Künstliche Intelligenz verändert die Bedrohungslage grundlegend: Angreifer nutzen LLMs, um Phishing-E-Mails in Minutenschnelle zu kreieren und Ransomware-Kampagnen zu fahren. Verteidiger brauchen neue Werkzeuge, um mithalten zu können.
Thorben Jändling beobachtet bei Elastic eine deutliche Zunahme von Ransomware und Infostealern. Klassische APT-Angriffe gibt es weiterhin, doch KI senkt die Einstiegshürde für Cyberkriminelle. „KI macht es für viele Leute einfacher, Angriffe durchzuführen“, sagt der Principal Solutions Architect. Phishing-Mails enthalten heute keine Grammatikfehler mehr, sondern imitieren sogar die Unternehmenssprache des Opfers.
Verkürzte Reaktionszeiten erfordern automatisierte Erkennung
Die Zeitspanne zwischen Einbruch und Schaden schrumpft drastisch – bei Ransomware verschlüsseln Angreifer Dateien innerhalb von Sekunden. Signaturbasierte Schutzmechanismen greifen oft zu kurz, da LLMs den Angriffscode laufend umschreiben. Jändling setzt auf Endpoint-Security mit eigenem Machine Learning, das Muster ohne Signaturen erkennt und automatisch eingreift.
Im Security Operations Center (SOC) sorgt die Datenflut für Engpässe. Bei tausend Alerts pro Tag bearbeitet ein Analyst manuell vielleicht 20 davon – die übrigen 980 bleiben liegen. Elastic setzt deshalb auf eine Triage durch LLMs: Die Technik bündelt zusammengehörende Alerts zu konkreten Angriffsketten und liefert dem Analysten einen aufbereiteten Bericht.
Open Security als Verteidigungsstrategie
Workflows und KI-Agenten ergänzen die Arbeit des SOC-Teams. Über das MCP-Protokoll lassen sich externe Tools einbinden, sodass Agenten Entscheidungen treffen und Routineaufgaben über automatisierte Workflows ausführen können. Der Mensch steht dabei stets im Zentrum: „Human in the Loop ist ganz wichtig“, betont Jändling. Analysten gewinnen Zeit für komplexe Untersuchungen.
Auch ein Jahr nach seinem Plädoyer für einen offenen Wissensaustausch hält Jändling an Open Security fest. Banken tauschen sich trotz Konkurrenz über Banking-Trojaner aus, weil sonst jeder Angreifer reihum erfolgreich wäre. Die Analogie zur Kryptografie verdeutlicht das Prinzip: Der Code ist öffentlich, das Geheimnis liegt im Schlüssel und in der Konfiguration. Bei der NATO-Übung „Locked Shields“ setzen zum Beispiel viele Blue Teams auf Elastic Security – die Red Teams kennen die Detection Rules, kommen aber dennoch nicht hinein.
Dieser Podcast ist vom Arbeitgeber des Interviewpartners gesponsert.