What is the role of AI in cybersecurity?

Artificial intelligence (AI) helps automate and improve cybersecurity defenses. It is used to detect, mitigate, and respond to cyber threats like bots, malware, and insider threats. AI can make threat detection faster and more accurate, as well as automate many manual tasks for security teams.

What types of AI are most relevant to cybersecurity?

The most relevant types are predictive AI or machine learning (ML), which identifies patterns (e.g. sorting typical traffic from attack traffic or identifying abnormal user behavior that can indicate an attack); generative AI (GenAI), which interprets and creates content; and AI agents, which can take autonomous actions to mitigate threats.

How does AI improve threat intelligence?

AI can analyze network traffic to identify threats and produce real-time threat intelligence, allowing defenses to adapt to new attacks automatically.

Can AI help detect phishing and deepfakes?

AI algorithms can detect sophisticated phishing emails by using sentiment analysis and assessing the sender's trustworthiness. For deepfakes, AI can identify subtle inconsistencies and anomalies in content or media to determine if it is genuine, helping to block social engineering attacks.

How does AI use behavioral analysis for security?

Machine learning algorithms establish a baseline of normal activity and can then identify unusual behavior patterns that deviate from it. This can indicate that a previously trusted source has been compromised or that there is an active insider threat.

Can AI help secure APIs and software supply chains?

AI-enhanced defenses can model expected API interactions and then detect anomalies in API traffic to block potential attacks. Similarly, AI can automatically identify threats present in third-party tools and services to stop supply-chain attacks.

AI for cybersecurity

KI für Cybersicherheit

Prädiktive künstliche Intelligenz (KI) und Machine Learning (ML) werden schon seit langem zur Erkennung, Abwehr und Reaktion auf Cyberangriffe eingesetzt. Die Veröffentlichung fortschrittlicherer KI-Modelle in den letzten Jahren – und größerer Datensätze, mit denen sie trainiert werden können – bedeutet, dass die Cyberabwehr noch stärker gemacht werden kann und Angriffe früher im Bedrohungslebenszyklus erkannt werden.

Wenn für Cybersicherheit verwendet, kann prädiktive KI helfen, Bots, Schadsoftware, Zero-Day-Schwachstellen und Insider-Bedrohungen zu erkennen; sie kann Verhaltensanomalien und sensible Datenlecks identifizieren; und sie kann die Bedrohungsdaten für Sicherheitstools und -teams verbessern. Die Integration von KI macht klassische Sicherheitsmaßnahmen nicht narrensicher, kann jedoch oft die Erkennung beschleunigen und präziser gestalten. KI kann auch helfen, viele manuelle Aufgaben zu automatisieren oder zu eliminieren, die die Produktivität von Sicherheitsteams und Entwicklerteams verlangsamen.

Was ist KI?

Künstliche Intelligenz (KI) ist ein Begriff für die Vielzahl von Möglichkeiten, wie Computerprogramme menschliche Intelligenz nachahmen oder reproduzieren können, von der Erstellung von Vorhersagen über das Erkennen von Symbolen bis hin zur Texterstellung.

Es gibt viele verschiedene Arten von KI. Am relevantesten für die Cybersicherheit sind prädiktive KI oder Machine Learning (ML), generative KI und Agentic KI.

ML ist eine Art von Computerprogramm, das sich selbst beibringen kann, Muster zu erkennen oder andere sich wiederholende Aufgaben mit minimalen Anweisungen von menschlichen Programmierern auszuführen.
Generative KI, oder GenAI, bezieht sich auf die Fähigkeit, Text-, Bild- und Audioinhalte zu interpretieren und zu erzeugen. Große Sprachmodelle (Large Language Models, LLMs) wie ChatGPT gehören zu dieser Kategorie.
KI-Agenten sind auf GenAI aufbauende Programme, die in der Lage sind, für ihre Nutzer autonom zu handeln.

Grundsätzlich funktionieren all diese Arten von KI durch Berechnungen auf Basis großer Datensätze. So kann ein KI-Modell, das mehrere Proben von Schadsoftware gesehen hat, in der Lage sein, bislang unbekannte Schadsoftware zu identifizieren. Je mehr Beispiele es sieht, desto schneller und genauer kann es Schadsoftware erkennen und sie von harmlosem Code unterscheiden.

Neben Schadsoftware können KI-gestützte Cybersicherheitsmodelle auch das Verhalten von Nutzern und Anwendungen analysieren, irreführende oder betrügerische Nachrichten erkennen, unzuverlässige IP-Adressen identifizieren und mehr.

Wie man KI für Cybersicherheit nutzt

Sicherheitsanbieter und ihre Kunden können KI nutzen, um die Effizienz zu steigern:

Bedrohungsdaten: Die KI-basierte Analyse von Netzwerk- und Webtraffic kann in Echtzeit umfassende Bedrohungsdaten über aufkommende Trends und Taktiken liefern. Diese Intelligenz kann der Cyberabwehr helfen, sich automatisch an die neuesten Angriffe anzupassen.

Bedrohungsschutz: Ein statischer Satz grundlegender Sicherheitsregeln kann viele Angriffe blockieren, aber Angreifer werden wahrscheinlich im Laufe der Zeit ihre Taktiken und Vektoren ändern. KI kann statistische Analysen verwenden, um den Prozess der Bedrohungserkennung und der Anpassung von Abwehrmaßnahmen zu automatisieren, selbst wenn sich Schadsoftware weiterentwickelt, Angreifer ihre Taktiken ändern und Command-and-Control-Server wechseln, und Angriffe von verschiedenen globalen Standorten ausgehen. Die Fähigkeit der KI, zu lernen und ihre Ergebnisse im Laufe der Zeit zu verfeinern, kann auch dazu beitragen, die Anzahl der falsch-positiven Ergebnisse zu verringern (die die Produktivität beeinträchtigen, weil sie von den Sicherheitsteams manuell überprüft werden müssen).

Phishing-Erkennung: Phishing bleibt der am häufigsten genutzte Angriffsvektor – und aus der Sicht eines Angreifers der erfolgreichste. Oft ist es der Weg, wie Angreifer zuerst einen Fuß in ein Unternehmen setzen, bevor sie laterale Bewegung nutzen, um ihr endgültiges Ziel zu erreichen. Phishing- und Business Email Compromise (BEC)-Angriffe werden immer ausgeklügelter, wobei Angreifer GenAI-Tools verwenden, um realistische E-Mails in großem Umfang zu erstellen. KI-Algorithmen können dabei helfen, überzeugend konstruierte betrügerische E-Mails durch Sentimentanalyse, Machine Learning und die Bewertung der Vertrauenswürdigkeit des Absenders zu erkennen. Das Erkennen und Blockieren von Phishing-E-Mails eliminiert die Möglichkeit, dass Empfänger getäuscht werden, was selbst den am besten geschulten Nutzern passieren kann.

Deepfake-Erkennung: Angreifer nutzen zunehmend KI-generierte Deepfakes in Phishing-Angriffen, Social-Engineering-Schemata und Desinformationskampagnen. KI kann helfen, Deepfakes zu erkennen, indem sie subtile Unstimmigkeiten und Anomalien identifiziert, die darauf hinweisen, dass ein Inhalt oder ein Medium nicht authentisch ist. Dies kann Sicherheitsteams helfen, ausgeklügelte Social-Engineering-Angriffe zu erkennen und zu blockieren.

Verhaltensanalyse: ML-Algorithmen können ungewöhnliche Verhaltensmuster identifizieren, die von einer Basis normaler Aktivitäten abweichen (z. B., wenn ein Drittanbieter-Software-Plugin beginnt, ungewöhnliche Anfragen zu senden). Solche Abweichungen können auf eine Kompromittierung oder laufende böswillige Aktivität hindeuten. Die Verhaltensanalyse kann helfen, eine Vielzahl von Angriffen zu erkennen, einschließlich solcher, die von zuvor vertrauenswürdigen, aber kompromittierten Quellen stammen.

Abwehr von Insider-Bedrohungen: Die Verhaltensanalyse kann auch ungewöhnliches Verhalten von Mitarbeitenden, Auftragnehmern und anderen Nutzern erkennen, um Insider-Bedrohungen zu identifizieren und zu stoppen.

API-Sicherheit: Application Programming Interfaces (APIs) sind entscheidende Bestandteile der Infrastruktur von Webanwendungen. Heutzutage macht der Traffic zu und von APIs einen großen Anteil des dynamischen Traffics im Internet aus. APIs sind ebenfalls häufige Ziele für Angreifer. KI-gestützte API-Sicherheitsmaßnahmen können ein Modell der erwarteten Interaktionen mit APIs, bekannt als Schema, erstellen und dann Anomalien im API-Datenverkehr erkennen, um potenzielle Angriffe zu blockieren.

Erkennung von Bedrohungen in der Lieferkette: Angreifer können ihre Ziele indirekt erreichen, indem sie die Abhängigkeiten dieser Ziele oder deren „Lieferkette“ — die Drittanbieter-Tools und -Dienste, die sie in ihre Anwendungen und Netzwerke integrieren — angreifen. Man könnte sagen, dass dieser Ansatz Angreifern ermöglicht, sich durch die Hintertür einzuschleichen, anstatt eine Organisation direkt anzugreifen. KI kann dabei helfen, Bedrohungen in Drittanbieter-Abhängigkeiten zu erkennen, um Supply-Chain-Angriffe zu stoppen, und dies auf automatisierte Weise zu tun.

Cybersicherheit für KI

KI selbst kann für eine Vielzahl von Angriffen anfällig sein, unter anderem in Form von Datenmanipulation oder Prompt-Injection. Erfahren Sie mehr über die Top-Risiken für LLM und Schutz für KI-Modelle.

FAQs

Welche Rolle spielt KI in der Cybersicherheit?

Künstliche Intelligenz (KI) hilft dabei, Cybersicherheitsmaßnahmen zu automatisieren und zu verbessern. Sie wird eingesetzt, um Cyberbedrohungen wie Bots, Schadsoftware und Insider-Bedrohungen zu erkennen, abzuwehren und darauf zu reagieren. KI kann die Bedrohungserkennung beschleunigen und präziser gestalten sowie viele manuelle Aufgaben für Sicherheitsteams automatisieren.

Welche Arten von KI sind für die Cybersicherheit am relevantesten?

Die relevantesten Arten sind prädiktive KI oder maschinelles Lernen (ML), das Muster identifiziert (z. B. das Sortieren von typischem Datenverkehr von Angriffs-Traffic oder das Identifizieren von abnormalem Benutzerverhalten, das auf einen Angriff hindeuten kann); generative KI (GenAI), die Inhalte interpretiert und erstellt; und KI-Agenten, die autonom Maßnahmen ergreifen können, um Bedrohungen abzuwehren.

Wie verbessert KI Bedrohungsdaten?

KI kann den Netzwerkverkehr analysieren, um Bedrohungen zu identifizieren und Bedrohungsdaten in Echtzeit zu generieren, sodass sich die Abwehrmaßnahmen automatisch an neue Angriffe anpassen können.

Kann KI dabei helfen, Phishing und Deepfakes zu erkennen?

KI-Algorithmen können raffinierte Phishing-E-Mails erkennen, indem sie eine Sentimentanalyse durchführen und die Vertrauenswürdigkeit des Absenders bewerten. Bei Deepfakes kann KI subtile Unstimmigkeiten und Anomalien in Inhalten oder Medien identifizieren, um deren Echtheit zu bestimmen, und so dazu beitragen, Social-Engineering-Angriffe zu blockieren.

Wie nutzt KI Verhaltensanalysen für die Sicherheit?

Algorithmen für maschinelles Lernen legen eine Basislinie für normale Aktivitäten fest und können dann ungewöhnliche Verhaltensmuster identifizieren, die davon abweichen. Dies kann darauf hindeuten, dass eine zuvor vertrauenswürdige Quelle kompromittiert wurde oder dass eine aktive Insider-Bedrohung vorliegt.

Kann KI zum Schutz von APIs und Software-Supply-Chains beitragen?

KI-gestützte Abwehrmaßnahmen können erwartete API-Interaktionen modellieren und dann Anomalien im API-Traffic erkennen, um potenzielle Angriffe zu blockieren. In ähnlicher Weise kann KI automatisch Bedrohungen in Tools und Diensten von Drittanbietern identifizieren, um Supply-Chain-Angriffe auf die Lieferkette zu stoppen.