlich wie bei Halluzinationen kann ein schlecht trainiertes oder konfiguriertes KI-Modell harmlose Aktivitäten als bösartig überbewerten (Falsch-Positive) oder, schlimmer noch, echte Bedrohungen übersehen (Falsch-Negative) ( Wie kann generative KI in der Cybersicherheit eingesetzt werden ?). Zu viele Fehlalarme können Sicherheitsteams überfordern und zu Alarmmüdigkeit führen (wodurch genau die Effizienzsteigerungen zunichte gemacht werden, die KI versprochen hat). Übersehene Erkennungen setzen das Unternehmen hingegen ungeschützt aus. Generative Modelle auf die richtige Balance zu optimieren, ist eine Herausforderung. Jede Umgebung ist einzigartig und eine KI erbringt möglicherweise nicht sofort nach dem Auspacken die optimale Leistung. Kontinuierliches Lernen ist ebenfalls ein zweischneidiges Schwert – wenn die KI aus verzerrtem Feedback oder einer sich ändernden Umgebung lernt, kann ihre Genauigkeit schwanken. Sicherheitsteams müssen die KI-Leistung überwachen und Schwellenwerte anpassen oder den Modellen korrigierendes Feedback geben. In Kontexten mit hohem Risiko (wie etwa der Einbruchserkennung für kritische Infrastrukturen) kann es sinnvoll sein, KI-Vorschläge eine Zeit lang parallel zu bestehenden Systemen laufen zu lassen, um sicherzustellen, dass sie aufeinander abgestimmt sind und sich ergänzen, anstatt miteinander in Konflikt zu geraten.

  • Datenschutz und -lecks: Generative KI-Systeme benötigen für Training und Betrieb oft große Datenmengen. Wenn diese Modelle cloudbasiert oder nicht richtig isoliert sind, besteht das Risiko, dass vertrauliche Informationen nach außen dringen. Benutzer könnten versehentlich geschützte oder personenbezogene Daten in einen KI-Dienst einspeisen (z. B. wenn sie ChatGPT bitten, einen vertraulichen Vorfallsbericht zusammenzufassen), und diese Daten könnten Teil des Wissens des Modells werden. Tatsächlich hat eine aktuelle Studie ergeben, dass 55 % der Eingaben in Tools für generative KI vertrauliche oder personenbezogene Daten enthielten , was ernsthafte Bedenken hinsichtlich Datenlecks aufkommen lässt ( Sicherheit generativer KI: Trends, Bedrohungen und Strategien zur Risikominderung ). Wenn eine KI mit internen Daten trainiert wurde und auf bestimmte Weise abgefragt wird, könnte sie weitergeben . Unternehmen müssen strenge Richtlinien zur Datenverarbeitung implementieren (z. B. lokale oder private KI-Instanzen für vertrauliches Material verwenden) und ihre Mitarbeiter darüber aufklären, keine geheimen Informationen in öffentliche KI-Tools einzufügen. Auch Datenschutzbestimmungen (DSGVO usw.) spielen eine Rolle – die Verwendung personenbezogener Daten zum Trainieren von KI ohne entsprechende Zustimmung oder Schutz könnte gegen Gesetze verstoßen.

  • Modellsicherheit und -manipulation: Modelle generativer KI können selbst zu Zielen werden. Angreifer könnten versuchen das Modell zu vergiften , indem sie während der Trainings- oder Umschulungsphase schädliche oder irreführende Daten einspeisen, sodass die KI falsche Muster lernt ( Wie kann generative KI in der Cybersicherheit eingesetzt werden ?). Ein Angreifer könnte beispielsweise Bedrohungsdaten subtil vergiften, sodass die KI seine eigene Schadsoftware nicht als schädlich erkennt. Eine andere Taktik ist die Prompt-Injection oder Ausgabemanipulation . Dabei findet ein Angreifer einen Weg, der KI Eingaben zu geben, die ein unbeabsichtigtes Verhalten verursachen – etwa das Ignorieren ihrer Sicherheitsvorkehrungen oder das Offenlegen unerwünschter Informationen (wie interne Eingabeaufforderungen oder Daten). Darüber hinaus besteht das Risiko der Modellumgehung : Angreifer erstellen Eingaben, die speziell darauf ausgelegt sind, die KI zu täuschen. Wir sehen dies in gegnerischen Beispielen – leicht veränderte Daten, die ein Mensch als normal erachtet, die KI jedoch falsch klassifiziert. Die Gewährleistung der Sicherheit der KI-Lieferkette (Datenintegrität, Modellzugriffskontrolle, Tests der Robustheit gegenüber Angriffen) ist ein neuer, aber notwendiger Teil der Cybersicherheit beim Einsatz dieser Tools ( Was ist generative KI in der Cybersicherheit? – Palo Alto Networks ).

  • Übermäßige Abhängigkeit und Kompetenzverlust: Es besteht ein geringeres Risiko, dass Unternehmen sich zu sehr auf KI verlassen und menschliche Fähigkeiten verkümmern. Wenn Nachwuchsanalysten den KI-Ergebnissen blind vertrauen, entwickeln sie möglicherweise nicht das kritische Denken und die Intuition, die für den Fall erforderlich sind, dass KI nicht verfügbar oder fehlerhaft ist. Ein Szenario, das es zu vermeiden gilt, ist ein Sicherheitsteam, das zwar über hervorragende Tools verfügt, aber nicht weiß, wie es bei einem Ausfall dieser Tools vorgehen soll (ähnlich wie Piloten, die sich zu sehr auf den Autopiloten verlassen). Regelmäßige Schulungen ohne KI-Unterstützung und die Förderung der Denkweise, dass KI ein Assistent und kein unfehlbares Orakel ist, sind wichtig, um menschliche Analysten fit zu halten. Der Mensch muss die ultimativen Entscheidungsträger bleiben, insbesondere bei Entscheidungen mit großer Tragweite.

  • Ethische und Compliance-Herausforderungen: Der Einsatz von KI in der Cybersicherheit wirft ethische Fragen auf und könnte Probleme mit der Einhaltung gesetzlicher Vorschriften nach sich ziehen. Wenn beispielsweise ein KI-System einen Mitarbeiter aufgrund einer Anomalie fälschlicherweise als böswilligen Insider ausweist, könnte dies dem Ruf oder der Karriere dieser Person zu Unrecht schaden. Von KI getroffene Entscheidungen können intransparent sein (das „Blackbox“-Problem), sodass es Prüfern oder Aufsichtsbehörden schwerfällt, bestimmte Maßnahmen zu erklären. Da KI-generierte Inhalte immer häufiger vorkommen, ist es entscheidend, Transparenz zu gewährleisten und die Rechenschaftspflicht aufrechtzuerhalten. Regulierungsbehörden beginnen, KI genauer unter die Lupe zu nehmen – der KI-Act der EU beispielsweise wird Anforderungen an „hochriskante“ KI-Systeme stellen, und KI für die Cybersicherheit könnte in diese Kategorie fallen. Unternehmen müssen diese Vorschriften beachten und sich nach Möglichkeit an Standards wie das NIST AI Risk Management Framework halten, um generative KI verantwortungsvoll einzusetzen ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Die Einhaltung der Vorschriften erstreckt sich auch auf die Lizenzierung: Bei der Verwendung von Open-Source- oder Drittanbietermodellen können Bedingungen gelten, die bestimmte Verwendungen einschränken oder Verbesserungen bei der Freigabe erfordern.

Zusammenfassend lässt sich sagen, dass generative KI kein Allheilmittel ist . Wird sie nicht sorgfältig implementiert, kann sie neue Schwachstellen schaffen, selbst wenn sie bestehende behebt. Eine Studie des Weltwirtschaftsforums aus dem Jahr 2024 hat gezeigt, dass etwa 47 % der Organisationen Fortschritte bei der generativen KI durch Angreifer als Hauptsorge ansehen und diese damit zur „besorgniserregendsten Auswirkung generativer KI“ auf die Cybersicherheit machen ( [PDF] Global Cybersecurity Outlook 2025 | Weltwirtschaftsforum ) ( Generative KI in der Cybersicherheit: Eine umfassende Überprüfung von LLM ... ). Organisationen müssen daher einen ausgewogenen Ansatz verfolgen: die Vorteile von KI nutzen und gleichzeitig diese Risiken durch Governance, Tests und menschliche Aufsicht konsequent managen. Im Folgenden besprechen wir, wie sich dieses Gleichgewicht praktisch erreichen lässt.

Zukunftsausblick: Die sich entwickelnde Rolle der generativen KI in der Cybersicherheit

Generative KI wird künftig zu einem integralen Bestandteil der Cybersicherheitsstrategie – und zugleich zu einem Werkzeug, das Cyber-Angreifer weiterhin ausnutzen werden. Das Katz-und-Maus-Spiel wird sich beschleunigen, da KI auf beiden Seiten des Spektrums vertreten ist. Hier sind einige zukunftsweisende Einblicke, wie generative KI die Cybersicherheit in den kommenden Jahren prägen könnte:

  • KI-gestützte Cyberabwehr wird zum Standard: Bis 2025 und darüber hinaus ist damit zu rechnen, dass die meisten mittleren und großen Unternehmen KI-gestützte Tools in ihre Sicherheitsabläufe integriert haben. So wie Antivirenprogramme und Firewalls heute zum Standard gehören, könnten KI-Copiloten und Anomalieerkennungssysteme zu grundlegenden Bestandteilen von Sicherheitsarchitekturen werden. Diese Tools werden voraussichtlich spezialisierter werden – beispielsweise werden einzelne KI-Modelle auf Cloud-Sicherheit, IoT-Geräteüberwachung, Anwendungscodesicherheit usw. abgestimmt sein, die alle zusammenarbeiten. Eine Prognose besagt: „Generative KI wird im Jahr 2025 ein integraler Bestandteil der Cybersicherheit sein und Unternehmen in die Lage versetzen, sich proaktiv gegen komplexe und sich entwickelnde Bedrohungen zu verteidigen“ ( Wie kann generative KI in der Cybersicherheit eingesetzt werden ?). KI wird die Echtzeit-Bedrohungserkennung verbessern, viele Reaktionsmaßnahmen automatisieren und Sicherheitsteams dabei helfen, wesentlich größere Datenmengen zu verwalten, als dies manuell möglich wäre.

  • Kontinuierliches Lernen und Anpassung: Zukünftige generative KI-Systeme im Cyberspace werden immer besser darin, zu lernen und ihre Wissensbasis nahezu in Echtzeit zu aktualisieren. Dies könnte zu wirklich adaptiven Abwehrmechanismen führen – stellen Sie sich eine KI vor, die morgens von einer neuen Phishing-Kampagne erfährt, die ein anderes Unternehmen trifft, und am Nachmittag bereits die E-Mail-Filter Ihres Unternehmens entsprechend angepasst hat. Cloudbasierte KI-Sicherheitsdienste könnten diese Art des kollektiven Lernens erleichtern, bei dem anonymisierte Erkenntnisse eines Unternehmens allen Abonnenten zugutekommen (ähnlich dem Austausch von Bedrohungsinformationen, nur automatisiert). Dies erfordert jedoch Sorgfalt, um die Weitergabe sensibler Informationen zu vermeiden und zu verhindern, dass Angreifer schädliche Daten in die gemeinsamen Modelle einspeisen.

  • Konvergenz von KI- und Cybersicherheits-Talenten: Die Fähigkeiten von Cybersicherheitsexperten werden sich weiterentwickeln und Kenntnisse in KI und Datenwissenschaft umfassen. So wie Analysten heute Abfragesprachen und Skripting erlernen, könnten Analysten von morgen regelmäßig KI-Modelle optimieren oder „Playbooks“ für die KI-Ausführung schreiben. Möglicherweise entstehen neue Rollen wie „KI-Sicherheitstrainer“ oder „KI-Ingenieur für Cybersicherheit“ – Menschen, die sich darauf spezialisieren, KI-Tools an die Bedürfnisse eines Unternehmens anzupassen, ihre Leistung zu validieren und ihren sicheren Betrieb zu gewährleisten. Auf der anderen Seite werden Cybersicherheitsaspekte die KI-Entwicklung zunehmend beeinflussen. KI-Systeme werden von Grund auf mit Sicherheitsfunktionen ausgestattet (sichere Architektur, Manipulationserkennung, Prüfprotokolle für KI-Entscheidungen usw.), und Frameworks für vertrauenswürdige KI (fair, erklärbar, robust und sicher) werden ihren Einsatz in sicherheitskritischen Kontexten leiten.

  • Ausgefeiltere KI-gestützte Angriffe: Leider wird sich mit der KI auch die Bedrohungslandschaft weiterentwickeln. Wir rechnen mit einem häufigeren Einsatz von KI zum Aufdecken von Zero-Day-Schwachstellen, zum Erstellen hochgradig zielgerichteter Spear-Phishing-Angriffe (z. B. indem KI soziale Medien durchsucht, um einen perfekt zugeschnittenen Köder zu erstellen) und zum Generieren überzeugender Deepfake-Stimmen oder -Videos, um die biometrische Authentifizierung zu umgehen oder Betrug zu begehen. Es könnten automatisierte Hackeragenten entstehen, die mehrstufige Angriffe (Aufklärung, Ausnutzung, laterale Bewegung usw.) selbstständig und mit minimaler menschlicher Aufsicht ausführen können. Dies wird die Verteidiger unter Druck setzen, sich ebenfalls auf KI zu verlassen – im Wesentlichen ein zwischen Automatisierung und Automatisierung . Einige Angriffe könnten mit Maschinengeschwindigkeit erfolgen, etwa KI-Bots, die tausend Phishing-E-Mail-Permutationen ausprobieren, um zu sehen, welche die Filter passieren. Die Cyberabwehr muss mit ähnlicher Geschwindigkeit und Flexibilität agieren, um Schritt zu halten ( Was ist generative KI in der Cybersicherheit? – Palo Alto Networks ).

  • Regulierung und ethische KI in der Sicherheit: Da KI immer stärker in Cybersicherheitsfunktionen integriert wird, wird es eine stärkere Kontrolle und möglicherweise Regulierung geben, um einen verantwortungsvollen Einsatz dieser KI-Systeme zu gewährleisten. Es sind spezifische Rahmenbedingungen und Standards für KI in der Sicherheit zu erwarten. Regierungen könnten Richtlinien für Transparenz festlegen – beispielsweise die Forderung, dass wichtige Sicherheitsentscheidungen (wie die Sperrung des Zugriffs eines Mitarbeiters bei Verdacht auf böswillige Aktivitäten) nicht allein von KI ohne menschliche Überprüfung getroffen werden dürfen. Möglich sind auch Zertifizierungen für KI-Sicherheitsprodukte, um Käufern zu versichern, dass die KI auf Voreingenommenheit, Robustheit und Sicherheit geprüft wurde. Darüber hinaus könnte die internationale Zusammenarbeit im Bereich KI-bezogener Cyberbedrohungen zunehmen, beispielsweise durch Vereinbarungen zum Umgang mit KI-generierter Desinformation oder Normen gegen bestimmte KI-gesteuerte Cyberwaffen.

  • Integration in umfassendere KI- und IT-Ökosysteme: Generative KI in der Cybersicherheit wird wahrscheinlich mit anderen KI-Systemen und IT-Management-Tools integriert. Beispielsweise könnte eine KI, die die Netzwerkoptimierung verwaltet, mit der Sicherheits-KI zusammenarbeiten, um sicherzustellen, dass Änderungen keine Schlupflöcher öffnen. KI-gesteuerte Geschäftsanalysen könnten Daten mit Sicherheits-KIs austauschen, um Anomalien zu korrelieren (z. B. einen plötzlichen Umsatzrückgang mit einem möglichen Website-Problem aufgrund eines Angriffs). KI wird im Wesentlichen nicht isoliert agieren, sondern Teil eines größeren intelligenten Gefüges der Unternehmensabläufe sein. Dies eröffnet Möglichkeiten für ein ganzheitliches Risikomanagement, bei dem Betriebsdaten, Bedrohungsdaten und sogar physische Sicherheitsdaten durch KI kombiniert werden können, um einen 360-Grad-Überblick über die Sicherheitslage des Unternehmens zu erhalten.

Langfristig besteht die Hoffnung, dass generative KI dazu beiträgt, das Gleichgewicht zugunsten der Verteidiger zu verschieben. Indem sie die Größe und Komplexität moderner IT-Umgebungen bewältigt, kann KI den Cyberspace verteidigungsfähiger machen. Es ist jedoch ein langer Weg, und es wird schwierig sein, diese Technologien zu verfeinern und ihnen das nötige Vertrauen entgegenzubringen. Unternehmen, die informiert bleiben und in den verantwortungsvollen Einsatz von KI für mehr Sicherheit investieren, werden wahrscheinlich am besten aufgestellt sein, um die Bedrohungen der Zukunft zu meistern.

Wie Gartners jüngster Bericht zu Cybersicherheitstrends feststellte, „steigert das Aufkommen generativer KI-Anwendungsfälle (und Risiken) den Druck zur Transformation“ ( Cybersicherheitstrends: Resilienz durch Transformation – Gartner ). Wer sich anpasst, wird KI als mächtigen Verbündeten nutzen; wer zurückbleibt, könnte von KI-gestützten Gegnern überholt werden. Die nächsten Jahre werden entscheidend dafür sein, wie KI das Cyber-Schlachtfeld neu gestalten wird.

Praktische Erkenntnisse zur Einführung generativer KI in der Cybersicherheit

Für Unternehmen, die den Einsatz generativer KI in ihrer Cybersicherheitsstrategie prüfen, finden Sie hier einige praktische Hinweise und Empfehlungen für eine verantwortungsvolle und effektive Einführung:

  1. Beginnen Sie mit Schulung und Training: Stellen Sie sicher, dass Ihr Sicherheitsteam (und die IT-Mitarbeiter) verstehen, was generative KI kann und was nicht. Bieten Sie Schulungen zu den Grundlagen KI-gestützter Sicherheitstools an und aktualisieren Sie Ihre Sicherheitsbewusstseinsprogramme für alle Mitarbeiter, um KI-basierte Bedrohungen abzudecken. Vermitteln Sie Ihren Mitarbeitern beispielsweise, wie KI überzeugende Phishing-Angriffe und Deepfake-Anrufe generieren kann. Schulen Sie gleichzeitig Ihre Mitarbeiter im sicheren und praxisorientierten Einsatz von KI-Tools. Gut informierte Nutzer neigen weniger dazu, KI falsch zu verwenden oder Opfer von KI-gestützten Angriffen zu werden ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ).

  2. Definieren Sie klare Richtlinien zur KI-Nutzung: Behandeln Sie generative KI wie jede andere leistungsstarke Technologie – mit Governance. Entwickeln Sie Richtlinien, die festlegen, wer KI-Tools nutzen darf, welche Tools genehmigt sind und zu welchen Zwecken. Fügen Sie Richtlinien zum Umgang mit sensiblen Daten hinzu (z. B. keine Einspeisung vertraulicher Daten in externe KI-Dienste), um Datenlecks zu vermeiden. Beispielsweise könnten Sie nur Mitgliedern des Sicherheitsteams die Nutzung eines internen KI-Assistenten für die Reaktion auf Vorfälle erlauben, und das Marketing kann eine geprüfte KI für Inhalte verwenden – für alle anderen ist die Nutzung eingeschränkt. Viele Organisationen gehen mittlerweile explizit auf generative KI in ihren IT-Richtlinien ein, und führende Normungsgremien befürworten Richtlinien zur sicheren Nutzung statt völliger Verbote ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Stellen Sie sicher, dass Sie diese Regeln und die dahinter stehenden Gründe allen Mitarbeitern mitteilen.

  3. „Schatten-KI“ eindämmen und Nutzung überwachen: Ähnlich wie Schatten-IT entsteht „Schatten-KI“, wenn Mitarbeiter beginnen, KI-Tools oder -Dienste ohne Wissen der IT zu verwenden (z. B. ein Entwickler, der einen nicht autorisierten KI-Code-Assistenten verwendet). Dies kann unsichtbare Risiken mit sich bringen. Implementieren Sie Maßnahmen, um nicht genehmigte KI-Nutzung zu erkennen und zu kontrollieren . Die Netzwerküberwachung kann Verbindungen zu gängigen KI-APIs kennzeichnen, und Umfragen oder Tool-Audits können aufdecken, was die Mitarbeiter verwenden. Bieten Sie genehmigte Alternativen an, damit wohlmeinende Mitarbeiter nicht in Versuchung geraten, eigenmächtig zu handeln (stellen Sie beispielsweise ein offizielles ChatGPT Enterprise-Konto bereit, wenn die Leute es nützlich finden). Indem die KI-Nutzung ans Licht gebracht wird, können Sicherheitsteams das Risiko bewerten und managen. Überwachung ist ebenfalls entscheidend – protokollieren Sie die Aktivitäten und Ausgaben von KI-Tools so weit wie möglich, damit ein Prüfpfad für von der KI beeinflusste Entscheidungen vorhanden ist ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ).

  4. Nutzen Sie KI zur Verteidigung – Bleiben Sie nicht zurück: Seien Sie sich bewusst, dass Angreifer KI einsetzen werden. Ihre Verteidigung sollte dies also auch tun. Identifizieren Sie einige Bereiche mit hoher Auswirkung, in denen generative KI Ihre Sicherheitsabläufe sofort unterstützen könnte (beispielsweise Warnmeldungs-Triage oder automatisierte Protokollanalyse) und führen Sie Pilotprojekte durch. Erweitern Sie Ihre Verteidigung mit der Geschwindigkeit und Skalierbarkeit von KI, um sich schnell entwickelnden Bedrohungen entgegenzuwirken ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Selbst einfache Integrationen, wie die Verwendung einer KI zum Zusammenfassen von Malware-Berichten oder zum Generieren von Bedrohungssuchabfragen, können Analysten Stunden sparen. Fangen Sie klein an, werten Sie die Ergebnisse aus und iterieren Sie. Erfolge werden die Argumente für eine breitere Einführung von KI begründen. Das Ziel ist, KI als Kraftmultiplikator zu verwenden – wenn beispielsweise Ihr Helpdesk von Phishing-Angriffen überlastet wird, setzen Sie einen KI-E-Mail-Klassifizierer ein, um das Volumen proaktiv zu reduzieren.

  5. Investieren Sie in sichere und ethische KI-Praktiken: Befolgen Sie bei der Implementierung generativer KI sichere Entwicklungs- und Bereitstellungspraktiken. Verwenden Sie private oder selbst gehostete Modelle für sensible Aufgaben, um die Kontrolle über die Daten zu behalten. Überprüfen Sie bei der Verwendung von KI-Diensten von Drittanbietern deren Sicherheits- und Datenschutzmaßnahmen (Verschlüsselung, Richtlinien zur Datenaufbewahrung usw.). Integrieren Sie Frameworks für das KI-Risikomanagement (wie das AI Risk Management Framework des NIST oder die ISO/IEC-Richtlinien), um Aspekte wie Verzerrung, Erklärbarkeit und Robustheit Ihrer KI-Tools systematisch zu berücksichtigen ( Wie kann generative KI in der Cybersicherheit eingesetzt werden? 10 Beispiele aus der Praxis ). Planen Sie im Rahmen der Wartung auch Modellaktualisierungen/Patches ein – auch KI-Modelle können „Schwachstellen“ aufweisen (z. B. müssen sie möglicherweise neu trainiert werden, wenn sie abweichen oder eine neue Art von feindlichem Angriff auf das Modell entdeckt wird). Indem Sie Sicherheit und Ethik in Ihren KI-Einsatz integrieren, schaffen Sie Vertrauen in die Ergebnisse und gewährleisten die Einhaltung neuer Vorschriften.

  6. Beziehen Sie Menschen mit ein: Nutzen Sie KI, um menschliches Urteilsvermögen in der Cybersicherheit zu unterstützen, nicht aber vollständig zu ersetzen. Legen Sie Entscheidungspunkte fest, an denen menschliche Validierung erforderlich ist (z. B. könnte eine KI einen Vorfallbericht erstellen, der jedoch vor der Verteilung von einem Analysten geprüft wird; oder eine KI könnte die Sperrung eines Benutzerkontos vorschlagen, aber ein Mensch genehmigt diese Aktion). Dies verhindert nicht nur, dass KI-Fehler unkontrolliert bleiben, sondern hilft Ihrem Team auch, von der KI zu lernen und umgekehrt. Fördern Sie einen kollaborativen Workflow: Analysten sollten sich wohl dabei fühlen, KI-Ergebnisse zu hinterfragen und Plausibilitätsprüfungen durchzuführen. Mit der Zeit kann dieser Dialog sowohl die KI (durch Feedback) als auch die Fähigkeiten der Analysten verbessern. Gestalten Sie Ihre Prozesse im Wesentlichen so, dass sich die Stärken von KI und Mensch ergänzen – KI kümmert sich um Volumen und Geschwindigkeit, Menschen um Mehrdeutigkeiten und endgültige Entscheidungen.

  7. Messen, überwachen und anpassen: Behandeln Sie Ihre generativen KI-Tools als lebendige Komponenten Ihres Sicherheits-Ökosystems. Messen Sie kontinuierlich ihre Leistung – verkürzen sie die Reaktionszeiten bei Vorfällen? Erkennen sie Bedrohungen früher? Wie entwickelt sich die Falschmeldungsrate? Holen Sie Feedback vom Team ein: Sind die Empfehlungen der KI hilfreich oder führen sie zu Verwirrung? Nutzen Sie diese Kennzahlen, um Modelle zu verfeinern, Trainingsdaten zu aktualisieren oder die KI-Integration anzupassen. Cyberbedrohungen und Geschäftsanforderungen entwickeln sich weiter, daher sollten Ihre KI-Modelle regelmäßig aktualisiert oder neu trainiert werden, um effektiv zu bleiben. Erstellen Sie einen Plan für die Modell-Governance, einschließlich der Verantwortung für die Pflege und der Häufigkeit der Überprüfung. Durch aktives Management des KI-Lebenszyklus stellen Sie sicher, dass KI ein Gewinn und keine Belastung bleibt.

Zusammenfassend lässt sich sagen, dass generative KI die Cybersicherheit deutlich verbessern kann. Eine erfolgreiche Einführung erfordert jedoch sorgfältige Planung und kontinuierliche Überwachung. Unternehmen, die ihre Mitarbeiter schulen, klare Richtlinien festlegen und KI ausgewogen und sicher integrieren, profitieren von einem schnelleren und intelligenteren Bedrohungsmanagement. Diese Erkenntnisse liefern einen Fahrplan: Kombinieren Sie menschliches Fachwissen mit KI-Automatisierung, decken Sie die Governance-Grundlagen ab und bleiben Sie flexibel, da sich sowohl die KI-Technologie als auch die Bedrohungslandschaft unweigerlich weiterentwickeln.

Durch diese praktischen Schritte können Unternehmen die Frage „Wie kann generative KI in der Cybersicherheit eingesetzt werden?“ nicht nur theoretisch, sondern auch in der täglichen Praxis sicher beantworten und so ihre Abwehr in unserer zunehmend digitalen und KI-gesteuerten Welt stärken. ( Wie kann generative KI in der Cybersicherheit eingesetzt werden ?)

Whitepapers, die Sie im Anschluss an dieses vielleicht lesen möchten:

🔗 Jobs, die KI nicht ersetzen kann und welche Jobs KI ersetzen wird?
Erkunden Sie die globale Perspektive, welche Rollen vor der Automatisierung sicher sind und welche nicht.

🔗 Kann KI den Aktienmarkt vorhersagen?
Ein genauerer Blick auf die Grenzen, Durchbrüche und Mythen rund um die Fähigkeit von KI, Marktbewegungen vorherzusagen.

🔗 Was kann generative KI zuverlässig ohne menschliches Eingreifen leisten?
Verstehen Sie, wo KI unabhängig arbeiten kann und wo menschliche Aufsicht weiterhin unerlässlich ist.

Zurück zum Blog