Sami - stock.adobe.com
Wie künstliche Intelligenz Cyberangriffe erkennt und abwehrt
Cyberangriffe auf die Cloud werden durch den Einsatz von KI schneller und ausgefeilter. Dieser Beitrag zeigt, warum auch die Verteidigung entsprechend intelligenter werden muss.
Cloud-Technologien haben sich als Rückgrat moderner IT-Infrastrukturen etabliert. Sie ermöglichen nicht nur hohe Skalierbarkeit und Flexibilität, sondern bieten auch wirtschaftliche Vorteile: Ressourcen lassen sich effizienter nutzen und Innovationen schneller umsetzen.
Aus Sicherheitssicht hat die Cloud zudem den Vorteil, dass zentrale Updates, Patches und Sicherheitsrichtlinien einheitlich ausgerollt werden können, was zu einem konsistenteren Sicherheitsniveau beitragen kann. Darüber hinaus ermöglicht die zentrale Verwaltung eine bessere Durchsetzung von Zugriffsrichtlinien – vorausgesetzt, sie ist korrekt konfiguriert. Doch Vorsicht ist geboten.
Die Cloud ist kein Selbstschutzschild
Fehlkonfigurationen bergen erhebliche Risiken, da sie zu offenen Einfallstoren für Angreifer innerhalb der Cloud werden können – oft ganz ohne neue Schwachstellen im Code. Sie ermöglichen beispielsweise unbefugten Zugriff, legen Daten offen und untergraben Zero-Trust-Ansätze. Gerade solche strukturierten Fehler lassen sich von automatisierten und KI-gestützten Angreifern besonders effizient ausnutzen.
Ungeschützte Schnittstellen, mangelnde Transparenz und die geteilte Verantwortung zwischen Cloud-Anbietern und ihren Kunden tragen zusätzlich dazu bei, dass die Cloud zunehmend ins Visier von Cyberkriminellen gerät. Laut BSI-Lagebericht 2025 wurden zwischen Juli 2024 und Juni 2025 durchschnittlich 119 neue Schwachstellen pro Tag in IT-Systemen gemeldet – ein Anstieg um 24 Prozent gegenüber dem vorherigen Zeitraum. Cloud-Umgebungen gelten dabei zunehmend als potenzielle kritische Schwachstelle, insbesondere für Betreiber kritischer Infrastrukturen.
Warum klassische Schutzmechanismen nicht mehr ausreichen
In hochdynamischen Cloud-Umgebungen stoßen signaturbasierte Sicherheitslösungen und statische Regeln an ihre Grenzen. Die Geschwindigkeit, Skalierbarkeit und Unvorhersehbarkeit moderner Angriffe überfordern traditionelle Security-Operations-Teams. Laut einer Darktrace-Umfrage unter Sicherheitsverantwortlichen in den USA und Großbritannien werden Cloud-Vorfälle im Durchschnitt drei bis fünf Tage später analysiert als vergleichbare Vorfälle in lokalen Infrastrukturen. Fast 90 Prozent der Unternehmen berichten, dass der Schaden bereits entstanden war, bevor erste Eindämmungsmaßnahmen ergriffen werden konnten.
Ein weiteres Problem ist die zunehmende Tarnung von Angriffen. Laut Darktrace Threat Report 2026 wurden in einem Jahr mehr als 32 Millionen Phishing-E-Mails mit hoher Trefferwahrscheinlichkeit erkannt. Besonders alarmierend: Rund 70 Prozent dieser E-Mails passierten etablierte Authentifizierungsmechanismen wie DMARC erfolgreich. In vielen Fällen missbrauchten Angreifer legitime Dienste und vertrauenswürdige Plattformen, um die Glaubwürdigkeit ihrer Kampagnen zu erhöhen und klassische Sicherheitskontrollen zu umgehen.
Künstliche Intelligenz verändert die Bedrohungslage
Ein wachsender Anteil der Bedrohungen ist durch den Einsatz von KI auf Seiten der Angreifer geprägt. Laut einer Bitkom-Studie (PDF) aus dem Jahr 2025 haben 50 Prozent der befragten Unternehmen bereits KI-gestützte Angriffsaktivitäten beobachtet. Der Einsatz von KI verändert die Dynamik von Angriffen in mehreren Bereichen. Die Aufklärungsphase – also das Identifizieren von Schwachstellen in APIs, fehlkonfigurierten Cloud-Diensten oder versehentlich offengelegten Zugangsdaten – lässt sich durch KI automatisieren und erheblich beschleunigen. Während solche Analysen früher Tage oder Wochen dauerten, benötigen KI-gestützte Angreifer dafür oft nur wenige Minuten.
Darüber hinaus können Angreifer generative KI nutzen, um in Echtzeit neue Malware-Varianten zu erstellen, die gezielt auf die Architektur und Sicherheitsmechanismen einer bestimmten Cloud-Umgebung zugeschnitten sind. Diese sogenannten adaptiven Angriffsskripte verändern ihr Verhalten dynamisch als Reaktion auf Gegenmaßnahmen und erschweren so die Erkennung erheblich. Durch die Anpassung ihrer Taktiken an die Verteidigungsmechanismen eines Systems können sie klassische Sicherheitsmechanismen – etwa signaturbasierte Erkennung – umgehen und regelbasierte Kontrollen aushebeln, wodurch sie schwerer als bösartig erkannt werden. Hinzu kommt, dass viele moderne Cloud-Ressourcen nur sehr kurzlebig sind. Container, serverlose Funktionen oder temporäre Speicherorte existieren oft nur Sekunden oder Minuten und verschwinden, bevor forensische Spuren gesichert werden können. Das spielt Angreifern in die Hände, da traditionelle Erkennungsmethoden hier häufig versagen.
„So wertvoll Cloud-Umgebungen für digitale Geschäftsmodelle sind, so anfällig sind sie auch. Cyberangriffe werden schneller, gezielter und schwerer zu erkennen – insbesondere durch den Einsatz von KI. Eine Antwort auf diese Entwicklung sind adaptive und proaktive Sicherheitssysteme.“
Max Heinemeyer, Darktrace
KI-gestützte Verteidigung: Von der Erkennung zur Reaktion in Echtzeit
Um dieser Entwicklung zu begegnen, setzen Unternehmen zunehmend auf KI in der Cyberabwehr. Moderne Systeme verfolgen einen proaktiven Ansatz. Sie erkennen nicht nur bekannte Muster, sondern lernen kontinuierlich das normale Verhalten von Nutzern, Geräten und Anwendungen in der Cloud. Abweichungen können so automatisch in ihren Kontext eingeordnet werden. Ein ungewöhnlicher Login außerhalb der üblichen Arbeitszeiten von einem neuen Gerät ist nicht zwangsläufig ein Angriff – kann aber in Kombination mit anderen Auffälligkeiten eine automatische Reaktion auslösen.
Diese Reaktionen können unterschiedlich ausfallen. Statt sofort drastische Maßnahmen zu ergreifen, drosseln viele Systeme beispielsweise verdächtige Datenströme oder isolieren betroffene Ressourcen vorübergehend. So bleibt Zeit für eine fundierte Bewertung durch das Sicherheitsteam. Auch die Forensik wird zunehmend automatisiert. Neue Technologien ermöglichen es, relevante Beweise wie Arbeitsspeicherinhalte, Prozessinformationen und Logs direkt beim Erkennen eines Vorfalls zu sichern – selbst bei sehr kurzlebigen Cloud-Ressourcen. Untersuchungen, die früher Tage dauerten, lassen sich so innerhalb weniger Minuten durchführen.
Forensik, Nachvollziehbarkeit und menschliche Kontrolle
Diese Form der automatisierten Forensik ist besonders wertvoll in hybriden oder Multi-Cloud-Umgebungen, in denen klassische Endpoint- oder logbasierte Systeme oft nicht ausreichend Transparenz bieten. Automatisierte Analysen erstellen aus großen Datenmengen eine nachvollziehbare Chronologie eines Angriffs und unterstützen so schnelle und fundierte Entscheidungen.
Damit diese Systeme zuverlässig und effektiv arbeiten, müssen sie bestimmte Anforderungen erfüllen. Dazu gehören nachvollziehbare Entscheidungsprozesse, die es Sicherheitsteams ermöglichen, getroffene Maßnahmen zu verstehen. Zudem sollten die Systeme möglichst datensparsam arbeiten, etwa durch die Analyse von Metadaten statt sensibler Inhalte. Schließlich muss sichergestellt sein, dass die letzte Kontrolle beim Menschen bleibt. KI soll entlasten – nicht ersetzen.
Adaptive und proaktive Cloud-Sicherheit
So wertvoll Cloud-Umgebungen für digitale Geschäftsmodelle sind, so anfällig sind sie auch. Cyberangriffe werden schneller, gezielter und schwerer zu erkennen – insbesondere durch den Einsatz von KI. Eine Antwort auf diese Entwicklung sind adaptive und proaktive Sicherheitssysteme. KI ist dabei nicht nur Teil des Problems, sondern auch Teil der Lösung. Richtig eingesetzt kann sie Transparenz erhöhen, Reaktionszeiten verkürzen und Unternehmen dabei helfen, ihre Cloud-Infrastrukturen langfristig abzusichern.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
