Cybercrime ist längst keine Randerscheinung mehr, sondern hat sich zu einer globalen, hochprofessionellen Industrie entwickelt. Die kriminellen Akteure setzen bei ihren Angriffen auf ausgefeilte Methoden und modernste Technologien, die es ihnen ermöglichen, Schwachstellen in digitalen Systemen schnell zu identifizieren und gezielt auszunutzen. Dabei setzen Cyberkriminelle immer häufiger auch KI-gestützte Techniken ein, um die Effektivität ihrer Angriffe zu maximieren. Wir zeigen Ihnen, wie Sie sich gegen diese neue Qualität von Cyberbedrohungen schützen können.
KI wird zum Werkzeug der Cyberkriminalität
Künstliche Intelligenz bietet ein breites Spektrum an Möglichkeiten, um klassische Cyberangriffe weiter zu optimieren. Wo Hacker früher manuell Schwachstellen suchen und Angriffe durchführen mussten, können KI-gestützte Systeme heute viele dieser Aufgaben autonom und in kürzester Zeit erledigen. Cyberkriminelle nutzen bei ihrem Treiben dieselben Vorteile, die KI auch legitimen Nutzern bietet:
- Datenanalyse: KI-Systeme können effizient Daten analysieren, um Muster zu erkennen (z. B. für das Erraten der wahrscheinlichsten Passwörter) oder bestimmte Informationen zu beschaffen (zum Beispiel für personalisierte Phishing-Nachrichten auf Basis von Informationen aus sozialen Netzwerken und anderen zugänglichen Datenquellen).
- Datenerzeugung: Generative KI kann nützliche Inhalte auch für Hacker erstellen, von überzeugenden Phishing-Texten in verschiedensten Sprachen über Malware-Code bis hin zu vorgetäuschten Anrufen mit den geklonten Stimmen von Personen (Deep Fakes)
- Anpassungsfähigkeit: KI kann aus ihren „Erfahrungen“ lernen und Angriffsmuster oder Code dynamisch anpassen (polymorphe Malware), um Erkennungssysteme zu überwinden.
- Automatisierung: KI erledigt selbsttätig repetitive und zeitaufwendige Aufgaben, wie das Scannen von Netzwerken oder das Ausprobieren von Passwörtern. Damit können auch mehrere Angriffe parallel gesteuert und eine große Zahl von Zielen gleichzeitig angegriffen werden.
Längst sind das keine theoretischen Möglichkeiten mehr, sondern reale Gefahren. Das zeigen nicht nur diverse Studien und Berichte von Security-Anbietern, sondern auch zum Beispiel eine Untersuchung des Bundesamts für Sicherheit in der Informationstechnik (BSI), wie KI die Cyberbedrohungslandschaft verändert. Laut BSI senkt KI (insbesondere generative KI) die Einstiegshürden, führt zu fähigeren Angreifern und ermöglicht qualitativ bessere Angriffe. KI erhöht Ausmaß, Geschwindigkeit und Schlagkraft von kriminellen Handlungen, unterstützt hochpersonalisiertes Social Engineering und ist bereits heute in der Lage, Teile eines Cyberangriffs zu automatisieren.
Was können Sie also tun, um schnell und gezielt auf eine wachsende Anzahl zunehmend professioneller und zum Teil auch ganz neuartiger Angriffe zu reagieren? Das BSI empfiehlt neben den Standards (Aufbau einer resilienten IT-Infrastruktur, besseres Patch-Management, Social-Engineering-Prävention) eine Verbesserung der Angriffserkennung – und die Nutzung von KI auch für die Verteidigung, etwa für die Erkennung von Bedrohungen und Schwachstellen.
KI in der Cyberabwehr
Weil Cyberkriminelle auf modernste Technologien setzen, um ihre Angriffe zu optimieren, rüsten auch die Verteidiger auf. Und in der Tat gehört KI inzwischen zu ihren wichtigsten Waffen.
Im Gegensatz zu herkömmlichen signatur- und regelbasierten Sicherheitslösungen ist KI in der Lage, auch neue und unbekannte Angriffe zu identifizieren, indem sie Anomalien und verdächtige Verhaltensmuster erfasst. Das zeigt beispielsweise die Entwicklung der Malware-Analyse: Antivirenprogramme erkannten Schadsoftware lange Zeit nur anhand von Signaturen (bei der Analyse erstellter eindeutiger Zeichenketten). Das heißt, sie konnten nur bekannte Bedrohungen bekämpfen und scheiterten, wenn Hacker kleine Änderungen am Code vornahmen oder polymorphe Malware einsetzten, die sich selbst verändern kann. Deshalb versuchen viele Scanner zusätzlich Viren an ihrem Verhalten zu erkennen – moderne Systeme nutzen dafür maschinelles Lernen (ML) und KI, um Dateien in Echtzeit zu analysieren.
Vor vergleichbaren Problemen stehen regelbasierte Firewalls – starre Regeln sind in der Praxis häufig zu streng (dann behindern sie legitimen Netzwerkverkehr) oder zu locker (dann lassen sie schädliche Verbindungen zu). Seit den 1990er Jahren erhalten sie Hilfe durch intelligente Intrusion-Detection-Systeme (IDS), die den aufgezeichneten Netzwerkverkehr in Echtzeit nach Mustern durchsuchen, die auf ein versuchtes oder erfolgreiches Eindringen hinweisen, und dieses im Optimalfall sogar verhindern (Intrusion Prevention System, IPS).
Moderne ML- und KI-basierte Systeme können auf diese Weise riesige Netzwerke auf Anomalien überwachen. Sie werten dafür große Datenmengen aus den verschiedensten Datenquellen aus und nutzen aktuelle Bedrohungsinformationen (Threat Intelligence), um mögliche Angriffe zu erkennen, zu untersuchen und, so weit möglich, automatisiert darauf zu reagieren. Das Ganze startete in den 2010er Jahren mit den Endgeräten im Netzwerk (Endpoint Detection and Response, EDR) und wurde später auf Telemetriedaten aus dem gesamten Unternehmensnetz ausgeweitet (Extended Detection and Response, XDR). Weil dabei riesige Datenmengen anfallen können, entwickelten sich parallel auch Systeme zur möglichst umfassenden Analyse und zum Management von Sicherheitsinformationen und -ereignissen (Security Information and Event Management; SIEM) sowie Systeme, die auf Basis solcher Daten die Sicherheitsabläufe bei kritischen Vorfällen automatisieren und optimieren können (Security Orchestration, Automation and Response; SOAR). Mehr dazu lesen Sie in unserem Blogartikel „EDR vs. XDR vs. SIEM: Wie man die passende Cybersicherheitslösung findet“.
Microsoft Sentinel: Ganzheitliche KI-Sicherheitslösung
Die Abgrenzung zwischen XDR, SIEM und SOAR ist oft unscharf und Hersteller nutzen diese Begriffe nicht konsistent. Ohnehin kann es hilfreich sein, auf eine Plattform zu setzen, die SIEM-, EDR/XDR- und SOAR-Funktionen in sich vereint. Hier gehört Microsoft Sentinel zu den führenden Lösungen, ein cloudbasiertes und KI-gestütztes SIEM-System, das die Schutzfunktionen von Microsoft Defender XDR sowie Lösungen von Drittanbietern integriert. Ein einheitliches Portal erschließt als übersichtliche SecOps-Plattform (Security Operations) sämtliche Funktionen, um das komplette Netzwerk zu schützen, Cyberbedrohungen nahezu in Echtzeit zu erkennen und zu stoppen und die Untersuchung von Vorfällen zu beschleunigen.
Gartner sieht Microsoft als „Leader“ im 2024 Gartner Magic Quadrant für SIEM und nennt als Stärken die umfassende Integration von Sicherheitsfunktionen einschließlich Cloud-, Identitäts-, Endpunkt-, Netzwerk- und OT-Sicherheit, Verhaltensanalyse und SOAR (Quelle: Gartner). Hinzu kommen einfaches Onboarding, umfassende Anpassbarkeit und die Einbeziehung von Threat Intelligence und automatisiert nutzbarem Wissen über Cyberbedrohungen (MITRE ATT&CK).
Herausforderung SOC
Eine umfassende Sicherheitslösung wie Microsoft Sentinel ist nicht nur für Großunternehmen nützlich, sondern auch und gerade für KMUs. Allerdings setzt die effiziente Nutzung von XDR, SIEM und SOAR einiges voraus: Sie müssen ein schlagkräftiges Security Operations Center (SOC) mit qualifiziertem Personal aufbauen, das die Sentinel-Benachrichtigungen verarbeiten und Tools zur Bewältigung von Bedrohungen einsetzen kann. Sie müssen zudem entsprechende Security-Prozesse definieren und etablieren – und das compliant zu Regulierungen wie NIS2, die hier zunehmend ein höheres Niveau fordern.
Nicht zuletzt erfordert die Integration, Konfiguration und Anpassung von Sentinel an Ihre Systeme, Ihre Branche und Prozesse tiefgreifendes Know-how; die Lernkurve ist steil und der Einführungsprozess dauert oft mehrere Wochen oder sogar Monate.
In wenigen Tagen einsatzbereit: SoftwareOne Managed Detection and Response
Wer das nicht stemmen kann oder will, sollte einen Blick auf unsere Managed Security Services werfen. So erhalten Sie mit SoftwareOne Managed Detection and Response (MDR) für Sentinel Zugang zu sämtlichen für Sie wichtigen Funktionen von Microsoft Sentinel und Microsoft Defender XDR. Gleichzeitig fungieren unsere Security-Experten als Ihr Security Operations Center oder arbeiten eng mit Ihrem SOC zusammen. Natürlich kümmern wir uns auch um die schnelle Einrichtung von Sentinel – bis Ihr Netzwerk umfassend geschützt ist, dauert es nicht Monate, sondern nur Tage.