Cybersicherheit

Cybersicherheit bewegt sich von der Erkennung zur KI-Resilienz

mm
Veröffentlicht am

Da praktisch alle Vermögenswerte, Geschäftsaktivitäten oder wertvollen Daten digital erfasst werden, ist ein kontinuierlicher Zugriff auf diese Daten und IT‑Systeme unerlässlich.

Auf genau das zielt die Erpressungstaktik namens Ransomware. Sie dringt in ein elektronisches Gerät oder Netzwerk ein, sperrt die Nutzer von ihren Daten aus (in der Regel durch Verschlüsselung) und verlangt anschließend ein Lösegeld, um den Entschlüsselungsschlüssel zur Wiederherstellung des Zugriffs bereitzustellen.

Ransomware ist eine schnell wachsende kriminelle Aktivität, wobei die weltweiten Schäden bis 2031 voraussichtlich jährlich 265 Milliarden USD übersteigen werden.

Das Problem wird zunehmend kritisch, da moderne Ransomware‑Kampagnen nun nicht nur Einzelpersonen, sondern auch Unternehmensnetzwerke, kommunale Systeme und kritische Infrastruktursektoren wie Gesundheitswesen, Finanzwesen und Energie ins Visier nehmen.

„Im Jahr 2024 verzeichnete der Gesundheitssektor die höchsten Kosten für Datenschutzverletzungen aller Branchen, mit durchschnittlich 10,93 Millionen USD pro Vorfall, bedingt durch verlängerte Ausfallzeiten, HIPAA‑bezogene Strafen und die Behebung geschützter Gesundheitsinformationen.“

Diese Vorfälle sind gravierender und beinhalten höhere Erpressungsbeträge, obwohl 88 % aller Ransomware‑Vorfälle kleine und mittlere Unternehmen (KMU) zum Ziel haben.

„Organisationen, die ein Lösegeld zahlten, berichteten über eine durchschnittliche Zahlung von 2 Millionen USD, gegenüber 400.000 USD im Jahr 2023. Neben den unmittelbaren Kosten übersteigt die durchschnittliche Ausfallzeit einer Organisation nach einem Ransomware‑Angriff nunmehr drei Wochen, was zu kumulierten betrieblichen und Produktivitätsverlusten in den Geschäftsbereichen führt.“

Ransomware‑Methoden sind zunehmend anspruchsvoller geworden, wodurch ältere, traditionelle signaturbasierte und rein diskriminative Erkennungsansätze allmählich unzureichend werden. Auch die Verfolgung von Geldern ist schwieriger geworden, da das Lösegeld heute in der Regel in Kryptowährungen zu zahlen ist.

Im Allgemeinen ist KI sowohl ein Problem als auch eine Chance für die Cybersicherheit. Sie kann dabei helfen, bessere Fälschungen für Phishing zu erzeugen, die Effizienz von Social Engineering zu steigern und neue Schwachstellen in einer Systemarchitektur zu schaffen.

Quelle: Crowdstrike

Eine neue Veröffentlichung argumentiert ebenfalls, dass generative KI dazu beitragen könnte, Cybersecurity‑Bedrohungen zu verringern. Und dass dies insbesondere im Falle von Ransomware‑Angriffen zutrifft.

Sie wurde von einem Forscher der University of Cincinnati im Journal of Information Security and Applications1 mit dem Titel „Rethinking ransomware defense in the age of generative AI“ verfasst.

Wie funktioniert Ransomware?

Ransomware 101

Die meisten Ransomware‑Varianten sperren Daten nach einem Sicherheitsverstoß durch Verschlüsselung, wodurch der Hacker in ein Gerät oder ein Netzwerk eindringen kann. In einigen Fällen kann sie sogar die Benutzeroberfläche des Geräts vollständig blockieren, anstatt einzelne Dateien zu verschlüsseln.

Die Lösegeldforderung wird in der Regel mit der Bitte um Zahlung in Kryptowährung gestellt, verbunden mit einer strengen Frist zur Entschlüsselung der Daten, nach deren Ablauf die Betroffenen dauerhaft in diesem Zustand verbleiben.

In einigen Fällen, die als doppelte & dreifache Erpressung bezeichnet werden, wird die Datenverschlüsselung mit Drohungen kombiniert, die gestohlenen Daten öffentlich zu leaken oder sogar Ihre Kunden und Partner anzugreifen, falls das Lösegeld nicht bezahlt wird.

Dies kann insbesondere bei vertraulichen Daten wie Unternehmensinformationen, wertvollen IPs, medizinischen Patientendaten usw. problematisch sein. Das Bezahlen für die Entschlüsselung oder das Erreichen der Entschlüsselung auf anderem Wege entfernt die gestohlenen Daten nicht von den Computern des Hackers, was bedeutet, dass diese Bedrohung auch nach der Entschlüsselung bestehen bleibt.

Im Allgemeinen raten Cybersicherheitsexperten und Strafverfolgungsbehörden davon ab, das Lösegeld zu zahlen, da dies die Wiederherstellung der Daten nicht garantiert und das Opfer häufig als „gutes“ Ziel für nachfolgende Angriffe kennzeichnet.

Verluste durch Ransomware beschränken sich nicht nur auf das eigentliche Lösegeld, sondern umfassen auch Ausfallzeiten und Geschäftsunterbrechungen, Imageschäden, kostspielige Wiederherstellungsprozesse und zusätzliche erforderliche Sicherheitsmaßnahmen usw.

„Organisationen, die Ransomware‑Vorfälle erleben, sehen sich häufig mit einem Vertrauensverlust bei Kunden, Investoren und Aufsichtsbehörden konfrontiert. Kunden betrachten Verstöße als Versäumnisse der Sorgfaltspflicht, was zu geringerer Loyalität und höherer Abwanderung führt. Investoren könnten die Governance‑Reife und das Risikomanagement des Unternehmens infrage stellen, was zu einem Rückgang der Marktbewertung beiträgt.“

Wie man Ransomware verhindert

Über die in diesem Artikel vorgeschlagenen generativen KI‑Methoden hinaus müssen einige Praktiken eingeführt werden, um das Risiko von Ransomware‑Angriffen und deren Schwere zu reduzieren.

Erstens ist die allgemeine Einführung bewährter Cybersicherheitspraktiken sowie ausreichende Finanzierung für IT‑Teams und Schulungen im Bereich Cybersicherheit erforderlich.

Zweitens müssen alle Softwarekomponenten aktualisiert und gepatcht werden, da ein Schwachpunkt potenziell die Anfälligkeit des gesamten Systems erhöhen kann.

Drittens ist es wichtig, auf gesicherten Zugriff und menschliche Fehler zu achten und Schulungen anzubieten, um diese zu vermeiden, da viele Ransomware‑Angriffe mit Social Engineering beginnen und mindestens einen Nutzer dazu bringen, eine Sicherheitslücke für die Hacker zu öffnen.

Abschließend kann eine konsequente Richtlinie für Backup und Datenarchivierung die Auswirkungen eines Ransomware‑Angriffs erheblich mindern, indem nahezu aktuelle Daten für die Wiederherstellung zur Verfügung stehen.

Einsatz von generativer KI zur Bekämpfung von Ransomware

Der aktuelle Ansatz zur Bekämpfung von Ransomware konzentriert sich auf signaturbasierte Antiviren‑Tools, statische Regelwerke oder integriert nur teilweise traditionelle Machine‑Learning‑ und Deep‑Learning‑Modelle.

„Diese Ansätze stützen sich stark auf gekennzeichnete Datensätze und vordefinierte Angriffssignaturen, wodurch Organisationen gegenüber Zero‑Day‑Exploits und polymorpher Malware, die ihren Code kontinuierlich ändern, um mehrschichtige Erkennungssysteme zu umgehen, exponiert bleiben.“

Generative KI, die gleiche Art von KI, die von Systemen wie ChatGPT verwendet wird, kann helfen, diese Einschränkungen zu mildern. Insbesondere können mehrere Arten von generativen KIs eingesetzt werden:

  • Große Sprachmodelle (LLMs).
  • Generative Adversarial Networks (GANs).
  • Variationale Autoencoder (VAEs).
  • Diffusionsmodelle.

Was jedes GenAI‑System tun kann?

LLMs können IT‑Spezialisten und normalen Nutzern dabei helfen, große Mengen an Systemprotokollen, Vorfallsberichten und Threat‑Intelligence‑Feeds zu analysieren, um aufkommende Angriffs‑Narrative zu identifizieren oder automatisierte Reaktionsvorschläge zu generieren.

GANs erzeugen „Fake“-Ransomware‑Angriffe, die zur Vorbereitung auf reale Szenarien genutzt werden können. Sie können realistische Ransomware‑Varianten synthetisieren, um Erkennungsalgorithmen zu Belastungstests und zum erneuten Training zu verwenden.

VAEs können latente Verhaltensrepräsentationen erlernen, die dabei helfen, bösartige von harmlosen Systemaktivitäten zu unterscheiden.

Gemeinsam können GANs und VAEs synthetische Ransomware‑Beispiele und harmlose Prozessdaten erzeugen, wodurch die anhaltende Herausforderung von Datenknappheit und Klassenungleichgewicht in Cybersicherheits‑Datensätzen adressiert wird.

In der Praxis sind Vertrauen und Interpretierbarkeit entscheidend für die Einführung in realen Security‑Operations‑Centern. GenAI‑basierte Systeme müssen daher nicht nur Bedrohungen identifizieren, sondern ihre Ergebnisse auf für menschliche Analysten nachvollziehbare Weise begründen.

Implementierung & zusätzliche Risiken

Die Implementierung dieser Systeme erfordert qualifizierte Fachkenntnisse, da sie empfindlich gegenüber Datenqualität, Rechenlatenz und den Kosten für das erneute Training sind.

Es sollte zudem beachtet werden, dass diese Systeme mit Sorgfalt und geeigneten Governance‑Schutzmaßnahmen implementiert werden müssen.

Zusätzliche Risiken umfassen Modell‑Extraktionsangriffe, Prompt‑Manipulationen von LLM‑unterstützten Sicherheitstools und adversarielle Vergiftungen von Telemetriedaten, die während der Retraining‑Zyklen verwendet werden, wodurch die Zuverlässigkeit der KI‑unterstützten Cyberabwehr untergraben werden kann.

Die gleiche Technologie, die gegen Ransomware‑Angriffe helfen kann, kann auch zur Automatisierung von Phishing‑Kampagnen, zur Erstellung polymorpher Malware oder zur Nachahmung legitimen Systemverhaltens zur Umgehung von Erkennungen missbraucht werden.

Politikempfehlungen

Der Einsatz generativer KI für die Cybersicherheit muss in den breiteren Rahmen von KI‑Richtlinien eingebettet werden, sowohl auf Unternehmens‑/Institutions‑ als auch auf nationaler Ebene.

Dies beinhaltet ethische Aufsicht und politische Abstimmung, um sicherzustellen, dass der KI‑Einsatz den Datenschutz-, Sicherheits‑ und Verantwortlichkeitsstandards entspricht.

Technische Aufmerksamkeit sollte auch der Resilienzplanung gewidmet werden, einschließlich Wiederherstellungstests, Backup‑Richtlinien und Systemredundanz.

Bestehende Rahmenwerke sollten die Implementierung von GenAI in Ransomware‑ und breitere Cybersicherheitsbemühungen leiten, wie ISO/IEC 42001, das NIST AI Risk Management Framework und die EU‑KI‑Act‑Compliance‑Leitlinien.

Die organisatorische Kapazität muss ebenfalls berücksichtigt werden, wobei die schrittweise Integration generativer KI auf dem Niveau der in einer Organisation vorhandenen Cybersicherheitsexpertise der Hauptbegrenzungsfaktor ist.

Insgesamt ist die ideale Strategie ein kontinuierliches Lernen, bei dem das organisatorische Wissen aus Vorfällen in KI‑Retraining‑Pipelines integriert wird.

Investoren‑Fazit

Während die KI‑Technologie zusammen mit der immer weiter verbreiteten Digitalisierung voranschreitet, entwickeln sich auch Bedrohungen und Gegenmaßnahmen.

Insgesamt bewegt sich der Schutz vor Ransomware über die reine Endpunkt‑Erkennung hinaus hin zu umfassenderen KI‑gestützten Resilienz‑Plattformen, die Erkennung, Simulation, Governance und menschliche Eingriffe in den Antwortprozess kombinieren.

Dies sollte ein integriertes, ganzheitliches Cybersicherheitssystem begünstigen, das solche KI‑Tools reibungslos einbinden kann und den KI‑Modellen die Daten und Umgebung bereitstellt, mit denen sie ihr volles Potenzial entfalten können.

Investition in KI-basierte Cybersicherheit

Crowdstrike

(CRWD )

CrowdStrike wurde 2012 mit einem Cloud‑First‑Ansatz für Cybersicherheit gegründet und konzentriert sich stark auf B2B‑Märkte (Business‑to‑Business).

Der frühe Umzug von CrowdStrike in die Cloud ermöglichte es, beim Schutz dieser Daten voraus zu sein, und erwies sich als großer Wettbewerbsvorteil, der das Wachstum vorantrieb, während immer mehr Unternehmen von selbst gesicherten On‑Premise‑Servern zu Cloud‑Servern wechselten.

Ein zentraler Punkt von CrowdStrikes Angebot ist, dass es in einer Cloud‑Umgebung das zusammenführt, was zuvor eine stark fragmentierte Landschaft von Sicherheitslösungen war, die miteinander integriert werden mussten. Das Unternehmen kann Sicherheit auf allen Ebenen der Organisation bereitstellen, von einzelnen Geräten bis hin zur gesamten IT‑Infrastruktur eines Unternehmens.

Quelle: CrowdStrike

Da Cybersicherheit tief in die Unternehmensabläufe integriert werden muss, ist die Wahl eines Cybersicherheitsanbieters eine langfristige Entscheidung.

Dies führt dazu, dass die Einnahmen von CrowdStrike hochgradig vorhersehbar sind, mit einer Bruttobindungsrate von 98 % seiner Nutzerkonten. Im zweiten Halbjahr 2026 erwartet das Unternehmen ein Wachstum von 40 % beim Netto‑ARR (jährlich wiederkehrende Einnahmen).

Das Unternehmen ist nun ein Vorreiter im Bereich KI‑Agent‑gesteuerter Cybersicherheit, ähnlich wie es zuvor ein Vorreiter im cloud‑basierten Bereich war, und integriert bereits agentenbasierte Verteidigung auf allen Ebenen seiner Systeme.

Quelle: CrowdStrike

Ein Schlüsselelement wird zudem sein, Sicherheit für KI‑Agenten bereitzustellen, die von Nutzern für persönliche und geschäftliche Aufgaben verwendet werden. Während sie die Produktivität steigern, stellen diese Agenten auch einen neuen Angriffsvektor für Hacker und Malware dar, und Systeme wie die von CrowdStrike werden zunehmend unverzichtbar, um den Einsatz von KI‑Agenten zu sichern.

Insgesamt bietet dies dem Unternehmen eine enorme Wachstumschance, insbesondere da es eine dominante Position im Cloud‑Cybersicherheitssegment innehat, das am ehesten das erforderliche Datenvolumen und die Datenqualität liefert, um generative KI und andere KI‑Technologien für die digitale Sicherheit nutzbringend einzusetzen.

Quelle: CrowdStrike

Neueste CrowdStrike (CRWD) Aktiennachrichten und Entwicklungen

Studie zitiert

1. Nelly Elsayed. Rethinking ransomware defense in the age of generative AI. Journal of Information Security and Applications. Volume 101, September 2026, 104547. https://doi.org/10.1016/j.jisa.2026.104547

mm

Jonathan ist ein ehemaliger Biochemiker-Forscher, der in der genetischen Analyse und klinischen Studien tätig war. Er ist jetzt ein Börsenanalyst und Finanzautor mit Fokus auf Innovation, Marktzyklen und Geopolitik in seiner Publikation The Eurasian Century.