Cyberbedrohungen
Die Kunst der Verteidigung 2025
Grundlegende Änderungen in der Cybersicherheitslandschaft sind in naher Zukunft nicht zu erwarten, aber schrittweise Verschiebungen und Verfeinerungen bestehender Muster. Es geht natürlich um KI aber auch um Plattformisierung und Automatisierung.
Save to Folio
Ransomware, sowie die Zusammenarbeit zwischen Cyberkriminellen und Staaten ist leider in naher Zukunft kaum wegzudenken. Die Einzelheiten dazu habe ich bereits dargestellt. Doch nicht nur das globale politische Umfeld hat weiterhin einen großen Einfluss auf die Cybersicherheitslandschaft, auch die Ausnutzung von Schwachstellen und Social Engineering bleiben als essenzielle Bedrohungen bestehen.
Der Missbrauch von Schwachstellen nahm im letzten Jahr stark zu, wobei das Ziel der Angreifer nicht mehr hauptsächlich der Diebstahl von Anmeldedaten war. Und das wird sich wohl 2025 nicht ändern. Der Wettlauf zwischen der Entdeckung von Sicherheitslücken, der Veröffentlichung von Patches und deren Aufbringen ist ein Dauerthema in der Cybersicherheit. Zwar haben Softwarehersteller und Sicherheitsteams einige Fortschritte bei der Behebung von Sicherheitslücken gemacht, doch sind wir noch weit von einer Welt entfernt, in der kritische Schwachstellen schnell und universell behoben sind. Angreifer können daher auch künftig Schwachstellen in Altsystemen, ungepatchten kritischen Infrastrukturen und schlecht gewarteten Lieferketten ausnutzen. Selbst bescheidene Verbesserungen im Schwachstellenmanagement auf Seiten der Verteidiger werden oft durch die schiere Menge der jährlich neu gemeldeten Schwachstellen zunichte gemacht.
Wie sieht eine Verbesserung aus? Eine breitere Einführung der automatisierten Patch-Verwaltung, mehr Vertrauen in virtuelles Patching mit Hilfe von Intrusion Prevention Systems (IPS) und verbesserte Sicherheit der Lieferkette können helfen, aber dies sind inkrementelle Ansätze. Angreifer suchen immer nach neuen Wegen, um menschliche Schwächen, Fehlkonfigurationen oder Zero-Day-Schwachstellen auszunutzen. Das Tauziehen geht weiter, und ein Ende ist nicht in Sicht. Machen Sie Ihre Hausaufgaben, investieren Sie in Automatisierung und in die Bereitstellung von Kontext zu CVEs für Sicherheitsteams!
BEC und Deepfakes
Neben Ransomware werden auch andere Formen des Betrugs - wie Business E-Mail Compromise (BEC) – ein massives finanzielles Schadenpotenzial für viele Unternehmen darstellen. Die Betrüger gehen mit kreativeren Social Engineering-Taktiken vor.
Deepfakes, die bereits im letzten Jahr Schaden anrichteten, könnten 2025 noch stärker Fuß fassen. Stellen Sie sich vor, ein CFO erhält einen scheinbar authentischen Sprach- oder Videoanruf von seinem CEO mit der Bitte um eine dringende Geldüberweisung. Selbst wenn die Technologie noch unvollkommen ist, können allein die Angst und die Unsicherheit bei dieser Taktik die Reaktionszeiten verlangsamen und Verwirrung stiften.
Angreifer streben in der Regel keine Perfektion an. Sie müssen nur gut genug sein, um einen Mitarbeiter in der richtigen Situation zu überzeugen. Da die Deepfake-Technologie immer zugänglicher und einfacher zu verwenden ist, werden wir auch eine Zunahme von raffinierteren Social Engineering-Angriffen erleben. Zwar sind Deepfakes noch nicht der primäre Angriffsvektor, doch werden sie in das strategische Denken sowohl von Angreifern als auch von Verteidigern einfließen und möglicherweise den Ausschlag für Betrugsversuche von hohem Schadenspotenzial geben.
Schrittweise Verschiebungen
Trotz der ständigen Weiterentwicklung von Taktiken der Angreifer und gleichzeitig auch der Abwehrtechnologien glaube ich nicht, dass sich die Bedrohungslandschaft in naher Zukunft grundlegend ändern wird. Es wird eher schrittweise Verschiebungen und Verfeinerungen bestehender Muster geben. So werden sich die digitalen Erpresser mehr auf höherwertige Daten konzentrieren, nuanciertere Taktiken anwenden, um sich der Entdeckung zu entziehen, und Verteidiger werden sich auf die Automatisierung sich wiederholender Aufgaben konzentrieren. Die Tools und Techniken mögen sich weiterentwickeln, aber die Kerndynamik - das Streben der Angreifer nach Gewinn oder Vorteil und die rasante Anpassung der Verteidiger - bleibt gleich.
Der Teufel steckt im Detail, denn subtile Veränderungen können erhebliche Auswirkungen darauf haben, wie Unternehmen ihre Ressourcen und Strategien priorisieren müssen. Diese sich abzeichnenden Trends spiegeln nicht nur technische Innovationen wider, sondern auch ein verändertes Denken der Sicherheitsteams über Tools, Prozesse und Werte.
Plattformisierung rückt in den Mittelpunkt
Die Plattformisierung wird sich durchsetzen. Wirtschaftliche Zwänge, der Wunsch nach Vereinfachung und die Notwendigkeit, die Beziehungen zu den Anbietern zu straffen, veranlassen Unternehmen weltweit dazu, Einzellösungen in breiteren Plattformen zu konsolidieren.
Dieser Trend wirkt sich auf die Struktur von Verträgen, Lizenzvereinbarungen und Anbieterbeziehungen aus. Denken Sie nur an die logische Gruppierung von Funktionen, die früher nicht zusammengehörten, z. B. Angriffsflächenmanagement und XDR. Da sich solche Funktionen immer mehr überschneiden, wird der Markt Anbieter belohnen, die zusammenhängende, plattformbasierte Angebote liefern können, die mehrere Bereiche des Sicherheits-Stacks umfassen. Dabei geht es nicht ohne Kompromisse, aber die betriebliche Einfachheit und die End-to-End-Transparenz könnten sich als zu überzeugend erweisen, um diese Vorteile zu ignorieren.
Rationalisierte Datenverwaltung und -analyse
Für dieses Jahr erhoffe ich mir weitere Fortschritte bei der Datenvereinfachung. Sicherheitsteams leiden unter einer Informationsflut - Silos von Telemetriedaten, unterschiedliche Ereignisformate und inkonsistente Erkennungslogiken. Künftig werden die Verteidiger nicht nur darauf achten müssen, welche Daten sie sammeln, sondern auch darauf, wie sie diese normalisieren und operationalisieren. Es besteht ein wachsender Bedarf an kuratierten, aussagekräftigen Datensätzen, anstatt jede einzelne Protokollzeile zu horten.
Dieser Wandel schlägt sich dann in ausgereifteren Daten-Pipelines, einheitlichen Datenmodellen und verbesserter Erkennungstechnik nieder. Die Nachfrage nach Sicherheitsplattformen, die eine sofort einsatzbereite Normalisierung und gute Bibliotheken mit Use Cases bieten, wird schnell steigen. Ziel ist es, eine Datengrundlage zu schaffen, die einfacher zu durchsuchen, zu korrelieren und zu verarbeiten ist, um so die Erkennungs- und Reaktionszeiten zu verkürzen. Sichtbarkeit mag früher ein Luxus gewesen sein - heute ist sie ein absolutes Muss.
KI für Sicherheit, nicht nur Sicherheit für KI
KI als praktisches, alltägliches Werkzeug für Verteidiger wird deutlich normaler. Während die Gewährleistung der Sicherheit von KI-Modellen selbst weiterhin wichtig ist, hat der Einsatz von KI zur Beschleunigung von Sicherheitsabläufen einen größeren Einfluss. Die nächste Generation von Chatbots und intelligenten Assistenten in Sicherheitsprodukten werden mehr sein als nur nutzloses Marketing, helfen sie doch Teams dabei, schnell durch Bedrohungsdaten zu navigieren, Abhilfemaßnahmen zu generieren und routinemäßige Ermittlungsaufgaben zu erledigen.
Die Integration von LLMs und spezialisierten maschinellen Lernmodellen in Erkennungs- und Reaktionsworkflows wird Sicherheitsteams dabei helfen, komplexe Aufgaben in kleinere Tasks zu zerlegen, Ermüdungserscheinungen zu verringern und einen konsistenteren Zustand der Wachsamkeit aufrechtzuerhalten.
Fähigkeiten werden zur Commodity
Technologien wie Extended Detection and Response (XDR), die einst als fortschrittlich galten, könnten schon bald zur Standardware werden. Unternehmen erhalten somit Zugang zu mehr integrierten Erkennungs- und Reaktionsfunktionen, ohne Nischentools kaufen zu müssen. Ein ähnlicher Prozess der Kommerzialisierung vollzieht sich auch bei anderen Sicherheitsfunktionen: Was früher spezielles Fachwissen erforderte, ist heute ein Standardbestandteil der umfassenden Suiten.
Mehr Automatisierung - sorgfältig angewendet
Die Automatisierung wird weiterhin ein zentrales Thema sein. Orchestrierung und automatisierte Workflows können helfen, die Belastung zu verringern, indem sie Routineaufgaben, Triage und erste Reaktionsschritte übernehmen.
Automatisierung erfordert jedoch Nuancen. Nicht jeder Prozess sollte unkontrolliert automatisiert werden. Es geht um sich wiederholende Aufgaben, während die kritische Entscheidungsfindung und die kontextbezogene Analyse erfahrenen Analytikern überlassen werden. Das Ergebnis ist ein effizienteres Security Operations Center, das schneller reagieren kann, ohne die Genauigkeit oder das Risikomanagement zu beeinträchtigen.
Bedarf an Sicherheitsexperten mit KI-Kenntnissen
Die Integration der Sicherheit in das wachsende KI-Ökosystem stellt Unternehmen vor Herausforderungen. Ähnlich wie bei der frühen, oft unkontrollierten Übernahme von Cloud-Diensten setzen Unternehmen auf verschiedene KI-Szenarien - wie etwa Retrieval Augmented Generation (RAG) im gesamten Unternehmen. CISOs und Risikobeauftragte bestehen auf einer formalen KI-Strategie, und Entwicklungsteams und Geschäftsbereiche haben bereits damit begonnen, daran zu basteln, häufig ohne Sicherheitsexperten in das Gespräch einzubeziehen.
All dies deutet darauf hin, dass eine neue Klasse von Sicherheitsexperten benötigt wird - eine, die die einzigartigen Schwachstellen und Fehlermöglichkeiten von KI versteht. Herkömmliche Cybersecurity-Kenntnisse sind zwar die Basis, bereiten die Teams aber nicht vollständig auf Bedrohungen wie Data Poisoning, Model Inversion und Adversarial Input vor. Diese Gefahren erfordern eine Mischung von Kenntnissen aus Datenwissenschaft, ML-Engineering und Sicherheitsexpertise. Diese Fachleute werden dazu beitragen, Richtlinien zu gestalten, Schutzarchitekturen zu entwickeln und Unternehmen durch eine Ära zu führen, in der Modelle genauso wertvoll - und angreifbar - werden wie sensible Datenspeicher.
Glücklicherweise entstehen immer mehr Frameworks für das sichere Training und die Bereitstellung von Modellen, verbesserte Verschlüsselungssysteme zum Schutz von Daten in KI-Pipelines und Standards, die die Integrität und Herkunft von Machine-Learning-Modellen gewährleisten können. Auch die Regulierungsbehörden bringen sich mit neuen Richtlinien und Gesetzen ein, die Sicherheit, Transparenz und Nachvollziehbarkeit zu Kernanforderungen und nicht zu optionalen Zusätzen machen. Einige der regulatorischen Anforderungen sind sicherlich notwendig, aber die Erkenntnis, dass KI Sicherheit braucht, muss bei den Teams selbst entstehen!
Diese Entwicklungen stellen eine Normalisierung des Stellenwerts von KI in Wirtschaft und Gesellschaft dar, sodass Unternehmen von den Vorteilen der KI profitieren können, ohne der Technologie blind zu vertrauen oder die Tür für Angreifer einen Spalt offen zu lassen.
Die dunkle Seite der KI
Die böswillige Nutzung von KI wird wohl weitgehend davon abhängen, wie sich die zugrunde liegenden Modelle weiter entwickeln. Ob sich die Fähigkeiten zum „Denken“ deutlich verbessern, ob die Leistungssteigerung in anderen Sprachen als Englisch kommt, und wie effektiv diese Modelle skaliert werden können, wird sich direkt darauf auswirken, welche Angriffsszenarien machbar und lukrativ werden.
Statische, signaturbasierte Bedrohungen verlieren immer mehr an Bedeutung, und Angreifer nutzen zunehmend KI-gesteuerte Methoden zur Bereitstellung polymorpher Malware. Fortschritte bei der Codeverschleierung, Laufzeit-Mutation und umgebungsspezifischen Anpassung der Payload werden von maschinellen Lernmodellen gesteuert, die bösartigen Code an Erkennungsstrategien anpassen können. Anstatt neue Varianten von Hand zu entwickeln, können sich Angreifer nun auf Algorithmen verlassen, um ihre Malware kontinuierlich zu verändern und nahezu in Echtzeit auf subtile Hinweise aus der Umgebung und sich entwickelnde Sicherheitskontrollen zu reagieren. Da diese bösartigen Agenten immer kontextbewusster und schwer fassbar sind, wird es zur Herausforderung, ihre wahren Absichten in jedem Moment zu erkennen.
Aber ändert sich dadurch viel? Ich glaube, dass Unternehmen, die 2024 nicht in der Lage waren, dieses Verhalten zu erkennen, dies 2025 auch nicht können werden. Und die Teams, die dazu in der Lage sind, werden sich anpassen.
Die Cybersicherheit wird zwar stark von technischen und geopolitischen Faktoren beeinflusst, aber auch von Marktkräften und Geschäftsstrategien geprägt. Die sich entwickelnde Landschaft diktiert nicht nur, wie Unternehmen ihre Ressourcen schützen, sondern auch, wie sich Anbieter positionieren, Kapital beschaffen und Wachstum verfolgen. Von Fusionen und Übernahmen bis hin zu den Erwartungen von Investoren und dem Trend zu Managed Services werden Unternehmensleiter und Sicherheitsexperten die Auswirkungen dieser Veränderungen zu spüren bekommen.
Fazit
2025 wird geprägt sein von geopolitischer Volatilität, der kontinuierlichen Weiterentwicklung von Bedrohungsakteuren, der Reifung von Cybersicherheitsmärkten und dem Aufkommen von Phantomisierung, datengesteuerter Verteidigung und KI-gestützten Tools. Nationalstaaten werden die Landschaft weiterhin durch offene und verdeckte digitale Aktivitäten prägen, während Cyberkriminelle ihre Taktiken verfeinern, indem sie traditionelle Grenzen verwischen und Ransomware sowie neue Deepfake-gestützte Betrugsmethoden einsetzen.
Auf der technologischen Seite werden Verteidiger integrierte Plattformen, fortschrittliche Datennormalisierung und Automatisierung nutzen, während KI stärker in die täglichen Arbeitsabläufe integriert werden wird - sowohl als Verteidigungswerkzeug als auch als Vektor, der eine spezielle Sicherheitsaufsicht erfordert.