Cyberangriffe laufen mittlerweile mit maschineller Geschwindigkeit ab. Die schnellsten Angriffe entwenden Daten in nur 72 Minuten, und KI-gesteuerte Spionagekampagnen führen 80–90 % der taktischen Operationen autonom durch. Herkömmliche, auf Signaturen basierende Abwehrmaßnahmen wurden für eine Welt entwickelt, in der Analysten Stunden oder Tage Zeit hatten, um zu reagieren. Diese Welt gibt es nicht mehr. Unternehmen, die KI und Automatisierung umfassend einsetzen, sparten im Jahr 2025 1,9 Millionen US-Dollar pro Sicherheitsvorfall ein, wobei die Lebensdauer von Sicherheitsvorfällen um 80 Tage kürzer war als bei Unternehmen ohne KI-gestützte Abwehrmaßnahmen. Die Frage ist nicht mehr, ob KI zur Erkennung von Bedrohungen eingesetzt werden soll, sondern wie dies in allen Sicherheitsbereichen effektiv umgesetzt werden kann. Dieser Leitfaden deckt das gesamte Spektrum der KI-gestützten Bedrohungserkennung ab: die Methoden, die Bereiche, die Praxisbeispiele und die Rahmenbedingungen, die für Sicherheitsexperten im Jahr 2026 von Bedeutung sind.
Die KI-basierte Bedrohungserkennung ist der Einsatz von künstlicher Intelligenz und maschinellem Lernen zur Identifizierung, Analyse und Priorisierung von Cyberbedrohungen in Netzwerk-, endpoint, cloud, Identitäts-, E-Mail- und Anwendungsumgebungen. Sie umfasst verschiedene KI-/ML-Methoden – darunter überwachtes Lernen, unüberwachtes Lernen, Deep Learning, NLP, bestärkendes Lernen und graphische neuronale Netze –, die mit maschineller Geschwindigkeit arbeiten, um sowohl bekannte als auch unbekannte Bedrohungen aufzuspüren.
Es handelt sich hierbei nicht um eine einzelne Technologie. Die KI-basierte Bedrohungserkennung ist ein Oberbegriff, der die gesamte Bandbreite der im Bereich Cybersicherheit eingesetzten KI-/ML-Ansätze umfasst. Verhaltensanalysen, Anomalieerkennung sowie die Analyse des Verhaltens von Benutzern und Entitäten (UEBA) sind wichtige Teilbereiche, stellen jedoch nur einen Bruchteil der gesamten Landschaft der KI-basierten Bedrohungserkennung dar.
Das Marktpotenzial ist beträchtlich. Der Markt für KI in der Cybersicherheit wird laut Grand View Research im Jahr 2025 auf etwa 29,64 Milliarden US-Dollar geschätzt und soll bis 2030 bei einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 24,4 % 93,75 Milliarden US-Dollar erreichen.
Die Kluft zwischen den Fähigkeiten der Angreifer und der Bereitschaft der Verteidiger wird immer größer:
Die KI-gestützte Erkennung von Bedrohungen folgt einem strukturierten Prozess, der unstrukturierte Sicherheitsdaten in priorisierte, verwertbare Erkenntnisse umwandelt. So erkennt KI Cyberbedrohungen:
Diese Pipeline unterscheidet sich grundlegend von Intrusion-Detection-Systemen, die ausschließlich auf Signaturabgleich setzen. Die KI-gestützte Erkennung und Reaktion auf Bedrohungen kombiniert Verhaltensanalysen mit automatisierter Triage, um Bedrohungen mit einer Geschwindigkeit zu erkennen und einzudämmen, die den Fähigkeiten moderner Angreifer entspricht. Unternehmen, die diesen Ansatz verfolgen, verzeichnen um 80 Tage kürzere Lebenszyklen von Sicherheitsverletzungen als solche, die sich allein auf herkömmliche Methoden verlassen (IBM 2025).
Keiner der beiden Ansätze funktioniert für sich allein. In der Branche herrscht unter zahlreichen Sicherheitsanbietern Einigkeit darüber, dass eine hybride Strategie am besten geeignet ist, die die Effizienz von Signaturen bei bekannten Bedrohungen mit der Erkennung unbekannter Bedrohungen durch KI-basierte Methoden verbindet.
Tabelle: Wesentliche Unterschiede zwischen signaturbasierten und KI-gestützten Ansätzen zur Erkennung von Bedrohungen
Die KI-basierte Bedrohungserkennung umfasst sieben verschiedene Gruppen von KI-/ML-Methoden. Das Verständnis der gesamten Taxonomie ist entscheidend für die Bewertung der Erkennungsfähigkeiten und die Entwicklung einer umfassenden Sicherheitsstrategie. Diese Bandbreite unterscheidet die KI-basierte Bedrohungserkennung von enger gefassten Konzepten wie der verhaltensbasierten Bedrohungserkennung oder der Anomalieerkennung, bei denen es sich um einzelne Methoden innerhalb dieses größeren Rahmens handelt.
Tabelle: Sieben Familien von KI-/ML-Methoden, die bei der modernen Bedrohungserkennung zum Einsatz kommen
Maschinelles Lernen unterstützt die Erkennung von Bedrohungen, indem es Systemen ermöglicht, Muster in einem Umfang und mit einer Geschwindigkeit zu erkennen, die Menschen nicht erreichen können. Überwachte Modelle bearbeiten das Bekannte, unüberwachte Modelle decken das Unbekannte auf, und fortschrittliche Architekturen wie GNNs und Transformer legen die komplexen Beziehungen zwischen ihnen offen.
Die Verhaltensanalyse ermittelt Referenzwerte für das normale Verhalten von Benutzern, Geräten und Anwendungen und kennzeichnet anschließend Abweichungen, die auf Bedrohungen hindeuten könnten. Es handelt sich um eine wichtige und weit verbreitete Methode, die jedoch nur eine von sieben Methoden innerhalb der Taxonomie zur Erkennung von KI-Bedrohungen darstellt.
UEBA (User and Entity Behavior Analytics) wendet diesen verhaltensorientierten Ansatz speziell auf die Aktivitäten von Benutzern und Entitäten an und erkennt so den Missbrauch von Zugangsdaten (T1078), unrealistische Reiseszenarien und ungewöhnliche Aktivitäten bei Dienstkonten. Sowohl Verhaltensanalysen als auch UEBA fallen unter den übergeordneten Begriff der KI-basierten Bedrohungserkennung, ebenso wie Deep Learning, NLP, bestärkendes Lernen, GNNs und Transformer-Modelle.
Bei der Anomalieerkennung in der Cybersicherheit wird in der Regel unüberwachtes maschinelles Lernen eingesetzt, um Datenpunkte oder Verhaltensweisen zu identifizieren, die von festgelegten Basiswerten abweichen. Dies ist der grundlegende Mechanismus hinter der Verhaltensanalyse, kann jedoch auch unabhängig von der Analyse des Nutzerverhaltens auf Netzwerk-, Anwendungs- und Infrastrukturebene eingesetzt werden.
Die Erkennung von Bedrohungen mittels KI erstreckt sich über sechs Sicherheitsbereiche, von denen jeder spezielle KI-Ansätze und -Methoden erfordert. Eine zu enge Fokussierung auf die netzwerkbasierte Erkennung – wie sie bei vielen Ansätzen der Fall ist – führt zu kritischen blinden Flecken auf der modernen Angriffsfläche.
Tabelle: Methoden zur Erkennung von KI-Bedrohungen, zugeordnet zu sechs Sicherheitsbereichen
Wie funktioniert die KI-basierte Bedrohungserkennung in der cloud? Cloud stellen aufgrund ihrer dynamischen und elastischen Natur besondere Herausforderungen dar. KI-Modelle müssen automatische Skalierung, kurzlebige Workloads und mandantenfähige Architekturen berücksichtigen. Eine effektive cloud Erkennung cloud überwacht API-Aufrufe, Konfigurationsänderungen, kontoübergreifende Zugriffsmuster und das Verhalten von Workloads im Vergleich zu erlernten Referenzwerten.
Wie erkennt KI Insider-Bedrohungen? KI erkennt Insider-Bedrohungen, indem sie für jeden Benutzer und jede Entität Verhaltensreferenzwerte festlegt und anschließend Abweichungen wie ungewöhnliche Datenzugriffsmuster, Aktivitäten außerhalb der regulären Arbeitszeiten, Zugriff auf Systeme außerhalb der normalen Aufgabenbereiche sowie ungewöhnliche Datenübertragungsvolumina kennzeichnet. Dieser Ansatz deckt Bedrohungen auf, die signaturbasierte Tools nicht erkennen können, da Insider-Aktivitäten in der Regel mit gültigen Anmeldedaten und autorisierten Systemen erfolgen.
Praxisbeispiele zeigen messbare Auswirkungen in verschiedenen Bereichen. Die Vorteile der KI-basierten Bedrohungserkennung lassen sich am besten anhand quantifizierter Ergebnisse und nicht anhand von Herstellerversprechen nachvollziehen.
Fallstudie: Globe Telecom. Globe Telecom setzte neben NDR auch KI-gestützte Angriffssignalanalyse ein und erzielte damit eine Reduzierung der Fehlalarme um 99 %, eine Verkürzung der Reaktionszeit bei Vorfällen um 78 % (von 16 auf 3,5 Stunden) sowie eine Verringerung der Eskalationen um 96 % für seine 80 Millionen Kunden (Vectra AI ).
Fallstudie: IBM-Analyse der Kosten von Datenschutzverletzungen 2025. Unternehmen, die Sicherheits-KI und Automatisierung in großem Umfang einsetzten, sparten im Vergleich zu Unternehmen ohne diese Technologien durchschnittlich 1,9 Millionen US-Dollar an Kosten für Datenschutzverletzungen ein, wobei die Dauer der Vorfälle um 80 Tage kürzer war. „Shadow AI“ – die unbefugte Nutzung von KI innerhalb von Unternehmen – erhöhte die weltweiten Durchschnittskosten für Datenschutzverletzungen um weitere 670.000 US-Dollar ( Data Breach zu den Kosten von Data Breach 2025, Erkenntnisse zur KI-Governance von IBM).
Fallstudie: Durch KI gesteuerte Cyberspionage (GTG-1002). Im September 2025 wurde die erste bekannte, durch KI gesteuerte Cyberspionagekampagne aufgedeckt. Die vom chinesischen Staat unterstützte Gruppe GTG-1002 setzte KI ein, um autonom Aufklärung, Schwachstellenerkennung, Ausnutzung, laterale Bewegung und Datenexfiltration gegen etwa 30 globale Ziele durchzuführen. Die KI führte 80–90 % der taktischen Operationen eigenständig aus (Angaben von Anthropic).
Neue Bedrohung: malware „VoidLink“. VoidLink wurde im Januar 2026 entdeckt und ist eine KI-generierte Linux- malware Framework, das sich durch dateilose Ausführung, adaptive Rootkits, verdeckte ICMP-Kommunikation und cloud Verbreitung über AWS, GCP, Azure und andere Anbieter auszeichnet. Es scannt nach 14 Sicherheitstools und wechselt bei Erkennung in den Stealth-Modus, was zeigt, dass malware KI-gestützte malware Bedrohungen hervorbringt, die signaturbasierte Erkennung gezielt umgehen.
Der Zeitdruck. Die schnellsten Angriffe führen mittlerweile innerhalb von 72 Minuten zum Abfluss von Daten – ein Rückgang gegenüber 285 Minuten im Vorjahr (Unit 42 2026). Bei diesem Tempo sind manuelle Triage-Abläufe betrieblich nicht mehr tragbar. KI steigert die Effizienz des SOC, indem sie die Triage automatisiert, Ereignisse miteinander verknüpft und echte Bedrohungen priorisiert, sodass sich die Analysten auf das Wesentliche konzentrieren können.
Anwendungsfälle für die Erkennung von KI-Bedrohungen erstrecken sich auch auf ransomware (Erkennung von Massenverschlüsselungsmustern und lateraler Bewegung), die Überwachung von Bedrohungen in der Lieferkette sowie KI-generierte Social-Engineering- Kampagnen, die Text- und Sprach-Deepfakes kombinieren.
Eine ausgewogene Bewertung der KI-basierten Bedrohungserkennung muss den Herausforderungen der Praxis Rechnung tragen. Sicherheitsexperten tun gut daran, die Behauptungen der Anbieter kritisch zu prüfen, denn die Einschränkungen sind real.
KI reduziert Fehlalarme, indem sie umgebungsspezifische Referenzwerte lernt, anstatt sich auf statische Schwellenwerte zu stützen – allerdings nur, wenn sie ordnungsgemäß mit hochwertigen Daten und kontinuierlichen Rückkopplungsschleifen eingesetzt wird. Die Grenzen der KI in der Cybersicherheit sind real, und Unternehmen, die sich dieser bewusst sind, entwickeln effektivere Erkennungsprogramme.
Eine effektive Erkennung von Bedrohungen durch KI erfordert einen strategischen Ansatz, der Technologie, Prozesse und Menschen in Einklang bringt. Diese Best Practices fassen Leitlinien aus der gesamten Branche zusammen.
KI wird im SOC-Betrieb eingesetzt, um die Triage von Warnmeldungen zu automatisieren, Ereignisse über verschiedene Datenquellen hinweg zu korrelieren, erste Untersuchungen durchzuführen und Reaktionsszenarien zu erstellen. IDC prognostiziert, dass bis zur ersten Hälfte des Jahres 2027 85 % der Erkennungs- und Reaktionsszenarien KI-generiert sein werden, was einen grundlegenden Wandel in der Art und Weise widerspiegelt, wie threat hunting und Untersuchungsabläufe funktionieren.
Die Einbindung der KI-basierten Bedrohungserkennung in Sicherheitsrahmenwerke und Compliance-Anforderungen ist ein Alleinstellungsmerkmal, das nur wenige Unternehmen – und kein einziger großer Wettbewerber – umfassend berücksichtigt.
Tabelle: Zuordnung der KI-basierten Bedrohungserkennung zu den wichtigsten Compliance- und Sicherheitsrahmenwerken
NISTIR 8596 bietet den ersten US-amerikanischen Rahmen, der KI mit Ergebnissen im Bereich Cybersicherheit verknüpft – ein Compliance-Vorteil für Unternehmen, die ihn frühzeitig umsetzen. Keine der Top-10-Konkurrenzseiten zum Thema „KI-Bedrohungserkennung“ verweist auf diesen Rahmen.
Die Zukunft der KI in der Cybersicherheit wird von mehreren sich überschneidenden Trends geprägt, die die Erkennung von Bedrohungen bis 2026 und darüber hinaus bestimmen werden.
Agentische KI im SOC. In den Cybersicherheitstrends von Gartner für 2026 wird „agentische KI erfordert Cybersicherheitsaufsicht“ als einer der wichtigsten Trends genannt. Agentische KI zur Erkennung von Bedrohungen ermöglicht eine autonome Alarmtriage, AI-zu-AI-Untersuchungen und selbstheilende Reaktionsabläufe. IDC prognostiziert, dass bis 2027 85 % der Erkennungs-Playbooks KI-generiert sein werden.
Die Erkennung von KI-Agenten als neue Anforderung. KI-Agenten entwickeln sich zu Entitäten, deren Verhalten überwacht werden muss. Die Sicherheit im Bereich der agentenbasierten KI entwickelt sich vom Konzeptstadium hin zur praktischen Umsetzung.
Plattformkonsolidierung. Der Übergang von einer Vielzahl unterschiedlicher Tools (in 69 % der Unternehmen werden mehr als 10 Tools eingesetzt) hin zu einheitlichen Erkennungsplattformen stellt die Signalqualität über die Breite der Abdeckung. Fragmentierte Tools führen zu fragmentierten Signalen.
Abwehr gegen adversarische KI. Der Schutz von KI-Erkennungsmodellen vor Datenvergiftung, Modellextraktion und adversarischen Beispielen entwickelt sich zu einer immer wichtigeren betrieblichen Anforderung. Der „International AI Safety Report 2026“ dokumentiert eine prompt injection von 50 % prompt injection über mehrere Versuche hinweg und unterstreicht damit die Notwendigkeit, die KI-Sicherheitsinfrastruktur selbst zu schützen.
Der Ansatz Vectra AI zur Erkennung von KI-Bedrohungen konzentriert sich auf Attack Signal Intelligence – die Methode, relevante Verhaltensweisen von Angreifern zu identifizieren, indem Störsignale (bis zu 99 %) reduziert und echte Bedrohungen im modernen Netzwerk aufgedeckt werden. Dies umfasst On-Premise-,cloud, Identitäts-, SaaS- und KI-Infrastrukturen.
Mit 35 Patenten im Bereich KI für Cybersicherheit und 12 Verweisen in MITRE D3FEND – mehr als jeder andere Anbieter – Vectra AI KI-Agenten als vollwertige Identitäten, deren Verhalten überwacht werden muss. Dies steht im Einklang mit der „Assume Compromise“-Philosophie: Clevere Angreifer werden sich Zugang verschaffen. Es kommt darauf an, sie zu finden.
Die Landschaft der KI-basierten Bedrohungserkennung entwickelt sich rasant weiter, und in den nächsten 12 bis 24 Monaten werden sich erhebliche Veränderungen vollziehen, auf die sich Unternehmen bereits jetzt vorbereiten sollten.
Von KI generierte malware bereits Realität. VoidLink hat gezeigt, dass KI-gesteuerte Programmieragenten malware großem Umfang ausgefeilte malware entwickeln können, malware darauf ausgelegt ist, Sicherheitsmaßnahmen zu umgehen. Es ist davon auszugehen, dass im Laufe des Jahres 2026 weitere von KI generierte malware auftauchen werden, deren Funktionen gezielt darauf ausgerichtet sind, bestimmte Sicherheitsprodukte zu umgehen. Unternehmen, die sich ausschließlich auf signaturbasierte Erkennung verlassen, sehen sich mit einer sich vergrößernden Sicherheitslücke konfrontiert, da von KI generierte Bedrohungen schneller neue Varianten hervorbringen, als Signaturdatenbanken aktualisiert werden können.
Die rechtlichen Rahmenbedingungen nehmen Gestalt an. NISTIR 8596 wird voraussichtlich 2026 fertiggestellt und damit den ersten verbindlichen US-Standard für KI im Bereich Cybersicherheit festlegen. Die schrittweise Umsetzung des EU-KI-Gesetzes wird bis 2027 fortgesetzt, wobei für 2026 spezifische Leitlinien zur Cybersicherheit erwartet werden. Unternehmen, die ihre KI-Erkennungsprogramme bereits jetzt an diese Rahmenbedingungen anpassen, werden bei Beginn der Durchsetzung einen Compliance-Vorteil haben.
Die Identitätsverwaltung für KI-Agenten wird zur Pflicht. Da Unternehmen immer mehr KI-Agenten für Geschäftsprozesse einsetzen, müssen Sicherheitsteams diese Agenten mit derselben Sorgfalt überwachen, wie sie auch bei menschlichen Benutzern angewendet wird. Gartner prognostiziert, dass KI-Agenten die Zeit bis zur Ausnutzung von Sicherheitslücken bei Konten bis 2027 um 50 % verkürzen werden, wodurch die Erkennung von KI-Agenten zu einer Priorität auf Vorstandsebene wird.
Empfehlungen zur Vorbereitung. Setzen Sie eher auf die Konsolidierung von Plattformen als auf die Erweiterung des Tool-Portfolios. Legen Sie den Schwerpunkt auf die Erkennung von KI-Agenten und das Identitätsmanagement. Setzen Sie Verhaltenserkennung ein, die in der Lage ist, malware dateiloser, im Speicher residierender malware zu identifizieren. Passen Sie Ihr KI-Sicherheitsprogramm noch vor der endgültigen Veröffentlichung an NISTIR 8596 an. Und implementieren Sie automatisierte Eindämmungs-Workflows, die auf die Realität von Exfiltrationen innerhalb von 72 Minuten ausgelegt sind.
Die Erkennung von Bedrohungen mittels KI ist keine einzelne Technologie, sondern ein Ökosystem aus verschiedenen Methoden, das vom überwachten Lernen bis hin zu graphischen neuronalen Netzen reicht und in allen Sicherheitsbereichen eingesetzt wird, in denen Angreifer aktiv sind. Die Fakten sprechen eine klare Sprache: Unternehmen, die in KI-gestützte Erkennung investieren, sparen Millionen pro Sicherheitsvorfall, reagieren schneller und decken Bedrohungen auf, die herkömmliche Tools völlig übersehen.
Die Herausforderungen sind ebenso real. Datenqualität, feindliche Angriffe auf KI-Modelle, Lücken in der Governance und eine unübersichtliche Vielzahl an Tools können selbst ausgefeilte Implementierungen untergraben. Für den Erfolg sind saubere Daten, mehrschichtige Erkennung, Feedback-Schleifen zwischen Mensch und KI sowie Governance-Rahmenbedingungen erforderlich, die mit der technologischen Entwicklung Schritt halten.
Im Jahr 2026, wenn Angriffe innerhalb von 72 Minuten ausgeführt werden und KI-generierte malware von vornherein signaturbasierte Tools malware , stellt sich nicht die Frage, ob KI zur Erkennung von Bedrohungen eingesetzt werden soll, sondern wie sie mit der erforderlichen Strenge, Breite und Governance eingesetzt werden kann. Beginnen Sie mit den Frameworks. Orientieren Sie sich an NISTIR 8596 und MITRE ATT&CK. Konsolidieren Sie Tools unter Berücksichtigung der Signalqualität. Und entwickeln Sie eine Erkennung, die alle sechs Domänen abdeckt – denn Angreifer beschränken sich nicht auf eine einzige.
KI verbessert phishing erheblich, indem sie E-Mail-Inhalte mithilfe von NLP analysiert, Anomalien bei Absendern identifiziert und Social-Engineering-Muster aufspürt, die herkömmliche Filter umgehen. KI-basierte Systeme können phishing erkennen, indem sie Kommunikationsmuster mit Verhaltensreferenzwerten abgleichen – und dabei ungewöhnliche Formulierungen, atypische Anfragen sowie ein Absendervverhalten, das von etablierten Normen abweicht, kennzeichnen.
KI erweitert jedoch das menschliche Bewusstsein, anstatt es vollständig zu ersetzen. Die wirksamste Verteidigungsstrategie verbindet KI-gestützte E-Mail-Analyse mit Schulungen zur Sensibilisierung für Sicherheitsfragen. Die KI bewältigt das Problem der hohen Datenmenge (indem sie Tausende von E-Mails pro Minute filtert), während geschulte Nutzer die letzte Verteidigungslinie gegen raffinierte Social-Engineering-Angriffe bilden, die legitime Kommunikationsmuster äußerst realistisch nachahmen können.
malware KI-gestützte malware nutzt maschinelles Lernen, um schädliche Dateien zu klassifizieren, indem sie Verhaltensmuster, Codestruktur und Ausführungsmerkmale analysiert, anstatt sich ausschließlich auf Signaturdatenbanken zu stützen. Dies ermöglicht die Erkennung vonmalware , die bisher noch nie aufgetreten sind, einschließlich KI-generierter Bedrohungen wie dem im Januar 2026 entdeckten VoidLink-Framework.
Deep-Learning-Modelle analysieren Binärdateien, überwachen das Prozessverhalten zur Laufzeit und erkennen böswillige Absichten anhand der Funktionsweise des Codes und nicht anhand seines Aussehens. Dieser verhaltensbasierte Ansatz ist in einer Umgebung unverzichtbar, in der malware KI-gestützte malware einzigartige Varianten in einem Tempo hervorbringt, das die herkömmliche Erstellung von Signaturen bei weitem übertrifft.
KI beschleunigt die Reaktion auf Vorfälle, indem sie die Triage von Warnmeldungen automatisiert, zusammenhängende Ereignisse zu Angriffsszenarien verknüpft und Vorfälle nach Risikograd priorisiert. Unternehmen, die KI umfassend einsetzen, verzeichnen einen um 80 Tage kürzeren Lebenszyklus von Sicherheitsverletzungen als solche, die darauf verzichten (IBM 2025). IDC prognostiziert, dass bis 2027 85 % der Erkennungs-Playbooks KI-generiert sein werden, was einen Wandel von statischen Runbooks hin zu dynamischen, kontextbezogenen Reaktionsabläufen widerspiegelt.
In der Praxis unterstützt KI SOC-Teams, indem sie automatisierte Erstuntersuchungen durchführt, Warnmeldungen mit Kontextinformationen anreichert, auf der Grundlage von Angriffsmustern Maßnahmen vorschlägt und Eindämmungsmaßnahmen in Echtzeit durchführt. Dadurch wird die Reaktion auf Vorfälle von einem reaktiven, manuellen Prozess zu einem proaktiven, KI-gestützten Vorgang.
KI erkennt ransomware sie Verhaltensmerkmale entlang der gesamten Angriffskette identifiziert, anstatt darauf zu warten, dass die Verschlüsselung beginnt. Zu den wichtigsten Erkennungsmerkmalen zählen Muster bei der massenhaften Dateiverschlüsselung sowie die laterale Bewegung über Netzwerksegmente hinweg (0008), Befehls- und Kontrollkommunikation (0011), ungewöhnliche Datenaufbereitung vor der Exfiltration (0010) sowie eine unzulässige Erweiterung von Berechtigungen.
Die verhaltensbasierte Erkennung deckt ransomware auf, die signaturbasierte Tools übersehen, da die Erkennung auf dem Verhalten der Angreifer und nicht auf Datei-Hashes basiert. KI-Modelle, die auf der gesamten Kill-Chain trainiert wurden, können ransomware bereits in der Phase der Erkundung, des Zugriffs auf Anmeldedaten oder der lateralen Bewegung erkennen – noch bevor die Verschlüsselung beginnt und eine Eindämmung noch möglich ist.
Der Markt für KI in der Cybersicherheit wird im Jahr 2025 auf etwa 29,64 Milliarden US-Dollar geschätzt, was die Bandbreite der verfügbaren Lösungen widerspiegelt, die von Open-Source-Tools bis hin zu Unternehmensplattformen reicht (Grand View Research). Unternehmen sollten KI-basierte Erkennungslösungen anhand der Gesamtbetriebskosten bewerten – einschließlich Dateninfrastruktur, Schulungen und der Weiterbildung von Analysten – und nicht nur anhand der Lizenzkosten.
Die ROI-Argumentation wird durch die Erkenntnis von IBM gestützt, dass Unternehmen, die KI umfassend einsetzen, im Durchschnitt 1,9 Millionen Dollar pro Sicherheitsvorfall einsparen. Umgekehrt erhöht „Shadow AI“ die Kosten für Sicherheitsvorfälle um 670.000 Dollar (IBM 2025). Bei der Kostenfrage geht es weniger um den Preis von KI-Tools als vielmehr um die Kosten, die entstehen, wenn keine wirksame KI-gestützte Erkennung vorhanden ist – zumal ein Sicherheitsvorfall im Durchschnitt 4,44 Millionen Dollar kostet.
KI-basierte Bedrohungsinformationen nutzen maschinelles Lernen und natürliche Sprachverarbeitung, um Bedrohungsdaten aus verschiedenen Quellen – darunter Dark-Web-Foren, Open-Source-Intelligence-Feeds, malware und Schwachstellendatenbanken – automatisch zu erfassen, zu verarbeiten und zu analysieren. Die KI identifiziert aufkommende Bedrohungsmuster, stellt Zusammenhänge zwischen Kompromittierungsindikatoren aus unterschiedlichen Quellen her und prognostiziert Angriffskampagnen schneller als eine manuelle Analyse.
Der Vorteil von KI im Bereich der Bedrohungsanalyse liegt in ihrer Leistungsfähigkeit. Ein menschlicher Analyst kann täglich Dutzende von Bedrohungsberichten bearbeiten. KI-Systeme hingegen können Tausende verarbeiten und dabei Zusammenhänge und sich abzeichnende Muster erkennen, deren Aufdeckung menschliche Teams Wochen kosten würde. In Kombination mit der KI-gestützten Bedrohungserkennung liefern Bedrohungsanalysen die kontextbezogenen Zusatzinformationen, die es ermöglichen, auf Warnmeldungen zu reagieren.
Die Erkennungsgenauigkeit von KI variiert erheblich je nach Datenqualität, Modelloptimierung und Einsatzkontext. Zwar geben einige Anbieter Erkennungsraten von 95 bis 98 % an, doch sind diese Zahlen oft umgebungsspezifisch und lassen sich nur schwer unabhängig überprüfen. Der zuverlässigste Ansatz ist eine mehrschichtige Erkennung, bei der KI mit signaturbasierten Methoden kombiniert wird und kontinuierliches menschliches Feedback zur Verfeinerung der Modellleistung einfließt.
Unternehmen sollten die Genauigkeit anhand ihrer eigenen spezifischen Ausgangsbasis messen, anstatt sich auf Hersteller-Benchmarks zu verlassen. Zu den wichtigsten Kennzahlen zählen die Erkennungsrate bekannter Bedrohungen, die Zeit bis zur Erkennung unbekannter Bedrohungen, die Falsch-Positiv-Rate (untersuchte Warnmeldungen, die sich als harmlos erweisen) und die Falsch-Negativ-Rate (Bedrohungen, die der Erkennung entgehen). Praktische Anwendungsbeispiele wie die 99-prozentige Reduzierung von Fehlalarmen bei Globe Telecom zeigen, was mit einer ordnungsgemäßen Implementierung und Feinabstimmung erreicht werden kann.