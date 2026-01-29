Sicherheitsverantwortliche müssen zunehmend komplexe und volatile Angriffsflächen verteidigen und Risiko- und Compliance-Management oft mit zu knappen Ressourcen und Budgets abbilden. Dem gegenüber steht eine steigende Angriffsflut, die durch den Missbrauch von Tools auf Basis künstlicher Intelligenz in ihrer Frequenz und Qualität noch an Gefahr gewinnt. Es benötigt daher neue Ansätze, die Angriffsflächen deutlich minimieren und den Fokus von der Reaktion auf eine automatisierte Prävention sowie auf das gezielte Schließen von Sicherheitslücken zu legen. KI-basierte Technologien erstellen dynamische individuelle Nutzerprofile, bieten einen klaren Blick auf Risikostatus sowie Gefahrenlage und können so Security-Teams maßgeblich unterstützen.

Ein Paradigmenwechsel in der Cybersicherheit ist notwendig, da die Cyberkriminellen deutlich aufgerüstet haben. Mithilfe von KI können sie in hoher Frequenz sowohl zielgerichtete, komplexe als auch opportunistische Angriffe durchführen. KI unterstützt die Hacker, Schadcode für Ransomware zu generieren. Large Language Models erstellen mittlerweile nahezu perfekte Phishing-Nachrichten. Zudem haben die Ransomware-as-a-Service-Akteure eine Vielzahl hochkompetenter Experten in ihren Reihen, die Schwachstellen auf ihre Wirksamkeit ausloten und sensible Unternehmensdaten mit hohem Lösegeldpotenzial suchen können.

Ob mittels opportunistischer Angriffe oder zielgerichtetem Auskundschaften: Cyberkriminelle befinden sich in der komfortablen Lage, den besten Zeitpunkt für ihr Vorgehen bestimmen zu können. Dagegen müssen Sicherheitsexperten kontinuierlich die komplexe und volatile Angriffsfläche ihres Unternehmens gegen eine diffuse Gefahrenlage verteidigen.

Zudem kämpfen Organisation oftmals mit knappen Zeit-, Budget- und Personalressourcen. Letzteres verstärkt sich seit Jahren durch den schon langen vorausgesehenen Mangel an Fachkräften. Für eine effiziente Abwehr ist die Hilfe durch künstliche Intelligenz daher heutzutage unverzichtbar. Darüber hinaus müssen CISOs und IT-Administratoren nicht nur Angriffe abwehren, sondern auch das Risiko- und Compliance-Management verantworten, was den Druck zusätzlich erhöht.

Diffuse Gefahrenlage und fragmentierte Tools

Die Verantwortlichen für Cybersicherheit suchen daher händeringend nach handhabbaren Lösungen und Tools. Best of Breed scheint dabei Sicherheit zu geben.

Oftmals führt aber der Einsatz vieler spezialisierter Stand-Alone-Lösungen zu einem Flickenteppich aus Nischen-Tools, was Ineffizienz, Redundanzen, fatale Alarmmüdigkeit und hohe Kosten zur Folge haben kann. Zudem besteht hierdurch auch ein höheres Risiko für Fehlkonfigurationen, die wiederum neue Sicherheitslücken eröffnen. Stattdessen benötigen IT-Teams Tools, die den effizienten Rundumblick auf ihre gesamte Defensivarchitektur ermöglichen und diese orchestrieren können, um schnell, effizient und kontinuierlich die Gefahrenlage zu überwachen.

Rundumblick und Hacker-Perspektive

Sicherheitsteams kämpfen einerseits mit dem steigenden Datenaufkommen ihrer Tools, andererseits mit blinden Flecken durch immer komplexere IT-Infrastrukturen. Daher bedarf es sowohl eines effektiven Filters für priorisierte Informationen als auch eines geschärften Blickes.

Gerade bei anspruchsvollen Cyberattacken bewegen sich Angreifer durch verschiedene Segmente im Zielsystem. Um diese bösartigen Einzelaktionen so frühzeitig wie möglich zu erkennen, sind Kontextinformationen entscheidend, die bereits genutzte und mögliche weitere Angriffspfade aufzeigen. Während Sicherheitsexperten durch Silos und Nischenapplikationen nur einen fragmentierten Einblick erhalten, kann eine KI-gestützte Sicherheitsplattform mithilfe von Kontextinformationen ein Gesamtbild dieser verteilen Aktionen in ihrer Abfolge erstellen.

Abbildung 1: Gesamtansicht der Einzelschritte eines Angriffs mithilfe einer KI-gestützten Sicherheitsplattform.

Zudem müssen Dashboards dazu beitragen, die Informationen aus der Perspektive des Angreifers zu beurteilen. Denn formal hoch bewertete Schwachstellen, die auf einem Angriffspfad liegen, der bereits durch entsprechende Maßnahmen blockiert ist, sind weniger zeitkritisch als formal niedriger eingestufte Lücken, die einen ungeschützten Weg zu einem Angriffsziel ermöglichen.

Abbildung 2: Die CVSS-10-Lücke ist zwar hoch bewertet, scheinbar harmlosere Lücken eröffnen dem Hacker jedoch den Weg zum anzugreifenden Server.

Getarnte Risiken durch kompromittierte legitime Tools

Auch legitime Tools erzeugen versteckte Gefahren, die Hacker mit gefälschten oder kompromittierten Identitäten bei sogenannten Living-off-the-Land-Angriffen ausnutzen können. Mithilfe von betriebssystemnahen Services wie Bitsadmin, Cscript, Wscript, PowerShell, TeamViewer oder anderen Remote-Admin-Tools können Angreifer ihre Aktionen tarnen, da der Missbrauch dieser Apps sich nur granular von derem legitimen Einsatz unterscheidet. Traditionelle EDR/XDR-Lösungen sind hier überfordert, können im schlimmsten Fall sogar »eingefroren« werden, und schützen in der Folge auch nicht vor Diebstahl von Identitäten oder vor einer Eskalation von Privilegien. Wichtig ist es zu erkennen, wann Nutzer, Geräte oder Applikationen solche Tools anomal verwenden, und ein solches Verhalten damit als verdächtig einzustufen. Sinnvoll kann dies nur auf individueller Ebene geschehen.

Ein pauschaler rollenbasierter Schutz von Angriffsflächen, der auf vermeintlich allgemeingültigen Nutzerprofilen basiert, genügt nicht mehr. Ein solches Vorgehen orientiert sich nicht am tatsächlichen Gebrauch von Tools, der sich in der Praxis je nach User, Gerät oder Anwendung unterscheidet: Die nicht mit der IT-Infrastruktur beauftragten Mitarbeiter im Unternehmen – das ist wohl die Mehrheit – werden zum Beispiel kaum ein PowerShell-Tool wissentlich nutzen. TeamViewer verwenden sie nur

im Bedarfsfall und in der Regel begleitet von einem Administrator. Mitarbeiter in der Produktion haben wiederum ein anderes Nutzerprofil. Entscheider auf C-Level-Ebene verfügen über sehr weitreichende und unspezifische Privilegien, welche diese aber nur selten wirklich benötigen und gebrauchen. In der herkömmlichen Cyberabwehr sind in der Regel lediglich Rollen-basierende Angriffsflächen adressiert. Das tatsächliche Gesamtbild der individuell verwendeten Tools unterscheidet sich aber für jedes Gerät und für jeden Nutzer.

Abbildung 3: Nur durch KI-basierte Nutzerprofile lassen sich individuelle Angriffsflächen effektiv schützen. Ansonsten wird nur die Schnittmenge aller eingesetzten Apps aller Nutzer abgesichert (linkes Bild). Weiße Flächen in der Angriffsoberfläche individueller Nutzer bleiben verwundbar (rechtes Bild). System-Tools, die im überlappenden Bereich liegen (grün), können Hacker missbrauchen, wenn die zugehörige Identität kompromittiert wird. Für jede User Heatmap benötigt es daher individuelle Sicherheitsregeln.

Von der Reaktion zur Prävention durch individuelles Risikomanagement

KI-basierte Sicherheitstechnologien verkleinern Angriffsflächen, die aus dem Nutzen kompromittierter Tools entstehen, drastisch, dynamisch und automatisiert. Sie analysieren kontinuierlich das Nutzerverhalten unter Bezug auf kritische LOTL-Apps und können aufgrund dessen den Sicherheitsteams individuelle Nutzerprofile und Richtlinien vorschlagen. Zudem können sie diese Regeln festlegen, implementieren und auf Wunsch automatisch dynamisch anpassen. Ein solches Risikomanagement ermöglicht es, Angriffsflächen deutlich zu minimieren und somit kritische Angriffswege von vornherein zu blockieren. Damit sind IT-Sicherheitsverantwortliche in der Lage, den entscheidenden Schritt für den notwendigen Paradigmenwechsel zu gehen: weg von der verspäteten und aufwändigen Reaktion hin zu einer effektiven und ressourcenschonenden Prävention.

Jörg von der Heydt, Regional Director DACH bei Bitdefender

