Die Nutzung von KI in Angriffsszenarien hat die Dynamik in den vergangenen Jahren grundlegend ver\u00e4ndert. Angreifer identifizieren Schwachstellen automatisiert, personalisieren Phishing-Kampagnen und umgehen Erkennungssysteme durch adaptive, lernf\u00e4hige Schadsoftware [1].<\/p>\n\n\n\n
Studien zeigen, dass \u00fcber 50 % der mit KI erstellten Phishing-Mails erfolgreich sind, und dass mehr als 80 % aller aktuellen Phishing-Kampagnen auf KI-generierte Inhalte zur\u00fcckgreifen [2][3]. Malware analysiert ihre Umgebung und ver\u00e4ndert ihr Verhalten zur Laufzeit, um Erkennungsmechanismen gezielt zu umgehen [4].<\/p>\n\n\n\n
Diese Entwicklung macht klassische signaturbasierte Verfahren zunehmend wirkungslos. Statische Erkennungsregeln k\u00f6nnen mit der Geschwindigkeit und Variabilit\u00e4t moderner Angriffstechniken kaum noch mithalten.<\/p>\n\n\n\n
Aktuelle Rolle von KI in der Verteidigung<\/strong><\/p>\n\n\n\n Auch Verteidigungssysteme integrieren heute bereits maschinelles Lernen, etwa in SIEM- (Security Information and Event Management) und EDR-L\u00f6sungen (Endpoint Detection and Response). Diese Systeme erkennen Anomalien in gro\u00dfen Datenmengen und verk\u00fcrzen Reaktionszeiten erheblich [5].<\/p>\n\n\n\n Dennoch bleiben die Modelle \u00fcberwiegend reaktiv: Sie registrieren, dass ein ungew\u00f6hnliches Verhalten auftritt, ohne dessen Ursache oder Kontext zu verstehen. Zeitliche und kausale Zusammenh\u00e4nge zwischen Ereignissen werden bislang selten modelliert. Die Verbindung zwischen Bedrohungswissen, Ursache und Erkennung bleibt damit schwach [6].<\/p>\n\n\n\n Forschungsansatz am TTZ-WUE<\/strong><\/p>\n\n\n\n Das Technologietransferzentrum W\u00fcrzburg untersucht aktuell, wie sich diese L\u00fccke schlie\u00dfen l\u00e4sst. Im Fokus steht die Kombination von Bedrohungswissen aus Cyber Threat Intelligence (CTI) mit dynamischen Verhaltensdaten aus Sandbox- und Analysesystemen.<\/p>\n\n\n\n Ziel ist es, zeitliche und kausale Abh\u00e4ngigkeiten zwischen sicherheitsrelevanten Ereignissen automatisiert zu erkennen und daraus formale Erkennungsregeln abzuleiten. Wie in Abbildung 1 zu sehen ist, reicht der Prozess von der Datenerfassung \u00fcber die Analyse durch ein KI-Modul bis hin zur automatisierten Erstellung maschinenlesbarer Regeln. Langfristig soll so ein KI-gest\u00fctztes Regelmodell entstehen, das eigenst\u00e4ndig Detektionsregeln in Formate wie Sigma, YARA oder EQL \u00fcberf\u00fchrt und bestehende SIEM- und EDR-Systeme adaptiv erweitert.<\/p>\n\n\n\n Abbildung 1: Ablauf der automatisierten Erzeugung von Detektionsregeln durch KI<\/p>\n\n\n\n Mehr Dynamik, Nachvollziehbarkeit und Automatisierung<\/strong><\/p>\n\n\n\n Der Ansatz sorgt somit f\u00fcr mehr Geschwindigkeit und f\u00fcr Transparenz in der Verteidigung gegen digitale Bedrohungen. KI wird dabei nicht als undurchsichtige Blackbox verstanden, sondern als erkl\u00e4rbares Werkzeug, das nachvollziehbar zeigt, wie und warum eine Regel entstanden ist.<\/p>\n\n\n\n Damit unterst\u00fctzt das Projekt ein zentrales Ziel des TTZ-WUE: die Entwicklung praxisnaher, vertrauensw\u00fcrdiger und adaptiver Sicherheitsl\u00f6sungen, die Forschung und Anwendung gleicherma\u00dfen verbinden.<\/p>\n\n\n\n Die Zukunft der Cyberabwehr liegt in der intelligenten Verbindung von Wissen, Automatisierung und Echtzeitreaktion. KI-gest\u00fctzte, dynamische Regelmodelle k\u00f6nnen Sicherheitsmechanismen flexibler, nachvollziehbarer und widerstandsf\u00e4higer machen und bilden damit eine wichtige Grundlage f\u00fcr die Abwehr moderner, KI-basierter Bedrohungen.<\/p>\n\n\n\n Quellen<\/strong><\/p>\n\n\n\n [1] S. L. Mirtaheri, N. Movahed, R. Shahbazian, V. Pascucci, and A. Pugliese, \u201cCybersecurity in the age of generative AI: A systematic taxonomy of AI-powered vulnerability assessment and risk management,\u201d Future Generation Computer Systems, vol. 175, p. 108107, 2026. doi: 10.1016\/j.future.2025.108107.<\/p>\n\n\n\n [2] Arntz, Pieter: AI-supported spear phishing fools more than 50% of targets. Malwarebytes, 2025. URL: https:\/\/www.malwarebytes.com\/blog\/news\/2025\/01\/ai-supported-spear-phishing-fools-more-than-50-of-targets<\/p>\n\n\n\n [3] Security Magazine: 82% of all phishing emails utilized AI. 2025. URL: https:\/\/www.securitymagazine.com\/articles\/101490-82-of-all-phishing-emails-utilized-ai<\/p>\n\n\n\n [4] S. Tabassum, M. Rafsan, S. Hoque, and A. Jaigirdar, \u201cExamining Evasive Malware Techniques: A Memory-Based and Behavioral Study of AgentTesla,\u201d Journal of Computer Science and Technology Studies, vol. 7, pp. 240\u2013249, 2025. doi: 10.32996\/jcsts.2025.7.10.28.<\/p>\n\n\n\n [5] D. S. Berman, A. L. Buczak, J. S. Chavis, and C. L. Corbett, \u201cA survey of deep learning methods for cyber security,\u201d Information, vol. 10, no. 4, p. 122, 2019. doi: 10.3390\/info10040122.<\/p>\n\n\n\n [6] A. Lekssays, H. T. Sencar, and T. Yu, \u201cFrom Text to Actionable Intelligence: Automating STIX Entity and Relationship Extraction,\u201d arXiv preprint arXiv:2507.16576v1, Jul. 22 2025. doi:10.48550\/arXiv.2507.16576.<\/p>\n\n\n\n <\/p>\n","protected":false},"excerpt":{"rendered":" Die Bedrohungslage im Cyberraum ver\u00e4ndert sich derzeit mit hoher Geschwindigkeit. W\u00e4hrend Angreifer zunehmend auf K\u00fcnstliche…<\/p>\n","protected":false},"author":9,"featured_media":332,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,76],"tags":[107,128,138,130,137,108,110,129,136],"class_list":["post-299","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein","category-defensive-security","tag-ai","tag-cti","tag-cyberabwehr","tag-edr","tag-forschung","tag-ki","tag-projekt","tag-siem","tag-threat-detection"],"_links":{"self":[{"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/posts\/299","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/comments?post=299"}],"version-history":[{"count":8,"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/posts\/299\/revisions"}],"predecessor-version":[{"id":335,"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/posts\/299\/revisions\/335"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/media\/332"}],"wp:attachment":[{"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/media?parent=299"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/categories?post=299"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/tags?post=299"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/ttz-wue.fiw.thws.de\/blog\/wp-content\/uploads\/2025\/10\/Screenshot-2025-11-03-093231.png\")
<\/figure>\n\n\n\n