Künstliche Intelligenz ist auch im Bereich der Cybersecurity ein nicht zu unterschätzender Hebel. Doch gibt es wichtige Aspekte eines Angriffs, in denen ist sie dem Menschen unterlegen. Wir zeigen, welche das sind.
KI und menschliche Sicherheitsexperten ergänzen sich für eine Analyse des Netzwerkdatenverkehrs.
Es gibt zwei Arten von Cyberangriffen: Automatisierte opportunistische Versuche, in ein Netzwerk einzudringen und gezielte Advanced-Persistent-Threat-Attacken, kurz APT. Erstere sind in der Mehrzahl und Künstliche Intelligenz kann einen Großteil automatisiert abblocken. Hinter einer APT stehen aber oft Menschen. Wer solche, immer häufiger vorkommenden Angriffe auf Netzwerkebene verteidigen will, benötigt sowohl KI als auch menschliche Intelligenz.
Am frühesten zeigen sich die Hacker durch die Spuren ihrer Malware im Netzwerk. Diese anomalen Muster im Datenverkehr gehen in der Menge an Informationen aber leicht verloren. Auf sich allein gestellt sind menschliche IT-Verantwortliche bei deren Entdeckung überfordert.
Der Nutzen von KI
Künstliche Intelligenz leistet einen wichtigen Abwehrbeitrag, erkennt Anomalien im Datenverkehr in Echtzeit anhand der Metadaten und schlägt dann Alarm, um Abwehrreaktionen auslösen zu lassen. KI und eine automatisierte Cyberabwehr können 90 Prozent der Sicherheitsvorfälle auf Tier-1-Level automatisch erkennen und die Abwehr initiieren – so das Urteil der Experten von Splunk.
Es bleibt die Frage: Was ist mit den verbleibenden zehn Prozent? Da hinter komplexen Angriffen oft noch menschliche Täter stehen, sind für eine zukunftssichere Abwehr sowohl die menschliche Logik als auch das menschliche Urteilsvermögen bei der Analyse von Informationen essenziell.
Keine Cyberabwehr kommt mehr ohne KI aus. Aber die menschlichen Beobachterinnen und Beobachter bieten immer noch ein wichtiges Plus:
1. KI und menschliche Intelligenz ergänzen sich: Eine mit Machine Learning und Threat Intelligence optimierte KI kann große Mengen an Informationen schnell und ohne Fehler analysieren. Das IT-Sicherheitspersonal baut darauf auf und interpretiert die Muster des Datenverkehrs. Zugleich leitet es anhand erprobter Abläufe die Abwehr.
Der Mensch ist zudem durch seine Kenntnis des Unternehmens und der IT ein wichtiger Trainer der KI. Hier beschleunigt er die Definition normaler und damit legitimer Datenübertragungen – unter anderem durch das Taggen IT-sicherheitskritischer Systeme. Er berücksichtigt zusätzlich solche Informationen, die im Netzverkehr nicht sichtbar sind: Wenn etwa Geräte vorhanden, aber nicht zentral verwaltet sind, oder wenn ein Unternehmen einen neuen Sitz aufbaut, was Anfragen mit bis dahin ungewöhnlichen IP-Adressen erklärt. Oder wenn es neue Technologien, Anwendungen und damit Systeme implementiert.
2. Informationen im Kontext bewerten: Künstliche Intelligenz ist ein statistischer Ansatz. Da es für das Erkennen, die Abwehr und die Prävention von Gefahren Zusammenhänge braucht, die über Einzeldaten hinausgehen, spielt der Mensch und seine Urteilsfähigkeit eine wichtige Rolle.
Konkretes Unternehmenswissen hilft zum Beispiel dann, wenn ein von einem Unternehmen beauftragter IT-Dienstleister plötzlich in einem Subnetz agiert, für das er überhaupt keinen Auftrag hat. Selbst wenn das Datenverkehrsmuster zunächst unauffällig erscheint, so weist das Überschreiten der Kompetenzen eventuell auf einen kompromittierten IT-Dienstleister hin und ist zu überprüfen.
3. Die nächsten Schritte des Hackers vorwegnehmen: Komplexe Advanced Persistent Threats sind immer noch Menschenwerk. Hinter Phishing-Angriffen auf wichtige Personen im Unternehmen stehen oft keine Spambots, sondern menschliche Social-Engineering-Profis, die durch einen gezielt gesendeten Mail-Anhang ins Netz gelangen. KI erkennt dann, dass ein menschlicher Angreifer sich im Netz zu schaffen macht.
Die individuelle Taktik des Hackers bildet sich aber nicht durch statistische Indikatoren ab. Um die nächsten Schritte des Angreifers vorwegzunehmen, kann sich ein erfahrener Sicherheitsanalyst in den Hacker hineinversetzen und dessen nächsten Schritte voraussehen.
4. Gesamtheitliche Tätermotivation erfassen: Eine Cyberabwehr muss die Motive eines Kriminellen berücksichtigen. Nicht jeder Angreifer will Daten entwenden, verschlüsseln und Lösegeld erhalten. Hacker haben verschieden Motive: Das Kapern von Ressourcen, um Bitcoins zu schürfen, eine vielleicht politisch oder persönlich motivierte Sabotage oder einfach die Lust am Zerstören. Somit darf eine Abwehr nicht nur Daten sichern oder Informationslecks schließen. Eine nachhaltige Reaktion verlangt zum Teil auch ein Verständnis der menschlichen Psyche.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
5. Relevante und priorisierte Sicherheit anstatt Abwehr-Automatismen: IT-Sicherheitsanalystinnen und -analysten priorisieren Risiken individuell für ein Unternehmen. Dabei erfolgt die Wahl der Abwehr je nach Kontext: Handelt es sich um wiederbeschaffbare Daten, die möglicherweise gar keinen Wert mehr für das Unternehmen haben oder um die vielzitierten Kronjuwelen? Daraus resultierende Fragen nach einer situationsgerechten Abwehr kann eine KI nicht beantworten.
Zudem hat der Mensch als Analyst den Blick für branchentypische Angriffe. Greifen Hacker das Unternehmen X aktuell mit einer Malware an, ist nicht ausgeschlossen, dass sie es danach bei Konkurrent Y und Z versuchen. Eine KI, die nur das eigene Netz im Blick hat, sieht ein solches Risiko nur, wenn eine hochaktuelle Threat Intelligence sie unterstützt.
6. Abwehr leiten und Kollateralschäden vermeiden: Eine KI ist sehr gut darin, eine Gefahr zu erkennen und kann eine Abwehr automatisch starten. Jede Verteidigung hat jedoch Nebenwirkungen und kann IT- oder Geschäftsabläufe beeinträchtigen. Die Abwehr ist unter Umständen nicht weniger komplex und folgenreich als die APT. Somit ist hier menschliches Analysepersonal gefragt, weil diese Kolleginnen und Kollegen die Folgen des Handelns berücksichtigen und abwägen können. Nicht zu rechtfertigende Kollateralschäden, wie etwa das Blockieren eines IoT-gesteuerten Gebäudezugangs oder von IT-Systemen in der Krankenpflege, kann die menschliche Expertise vermeiden.
Beim Nachbereiten eines Angriffes kommt einem Sicherheitsanalysten dann eine wichtige beratende Rolle zu. Er oder sie kann anhand einer gespiegelten Aufzeichnung des gesamten Netzwerkes forensisch nachvollziehen, was passiert ist und wie Angriffe in Zukunft verhindert werden können.
KI und Mensch sind aufeinander angewiesen
IT-Sicherheit ohne KI gehört der Vergangenheit an. Dennoch werden menschliche Sicherheitsexperten nicht überflüssig. Sie bleiben relevant als kontinuierlich interpretierende Instanz von Alarmen, als Betreuer in Krisensituationen und als Berater für eine zukunftssichere IT-Sicherheit. Jede Detection and Response wird idealerweise von einer Managed Detection and Response ergänzt.
* Paul Smit arbeitet als Director Professional Services bei Forenova.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/75/41755062d6019da04cfc7a8d8cdece50/0129024223v1.jpeg "Jakob Saga ist neuer Vorstand bei dem IT-Distributor Herweck. (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db7a77cd7ea6916c717964cf3d15be/0128896694v1.jpeg "Dr. Nils Kaufmann wird Vertriebsleiter bei indevis x Data-Sec. (Bild: indevis x Data-Sec)")
:quality(80)/p7i.vogel.de/wcms/cc/0e/cc0ee3afaddf3bb684a02ecb5ad68702/0128887963v2.jpeg "Kevin Kennedy, Vice President des Global Partner Ecosystem bei Red Hat (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/01/94/0194b228bbaada88271174c98bc8fa3d/0128877523v2.jpeg "Gos Hein van de Wouw, SVP EMEA Sales bei Extreme Networks (Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/3e/fa/3efacb47d1c6a526f593592dc476ac21/0129029791v2.jpeg "Mit dem Entwurf zur Überarbeitung des Cybersecurity Act will die EU-Kommission die Cybersecurity in der EU stärken und harmonisieren. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/aa/45/aa457909bc5346e6ec45f831d563c7de/0129019772v1.jpeg "Gamma hat auf der Gammaverse 2026 die neue Vertriebsorganisation und das neue Partnerprogramm vorgestellt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/71/3a/713a732e936cea50892b8a73da46b1aa/0128868821v1.jpeg "Schatten-IT verursacht Kosten und Sicherheitsrisiken. IT-Teams können dem entgegenwirken, indem sie Benutzerfeedback sammeln, die Nutzung von Software analysieren, offizielle Tools optimieren, Compliance in tägliche Workflows integrieren und Sicherheitskultur durch ständige Schulungen fördern. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1a/df/1adf436436e363f8be5bf7dfccd1a44a/0128973571v2.jpeg "Für die Umsetzung der NIS2-Richtlinie brauchen Unternehmen ein klares Bild ihrer Sicherheitsorganisation. Ein Selbst-Audit kann dabei helfen. (Bild: nis2-conform.eu)")
:quality(80)/p7i.vogel.de/wcms/07/e0/07e07ee324199940b030411e90ffb7a7/0128970749v2.jpeg "KI-Security kann nur mit klaren Governance-Strukturen, Verantwortlichkeiten und menschlichem Einsatz wirksam zur Prävention beitragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/25/34/25346a6de4fae49d5134a5d87fa16b68/0128837620v1.jpeg "Cloud Computing und Künstliche Intelligenz sind eng miteinander verwoben. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/51/045147bb59a65fc397dbc16c853a021b/0128604323v2.jpeg "Mobile IT entwickelt sich 2026 zu einem vernetzten Ökosystem aus Geräten, Services und KI-gestützten Funktionen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e2/77/e27778e620a361b893b926153234cd09/0128440397v1.jpeg "Kaum zu glauben, aber wahr: Es gibt Datacenter-Stilllegungen und Schließungen, trotz KI und Bau-Boom. Das Autoren-Duo Anna Kobylinska und Filipe Martins kümmern sich umd das Aus und beschreiben, wo das Pendel am stärksten ausschlägt. (Bild: © trahko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/27/03272c31a1da8c87f8d80d77640e7e21/0128995496v2.jpeg "Sophos Workspace Protection soll eine einfache Alternative zu herkömmlichen SASE-Ansätzen sein und hybrides Arbeiten absichern. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:quality(80)/p7i.vogel.de/wcms/14/a3/14a3efcff030b182d8774ef21539cafb/0128566028v2.jpeg "In München kamen am 11. Dezember fast 30 Mitglieder des deutschen Chapters der Women4Cyber zusammen. (Bild: Nicolas Armer)")
:fill(fff,0)/p7i.vogel.de/companies/64/47/644794f95e7d3/g-data-cyberdefense-logo-sq.jpeg "g-data-cyberdefense-logo-sq (G Data)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/68/e6/68e65d6a3bdb7/1zu1-snt-heidelberg-2025-eintrittskarten-ticket-sichers.png "1zu1-snt-heidelberg-2025-eintrittskarten-ticket-sichers (www.mike-bergmann.com/hd-snt25)")
:quality(80)/p7i.vogel.de/wcms/0e/bb/0ebbc766c825a0e8c4aadad7532851e8/0126553832v2.jpeg "Ransomware stellt das Damoklesschwert über den Unternehmen dar. Gelenkt von den Hackern, war Ransomware schon immer ein fatales Mittel, um Unternehmen stillzulegen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c8/24/c824883913641f212327d7a96e145936/0125150601v1.jpeg "Selbstheilende Netzwerke analysieren riesige Datenströme und liefern der IT-Abteilung damit wichtige Erkenntnisse. (Bild: Pippin - stock.adobe.com / KI-generiert)")