kes_Special_4-2025_KI_Künstliche_Intelligenz_in Angriff_und_Verteidigung

1

Verlagsbeilage, August 2025 Special Künstliche Intelligenz in Angriff und Verteidigung Keine Angst vor Kollege KI Seite 2 Mitherausgeber Impressum Von reaktiver zu proaktiver Cybersecurity LOTL-Angriffe gezielt mit KI und Nutzerprofilen abwehren Threat Intelligence trifft KI IT-Infrastruktur im Wandel der Bedrohungslagen Generative Modelle als Assistenz systeme der Verteidigung Seite 4 Seite 7 Seite 10 Seite 15 Seite 19 GmbH Augustinusstraße 11 A 50226 Frechen (DE) Tel.: +49 2234 98949 – 30, redaktion@datakontext.com, www.datakontext.com Geschäftsführer: Dr. Karl Ulrich Handelsregister: Amtsgericht Köln, HRB 82299 Anzeigenleitung: Birgit Eckert (verantwortlich für den Anzeigenteil) Tel.: +49 6728 289003, anzeigen@kes.de Satz: Dirk Hemke (SatzPro), Krefeld; Markus Miller (Satz + Bild), München Druck: QUBUS media GmbH, Beckstraße 10, 30457 Hannover m i t L e s e p r o b e S p e c i a l a u s d e m H a u p t h e f t Bild: Andreas Heller, www.hellergrafik.de (Foto: Freepik.com)

2

Verlagsbeilage Keine Angst vor Kollege KI Künstliche Intelligenz sicher, efﬁzient und nachhaltig im Unternehmen einführen m o c . e b o d a . k c o t s / m u k a d n i j e e t a n : d l i B Künstliche Intelligenz (KI) verspricht Effi- zienzgewinne und das Ende leidiger Routine- arbeit. Doch um KI erfolgreich einzuführen, muss die Vorbereitung stimmen. Qualität und Auswahl der Daten sollten im Vorder- grund stehen und betriebliche Gremien wie Betriebsrat und Datenschutz früh eingebun- den werden. Von Elmar Török, SITS Deutschland GmbH Es wird häufig missverstanden: KI verbessert eben nicht die Datenqualität. Im Gegenteil, die künstliche In- telligenz ist auf eine saubere Datenbasis angewiesen, um vernünftige Ergebnisse zu erzielen. Doch in vielen Unter- nehmen sind die Datenhygiene zusammen mit einer ge- pflegten Rechte- und Ablagestruktur seit Langem ver- nachlässigte Pflichtübungen. Tenant-Hygiene, wie das Thema oft genannt wird, ist aufwendig, zäh und bringt zunächst keine direkt messbaren Erfolge. Das ändert sich mit der Einführung von künstlicher Intelligenz. Arbeitet die KI mit unvollständigen, inkonsistenten oder veralteten Daten, führt das zu fehlerhaften oder unbrauchbaren Vor- hersagen. Wenige Aktivitäten haben eine so große positive Wirkung auf den Erfolg der KI-Einführung wie eine um- fassende Datenbereinigung mit dem Ziel, die Qualität zu verbessern. Eine wichtige Aufgabe im Vorfeld ist dabei, die Kriterien für Qualität festzulegen. Das kann normalerweise nur der Datenbesitzer – und der ist häufig nicht definiert, zumindest nicht offiziell. Oft beginnen Tätigkeiten wie die Identifikation und Korrektur von Datenfehlern, die Ent- fernung von Duplikaten und die Harmonisierung der Da- tenformate mit der Suche nach einem Verantwortlichen. Neben der Datenqualität spielt auch die Daten- menge eine entscheidende Rolle. KI-Systeme, besonders solche, die auf maschinellem Lernen basieren, benötigen große Datenmengen, um Muster zu erkennen und robuste Vorhersagen zu treffen. Doch eine möglichst große Daten- menge bedeutet nicht automatisch, dass die Daten auch nützlich sind. Alte oder irrelevante Daten können die Mo- dellgenauigkeit beeinträchtigen und zu Verzerrungen füh- ren. Es ist daher notwendig, nicht nur die Datenmenge zu betrachten, sondern auch deren Aktualität und Relevanz zu überprüfen. Ein Modell, das beispielsweise auf veralte- ten Kundendaten basiert, kann keine aktuellen Marktent- wicklungen abbilden und liefert potenziell unbrauchbare Prognosen. Aufbewahrung und Löschung über Richtlinien umsetzen Eine Lösung, um der KI nur aktuelle Daten zur Verfügung zu stellen, ist ein individuelles Aufbewah- rungs- und Löschkonzept für die Organisation. Zum einen müssen darin rechtliche Vorgaben zur Mindestauf- bewahrungsdauer berücksichtigt werden. Zum anderen ist es notwendig, Daten, die als nicht mehr relevant ka- tegorisiert wurden, entweder zu löschen oder zumindest aus dem Zugriff der KI zu entfernen. Das kann über ein Staging mittels Backup oder über eine Archivierung um- gesetzt werden. Ein weiterer essenzieller Schritt vor der Einfüh- rung von KI besteht darin, sensible und kritische Daten zu identifizieren und entsprechend zu kennzeichnen. Welche das sind, muss jede Organisation individuell im Rahmen 2 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Künstliche Intelligenz in Angriff und Verteidigung, August 2025

3

z n e g i l l e t n I e h c i l t s n ü K eines Klassifizierungsprojekts herausfinden. Daten mit einem Label zu versehen, das die Kritikalität beschreibt, wird unter anderem von der Datenschutzgrundverord- nung gefordert. Aber auch der IT-Sicherheitsstandard ISO 27001 fordert die Klassifizierung von Daten mithilfe tech- nischer Maßnahmen. Nur wenn klar ist, welche Daten schützenswert sind, können diese auch mit den notwen- digen Mitteln geschützt werden. KI treibt die Einführung von Datenklassifizierung Organisationen haben den Aufwand für eine Datenklassifizierung bisher oft gescheut. Häufig existiert zwar eine Datenklassifizierungsrichtlinie, die Mitarbeiter kennen sie aber nicht oder wenden sie nicht an. Nun sor- gen künstliche Intelligenz und die hohe Attraktivität von KI-Tools für einen Nachholeffekt. In vielen Unternehmen werden jetzt die meist ohnehin vorhandenen Werkzeuge für die Datenklassifizierung abgestaubt und Einführungs- projekte gestartet. Moderne Tools ermöglichen es, Daten entweder automatisch zu kategorisieren oder durch eine nahtlose Integration in die täglichen Produktivitätstools wie Word, Excel, PowerPoint und E-Mail schnell und un- kompliziert manuell einzuordnen. Untrennbar damit verbunden ist das Rollen- und Rechtekonzept. In vielen Organisationen werden moder- ne Kollaborationstools ohne Governance verwendet. Jeder darf Speicherbereiche erstellen und Dateien oder ganze Ordnerstrukturen für einzelne oder für die Organisation freigeben. So entstehen unkontrollierte Informations- sammlungen, auf die jeder Zugriff hat – auch die KI. Denn künstliche Intelligenz im Unternehmen arbeitet immer im Benutzerkontext. Worauf Anwender Zugriff haben, dar- auf hat auch die KI Zugriff. Existieren keine klaren und durchsetzbaren Regeln für Dateifreigaben, werden die Er- gebnisse der KI-Anfrage auch Informationen enthalten, die möglicherweise nicht für den Benutzer gedacht waren. se, eingebunden werden. So können der Datenschutzbe- auftragte oder sein Vertreter sicherstellen, dass geeignete Datenschutzmaßnahmen getroffen werden. Dazu zählen unter anderem die Implementierung von Privacy-by-De- sign- und Privacy-by-Default-Prinzipien sowie die regel- mäßige Überprüfung der Systeme auf Datenschutzkon- formität. Schnelle und transparente Kommunikation zahlt sich auch beim Betriebsrat aus. Das Gremium ist nach dem Betriebsverfassungsgesetz immer dann zu beteiligen, wenn die Möglichkeit zur Überwachung von Mitarbeitern besteht. KI-Systeme sind in der Lage, Unmengen von Da- ten zu korrelieren und Analysen daraus zu erstellen. Ohne Governance-Leitlinie und die technischen Maßnahmen, um sie durchzusetzen, ließen sich Analysen missbrauchen. Der Betriebsrat stellt sicher, dass genau diese Regeln zur Governance definiert und implementiert werden. Klarheit bei der KI-Nutzung Die Einführung von KI ist ein dynamischer Pro- zess, der kontinuierlich überwacht werden muss. Moderne Tools zur Verwaltung von KI-Produkten können deren Nutzung meist sehr detailliert abbilden. So erfahren die Projektverantwortlichen, welche Teile der KI-Unterstüt- zung besonders gut ankommen und wo noch mehr In- formation und eventuell auch Hilfestellung notwendig sind. Darüber hinaus können die Monitoring-Tools dabei helfen, den Missbrauch von KI zu erkennen. Im Idealfall lassen sich darüber auch Regeln vorgeben, welche Daten verwendet werden dürfen und was passieren soll, wenn Anfragen an die KI gestellt werden, die sich nicht mit den ethischen und rechtlichen Vorgaben der KI-Richtlinie ver- einbaren lassen. Oft sind solche Anfragen nicht böswillig gemeint, sondern nur eine Folge von mangelnder Infor- mation oder einer falschen Erwartungshaltung der Mitar- beiter. Neben den Tools, um die Nutzung zu überwachen, ist also auch eine klar formulierte Richtlinie mit den Dos and Don’ts der KI-Nutzung unbedingt erforderlich. KI und die Rolle von Datenschutz- beauftragten und Betriebsrat Fazit und Ausblick Ein KI-System einzuführen, ist nicht nur eine technische, sondern auch eine rechtliche und ethische Herausforderung. Datenschutzbeauftragte und Betriebs- räte spielen dabei eine zentrale Rolle, da sie die Interessen der Mitarbeiter vertreten und die Einhaltung datenschutz- rechtlicher Vorschriften überwachen. KI-Systeme haben das Potenzial, große Mengen personenbezogener Daten zu analysieren, zu verarbeiten und sogar Verhaltensmuster zu erkennen. Dies kann erhebliche Risiken für die Privat- sphäre der Mitarbeiter erzeugen. Um das Vertrauen in die Technologie zu stärken und um für Transparenz bei den einzuführenden Tools zu sorgen, muss der Bereich Daten- schutz frühzeitig, am besten schon in der Planungspha- Die Einführung von KI im Unternehmen er- fordert weit mehr als die bloße Implementierung von Technologien. Sie muss strategisch geplant und unter Be- rücksichtigung ethischer und rechtlicher Vorgaben um- gesetzt werden. Datenschutzbeauftragte und Betriebsräte übernehmen eine wichtige Rolle, indem sie die Interessen der Mitarbeiter schützen und die Einhaltung von Daten- schutzrichtlinien überwachen. Aber auch durch umfassen- de Schulungen, kontinuierliches Monitoring und transpa- rente Kommunikation kann die Implementierung von KI optimal gestaltet werden. Langfristig wird es entscheidend sein, die Systeme regelmäßig zu überprüfen und die Mit- arbeiter aktiv einzubeziehen. ■ © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Künstliche Intelligenz in Angriff und Verteidigung, August 2025 3 Special

4

Verlagsbeilage KI in der Verteidigung Von reaktiver zu proaktiver Cybersecurity Künstliche Intelligenz wird unverzichtbar, um wachsende Security-Herausforderungen zu meistern und KI-basierte Software-Architekturen abzusichern. Eine wichtige Rolle spielen dabei KI-Agenten. Von Richard Werner, Trend Micro ist Cyberkriminalität ein globales Geschäft und die Angreifer sind heute keine Einzeltäter mehr, sondern in einer hochprofessionel- len Schattenindustrie organisiert. Sie nutzen Cloud-Ressourcen und As-a- Service-Angebote, was sie zu effizien- ten und weltweit vernetzten Akteuren macht. Neben monetär motivierten Cybercrime-Organisationen sehen wir – bedingt durch die angespannte geopolitische Lage – verstärkt auch staatlich gesponserte Gruppierungen, die das Ziel verfolgen, die Gesell- schaft zu destabilisieren. IT- oder IT- Security-Teams sind mit einer wach- senden Angriffsfläche und einer Flut an Warnmeldungen konfrontiert, die es erschwert, kritische Indikatoren zu erkennen. Dazu kommen neue re- gulatorische Anforderungen. Künst- liche Intelligenz (KI) bietet ihnen verschiedene Unterstützungs- und Automatisierungsmöglichkeiten. LLMs als Übersetzer In der Praxis kommen in der Cybersicherheit zwei Arten von KI- Modellen zum Einsatz. Zum einen gibt es die traditionelle, kategorisie- rende KI, die überall dort benutzt wird, wo es um Datenanalyse und die Auswertung von Sicherheitsin- formationen geht. Zum anderen gibt es generative KI, die aus bestehenden Informationen beziehungsweise Da- ten Neues erstellt. Hierunter fallen Large Language Models (LLMs), die sich in der Cybersicherheit beson- ders dafür eignen, technische Infor- mationen in natürliche Sprache und verständliche Anweisungen zu über- setzen. Insgesamt unterstützen bei- de Kategorien dabei, komplexe An- griffsflächen im Blick zu behalten, Risiken zu bewerten, Schwachstel- len proaktiv zu schließen und im Ernstfall schnell zu reagieren. In Trend Micro XDR korreliert und analysiert KI etwa die Warnmel- dungen sämtlicher angeschlossener Security-Systeme. So werden False Positives minimiert und Mitarbeiter sehen in einer zentralen Konsole auf einen Blick, ob die IT-Umgebung angegriffen wird und welche Sys- teme betroffen sind. Maschinelles Lernen kann Anzeichen für Cyber- angriffe verhaltensbasiert erkennen und auch bisher unbekannte Be- drohungen aufdecken – im Gegen- satz zu traditionellen, patternbasier- ten Verfahren. Außerdem kommen Machine Learning, Deep Learning und Computer Vision beispielsweise zum Einsatz, um Phishing-Mails he- rauszufiltern oder Deepfakes als un- gebetene Gäste in Videokonferenzen zu identifizieren. LLMs überneh- men währenddessen die Rolle des Übersetzers und helfen Mitarbeitern dabei, komplexe technische Infor- mationen leichter zu verstehen und schnell die richtigen Handlungs- empfehlungen zu finden. Spezialisierte KI-Agenten Aktuell geht die Branche den nächsten Entwicklungsschritt hin zu spezialisierten KI-Agenten, die wie virtuelle Security-Mitarbei- ter selbstständig Aufgaben überneh- men und sich ins Team integrieren. Die Integration einer proaktiven 4 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Künstliche Intelligenz in Angriff und Verteidigung, August 2025 Trend Micro AI Mesh mit Cybertron-Kern, verbindet Vulne- rabilitäts-Manage- ment, Bedrohungs- erkennung und KI-Technologien für Cybersicherheit. (Bild: Trend Micro)

5

Cybersecurity-KI bedeutet dabei wesentlich mehr als ein Chatbot-In- terface. Konkret beinhaltet sie die Sammlung spezialisierter LLM-Mo- delle, Datensätze, Machine Lear- ning, Sprachverarbeitung sowie KI-Agenten, die mit umfassender Sicherheitsexpertise in den Feldern Bedrohungsanalyse und Schwach- stellenforschung trainiert wurden. Es gibt dabei einen wich- tigen Unterschied zwischen rohen LLMs und den um sie herum auf- gebauten KI-Agenten: Basismodel- le wie GPT-4o von OpenAI oder Sonnet, Opus und Haiku von An- thropic sind rohe LLMs, die in der Lage sind, Benutzeranfragen zu be- antworten. Im Gegensatz dazu bau- en LLM-gesteuerte KI-Agenten wie ChatGPT und Claude auf diesen Basismodellen auf, um komplexere Systeme mit Funktionen wie Code- ausführung, Speichererhaltung und Internet-Browsing-Fähigkeiten zu schaffen. Teamarbeit beinhaltet in diesem Kontext also einen LLM-ge- steuerten KI-Agenten, der ein Sys- tem aus vielen miteinander verbun- denen Modulen ist. Ein Beispiel für spezialisier- te Cybersecurity-KI-Agenten sind sogenannte „Cybersecurity Digital Twins“. Solche KI-Agenten erstellen eine virtuelle Simulation der indi- viduellen IT-Umgebung, die konti- nuierlich mit Daten des Originalob- jekts oder -systems aktualisiert wird. In dieser können die Aktivitäten realer Angreifer imitiert und die Ri- sikoexposition in Echtzeit berechnet werden. Dabei lernen die Agenten dynamisch dazu. Auf diese Weise können Sicherheitsverantwortliche ihre Verteidigungsstrategie durch eine unbegrenzte Anzahl von Tests an einer Simulation kontinuierlich validieren und optimieren – ganz ohne Ressourcen des aktiven Secu- rity-Systems zu verbrauchen oder Störungen zu verursachen. Dank der durch KI-Agenten gewonnenen Fähigkeit, Aktionen von Angreifern vorherzusehen, können Unterneh- men mit einem proaktiven Secu- rity-Ansatz schneller sein als ihre Gegner. KI-Architekturen erfordern eine dynami- sche Absicherung KI-Workloads sind nicht mehr CPU-zentriert, sondern GPU- basiert. Sie führen neue Architektur- schichten ein, sind datengetrieben und verändern sich kontinuierlich. Auch die Cybersicherheit muss sich daher dynamisch ausrichten und KI-Modelle, den Datenfluss sowie deren Infrastrukturen laufend über- wachen. So lassen sich neue, KI-spe- zifische Risiken wie Data Poisoning oder Adversarial Attacks mindern, die darauf abzielen, KI-Modelle zu kompromittieren oder sensible Daten zu extrahieren. Wichtig ist, Sicherheit in alle Ebenen der KI- Infrastruktur zu integrieren und die gesamte Lieferkette zu berück- sichtigen – von der Hardware über die Cloud-Umgebung und Schnitt- stellen zu Drittsystemen bis zum Foundation-Modell und Nutzer- interface. Die Voraussetzung dafür schafft eine integrierte, KI-gestützte Cybersecurity-Plattform wie Trend Vision One. Die intelligente Security-Schaltzentrale Ein Plattformansatz stellt sicher, dass sämtliche Security-Sys- teme und KI-Agenten nahtlos inter- agieren und auf die bestmögliche und aktuelle Datenbasis zugreifen können. Alle sicherheitsrelevanten Informationen laufen einheitlich auf einer Plattform zusammen und Si- cherheitsprozesse werden zentral ge- managt. Das reduziert die Komple- xität in der Administration erheblich und schafft umfassende Transparenz über Aktivitäten, Risiken und Be- drohungen in der gesamten IT-Um- gebung. Trend Vision One basiert auf einer agentischen KI-Architek- tur, die als eine der Kernkompo- nenten einen Cybersecurity Digital z n e g i l l e t n I e h c i l t s n ü K Twin bereitstellt. Das intelligente Cyber-Gehirn hinter der Plattform ist Trend Cybertron, ein speziell für die Cybersecurity entwickeltes LLM. Dieser Ansatz in Kombinati- on mit der umfassenden Abdeckung von E-Mail-, Netzwerk-, Endpunkt- und KI-Sicherheitsdomänen macht eine einheitliche Security-Plattform zu einem unverzichtbaren Bestand- teil moderner Sicherheitsarchitektur in Unternehmen. Trend Cybertron wird auch als Open-Source-Lösung bereitge- stellt, sodass Sicherheitsforscher auf der ganzen Welt von dem speziali- sierten KI-Modell profitieren und daran mitwirken können. Typische Anwendungsfälle für die Open- Source-Lösung sind unter anderem die Verbesserung bestehender Se- curity-Tools mit fortschrittlichen KI-Funktionen, die Entwicklung zugeschnittener Sicherheitsanwen- dungen mit spezifischen Cybersecu- rity-Modellen und die Integration in DevSecOps-Pipelines zur automati- schen Sicherheitsbewertung. Die Zukunft ist proaktiv und KI-gestützt Die goldene Regel der Cy- bersicherheit bleibt: Während sich Bedrohungslandschaften, IT-Infra- strukturen und Software-Architek- turen weiterentwickeln, muss auch die Security Schritt halten. Reakti- ve Cybersicherheit ist schon lange nicht mehr zeitgemäß. Mit einer proaktiven Sicherheitsstrategie, die das Potenzial von KI-Agenten aus- schöpft, können Unternehmen Risiken vorausschauend mindern und auch künftige Herausforderun- gen meistern. Entscheidend für die Wirksamkeit ist ein einheitlicher Plattformansatz, der Security-Da- ten, -Systeme und -KI-Modelle zu- sammenführt und zentral steuert. So lassen sich die nötige Transparenz, Effizienz und Voraussicht erzielen, um mit der Verteidigung proaktiv den wachsenden Anforderungen zu- vorzukommen. ■ © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Künstliche Intelligenz in Angriff und Verteidigung, August 2025 5 Special

6

7

Verlagsbeilage Die handhabbare KI-Revolution LOTL-Angriffe gezielt mit KI und Nutzerprofilen abwehren KI und Machine Learning tragen wesentlich zur Erkennung und Abwehr von Gefahren bei. Doch Security-Teams kämpfen oft mit einer Flut unstrukturierter Alarme. Erst durch Verfahren wie das automatisierte Clustering von Nutzertypen wird KI praxisnah: Es zeigt, welche Tools an End- punkten genutzt werden, und erlaubt so gezielte Sicherheitsregeln. So lässt sich der legitime vom missbräuchlichen Einsatz von Systemtools bei Living-off-the-Land-Angriffen klar unterschei- den. z n e g i l l e t n I e h c i l t s n ü K Von Daniel Daraban, Bitdefender Cyberkriminelle nutzen bei sogenannten Living- off-the-Land-(LOTL)-Attacken legitime Systemtools wie PowerShell, um ihre Angriffe vorzubereiten und durchzu- führen. Diese Taktiken spielen besonders bei komplexen und gezielten Attacken eine große Rolle: Laut einer Analy- se von Bitdefender, die auf 700 000 sicherheitsrelevanten Ereignissen aus Telemetriedaten im Frühjahr 2025 basiert, setzen 84 Prozent aller schwerwiegenden Cyberangriffe auf LOTL-Mechanismen. Dennoch ist der überwiegende Teil der PowerS- hell-Nutzung legitim. Daher muss künstliche Intelligenz (KI) den legitimen vom missbräuchlichen Einsatz grund- sätzlich unterscheiden. Eine automatisierte Nutzeranalyse leistet zusätzliche Hilfe, um effiziente Sicherheitsrichtli- nien abzuleiten, die das Verhalten und die Bedürfnisse der jeweiligen Anwender berücksichtigen. Klassische Verhaltensanalysen stoßen an Grenzen Ein ungefilterter formaler Verhaltensreport auf Basis von KI und Machine Learning liefert keine praxis- nahe Grundlage für eine wirksame Abwehr. Wenn jede Nutzeraktivität isoliert und ohne Kontext bewertet wird, resultiert daraus eher ein Alarmchaos statt echter Hilfe. Die Folge ist eine Vielzahl von Regeln und Warnungen, die Administratoren prüfen und dokumentieren müssen – selbst dann, wenn sie letztlich bewusst ignoriert werden. Hinzu kommt, dass der Einsatz von Tools je nach End- punkt und Mitarbeiter stark variieren kann und sich pau- schal kaum einheitlich bewerten lässt. Auch berücksichtigt eine formale Verhaltensana- lyse weder Industriekontexte noch die Geschäftsprozesse im jeweiligen Unternehmen. KI-Modelle bleiben für sich generisch. Angreifer können eine darauf basierende Ab- wehr umgehen, indem sie ihrerseits vereinfachte Benut- zermuster nachahmen. Besonders bei gezielten Angriffen eruieren sie die Arbeitsweise der vorhandenen Sicherheits- software. Im nächsten Schritt identifizieren sie die effek- tivsten Verhaltensmuster legitimer Tools, mit denen sie sich am effizientesten und so lange wie möglich oder nötig tarnen können. Dynamische, zugeschnittene Regeln Auch im Zeitalter der KI benötigt die Cyberab- wehr daher – über eine Mustererkennung hinausgehend – weiterführende Ansätze der Verhaltensanalyse, um ver- wertbare Sicherheitsregeln dynamisch auf der Grundlage von Rolle, Verhalten und unternehmensspezifischem Kon- text zu definieren. Spezifische Merkmale einer Nutzerkate- gorie ergeben sich dabei aus der Funktion und Tätigkeit einer Person oder Personengruppe im Unternehmen, aus ihrer regionalen Herkunft und aus ihrer Branchenzugehö- rigkeit. Das Festlegen charakteristischer Nutzergruppen anhand ihres individuellen Verhaltens, das sich aus ihren © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Künstliche Intelligenz in Angriff und Verteidigung, August 2025 7 Special

8

Verlagsbeilage Wer Living-off- the-Land-Angriffe überwachen und abwehren will, be- nötigt Regeln zum Nutzen von Tools in Korrelation mit angelegten Nut- zerprofilen. (Bild: Bitdefender) Aufgaben ergibt, hilft dabei, unnötiges und damit oft ver- dächtiges Nutzen von Tools zu blockieren und so die An- griffsfläche für LOTL effizient zu reduzieren. Für PowerShell heißt dies zum Beispiel: LOTL- Angriffe mit PowerShell lassen sich problemlos für die meisten Nutzer blocken, weil Vertrieb, Marketing, Pro- duktionsmanager, Management, Controlling oder HR für ihre Arbeit keinen PowerShell-Einsatz auf ihrem End- punkt benötigen. Das betrifft also die allermeisten An- wender im Unternehmen. Ganz so einfach ist das aber nicht, weil auch Drittanbieter-Applikationen auf einem Endgerät PowerShell am Arbeitsplatz etwa der HR-Ab- teilung nutzen können – ohne Mitwissen des Mitarbei- ters. Dieses applikationsbedingte Nutzen des Tools lässt sich durch KI erkennen und durch eine Regel erlauben. Nicht erklärbare PowerShell-Aktivitäten konsequent zu blockieren, reduziert hingegen potenzielle Angriffsflächen erheblich. Aus der Verhaltensanalyse ergeben sich folgende segmentierte Nutzertypen: Task-User: Diese Mitarbeiter nutzen für LOTL- Angriffe beliebte Tools aufgrund vordefinierter Arbeitsab- läufe nur eingeschränkt oder kaum. Notwendig und hilf- reich sind hier strenge Ausführungsregeln und eine auf das Notwendigste beschränkte Vergabe von Privilegien. Knowledge-User: Fachleute wie Ingenieure, Ana- lysten und Berater benötigen eine gewisse Flexibilität, Tools zu nutzen, folgen aber gegebenen Mustern. C-Level: Sie verwenden nur eine begrenzte Zahl von Tools, haben aber umfassenden Zugriff. Sie brauchen deswegen präzise Verhaltensvorgaben. Hier kommt es pri- mär darauf an, dass privilegierte Aktionen mit dem erwar- teten Verhalten übereinstimmen. Sind die Benutzer in Gruppen segmentiert, kön- nen IT-Sicherheitsverantwortliche Richtlinien individu- ell und bedarfsgerecht definieren und dynamisch – auf Wunsch automatisiert – anpassen, anstatt pauschale Blo- ckaden durchzusetzen. In der Praxis hat sich das manuelle Segmentieren als zu umständlich erwiesen und oft zu zu- sätzlichen Reibungsverlusten innerhalb des Unternehmens geführt. Durch den Einsatz eines adaptiven Sicherheits- modells, das das Verhalten jedes Einzelnen versteht und Benutzer automatisch auf der Grundlage ihres Verhaltens gruppiert, können Firmen potenzielle Gefahren frühzeitig verhindern, ohne die Produktivität zu beeinträchtigen. KI benötigt Kontext Eine klassische Verhaltensanalyse, die allein auf KI basiert, aber ohne das Clustern von Nutzertypen arbeitet, bleibt oft zu allgemein. Das führt zu Fehlalarmen oder blinden Flecken in der Abwehr. Denn wenn Modelle kei- ne individuellen Nutzungsmuster und keinen konkreten Kontext einbeziehen, lassen sie sich von Angreifern leicht aushebeln. Jedoch kann ein neuer Ansatz, der Nutzer- gruppen segmentiert sowie Kontext und individuelle Be- nutzerverhaltensmuster granular und dynamisch in die Sicherheitsmaßnahmen mit einbezieht, eine präzisere Er- kennung bieten. Mit den sich daraus ergebenden indivi- duellen Nutzerregeln lassen sich legitime Aktivitäten klar vom Missbrauch trennen – und Risiken schon im Vorfeld eindämmen, bevor sie zu Vorfällen werden. KI ist dabei ein mächtiges Werkzeug – aber erst in Kombination mit intelligenter Nutzungsanalyse, die auto- matisiert, individuell und adaptiv arbeitet, entfaltet sie ihr volles Potenzial. Denn jede technologische Revolution ist erst dann von Nutzen, wenn sie handhabbare Ergebnisse liefert. ■ 8 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Künstliche Intelligenz in Angriff und Verteidigung, August 2025 ©shutterstock.com

9

7.-9.10.2025 Messe Nürnberg Halle 7 / 7-212 Ihr Premium-IT-Dienstleister für maximale Sicherheit & Verfügbarkeit • Moderne, hochsichere Rechenzentren in Deutschland – zertifiziert bis TÜViT-TSI-Level-4 • Georedundanz zwischen Nürnberg und München mit Latenzen < 2 Millisekunden • Umfassendes Portfolio von Colocation bis Cloud-Services • Kompetente Unterstützung durch unsere IT-Security- Experten bei der Umsetzung Ihrer Sicherheitsauflagen: MaRisk, DORA (BAIT, VAIT, ZAIT), IT-SiG 2.0, KRITIS, NIS2, FISG und ISAE 3402 • Ausgefeilte SIEM-Systeme und eigenes SOC für die Bearbeitung und Dokumentation Ihrer Security-Events Jetzt informieren ©shutterstock.com

10

Verlagsbeilage Threat Intelligence trifft KI Automatisierte Prozesse sorgen für mehr Tempo und Präzision in der IT-Sicherheit Sicherheitsverantwortliche stehen unter er- heblichem Druck: Die Bedrohungslage wird immer komplexer, während gleichzeitig die Reaktionszeiten aufgrund rechtlicher Vorga- ben zunehmend kürzer werden müssen. Wer Threat Intelligence effektiv nutzt, verschafft seinem Security Operations Center (SOC) nicht nur einen entscheidenden Wissens- vorsprung, sondern gewinnt auch an Hand- lungsschnelligkeit und Flexibilität. Von Michael Klatte, ESET Deutschland GmbH Neue Angriffsmethoden, polymorphe Malware und dynamisch agierende Akteure stellen IT-Abteilun- gen vor enorme Herausforderungen. In dieser Umgebung reicht es längst nicht mehr aus, auf reaktive Sicherheits- mechanismen zu setzen. Unternehmen benötigen Threat Intelligence (TI), um Bedrohungen frühzeitig zu erken- nen, zu analysieren und automatisiert Gegenmaßnahmen einzuleiten – ganz im Sinne des „Prevention First“-Ansat- zes von ESET. Mehr als nur eine (Reputations-)Datenbank Threat Intelligence bezeichnet die strukturierte Erhebung, Korrelation und Kontextualisierung sicher- heitsrelevanter Informationen aus verschiedenen Quellen. Dazu zählen etwa Malware-Analysen, globale TI-Feeds, Indicators of Compromise (IoCs), Datenbanken für be- kannte Schwachstellen, Deep-Web-Quellen und forensi- sche Artefakte. Entscheidend ist dabei nicht die Quantität der Daten, sondern ihre qualitative Verwertbarkeit im Si- cherheitskontext: Welche Schwachstellen betreffen meine Systeme konkret? Welche Advanced-Persistent-Threat- (APT)-Kampagnen zielen auf meine Branche? Ist eine ver- dächtige IP-Adresse in Verbindung mit bekannten Com- mand-and-Control-Infrastrukturen bei mir aufgetaucht? ESET Threat Intelligence adressiert genau diese Fragen, indem es die gesammelten Informationen mithilfe KI-gestützter Analysemethoden bewertet, kontextualisiert und priorisiert. Damit entwickelt sich diese TI-Lösung vom reinen Datenlieferanten zu einem integralen Be- standteil der Sicherheitsarchitektur. Drei Ebenen und ihre technische Relevanz Threat Intelligence lässt sich in drei Anwendungs- ebenen gliedern, die unterschiedliche technische und ope- rative Aufgaben erfüllen: Strategische TI: Sie liefert übergeordnete Ana- lysen zu Bedrohungsakteuren, geopolitischen Entwick- lungen und sektorspezifischen Angriffstrends. Diese Er- kenntnisse dienen der strategischen Risikobewertung, der Priorisierung von Investitionen in Sicherheitstechnologien und der Governance-Planung auf Management- und CI- SO-Ebene. Quellen sind unter anderem CERTs, OSINT- Plattformen und branchenspezifische Allianzen. Taktische TI: Hier geht es um verwertbare tech- nische Indikatoren wie IP-Adressen, Hashes, Signatu- ren oder Exploit-Ketten. Diese Daten lassen sich über standardisierte Schnittstellen wie STIX/TAXII in Se- curity-Information-and-Event-Management-(SIEM)-, Endpoint-Detection-and-Response-(EDR)- oder Exten- ded-Detection-and-Response-(XDR)-Systeme integrieren. Tools wie YARA, Suricata-Regeln oder benutzerdefinierte APT IoC-Feeds ermöglichen es, Bedrohungsindikatoren automatisiert zu erkennen und Maßnahmen wie Quaran- täne oder Blockierung auszulösen. Operative TI: Diese Ebene umfasst die kurzfris- tige Reaktion auf Bedrohungen und ihre Erkennung im aktiven Netzwerkverkehr. Sie liefert Kontext zu laufenden Angriffen und unterstützt Incident-Response-Prozesse – etwa durch automatisierte Analysen verdächtiger DNS- Anfragen, Auffälligkeiten bei Benutzerverhalten oder anomaler Skriptausführung auf Endpunkten. Ziel ist es, Bedrohungen in Echtzeit zu identifizieren, zu stoppen und forensisch auszuwerten. Die Plattform von ESET konsolidiert diese drei Ebenen auf einer einheitlichen Datenbasis und sorgt mittels KI-gestützter Verfahren für eine priorisierte Auf- bereitung relevanter Informationen. Die Integration in vorhandene Systeme erfolgt über Application-Programm- ing-Interfaces (APIs), sodass sich die TI-Feeds automa- tisiert in bestehende Workflows einbetten lassen. ESET nutzt dabei eigene Sensorik aus dem globalen Netzwerk, zum Beispiel Telemetriedaten aus etwa 110 Millionen 10 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Künstliche Intelligenz in Angriff und Verteidigung, August 2025

11

z n e g i l l e t n I e h c i l t s n ü K Endpoints, Sandbox-Analysen aus dem ESET LiveGrid-System sowie Erkenntnisse der ESET Research Teams mit Standorten in Bratislava, Montreal, Buenos Aires und Singa- pur. Zusätzlich unterstützt ESET auch den Zugriff auf community- basierte Plattformen wie die Mal- ware Information Sharing Platform (MISP). Dadurch lassen sich IoCs und Tactics, Techniques and Proce- dures (TTPs) aus vertrauenswürdi- gen Quellen organisationsübergrei- fend integrieren und automatisiert weiterverarbeiten. Dies ist ein wich- tiger Beitrag zur kollektiven Bedro- hungserkennung. ESET AI Advisor: Kontext verstehen, bevor es kritisch wird Mit der zunehmenden Da - tenmenge steigt die Gefahr der Überforderung in SOCs. Der ESET AI Advisor dient hier als System zur Entscheidungsunterstützung, das durch maschinelles Lernen und se- mantische Analysen Bedrohungen automatisch klassifiziert und kon- textualisiert. Anhand bestehender Klassifizierungswerte – wie dem Se- verity Score aus ESET Inspect – lei- tet es Handlungsempfehlungen ab. Eine Priorisierung im eigentlichen Sinne erfolgt nicht direkt durch den AI Advisor, sondern basiert auf der Auswertung vorhandener Risi- kowerte, die durch die Sicherheits- plattform bereitgestellt werden. Die zugrundeliegende Architektur kom- biniert Natural Language Processing (NLP), Entity Recognition und mo- dellgestützte Bedrohungsbewertung. Der AI Advisor verarbeitet unter anderem: Echtzeitdaten aus internen Logfiles, globalen TI-Feeds und Mal- ware-Samples, Kontextinformationen wie Asset-Kritikalität und Schwachstel- len-Exposition, bekannte TTPs nach MI- TRE ATT&CK. Ein Experte überwacht Cyberangriffe mithilfe der ESET-Plattform, die detaillierte Angriffspfade und Sicherheitslösungen visualisiert. (Bild: ESET) Ein zentrales Element dabei ist die Fähigkeit, große Mengen an Threat-Intelligence-Daten mit kon- textsensitiven Metainformationen anzureichern, beispielsweise zur geo- grafischen Verteilung, Branchenrele- vanz oder Angriffshistorie. Darüber hinaus lassen sich auch individuelle TI-Fragestellungen adressieren, etwa durch natürliche Fragen wie „Welche bekannten APTs haben in den letz- ten 7 Tagen Schwachstellen in VPN- Gateways ausgenutzt?“ Datensicherheit „Made in EU“ Die Verarbeitung aller Daten erfolgt vollständig in europäischen Rechenzentren – zum Beispiel im von ESET betriebenen Datacen- ter in Frankfurt – und erfüllt damit höchste Datenschutzanforderungen gemäß Datenschutz-Grundverord- nung (DSGVO) und der Netz- und Informationssicherheits-Richtlinie (NIS-2). ESET entwickelt seine Si- cherheitslösungen ausschließlich in- nerhalb der EU und speichert keine sicherheitsrelevanten Kundendaten außerhalb europäischer Hoheitsbe- reiche. Damit unterstreicht das Un- ternehmen mit „Made in EU“ seinen Anspruch auf digitale Souveränität und bietet eine echte Alternative zu außereuropäischen Anbietern, bei denen Fragen zur Transparenz und Zugriffssicherheit oft offenbleiben. Automatisierung als Schlüssel zur Skalierbarkeit Ein zentrales Ziel moderner TI-Plattformen ist die Automati- sierung der Reaktion auf erkannte Bedrohungen. In Verbindung mit Security-Orchestration-Automation- and-Response-(SOAR)-Systemen lassen sich zahlreiche Prozesse auto- matisieren: IoC-Verarbeitung: Neue In- dikatoren können automatisch zur Blockierung in Firewalls oder Web- Proxies eingesetzt werden. Asset-Matching: Bei Erken- nung einer kritischen Schwachstelle wird automatisch geprüft, welche Assets betroffen sind. Ist das der Fall, wird ein Ticket erstellt oder eine Es- kalation ausgelöst. Netzwerksegmentierung: Erkennt das System Lateral Move- ment oder eine potenzielle Kom- promittierung, kann es automatisch © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Künstliche Intelligenz in Angriff und Verteidigung, August 2025 11 Special

12

Verlagsbeilage Die Prozessstruktur eines Ransomware- Angriffs, analysiert durch die ESET-Platt- form, mit detaillier- ten Angriffspfaden und Sicherheitsinfor- mationen. (Bild: ESET) VLAN-Grenzen ziehen oder Qua- rantäne-Regeln aktivieren. automatisch ESET bietet hier mit ESET PROTECT MDR eine erweiterba- re Plattform. Die Kombination aus ESET Inspect (XDR) und MDR- Diensten erlaubt es, Bedrohungs- informationen in Reaktionspläne zu überführen, bei- spielsweise durch Isolierung betrof- fener Hosts, Auslösung forensischer Analysen oder automatischer Eska- lation an das Expertenteam. Diese Form der Automatisierung entlastet nicht nur SOC-Mitarbeiter, sondern reduziert Reaktionszeiten drastisch und verringert das Risiko menschli- cher Fehlinterpretation. Praxisbeispiel Im Jahr 2023 registrierte ESET eine Serie gezielter Ransom- ware-Angriffe auf mittelständische Unternehmen in Europa. Ausgangs- punkt war jeweils ein kompromit- tierter Remote-Zugriffspunkt über VPN-Dienste mit dokumentierten Schwachstellen. Die Threat-Intelli- identifizierte ent- gence-Plattform sprechende IOC-Korrelationen in frühen Phasen der Attacke, etwa durch die Wiederverwendung be- kannter Infrastruktur (C2-Domains, Shell-Skripte). Noch bevor ein Pay- load ausgeführt wurde, konnten be- troffene Unternehmen dank automa- tischer TI-Integration in ihre SIEMs Gegenmaßnahmen einleiten. ESETs globale Analyseinfra- struktur ermöglichte es, diese Kam- pagne mit vorhergehenden Angriffen derselben Bedrohungsakteure in Ver- bindung zu bringen und Kunden mit Frühwarnungen zu versorgen. Dazu zählen kontextualisierte Handlungs- empfehlungen, die auf ihre jeweilige Branchenlage zugeschnitten sind. Damit Unternehmen von Threat-Intelligence profitieren, soll- ten sie folgende Best Practices be- rücksichtigen: Integration in den SOC- Alltag: TI sollte nicht als Zusatz- funktion, sondern als Grundpfeiler in SIEM-, EDR- und SOAR-Prozes- se eingebunden sein. Kontextualisierung vor Ak- tionismus: Nur wer IoCs im Kontext der eigenen IT-Landschaft versteht, kann effizient reagieren. Automati- sche Priorisierung nach Asset-Kriti- kalität und Angriffswahrscheinlich- keit ist entscheidend. Schulungen für Analys- ten: Ein effektiver Einsatz erfordert Kenntnisse zu TI-Taxonomien, Feed-Standards, Machine Learning- Grundlagen und Limits KI-gestütz- ter Bewertung. Fazit Die Digitalisierung des An- griffsraums erfordert eine gleichwer- tige Digitalisierung der Verteidigung. Threat-Intelligence entfaltet ihr vol- les Potenzial erst durch die Kombina- tion mit KI-basierter Kontextanalyse und automatisierter Reaktion. ESET Threat Intelligence bietet hier eine skalierbare Lösung, die sich in be- stehende Infrastrukturen integrieren lässt und sowohl menschliche Ana- lysten als auch automatische Schutz- systeme mit handlungsrelevanten Erkenntnissen versorgt. Die Zukunft gehört nicht jenen mit den meisten Daten, sondern jenen mit der treff- sichersten Interpretation und Um- setzung. Am besten gelingt dies in einem europäischen Sicherheitsöko- system ohne versteckte Hintertüren und mit einem klaren „Prevention First“-Selbstverständnis. ■ 12 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Künstliche Intelligenz in Angriff und Verteidigung, August 2025

13

Zukunftssicher mit KI: Chancen und Risiken verstehen und effektiv managen Best Practice für ein sicheres KI-Management Künstliche Intelligenz (KI) ist mehr als nur ein technologischer Fortschritt; sie ist ein entscheidender Faktor für die Zukunftssicherung von Unternehmen. Doch mit den Chancen kommen auch Herausforde- rungen, die es zu bewältigen gilt. Führungskräfte und IT-Verantwortliche müssen die Gefahren der KI verstehen und effektiv managen, um die Potenziale voll auszuschöpfen. Gefahren der KI: Eine Bitkom-Um- frage zeigt, dass viele Unternehmen KI als Chance begreifen, aber auch ihre Risiken ernst nehmen. Zu den Hauptgefahren gehören Datenmiss- brauch, unvorhersehbare Entschei- dungen von KI-Systemen und die Abhängigkeit von automatisierten Prozessen. Diese Risiken können durch die Anwendung regulatori- scher und technischer Anforderun- gen eingedämmt werden. Chancen der KI: Trotz der Risi- ken bietet KI enorme Chancen zur Effizienzsteigerung und für Innova- tionen. Unternehmen können durch den Einsatz von KI ihre Leistung steigern, neue Märkte erschließen, die Kundenzufriedenheit erhöhen und nachhaltige Wettbewerbsvor- teile erlangen. Es gilt eine strukturierte Herange- hensweise zu entwickeln. Best Practices für ein zukunfts- sicheres KI-Management: 1. Risikobewertung: Regelmäßige Überprüfung der KI- Systeme und ihrer Auswirkungen auf die Geschäftsprozesse. 2. Rechtskonformität: Die umfangreiche IT-Compliance- Landschaft mit den regulatorischen und technischen Anforderungen können als Belastung im Mittelstand wahrgenommen werden. Gleichzeitig können diese jedoch dabei helfen, Risiken einzudämmen. 3. Weiterbildung: Investition in Seminare und Trai- nings, zur Vorbereitung aller Anwen- der:innen auf die Herausforderun- gen, die KI mit sich bringt. Nutzen Sie unsere breite Auswahl an KI- und IT-Seminaren, um die Herausforderungen in Ihrem Unternehmen effektiv anzugehen. Zum Beispiel:  KI und Cybersecurity  Intensivseminar KI-Management  KI-Spezialist (TÜV®) Lesen Sie unseren umfassenden Blog-Beitrag zur „Zukunftssicher- heit mit KI“ tuev-nord.de/wissen/ki-gefahren Gefahren der KI effektiv managen Ein Schutzschild für Ihr Business! Entdecken Sie unsere Seminar- übersicht für Weiterbildungen zu KI-Themen und finden Sie das passende Angebot für Ihre Bedürfnisse. Stellen Sie die Weichen für sichere KI-Anwendungen in Ihrem Unternehmen! Alle Details zu den TÜV NORD Akademie KI-Seminaren

14

GravityZone PHASR schützt Ihre systemeigenen Tools vor gezielten Angriffen Reduzieren Sie Ihre Angriffsfläche durch intelligente Härtung kritischer Betriebssystem-Komponenten – automatisiert, dynamisch, effektiv. bitdefender.de/phasr

15

Modulare Rechenzentren und KI-Sicherheit: IT-Infrastruktur im Wandel der Bedrohungslagen Mit dem Aufstieg künstlicher Intelligenz (KI) verschieben sich nicht nur technologische, sondern auch sicherheitspolitische Koordinaten in der digitalen Infrastruktur. Was früher vor allem Re- chenleistung bedeutete, wird heute zum strategischen Baustein in der Auseinandersetzung mit immer komplexeren Cyberrisiken. Modulare Rechenzentren gewinnen vor diesem Hintergrund an Bedeutung – als flexible Reaktion auf technische Anforderungen und als Antwort auf volatile Bedrohungsszenarien, in denen Rechenkapazitäten, Energieverfügbarkeit und Sicherheit neu gedacht werden müssen. z n e g i l l e t n I e h c i l t s n ü K Von Michael Lang, noris network AG Angreifer nutzen zunehmend KI, um Schwach- stellen in der IT-Infrastruktur von Unternehmen gezielt auszunutzen. So lassen sich beispielsweise Phishing-Mails mittels generativer Modelle überzeugender gestalten oder Identitätsfälschungen durch synthetische Stimmen sowie Deepfakes perfektionieren. Automatisierte Schwachstel- len-Scans oder adaptiver Schadcode, der sich durch ma- schinelles Lernen laufend der Erkennung entzieht, ver- schärfen die Lage für Organisationen zusätzlich. Darüber hinaus ermöglicht es die KI, großange- legte Desinformationskampagnen in sozialen Netzwerken zu koordinieren und zu automatisieren – mit potenziell gravierenden Folgen für politische und wirtschaftliche Stabilität. Sogar das gezielte Training von KI-Modellen auf gestohlenen Daten zur Rekonstruktion sensibler In- formationen ist kein theoretisches mehr, sondern ein real gewordenes Szenario. Verteidigung mit KI: Mustererkennung in Echtzeit Doch KI ist nicht nur zum probaten Werkzeug von Angreifern geworden. Sie hat sich ebenso zum ent- scheidenden Mittel zur Verteidigung entwickelt: Lernende Algorithmen ermöglichen es, Anomalien in Netzwerkver- kehr, Nutzerverhalten oder Systemprozessen schneller und präziser zu erkennen als klassische, signaturbasierte Syste- me. Integriert in Security Operations Center (SOC) und kombiniert mit Security-Information-and-Event-Manage- ment-(SIEM)-Lösungen, wird KI zu einem Schlüsselbau- stein proaktiver Cybersicherheit. Besonders vielverspre- chend sind selbstlernende Systeme, die aus vergangenen Angriffen lernen und ihre Erkennungsalgorithmen konti- nuierlich und idealerweise in Echtzeit verbessern. Solche Lösungen stellen jedoch hohe Anforderungen an Infra- struktur, Datenqualität und fachliche Expertise, sowohl bei der Implementierung als auch im laufenden Betrieb. Modularisierung: Strategischer Infrastrukturansatz Vor diesem Hintergrund gewinnen modulare Re- chenzentren an Bedeutung. Sie brechen mit dem klassi- schen Modell monolithischer Großanlagen, das oft von langen Planungszyklen, hohen Vorabinvestitionen und begrenzter Anpassungsfähigkeit geprägt war. Stattdessen ermöglichen sie eine bedarfsgerechte Skalierung, eine ra- sche Implementierung von KI-Modulen in rund sechs Monaten, schnelle Inbetriebnahmen und präzise Anpas- sungen an sich wandelnde technologische Anforderungen oder Sicherheitslagen. Hinzu kommt: Autarke Module lassen sich flexibel kombinieren, ersetzen oder erweitern. Das reduziert nicht nur Kosten, sondern erhöht auch die Reaktionsgeschwindigkeit im Fall neuer Bedrohungen oder technologischer Entwicklungen. Energie, Kühlung, Standardisierung Mit steigender Rechenleistung wachsen gleich- zeitig die Anforderungen an Energieversorgung und Küh- lung. KI-Racks mit hoher Leistung benötigen innovative © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Künstliche Intelligenz in Angriff und Verteidigung, August 2025 15 Special

16

Verlagsbeilage Die Abbildung zeigt ein modulares Rechenzentrum von noris. (Bild: @noris network AG) Versorgungskonzepte, etwa Hochvolt-Gleichstromnetze (HVDC), die Energie effizienter und mit weniger Um- wandlungsverlusten direkt ins Rack transportieren. Die Abwärme solcher Systeme kann heute nicht mehr allein mit Luft abgeführt werden. Flüssigkühlung – besonders Direct-to-Chip-Konzepte – hat sich in diesem Zusam- menhang als technischer Standard für Hochleistungsrech- ner etabliert. Der Vorteil: thermische Effizienz, Geräusch- reduktion und das Potenzial zur Abwärmenutzung, etwa zur Einspeisung in Fernwärmenetze oder für industrielle Prozesse. Ein Beispiel für die Umsetzung dieser Anforde- rungen ist das UHD-KI-Rack von noris network. Die Plattform wurde speziell für den Betrieb von Hochleis- tungs-KI-Systemen entwickelt und vereint mehrere zen- trale Infrastrukturmerkmale: eine elektrische Leistungs- aufnahme von mehr als 150 kW pro Rack, eine direkte Flüssigkühlung (Direct-to-Chip) zur effizienten Wärme- abfuhr und eine HVDC-Stromversorgung zur Reduk- tion von Umwandlungsverlusten. Das System ist modular aufgebaut und lässt sich flexibel in bestehende IT-Um- gebungen integrieren. Damit bietet es nicht nur eine technische Antwort auf zunehmende Leistungsdichten, sondern schafft auch eine infrastrukturelle Grundlage für den sicheren und energieeffizienten Betrieb KI-gestützter Anwendungen – vom Training großer Sprachmodelle bis zu sicherheitskritischen Inferenzsystemen im operativen Betrieb. Hybride Modelle als Infrastruktur der Zukunft Trotz aller technologischen Fortschritte ist eine wesentliche Herausforderung noch zu meistern: die Stan- dardisierung. Der Markt ist fragmentiert, Schnittstellen sind uneinheitlich, proprietäre Systeme dominieren. Erst durch einheitliche Standards – etwa in Stromversorgung, Wasserkupplungen oder Steuerungssystemen – ließen sich Modularität und Interoperabilität wirklich konsequent umsetzen. Eine moderne Sicherheitsstrategie kombiniert deshalb häufig zentrale und dezentrale Strukturen. Zen- trale „KI-Fabriken“ übernehmen rechenintensive Trai- ningsaufgaben, während Edge-Rechenzentren in Nut- zer- oder Standortnähe für die Inferenz und unmittelbare Sicherheitsanwendungen zuständig sind. Dieses „Hub- and-Spoke“-Modell verbindet Effizienz mit Resilienz und adressiert zugleich geopolitische Anforderungen an Datenhaltung und digitale Souveränität. In sicherheitskri- tischen Bereichen – von der Finanzwirtschaft über das Ge- sundheitswesen bis zur öffentlichen Verwaltung – eröffnet dieses Modell die Möglichkeit, sowohl Rechenleistung als auch Datenschutz unter operativen Bedingungen zu ver- einen. Lokale Verarbeitung sensibler Daten, kombiniert mit zentraler Intelligenz, ergibt eine robuste und flexible Architektur. Organisationale Voraussetzungen und strategische Planung Und: Die Einführung modularer KI-Infrastruktu- ren bedeutet nicht nur technologische, sondern auch orga- nisatorische Veränderungen. Es entstehen neue Rollenpro- file: Experten für KI-Infrastruktur, Cybersicherheit und regulatorische Anforderungen müssen eng zusammenar- beiten. Interdisziplinäre Teams, die technisches, operatives und sicherheitspolitisches Know-how bündeln, werden zur Norm. Ferner stehen Organisationen mehr denn je vor der strategischen Entscheidung, ob und in welchem Maße Infrastruktur selbst betrieben oder ausgelagert wird. Gera- de modulare Architekturen ermöglichen es, komfortabel hybride Modelle zu fahren: Ein Teil der Ressourcen wird vorgehalten, ein anderer bedarfsgerecht über Partner be- zogen – flexibel, kontrollierbar und anpassbar. Unbestrit- ten ist: KI verändert nicht nur die Art von Bedrohungen, sondern auch die Mittel zu ihrer Abwehr. Die daraus resul- tierenden Anforderungen an Rechenleistung, Skalierbar- keit und Integration machen modulare Rechenzentren zur logischen Antwort auf eine sich wandelnde Sicherheits- landschaft. ■ 16 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Künstliche Intelligenz in Angriff und Verteidigung, August 2025

17

IT-Sicherheit ist Vertrauenssache Machen Sie Ihr Unternehmen NIS2-Ready mit ESET Technologien aus der Europäischen Union eset.de/nis2

18

Verlagsbeilage Gefragt: Neue Qualifikationen für KI-gestützte IT-Sicherheit Der deutsche ITK-Markt wächst 2025 um 4,4 Prozent auf 235,8 Milliarden Euro. Besonders dy- namisch zeigt sich der Software-Bereich mit einem Plus von 9,5 Prozent auf 52,7 Milliarden Euro, angetrieben durch Cloud-Technologien und Künstliche Intelligenz (KI). Das Geschäft mit KI-Platt- formen legt sogar um 50 Prozent auf 2,3 Milliarden Euro zu. Parallel entstehen rund 9.000 neue Arbeitsplätze in der Digitalwirtschaft – so das Ergebnis einer aktuellen Bitkom-Studie. Vertrauen bei Mitarbeitenden, Kunden und Partnern zu stärken. Darüber hinaus ist Kommunikationsfähigkeit entscheidend: Sicherheitsstrategien und Maßnahmen müssen transparent vermittelt werden, um Vertrauen bei Mitarbeitenden, Kunden und Partnern aufzubauen. Spezielle Weiterbildungsmaßnahmen Unternehmen, die diese vielseitigen Fähigkeiten in ihren Teams systematisch aufbauen, können neue Be- drohungen frühzeitig erkennen, regulatorische Risiken reduzieren und gleichzeitig die Innovationskraft ihrer KI- Anwendungen stärken. Seminare der Bitkom Akademie wie „KI-Com- pliance-Beauftragter“, „Cybersecurity 2.0: KI in der IT- Sicherheit“ oder „Cybersecurity Awareness Expert“ helfen dabei, technisches Wissen mit regulatorischem und ethi- schem Verständnis zu verknüpfen — und so die Grund- lage für eine zukunftsfähige Sicherheitsstrategie zu legen. Haben Sie Fragen zu unseren Seminaren und Inhouse-Angeboten im Be- reich KI und IT-Sicherheit? Dann kontaktieren Sie Nicole Stoitschew. ■ n.stoitschew@bitkom-service.de KI als Chance und Risiko zugleich KI eröffnet der IT-Sicherheit neue Möglichkeiten: Sie kann Muster in Datenmengen in Echtzeit analysieren, potenzielle Angriffe frühzeitig erkennen und Abwehrmaß- nahmen automatisiert einleiten. Gleichzeitig vergrößert sie aber auch die Angriffsfläche. Selbstlernende Systeme können fehlerhafte Entscheidungen treffen oder von au- ßen manipuliert werden, neue Angriffstechniken entste- hen, die klassische Schutzmechanismen an ihre Grenzen bringen. Technologisches Verständnis allein reicht nicht mehr aus Die zunehmende Komplexität macht deutlich: Technisches Grundwissen allein ist nicht mehr ausrei- chend. Gefragt ist die Fähigkeit, KI-Modelle ganzheit- lich zu verstehen, zu bewerten und kontinuierlich zu überwachen. Beschäftigte müssen algorithmische Risiken einschätzen können und wissen, wie sich Datenflüsse, Modellentscheidungen und Sicherheitsarchitekturen ge- genseitig beeinflussen. Neben tiefem technologischen Know-how werden analytische Fähigkeiten immer wichtiger. Sicherheitsver- antwortliche müssen in der Lage sein, große Datenmen- gen effizient zu bewerten, ungewöhnliche Muster zu er- kennen und daraus Handlungsempfehlungen abzuleiten. Regulatorische Anforderungen und ethi- sches Bewusstsein rücken in den Fokus Mit Vorgaben wie dem AI Act und der DSGVO gewinnen rechtliche und ethische Aspekte stark an Bedeu- tung. Sicherheitsverantwortliche sollten nicht nur über technisches Fachwissen verfügen, sondern auch regulato- rische Anforderungen sicher anwenden können. Ebenso wichtig ist es, Sicherheitsstrategien klar zu vermitteln und 18 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Künstliche Intelligenz in Angriff und Verteidigung, August 2025

19

z n e g i l l e t n I e h c i l t s n ü K KI zwischen Cybercrime und Cyberdefense Generative Modelle als Assistenz- systeme der Verteidigung Generative KI schafft neue Möglichkeiten – für Angreifer ebenso wie für Verteidiger. Während Cyberkriminelle ihre Werkzeuge professionalisieren, hoffen Security-Teams auf intelligente Assistenten, die schneller warnen, analysieren und reagieren. Von Frank Schwaak, Rubrik Cyberangriffe werden zunehmend durch den Ein- satz von generativer künstlicher Intelligenz (GenAI) pro- fessionalisiert. Angreifer nutzen Modelle wie WormGPT oder FraudGPT, um täuschend echte Phishing-Mails zu generieren, Malware-Varianten zu entwickeln oder Inhalte für Deepfake-basierte Kampagnen zu erzeugen. Gleichzei- tig steigt die Frequenz erfolgreicher Ransomware-Angriffe rapide – Cybersecurity Ventures zufolge könnte die Zahl bis 2031 auf einen Vorfall alle zwei Sekunden ansteigen. Darüber hinaus spitzt sich der Mangel an Fach- personal in der IT-Sicherheit in Deutschland weiter zu. Laut Bitkom werden bis 2040 mehr als 660.000 IT-Stellen unbesetzt bleiben, sofern politische Gegenmaßnahmen nicht greifen. In diesem Spannungsfeld – zunehmende Be- drohung bei abnehmender personeller Abwehrfähigkeit – wird der Einsatz von künstlicher Intelligenz (KI) in der Defensive zu einer strategischen Notwendigkeit. Schließlich verspricht KI erhebliche Effizienzge- winne, Einblicke und Skalierbarkeit, doch ihr Potenzial ist noch lange nicht ausgeschöpft. Die Überführung von KI-Pilotprojekten in die Produktion und Mehrwert in großem Umfang zu generieren, bleibt eine große Heraus- forderung für Unternehmen. Doch wie werden KI-Systeme sinnvoll und ver- antwortungsvoll in Cybersecurity-Angebote integriert, um dieser sich entwickelnden Bedrohungslandschaft nicht nur zu begegnen, sondern sich proaktiv dagegen zu ver- teidigen? Wo KI unterstützen kann – und wo nicht Während klassische Machine-Learning-Verfahren bereits seit Jahren zur Anomalie-Erkennung im Einsatz sind, zielt der Einsatz generativer KI-Modelle darauf ab, die menschliche Entscheidungsfindung zu unterstützen. Dabei geht es nicht um die vollständige Automatisierung sicherheitsrelevanter Prozesse – vielmehr übernehmen KI- Systeme eine beratende Rolle, etwa bei der Analyse von Vorfällen, der Priorisierung von Maßnahmen oder der strukturierten Wiederherstellung betroffener Systeme. In sicherheitskritischen Bereichen wie Recovery- Prozessen gilt: Fehlentscheidungen, etwa ausgelöst durch falsch-positive Erkennungen, können operative Systeme gefährden oder zu Datenverlust führen. Daher sehen viele Experten den Einsatz generativer KI in der Cyberabwehr vor allem als Assistenzsystem – mit klaren Leitplanken und menschlicher Kontrolle. Generative KI als interaktiver Sicherheitsassistent Ein konkreter Anwendungsfall für GenAI ist die assistierte Reaktion auf Sicherheitsvorfälle mit KI-basier- ten Chat-Begleitern. Diese intelligenten Begleiter greifen in Echtzeit auf riesige Bestände an technischer Doku- mentation, forensischen Daten und komplexen System- abläufen zu. Dadurch können sie sofort kritische Fragen beantworten wie: „Wie erkenne ich den vollen Umfang dieses Ransomware-Angriffs?“ oder „Wo finde ich das letz- te unversehrte Backup?“ – und leiten so Sicherheitsteams mit Präzision und Schnelligkeit an, wenn die Zeit drängt. Ein Beispiel ist Rubrik Ruby (www.rubrik.com/de), ein GenAI-Begleiter, der in der Rubrik Security Cloud in- tegriert ist. Er wurde entwickelt, um Cyber-Erkennung, -Wiederherstellung und -Widerstandsfähigkeit zu verein- fachen, zu beschleunigen oder zu automatisieren. Sobald Ruby eine Bedrohung identifiziert, werden die Benutzer sofort benachrichtigt und erhalten über eine © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Künstliche Intelligenz in Angriff und Verteidigung, August 2025 19 Special

20

Verlagsbeilage Unterschätzte Identitätsangriffe Parallel zur Absicherung von Daten rückt der Schutz digitaler Identitäten zunehmend in den Fokus. Die Nutzer-Authentifizierung (Identity) ist ein zentraler Bestandteil der IT-Infrastruktur einer großen Mehrheit der Unternehmen – und bleibt ein konstant attraktives Ziel für Angreifer. Angriffe auf Authentifizierungssyste- me zählen laut der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) zu den häufigsten Einstiegsvektoren für erfolgreiche Cyberangriffe. Einmal kompromittiert, ermöglichen gestohlene Identitäten oft eine sich immer weiter ausdehnende Bewegung durch das Netzwerk, bis hin zum Zugriff auf kritische Systeme und Daten wie Anmeldeinformationen. Eine solche Störung kann sogar eine Wiederherstellung nach einem Cyberan- griff verhindern. Insbesondere nicht-menschliche Identitäten (Ser- vicekonten, Zugriffstoken, Automatisierungsschnittstel- len) stellen ein wachsendes Risiko dar, da sie oft unzu- reichend überwacht und schwer zu verwalten sind. Eine wirksame Verteidigung erfordert daher nicht nur Schutz- maßnahmen für Benutzerkonten, sondern ein umfassen- des Risikomanagement für alle Arten von Identitäten. Zentrale Elemente dabei sind: Umfassende Risikoanalyse für menschliche und nicht-menschliche Identitäten mit einer einheitlichen Sicht auf alle Identitätsanbieter Transparenz über Rechteveränderungen und ver- dächtige Zugriffsmuster Automatisierte Wiederherstellung kompromit- tierter Identitätsinfrastrukturen (zum Beispiel Active Di- rectory, Entra ID) Verknüpfung von Identitätsinformationen mit sensiblen Datenkontexten zur fundierten Bewertung von Bedrohungen KI-gestützte Verteidigung mit menschlichem Entscheidungsrahmen Der Einsatz generativer KI in der Cybersecurity bietet großes Potenzial – vorausgesetzt, er erfolgt geregelt, kontextbezogen und eingebettet in bestehende Sicher- heitsprozesse. Generative Modelle können nicht entschei- den, ob ein Recovery-Prozess eingeleitet werden soll oder ob ein Datenabfluss gemeldet werden muss. Sie können aber unterstützen: bei der Informationsbeschaffung, Ana- lyse, Priorisierung und strukturierten Aufbereitung kom- plexer Zusammenhänge. Gerade in Zeiten knapper Ressourcen und wach- sender Bedrohungslagen eröffnet diese Form der intelli- genten Assistenz neue Handlungsspielräume – ohne dabei die Verantwortung zu verschieben. ■ m o c . e b o d a . k c o t s / a l a d a R : d l i B interaktive Chat-Schnittstelle eine schrittweise Anleitung. Dies erlaubt eine tiefere Untersuchung der Bedrohung, den Start von Aktionen wie die Suche nach verwand- ten Indikatoren oder betroffenen sensiblen Daten. Ruby bietet außerdem Empfehlungen für die Quarantäne und Wiederherstellung infizierter Daten sowie herunterladbare Berichte. Sichere Datenbereitstellung für generative Modelle Wenn Unternehmen versuchen, GenAI einzufüh- ren, stehen sie vor mehreren Hürden, darunter die Mo- dellgenauigkeit, die Leistung im großen Maßstab und das Kostenmanagement. Darüber hinaus sind Allzweck-LLMs oft langsam sowie kostspielig und Daten in KI-Projekten oft schlecht verwaltet. In Anbetracht dieser Herausforde- rungen berichtet Gartner, dass voraussichtlich mehr als die Hälfte der KI-Projekte nie in großem Maßstab umgesetzt werden. Um dieses Dilemma zu lösen und die Einfüh- rung von KI zu beschleunigen, hat Rubrik kürzlich sei- ne Absicht bekanntgegeben, Predibase zu übernehmen, eine Plattform für das Training, die Feinabstimmung und den Einsatz von KI-Modellen. Mit dieser Lösung kön- nen Kunden die Einführung von agentenbasierter KI be- schleunigen und ihre Fähigkeit verbessern, GenAI rasch, kosteneffizient und sicher von der Pilotphase bis zur Pro- duktion zu beschleunigen. 20 © DATAKONTEXT GmbH · 50226 Frechen · <kes> Special Künstliche Intelligenz in Angriff und Verteidigung, August 2025

21

Proaktive Sicherheit beginnt hier. Ihr Weg zu Innovationen beginnt mit einer Cybersecurity-Plattform, die Risikomanagement, Security Operations und mehrschichtigen Schutz in sich vereint. Machen Sie Security zum Innovationstreiber mit Trend Vision One™. Erfahren Sie mehr unter trendmicro.com/visionone ©2025 Trend Micro, Inc. All rights reserved

22

+ Mehr wissen mit Sichern Sie sich Ihren Wissensvorsprung in der Informationssicherheit! ▪ Fachzeitschrift inkl. Specials 6x jährlich per Post und digital. ▪ Zugang zu aktuellen Online-Fachartikeln und Studien sowie zu dem kompletten Online-Archiv. ▪ Exklusiver Zugriff auf über zwanzig neue Online-Premium-Artikel pro Monat sowie auf aktuelle Videos und Webinaraufzeichnungen. ▪ 10 % Rabatt auf DATAKONTEXT- Online-Schulungen im Bereich Informations sicherheit. ▪ nur 199,— € im Jahr (inkl. Mwst. und Versand) Leseprobe auf den Folgeseiten Jetzt informieren: www.kes-informationssicherheit.de

23

Bedrohung Doxing Doxing – Bloßstellung mit System Wenn persönliche Daten zur Waffe werden – Doxing-Risiken und Schutzmaßnahmen für Organisationen Wenn persönliche Informationen in bösartiger Absicht im Internet veröffentlicht werden, scha- det das zwar vordringlich den Betroffenen – doch auch Arbeitgeber oder Organisationen, die mit den „Doxees“ im Zusammenhang stehen, können in Mitleidenschaft gezogen werden. Dieser Artikel skizziert typische Abläufe von Doxing-Vorfällen, analysiert die daraus entstehen den Risiken für Unternehmen und Organisationen und gibt praxisnahe Empfehlungen, um solche Angriffe zu verhindern oder ihnen zumindest vorbereitet begegnen zu können. Von Anjuli Franz, Darmstadt Doxing bezeichnet die Veröffentlichung per- sönlicher Informationen über eine Person mit dem Ziel, ihr zu schaden. Der Begriff stammt aus dem Hacker- Slang („dropping Docs“) und reicht vom Teilen einzel- ner Informationen wie Name oder Kontaktdaten bis zum systematischen Aggregieren umfangreicher Daten- sätze – aus öffentlichen Quellen wie Behördenregistern oder Social-Media-Posts ebenso wie durch Hacking oder Social-Engineering. Die Motive sind vielfältig: Mal geht es um De- anonymisierung, mal um die Preisgabe des Aufenthalts- orts – häufig ein Einfallstor für physische Gewalt –, oft aber schlicht darum, Betroffene zu delegitimieren, ihre Glaubwürdigkeit zu untergraben und sie als „unseriös“ darzustellen. Doxing ist eng mit anderen Formen digitaler Gewalt wie Hatespeech und Stalking verflochten. Die so- genannten Doxer* nutzen es, um Opfer (Doxees) gezielt einzuschüchtern, aus dem öffentlichen Diskurs zu ver- drängen, Rache zu üben oder schlicht die eigenen Fähig- keiten im Bereich Open-Source-Intelligence (OSINT) zu demonstrieren [1]. Kanal mit über 50 000 Mitgliedern veröffentlichten Do- xer Fotos und Informationen von Polizeibediensteten und deren Familien. Mehr als 800 Betroffene wurden darauf- hin belästigt oder sogar gewalttätig angegriffen – mit dem klaren Ziel der Einschüchterung und politischen Einfluss- nahme [2]. In Deutschland wurden 2019 die Daten von fast 1000 Politikern und Prominenten im Internet veröf- fentlicht – darunter private Handynummern, Chatproto- kolle, Dokumente und Bilder, abgegriffen von öffentlich zugänglichen Quellen sowie durch unsichere Passwörter oder Schwachstellen bei der Passwortwiederherstellung zusammengetragen [3,4]. Neben politisch motivierten Angriffen wird Do- xing eingesetzt, um Karrieren zu belasten: Nach Ankündi- gungen von Massenentlassungen oder bei (vermeintlich) korrupten Praktiken geraten CEOs und andere Führungs- kräfte ins Visier von Doxern, die das Veröffentlichen per- sönlicher Informationen als Hebel nutzen, um sie zum Richtungswechsel oder Rücktritt zu drängen. Typischer Ablauf von Doxing Obwohl Angriffe primär Einzelpersonen tref- fen, müssen auch Unternehmen und Organisationen diese Gefahr ernst nehmen: Werden Mitarbeiter oder Führungskräfte gedoxt, kann dies als Hebel dienen, um den Betriebsablauf zu blockieren oder strategische Ent- scheidungen zu beeinflussen. Ein eindrückliches Beispiel sind die Proteste in Hongkong 2019: In einem Telegram- Doxing-Attacken folgen in der Regel einem ty- pischen Ablauf – das trifft allem voran auf groß angeleg- te, strategisch orchestrierte Kampagnen zu: In der ersten Phase, dem eigentlichen Doxing per Definition, sam- meln Angreifer systematisch Informationen über ihre Ziele. OSINT-Techniken spielen dabei eine Schüsselrol- le – soziale Netzwerke, behördliche Register, Medienbe- 6 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2025#4

24

richte oder durch Datenlecks veröff entlichte Datensätze dienen als durchsuchbare Archive. Doxing wird deshalb auch als „Low-Key-Hacking“ bezeichnet – denn die nöti- gen Fähigkeiten besitzt prinzipiell jeder durchschnittliche Internetnutzer. Unterstützt wird das Vorgehen von Tools wie KI-gestützter Gesichtserkennung (z. B. PimEyes) oder Google Street View, die das Zusammenfügen digitaler Spuren über verschiedene Plattformen hinweg erleichtern. Häufi g entsteht so in Online-Th reads ein umfassendes Dossier aus Name, Adresse, berufl ichen Hintergründen, Kontaktdaten, privaten Bildern und Korrespondenz – in- klusive Details zu Familienangehörigen. Entscheidend ist hierbei, dass die einzelnen Infor- mationen häufi g frei verfügbar und für sich genommen harmlos sind – erst ihre gezielte Zusammenführung und böswillige Rekontextualisierung machen sie gefährlich. Nach der Veröff entlichung streuen Doxer und andere Personen aus dem Online-Publikum die Daten über soziale Netzwerke, Foren oder Chat-Gruppen. Sie mobilisieren gezielt dem Doxee potenziell feindlich ge- sinnte Online-Communities, um Momentum zu erzeu- gen und den Einsatz der veröff entlichten Informationen gegen das Opfer zu fördern. Plattformalgorithmen, die Engagement mit Reichweite belohnen, wirken dabei als Brandbeschleuniger. zesse zäh und können mit der Schnelligkeit und Interakti- vität digitaler Räume nicht Schritt halten [7,8]. Risiken für Unternehmen und Organisationen Parallel zu den unmittelbaren Schäden für Ein- zelpersonen setzt Doxing auch Unternehmen und Orga- nisationen, deren Mitarbeiter zum Ziel solcher Angriff e wurden, erheblichen Risiken aus. Business-Continuity und Produktivität: Doxing gefährdet direkt die Sicherheit von Mitarbeitern und kann Betriebsabläufe massiv stören – etwa wenn Polizisten oder Ärzte aus Angst vor Übergriff en nicht mehr öff entlich tä- tig sein wollen oder wenn CEOs oder Politiker durch Be- drohungen vom Tagesgeschäft abgehalten werden. Im Extremfall droht die Einschränkung oder sogar Einstel- lung kritischer Infrastrukturen. Reputationsverlust: Koordinierte Doxing-Kam- pagnen mischen oft wahre Informationen mit Desin- formation und schädigen so den Ruf der involvierten Personen und Organisationen nachhaltig. Parallel fl uten Angreifer Portale wie Google Reviews oder kununu mit Negativbewertungen, was das Vertrauen von Kunden und Geschäftspartnern untergräbt. Die Folgen für Doxees reichen von Belästigungen über Identitätsdiebstahl bis hin zu physischer Gewalt und wirken oft in alle Lebensbereiche hinein (vgl. [5,6]). Man- che Betroff ene fühlen sich nach der Veröff entlichung ihrer Adresse so unsicher, dass sie sich für einen Umzug ent- scheiden. Weil die aggregierten Informationen auf zahl- reichen Plattformen vervielfältigt und archiviert werden, stellen sie oft eine langfristige Bedrohung dar. Bindung von Mitarbeitern: Doxing-Vorfälle kön- nen schwerwiegende psychosoziale Folgen für Doxees ha- ben [5], was die betroff ene Organisation zum Beispiel mit erhöhtem Krankenstand, Kündigungen und Fluktuatio- nen belastet. Wenn die Attraktivität der Organisation im Speziellen oder des Berufsfelds im Allgemeinen aufgrund der Exponiertheit in kontroversen Tätigkeitsfeldern leidet, kann dies ganze Branchen negativ beeinfl ussen. Für Betroff ene beginnt dann ein langwieriger Kampf um rechtliche und technische Gegenmaßnahmen – von Löschanträgen bei Plattformen bis hin zu zivil- oder strafrechtlichen Schritten (etwa nach § 126a StGB). Laut Berichten von Betroff enen und Experten sind diese Pro- Rechts- und Compliance-Risiken: Entstammen veröff entlichte Informationen über Mitarbeiter internen Datenlecks, drohen unter Umständen Bußgelder und Schadensersatzforderungen wegen Verstößen gegen die EU Datenschutzgrundverordnung (DSGVO). Abbildung 1: Sche- matische Darstellung eins Doxing-Angriffs und der damit ver- bundenen Risiken für Organisationen © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2025#4 7

25

Bedrohung Doxing Abbildung 2: Check- liste für Doxing- schutzmaßnahmen Diese Risikofelder belegen: Doxing ist nicht nur ein individuelles, sondern ein unternehmenskritisches Problem, das proaktive Sicherheits- und Krisenstrategien erfordert. Präventions- und Schutzmaßnahmen In der schnelllebigen Welt sozialer Medien, in der sich Kon troversen binnen Stunden zu feind- lichen Kampagnen auswachsen können, sollten alle Unternehmen und Organisationen grundlegende Prä- ventivmaßnahmen gegen Doxing treff en. Besonders ex- ponierte Branchen – etwa Politik, Gesundheitswesen, Investigativjournalismus oder zivilgesellschaftlich-akti- vistische Organisationen – benötigen zusätzlich klar defi - nierte Reaktionsroutinen. Als Ausgangsbasis zur Implementierung von Do- xing-Schutzmaßnahmen kann die nachfolgende Check- liste dienen, die Maßnahmen zur Prävention, Detektion sowie Reaktion und Schadenswirkung umfasst. Prävention Datensparsamkeit: Prinzipiell sollten nur wirk- lich notwendige Angaben zu Mitarbeitern veröff entlicht werden. Obwohl zum Beispiel persönliche Interviews in Werbematerial oder der „Über uns“-Rubrik einer Firmen- website ansprechend und nahbar wirken, lassen sich darin befi ndliche Informationen wie Wohnort oder Familien- verhältnisse von Doxern missbrauchen. Social-Media-Audits und Awareness-Trainings: Führungskräfte und öff entlich sichtbare Teams sollten da- für sensibilisiert werden, welche Informationen sie in der eigenen Internetpräsenz veröff entlichen beziehungsweise welche Informationen durch Veröff entlichungen Dritter über sie zu fi nden sind. Grundlegende Informationssicherheitsmaßnahmen: Zugriff sbeschränkungen, starke Passwörter, Multi-Faktor- Authentifi zierung (MFA) und Richtlinien für Mobilgeräte sind auch für die Doxing-Prävention essenziell. Detektion Monitoring öff entlicher Plattformen: Regelmäßige Scans von Foren, sozialen Netzwerken und sogenannten „Pastebins“ sollten für Organisationen mit hohem Do- xingrisiko zum Alltag gehören. Alerts zum gehäuften Auftreten von Schlüsselbegrif- fen: Zur Früherkennung sollten Schlüsselbegriff e (Unter- nehmens- oder Projektnamen, Namen von Mitarbeitern usw.) in sozialen Medien und Foren automatisiert per API verfolgt und hierfür im Security-Information-and-Event- Management (SIEM) Schwellenwerte defi niert werden. So entsteht ein Frühwarnsystem, das bei einer plötzlichen Häufung geteilter Informationen eine schnelle Incident- Response unterstützt. Reaktion und Schadensminderung Interdisziplinäres Krisenteam: Verantwortliche aus IT, Kommunikation, Recht, Human Resources (HR) und anderen relevanten Funktionen sollten in einem abge- stimmten Ablauf zusammenarbeiten. Einbindung in bestehende Managementsysteme: Es empfi ehlt sich, Doxing als Bedrohung in bestehenden Business-Continuity-Management- (BCMS) und Infor- mation-Security-Management-Systemen (ISMS) abzubil- den, Risiken zu bewerten und Notfallpläne regelmäßig zu üben. Stärkung von Informationssicherheitsmaßnahmen: Doxing-Kampagnen gehen häufi g mit einem Anstieg an Phishing-Attacken oder illegitimen Zugriff sversuchen einher – entsprechend sollte man nach Doxing-Vorfäl- len das Security-Monitoring anpassen und die Belegschaft warnen. Bereithalten von Vorlagen zur Ansprache von Host- Providern: Die Kommunikation und Zusammenarbeit mit Host-Providern sind häufi g zäh – Meldeprozesse sind ver- steckt, langsam oder funktionieren nicht, Anbieter fühlen sich für auf ihren Plattformen stattfi ndende Doxing-Ak- tivitäten nicht verantwortlich oder berufen sich auf die 8 © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2025#4

26

Meinungsfreiheit (vgl. [7,8]). Daher sollten klare Zustän- digkeiten, Rechtsberatung und vorformulierte Anfragen vorab geklärt sein. ves Monitoring sowie klar defi nierte Reaktionsprozesse in IT, Kommunikation, HR und Rechtsabteilung sind essen- ziell, um Schäden zu begrenzen. Wer solche Schutzvorkehrungen nachweis- lich etabliert, stärkt nicht nur die eigene Resilienz, son- dern gewinnt auch Vertrauen bei aktuellen und künftigen Mitarbeitern – denn viele Menschen, die berufl ich in kontrovers umkämpften Feldern beheimatet und der Öf- fentlichkeit ausgesetzt sind, sind sich der Gefahren von Doxing und digitaler Gewalt mittlerweile durchaus be- wusst. ■ Dr. Anjuli Franz ist Managerin bei PD – Berater der öf- fentlichen Hand GmbH. Zuvor forschte sie an der Tech- nischen Universität Darmstadt zum Faktor Mensch in der Informationssicherheit. Fazit Doxing hat sich von einer Nischenpraxis der Ha- ckerszene zu einer ernstzunehmenden Bedrohung für Ein- zelpersonen und Organisationen entwickelt. Durch das systematische Sammeln und böswillige Rekontextualisie- ren zuvor häufi g öff entlich zugänglicher Daten gefährden Doxer die Sicherheit von Mitarbeitern, beschädigen die Reputation von Organisationen und können im Extrem- fall ganze Betriebsabläufe lahmlegen. Besonders gefährdet sind Beschäftigte in öff ent- lich exponierten Funktionen oder soziopolitisch stark auf- geladenen Bereichen. Die Sicherheit, Handlungsfähigkeit und Glaubwürdigkeit solcher Personen kann durch Do- xing massiv beeinträchtigt werden. Unternehmen und Organisationen sollten Do- xing deshalb in ihre Risiko-, Krisen- und Sicherheitsma- nagementsysteme integrieren. Präventive Maßnahmen wie Datensparsamkeit, Awareness-Trainings und proakti- Literatur [1] David M. Douglas, Doxing: a conceptual analy- sis, September 2016, https://link.springer.com/artic- le/10.1007/s10676-016-9406-0 (Open Access) [2] Paul Mozur, In Hong Kong Protests, Faces Beco- me Weapons, Th e New York Times, Juli 2019, www. nytimes.com/2019/07/26/technology/hong-kong-pro- tests-facial-recognition-surveillance.html (Registrierung erforderlich) [3] Eike Kühl, Eine Waff e namens Doxing, Die ZEIT, Januar 2019, www.zeit.de/digital/datenschutz/2019-01/ privatsphaere-doxing-daten-sammeln-datensicherheit- politiker [4] Siri Warrlich, Doxing-Angriff auf Politiker und Prominente, Diese Konsequenzen zieht das Justizmi- nisterium aus dem Datenleak, Stuttgarter Zeitung, Januar 2019, www.stuttgarter-zeitung.de/inhalt.do- xing-angriff -auf-politiker-und-prominente-diese-konse- quenzen-zieht-das-justizministerium-aus-dem-datenle- ak.5bbb7bea-478b-42dd-85f3-dd6ba8beecd9.html [5] Anjuli Franz, Jason Bennett Th atcher, Doxing and Doxees: A Qualitative Analysis of Victim Experien- ces and Responses, in: European Conference on In- formation Systems (ECIS) 2023 Research Papers, Juni 2023., S. 397, https://aisel.aisnet.org/ecis2023_rp/397/ (kostenpfl ichtig) [6] Daniel Stäcker, Anjuli Franz, Johannes Hett,, Ope- ning Pandora’s Dox: Investigating Dynamics Among Doxing Actors Within Online Environments, in: So- cial and Ethical Implications of Using Digital Tech (ECIS) 2025 Proceedings, Juni 2025, https://aisel.ais- net.org/ecis2025/ethical/ethical/6/ (Open Access) [7] HateAid, TU München (Hrsg.), Luise Koch, Dr. Angelina Voggenreiter, Prof. Dr. Janina Steinert, An- gegriff en & alleingelassen, Wie sich digitale Gewalt auf politisches Engagement auswirkt – ein Lagebild, Studie, Januar 2025, https://hateaid.org/wp-content/ uploads/2025/01/hateaid-tum-studie-angegriff en-und- alleingelassen-2025.pdf [8] Th omas Mrazek, Pressefreiheit – Wir müssen jetzt handeln!, Blogbeitrag, Bayerischer Journalis- ten-Verband (BJV) e. V., Mai 2025, www.bjv.de/blog/ pressefreiheit-wir-muessen-jetzt-handeln/ © DATAKONTEXT GmbH · 50226 Frechen · <kes> 2025#4 9