Autonome Sicherheit im Tempo der KI

Schnelle Bedrohungsabwehr für moderne IT-Umgebungen entwickeln

Ich erinnere mich noch gut an den Schock in den Gesichtern meiner Kollegen Ende 2016, als die allerersten Distributed-Denial-of-Service (DDoS)-Angriffe die 1-Tbit/s-Schwelle überschritten. Das Mirai-Botnet – verantwortlich für den ersten DDoS-Angriff mit mehr als 1 Tbit/s – kontrollierte über 145.000 IoT-Geräte, um derart verheerende Angriffe auszuführen.

Damals arbeiteten zahlreiche Sicherheitsanalysten, Ingenieure und Spezialisten weltweit rund um die Uhr daran, diese Angriffe abzuwehren. Aber so raffiniert die Angriffe auch waren, sie wurden von Menschen ausgeführt und von Menschen abgeschwächt.

Inzwischen haben wir eine Schwelle überschritten. Die heutige Bedrohungslandschaft wird nicht mehr allein durch Raffinesse bestimmt, sondern durch überwältigendes Ausmaß und Autonomie. Wir sind in das Zeitalter der „hypervolumetrischen“ Angriffe eingetreten, in dem menschliches Eingreifen nicht nur zu langsam ist, sondern zunehmend an Bedeutung verliert.

Willkommen in der >30 Tbit/s-Ära

Die Kennzahlen für Resilienz haben sich verändert. Die „rekordverdächtigen“ Angriffe vergangener Jahre sind heute zur neuen Ausgangsbasis geworden, wie ein aktueller DDoS-Bedrohungsbericht zeigt:

• Das neue Monster: Das Aisuru-Botnet hat neue Maßstäbe gesetzt und Angriffe mit Spitzenwerten von 29,7 Tbit/s ermöglicht.

• Häufigkeit: Laut einem Bericht nahmen DDoS-Angriffe auf der Vermittlungsschicht im vierten Quartal des Jahres 2025 im Jahresvergleich um 202 % zu.

• Die Geschwindigkeit: Zwischen 71 % und 89 % dieser Angriffe dauern weniger als zehn Minuten. Wenn Ihre Resilienzstrategie darauf beruht, dass eine generische Warnung einen Techniker weckt, ist der Angriff bereits vorbei (und der Schaden angerichtet), noch bevor er sich überhaupt einloggen kann.

Wie können wir auf einen kontinuierlichen Strom groß angelegter Angriffe in Maschinengeschwindigkeit reagieren?

Hier kommen Automatisierung und KI ins Spiel. Ein KI-Agent muss sich nicht manuell im Security Information and Event Management (SIEM) oder im Network Detection and Response (NDR)-Tool anmelden, um zu verstehen, was passiert. Er liest die Daten in Echtzeit, gewinnt ein Lagebild während der Ereignisse und kann sofort geeignete Gegenmaßnahmen einleiten – etwa Firewall-Regeln hinzufügen oder bestimmte Traffic-Muster bzw. Protokolle blockieren. Durch diesen Zeitgewinn hat das Security Operations Center (SOC) den nötigen Spielraum, menschliche Expertise einzubringen, die Abwehr zu stärken und die von den KI-Agenten umgesetzten automatisierten Änderungen zu überprüfen.

Der blinde Fleck der Schatten-KI

Bei Sicherheit geht es nicht nur darum, schädlichen Traffic fernzuhalten, sondern auch darum, proprietäre Daten im Unternehmen zu halten. Die schnelle Einführung von KI-Tools durch Mitarbeitende hat eine enorme Governance-Lücke geschaffen.

• Die Statistik: Laut IBM sind inzwischen 20 % aller Sicherheitsverletzungen auf „Schatten-KI“ zurückzuführen: nicht genehmigte Tools, die von Mitarbeitenden zur Beschleunigung ihrer Arbeit verwendet werden.

• Die Realität: 63 % der von einem Datenleck betroffenen Unternehmen geben zu, dass sie immer noch keine formelle KI-Governance-Richtlinie haben.

• Die Lösung: Man kann nicht schützen, was man nicht sieht. Sicherheitsmaßnahmen erfordern jetzt einen vollständigen Einblick in Ihre Technologie-Infrastruktur, dazu gehören auch Ihre SaaS-Tools, um zu verstehen, was Sie beobachten und überwachen müssen. Um das Risiko durch Schatten-KI ebenfalls in den Griff zu bekommen, braucht es Tools zur Verhinderung von Datenverlust (DLP), die speziell darauf ausgelegt sind, das Einfügen von firmeneigenem Code oder personenbezogenen Daten in öffentliche LLMs zu erkennen und zu verhindern.

Die Zeit, in der DLP nur E-Mails und Browser-Nutzung abdeckte, ist vorbei. Mit der Weiterentwicklung von KI-Browsern, von API-anywhere und agentenbasierter KI (Agentic AI) reicht das veraltete DLP-Abdeckungsmodell nicht mehr aus. Zentrale Kontrolle sollte eine hohe Priorität haben. Technologieverantwortliche müssen wissen, welches Tool welche Daten erhält und was jedes Tool mit diesen Daten tun kann.

Deepfake-Abwehr

Das Social-Engineering-Spiel hat sich von Tippfehlern in E-Mails zur perfekten Nachbildung von Identität entwickelt. Mitarbeitende werden in Videoanrufe mit ihren obersten Führungskräften eingeladen, die sie anweisen, Aufgaben wie das Überweisen großer Geldbeträge an ein bestimmtes Ziel auszuführen. Und diese Personen in einem Videoanruf zu sehen, ist für fast jeden ein klares Zeichen dafür, dass die Anfrage tatsächlich von ganz oben kommt.

• Die Veränderung: Jede sechste Sicherheitsverletzung umfasst inzwischen KI-gestützte Taktiken; in 35 % dieser Fälle werden Deepfake-Stimmen oder -Videos zur Nachahmung von Personen eingesetzt.

• Die Auswirkungen: Phishing, das oft durch KI verstärkt wird, kann durchschnittliche Kosten von 4,8 Millionen USD pro Vorfall verursachen.

• Die Maßnahme: Resilienztraining muss sich weiterentwickeln. Es geht nicht mehr nur darum, eine gefälschte E-Mail zu erkennen, sondern darum, Identitäten über Out-of-Band-Kommunikationskanäle zu verifizieren.

Wir sehen nicht nur immer mehr „AI Slop“ in sozialen Medien. Noch besorgniserregender ist der starke Anstieg von Deepfake-basierten Social-Engineering-Angriffen. Als ein Ferrari-Manager einen Anruf von seinem CEO erhielt, konnte er den später als Angriff erkannten Vorfall nur dadurch entschärfen, dass er kurz ein Buch ansprach, über das beide zuvor gesprochen hatten. Der Angreifer hatte davon natürlich keine Ahnung und konnte nicht antworten.

Deshalb sollten klassische Sicherheitswörter wieder stärker genutzt werden – um sicherzustellen, dass die Person, mit der man spricht, tatsächlich die echte Person ist und kein Angreifer, der durch einen KI-Deepfake unterstützt wird. Aber die Implementierung einer KI-basierten E-Mail-Sicherheit hilft auch, Phishing-Versuche schnell und skaliert abzufangen, indem Hunderte von E-Mail-Attributen analysiert werden.

Ransomware: Der Wandel zur Erpressung

Nach Jahren hoher Lösegeldzahlungen infolge erfolgreicher Ransomware-Angriffe ist nun endlich ein Rückgang zu beobachten. Doch da das Geschäftsmodell Ransomware ins Wanken geraten ist, zwingt dies auch Angreifer dazu, ihre Taktiken zu ändern.

• Der Rückgang: Im 3. Quartal 2025 bezahlten nur 36 % der Opfer das Lösegeld, ein historischer Tiefstand.

• Die Kehrtwende: Um dies auszugleichen, geht es bei 76 % der Angriffe inzwischen um Datendiebstahl statt nur um Verschlüsselung.

• Die Lektion: Backups sind nicht mehr genug. Echte Sicherheit und Resilienz erfordern, die Exfiltration von Daten zu stoppen. Wenn Angreifer die Daten nicht stehlen können, können sie Sie auch nicht erpressen.

Der Wechsel von einem „klassischen“ Ransomware-Angriff zu einem doppelten oder sogar dreifachen Erpressungsschema war die logische Weiterentwicklung dieser Art krimineller Aktivitäten. Das muss sich natürlich auch auf unsere Verteidigungsfähigkeit auswirken.

Eine Zeit lang galt die Verschlüsselung Ihrer Daten als ausreichende Sicherheitsmaßnahme. Wir sollten jedoch höhere Ziele verfolgen und niemals zulassen, dass Daten unsere IT-Umgebung verlassen, wenn es dafür keinen klaren und nachvollziehbaren geschäftlichen Zweck gibt. Und mit dem Aufkommen des Post-Quanten-Computing am Horizont wird die Bedrohung durch „Harvest Now, Decrypt Later“ noch besorgniserregender. Man denke an die großen Datenmengen, die zwar verschlüsselt, aber gestohlen wurden, und die jetzt auf einem Server darauf warten, entschlüsselt zu werden, um als Klartextdaten bei der nächsten Angriffswelle eingesetzt zu werden.

Autonome Sicherheitsmaßnahmen implementieren

Sicherheit muss heute eigenständig handeln – sonst greift sie zu kurz. Gefragt sind Systeme, die mitdenken und in Echtzeit reagieren, weil auch Angreifer immer schneller agieren. Sie müssen massive Angriffe verkraften und Bedrohungen wie DDoS-Attacken oder Deepfakes abwehren können – ganz ohne manuelles Eingreifen und ohne die Verwaltung der Lösung zu verkomplizieren.

Cloudflare stellt dafür eine breite Palette an Sicherheitsfunktionen bereit, mit denen Ihr Team Bedrohungen schnell und selbstständig begegnen kann. Zum Beispiel kann der DDoS-Schutz von Cloudflare selbst die größten, sich am schnellsten ausbreitenden DDoS-Angriffe abschwächen. Und Cloudflare Email Security bietet KI-gestützten Phishingschutz, um ausgeklügelte, KI-unterstützte Phishing-Bedrohungen automatisch zu blockieren. Da die Cloudflare Connectivity Cloud alle Sicherheitslösungen in einer einzigen Plattform integriert, können Sie autonome Funktionen problemlos und ohne zusätzlichen Verwaltungsaufwand hinzufügen.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträgerinnen und -träger aus der Tech-Branche heute von Bedeutung sind.

Vertiefung des Themas:

Erfahren Sie im E-Book Sicherheit für das KI-Zeitalter modernisieren“, wie KI die Geschäfts- und Sicherheitslandschaft verändert, und erhalten Sie ein Playbook zum Schutz von Menschen, Daten und Anwendungen.

Autorin

Max Imbiel – @maximbiel
Field CISO, Cloudflare

Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

• Warum hypervolumetrische Angriffe herkömmliche Abwehrmaßnahmen überfordern

• Die Rolle autonomer Systeme bei der Bekämpfung von Deepfakes und Datendiebstahl

• Wie man KI-gestützte Abwehrmaßnahmen implementiert und die Governance von Schatten-KI durchsetzt

Verwandte Ressourcen

• Sicherheit für das KI-Zeitalter modernisieren

• Schützen Sie sich vor zunehmenden App-Layer-DDoS-Angriffen

• Phishing in neuen Gewässern