Illustration Absmeier foto freepik ki

Angesichts der immer komplexer werdenden modernen Cyberbedrohungslandschaft steigen auch die Anforderungen an die heutigen Sicherheitsexperten. Darüber hinaus werden die Angreifer immer schneller – so lag die schnellste E-Crime-Breakout-Time im Jahr 2024 bei gerade einmal 51 Sekunden [1]. Zudem werden die Angriffe immer ausgefeilter, da die Angreifer zunehmend künstliche Intelligenz (KI) einsetzen, die ihnen eine noch nie dagewesene Geschwindigkeit, Tarnung und Dimension ermöglicht.

Legacy-Technologien können hier einfach nicht mehr mithalten. SIEM-Systeme (Security Information and Event Management) bildeten lange Zeit das Rückgrat von Cybersicherheitsmaßnahmen und lieferten einen zentralen Überblick über Bedrohungen in Netzwerken. Viele dieser Altsysteme sind jedoch den heutigen Anforderungen nicht mehr gewachsen. Die Geschwindigkeit, mit der Daten generiert werden, ist explodiert und hat zu riesigen Datenmengen geführt, die die Verarbeitungskapazitäten der bisherigen SIEMs bei weitem übersteigen. Das Ergebnis? Erkennungs- und Reaktionsbemühungen werden behindert, wodurch Angreifer mehr Zeit und Raum erhalten, um Schaden anzurichten.

Für Organisationen ist es besonders wichtig, sich an die neuen Gegebenheiten anzupassen. Das bedeutet, auch sie müssen moderne Technologien – einschließlich KI und maschinellem Lernen (ML) – nutzen, um hochentwickelte Cyberangriffe besser erkennen, untersuchen und letztlich verhindern zu können. An dieser Schnittstelle zwischen Innovation und Dringlichkeit erweist sich das SIEM der nächsten Generation als entscheidender Faktor für eine moderne Cyberabwehr.

Das SIEM-Erbe

Angesichts von Breakout-Zeiten, die heute in Sekunden statt in Minuten oder Stunden gemessen werden, hängt die Fähigkeit, Sicherheitsverletzungen zu stoppen, davon ab, ob die Sicherheitsmaßnahmen mit der Geschwindigkeit der Angreifer Schritt halten können. Leider sind herkömmliche SIEM-Systeme einfach zu langsam und zu komplex, um die Ergebnisse zu liefern, die moderne Organisationen benötigen. Anstatt die Sicherheitsteams zu unterstützen, werden sie oft zu Datenhalden – zu gigantischen Informationsspeichern, die Analysten dazu zwingen, mühsam mehrere Datenquellen, Schnittstellen und Konsolen zu durchsuchen, um aussagekräftige Signale zu finden.

Ein Phänomen, das oft als »Swivel-Chair-Syndrom« bezeichnet wird, sorgt in jeder Phase des Bedrohungslebenszyklus für Ineffizienz. Sicherheitsexperten müssen zwischen SIEM-Plattformen, Detection-Tools, Reaktionslösungen und Orchestrierungstechnologien hin- und herwechseln und versuchen verzweifelt, die Zusammenhänge zu erkennen. In der Zwischenzeit sind die Angreifer bereits in der Umgebung und bewegen sich lateral oder stehlen Daten.

Punkprodukte, die sich als schlanke SIEM-Alternativen positionieren, versprechen oft mehr Agilität, aber viele scheitern, wenn es um Echtzeit-Suchgeschwindigkeiten, robuste Datenvisualisierung oder tiefgreifende Ermittlungsfunktionen geht. Diese Mängel beeinträchtigen letztendlich die Fähigkeit des SOC, schnell und sicher zu handeln.

Die Grenzen herkömmlicher SIEM-Systeme sind nicht nur technischer, sondern auch menschlicher Natur. Wenn Analysten überlastet sind, weil sie Berge von Warnmeldungen sichten müssen und von ihren Tools nicht unterstützt werden, steigt das Risiko eines Burnout stark an. In einem solchen Umfeld sind Verzögerungen bei der Erkennung und verpasste Warnungen nicht nur möglich, sondern unvermeidlich.

Die KI-Revolution

Während Legacy-Systeme die Sicherheitsteams belasten, skalieren Angreifer ihre Operationen zunehmend mithilfe modernster Technologien. KI ist jedoch nicht nur ein Werkzeug für Angreifer. Sie ist auch eine transformative Chance für die Verteidiger.

Dieser Wandel ist bereits im Gange. Fast zwei Drittel (64 %) der Cybersicherheitsexperten haben generative KI-Tools entweder schon getestet oder gekauft, um ihre Fähigkeiten zu erweitern. Der Grund dafür liegt auf der Hand: Wenn KI und ML richtig in SIEM-Systeme der nächsten Generation integriert werden, können sie Analysten dabei helfen, das Wesentliche zu erkennen. Anstatt in Daten zu ertrinken, können sich SOC-Teams auf aussagekräftige Signale konzentrieren und schneller reagieren.

Künstliche Intelligenz ist hervorragend darin, riesige Mengen von Sicherheitstelemetriedaten zu filtern, scheinbar unzusammenhängende Ereignisse miteinander in Beziehung zu setzen und Anomalien zu erkennen, die ansonsten unbemerkt bleiben würden. Diese Ebene der Kontextintelligenz ist von unschätzbarem Wert. Sie ermöglicht es den SOC-Teams, Vorfälle mit hohem Risiko effizienter zu priorisieren, Fehlalarme zu reduzieren und die Taktiken des Gegners besser zu verstehen.

Dies ist besonders wichtig in einer Zeit, in der Angreifer mit alarmierender Raffinesse vorgehen. Man denke nur an SCATTERED SPIDER, eine E-Crime-Gruppe, die für ihre komplexen, domänenübergreifenden Angriffe bekannt ist, oder an FAMOUS CHOLLIMA, eine staatsnahe Angreifergruppe, die umfassende Insider-Bedrohungskampagnen durchführt. Die Bekämpfung solcher Angreifer erfordert Technologien, die mit ihren Taktiken, Techniken und Verfahren Schritt halten können. KI verschafft den Verteidigern diesen Vorteil.

Den Alltag von Sicherheitsanalysten neu gestalten

Die vielleicht wichtigste Auswirkung der technologisch beeindruckenden KI besteht jedoch darin, dass sie in der Lage ist, die Art und Weise zu verändern, wie diese Menschen hinter den Bildschirmen arbeiten: die Sicherheitsanalysten.

Viel zu lange wurden SOC-Teams mit einer Flut von Warnmeldungen überschwemmt, von sich wiederholenden Aufgaben aufgehalten und durch eine Vielzahl von Tools behindert. SIEM-Lösungen der nächsten Generation, die KI und Automatisierung integrieren, bieten einen zukunftsweisenden Weg – einen Weg, der Analysten befähigt, anstatt sie zu überfordern.

Diese Lösungen bieten einen umfassenden Einblick in die Bedrohungslandschaft einer Organisation und ermöglichen eine kontinuierliche Überwachung und Früherkennung von bösartigem Verhalten. Noch wichtiger ist, dass sie die kognitive Belastung der Analysten verringern. KI fungiert als Multiplikator, nicht als Ersatz – Routineaufgaben werden automatisiert, das Scannen wird beschleunigt und es werden Erkenntnisse gewonnen, die manuell Stunden (oder sogar Tage) in Anspruch nehmen würden.

Diese Zusammenarbeit zwischen Mensch und Maschine ist entscheidend. Korrelationsregeln und Verhaltensmodelle, die in moderne SIEM-Systeme integriert sind, verbessern die Fähigkeit der Analysten, fortschrittliche Bedrohungen zu erkennen, während kritische Entscheidungen in menschlicher Hand bleiben. Das Ergebnis sind schnellere Reaktionszeiten, mehr strategisches Denken und vor allem eine höhere Arbeitszufriedenheit.

Sicherheitsteams müssen nicht mehr den ganzen Tag Fehlalarmen nachjagen oder das digitale Äquivalent der Suche nach der Nadel im Heuhaufen betreiben. Stattdessen können sie sich auf übergeordnete Aufgaben konzentrieren: das Verhalten von Angreifern verstehen, die Verteidigung stärken und Reaktionspläne für Vorfälle verfeinern. Diese Verlagerung ist nicht nur aus operativer Sicht wertvoll, sondern auch unerlässlich, um Talente in einem Bereich zu halten, der bereits jetzt unter Fachkräftemangel und Burnout leidet.

Eine neue Ära der Cyberabwehr

Die Integration von KI und ML in SIEM ist mehr als nur ein technologisches Upgrade. Sie stellt einen grundlegenden Wandel in der Art und Weise dar, wie sich Organisationen gegen Cyberbedrohungen verteidigen.

Moderne KI-basierte SIEM-Lösungen können mehr als nur Daten erfassen und speichern. Sie versetzen Sicherheitsteams in die Lage, zu handeln – und zwar schnell. Indem sie das Rauschen reduzieren, hochpräzise Warnmeldungen anzeigen und die Erkennungs- und Reaktionszeit verkürzen, ermöglichen sie es den Verteidigern, die Oberhand zurückzugewinnen.

Für Organisationen, die bereit sind, diese Entwicklung anzunehmen, gehen die Vorteile weit über die Verbesserung der Sicherheit hinaus. Sie umfassen eine größere Agilität, eine verbesserte Widerstandsfähigkeit und vor allem ein neues Selbstvertrauen in die Fähigkeit, sich in einem zunehmend feindlichen digitalen Umfeld zurechtzufinden.

Der Weg zu einer KI-gestützten Verteidigung ist allerdings nicht mit einer einmaligen Implementierung getan. Es bedarf eines durchdachten, schrittweisen Vorgehens. Dazu gehören das kontinuierliche Training von ML-Modellen auf der Grundlage aktueller Bedrohungsinformationen, die nahtlose Integration in bestehende Arbeitsabläufe und die Schulung von SOC-Teams, damit sie effektiv mit KI-gestützten Tools arbeiten können. Der Erfolg besteht nicht darin, Menschen zu ersetzen, sondern sie in die Lage zu versetzen, ihr volles Potenzial auszuschöpfen.

Die Zukunft

Letztlich gehört die Zukunft der Cyberabwehr denjenigen, die schneller, intelligenter und proaktiver handeln können. In dieser Hinsicht ist KI nicht nur ein weiteres Werkzeug im Repertoire, sondern ein strategischer Partner. Durch die Stärkung der Sicherheitsexperten, die Optimierung von Prozessen und die Reduzierung von Störfaktoren, die die Entscheidungsfindung erschweren, verwandelt KI das SOC in eine agilere, effizientere und menschlichere Funktion.

Cybersicherheit wird immer ein Spiel mit hohem Einsatz sein. Aber mit dem Einsatz der richtigen Technologien – und den richtigen Menschen, die diese richtig einsetzen können – liegt der Vorteil nicht mehr zwangsläufig beim Gegner.

Zeki Turedi, Field CTO, EMEA bei CrowdStrike

[1] https://www.crowdstrike.com/en-us/global-threat-report/

5668 Artikel zu „Security KI“

Trends 2025 | News | Trends Security | IT-Security | Künstliche Intelligenz

KI & Cybersecurity: Drei Sicherheitstrends für 2025

11. Februar 2025

Die gute Nachricht: Dank KI werden Unternehmen 2025 noch mehr Möglichkeiten und fortschrittlichere Tools zur Verfügung stehen, mit denen sie ihre IT-Systeme und Mitarbeitenden effektiv vor Cyberangriffen schützen können. Die schlechte Nachricht: KI ist keine Technologie, die ausschließlich für gute Zwecke genutzt wird. Auch Cyberkriminelle werden sie sich zunutze machen, um Unternehmen gleich mehrere Schritte…