Security

KI in der IT-Sicherheit

Unternehmen effektiv schützen

Angriffe mit Ransomware zählen zu den größten Cyberbedrohungen für den Mittelstand. Nicht selten liegen die Lösegeldforderung in Millionenhöhe. Allein in Deutschland verursachten Cyberangriffe im Jahr 2025 Schäden von 15,6 Milliarden Euro (Bitkom). Künstliche Intelligenz macht die Angriffe noch wirkungsvoller – kann umgekehrt aber auch zum Schutz dagegen eingesetzt werden. Wie das geht, lesen Sie hier.

Inhaltsverzeichnis

KI in der IT-Sicherheit: Das Wichtigste in Kürze

  • Ransomware-Attacken können Unternehmen komplett lahmlegen. Teilweise gibt es durch Lösegeldforderungen ein hohes Insolvenzrisiko.
  • Mit generativer KI können Cyberkriminelle täuschend echte Phishing-Mails erstellen, die selbst erfahrene Nutzer:innen in die Falle locken.
  • Kleine und mittlere Unternehmen sind bei Ransomware-Angriffen besonders gefährdet, da sie oft über weniger robuste IT-Sicherheitsressourcen verfügen. Angreifer:innen wissen, dass diese Unternehmen eher bereit sind, Lösegeld zu zahlen, um längere Ausfallzeiten zu vermeiden.
  • Künstliche Intelligenz kann in der Cybersicherheit zum Einsatz kommen, um Routineaufgaben zu automatisieren und Bedrohungen schneller zu erkennen. Sie hilft dem IT-Personal, Datenfluten zu bewältigen und fundierte Entscheidungen zu treffen.
  • Unternehmen stehen vor Herausforderungen, da sie Datenqualität sicherstellen und KI in bestehende IT-Infrastrukturen integrieren müssen.

Was ist KI in der IT-Sicherheit? Definition und Bedeutung für Unternehmen

Künstliche Intelligenz (KI) in der IT-Sicherheit beschreibt im engeren Sinne die Verwendung von KI, um:
  • Cyberangriffe besser zu erkennen
  • IT-Netzwerke und Computersysteme effektiver gegen Angriffe zu sichern
  • Schulungen für Mitarbeitende zum richtigen Umgang mit Schadsoftware zu erstellen
Manchmal wird auch die böswillige Verwendung von KI durch Cyberkriminelle zum Themenbereich KI in der IT-Sicherheit gerechnet. Etwa wenn Hacker:innen mit KI neue Ransomware programmieren oder Sicherheitslücken in den Netzwerken potenzieller Opfer ausspionieren.
Diese weitergehende Definition von künstlicher Intelligenz in der IT-Sicherheit betrachtet vor allem die Veränderungen, die KI im Bereich der Cybersicherheit mit sich bringt. Daraus ergeben sich Prognosen für die weitere Entwicklung in diesem Bereich und darauf zugeschnittene Handlungsempfehlungen für Cybersicherheits-Expert:innen.

Endpoint Security: Sicherheit für jedes Endgerät

Ob Notebook, Smartphone oder IoT-Gerät: Jedes Endgerät kann zur Schwachstelle werden. Mit den Vodafone Endpoint-Security-Lösungen schützen Sie Ihre Geräte zuverlässig vor Cyberangriffen, erkennen Bedrohungen in Echtzeit und behalten die Kontrolle über alle Zugriffe im Unternehmen.

KI-Gefahren für die IT-Datensicherheit

Cyberkriminelle nutzen vermehrt künstliche Intelligenz, um Unternehmen und Privatpersonen schneller, effizienter und automatisiert anzugreifen. Wo Kriminelle früher noch Wochen oder Monate für das Entdecken von Sicherheitslücken benötigten, findet die KI Einfallstore in Firmennetze in Sekunden und greift tausende Unternehmen weltweit zeitgleich an – genug Rechenleistung vorausgesetzt.
Im Folgenden stellen wir die wichtigsten Cybergefahren vor, die durch den Einsatz von KI noch unberechenbarer werden.
Ransomware
Ransomware verschlüsselt wichtige Firmendaten und fordert Lösegeld, um die Daten wieder freizugeben. KI kann derartige Angriffe noch gefährlicher machen.
Laut Statista sind mehr als die Hälfte aller Firmen in Deutschland bereits Ziel einer Ransomware-Attacke gewesen. Oft gelangen die Hacker:innen dabei per Social Engineering an die Informationen, die den Ransomware-Angriff erst möglich machen. Sie rufen beispielsweise vor einer Attacke im jeweiligen Unternehmen an, um die korrekten Namen von Ansprechpartner:innen herauszufinden.
Eine KI kann diese Anrufe problemlos übernehmen und mit unterschiedlichen Stimmen in unterschiedlichen Sprachen hunderte Mitarbeitende gleichzeitig anrufen. Sie forscht so lange, bis sie die gewünschten Informationen hat (sogenanntes KI-gestütztes Social Engineering).
Einige Zeit später startet der eigentliche Ransomware-Angriff. Es kommt beispielsweise eine E-Mail, bei der selbst erfahrene Mitarbeiter:innen nicht sofort wissen, ob die enthaltenen Informationen der Wahrheit entsprechen oder nicht. Ist etwa die Warnung vor einer Kontosperre oder die Ankündigung eines Pakets echt oder eine Fälschung? Sie selbst oder ein Mitglied Ihres Teams klicken eventuell zu schnell auf einen Link – und die Attacke startet.
Grafische Darstellung des typischen Ablaufs eines Ransomware-Angriffs
Es sind nur fünf Schritte vom Eindringen ins IT-System bis zur Lösegeldforderung.
Phishing
Die Angreifer:innen nutzen beim Phishing aus, dass Menschen zunächst eine Art Basisvertrauen haben, wenn beispielsweise eine E-Mail eines vermeintlichen Partnerunternehmens im Postfach landet, die täuschend echt aussieht.
Die nachfolgende Tabelle zeigt, warum KI-gestützte Phishing-Angriffe, die auf Social Engineering basieren, für kleine und mittlere Unternehmen besonders gefährlich sind – und weshalb selbst geschulte Mitarbeitende bei der Erkennung solcher Angriffe zunehmend an ihre Grenzen stoßen.
Meist sehr viele inhaltliche und grammatikalische Fehler im Text, bedingt durch schlechte Übersetzung aus dem Englischen
Sprachlich korrekt und überzeugend
Auffällige und alarmistische Formulierungen
Nüchterner, geschäftlicher Stil
Generische Massen-E-Mails
Individuelle Formulierungen, die auf die adressierten Personen und Unternehmen zugeschnitten sind
Leicht erkennbar für geschulte Mitarbeitende, z.B. anhand immer gleicher Muster und Vorgehensweisen
Selbst für erfahrene Mitarbeitende schwer zu erkennen – aufgrund vieler individueller Anpassungen
Wenig Anpassung an Gegenmaßnahmen, daher leicht technisch zu filtern
Ständige Anpassung durch die dahinterstehenden KI-Modelle, daher schwerer zu filtern
Klassisches Phishing
KI-gestütztes Phishing
Deepfakes
Cyberkriminelle verwenden künstliche Intelligenz nicht nur zur Verbesserung ihrer Ransomware. Angreifer:innen setzen beispielsweise vermehrt auf sogenannte Deepfakes, also mittels KI erzeugte Imitationen von Originalen. Solche Deepfakes können beispielsweise sein:
  • Die täuschend echt nachgebaute Webseite Ihres Unternehmens
  • Eine scheinbar echte E-Mail von Ihrer Geschäftsbank, komplett mit Logo und Buttons zum Anklicken (die dann auf eine gefälschte Webseite führen)
  • Ein Voice Clone (auf Deutsch: Stimmenimitat) der Geschäftsführung, das mithilfe eines Videos aus dem Internet generiert wurde und Sie am Telefon auffordert, Firmengelder ins Ausland zu überweisen
Solche Deepfakes sind in den vergangenen Jahren immer besser geworden und mittlerweile nur noch schwer von Originalen zu unterscheiden. Glücklicherweise gibt es inzwischen auch KI-Werkzeuge, die solche KI-Deepfakes ihrerseits erkennen können, etwa das DeepFake-o-Meter der Universität Buffalo oder Deepfake Total vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC).
Automatisierte Cyberangriffe
Künstliche Intelligenz hat nicht nur die Qualität vieler (nicht aller) Cyberangriffe verbessert, sondern auch die Anzahl der Angriffe insgesamt erhöht. So setzen bestimmte Hacker-Kollektive vermehrt auf automatisierte Cyberangriffe.
Hierbei kommen sogenannte KI-Agenten zum Einsatz. Agenten sind Programme, die einmal gestartet werden und dann die ihnen vorab gestellten Aufgaben selbständig erledigen. Sie reagieren sogar auf das Verhalten der Gegenseite. Mit entsprechend leistungsfähiger Hard- und Software können Cyberkriminelle jeden Tag viele zehntausend potenzielle Opfer automatisiert attackieren, beispielsweise mittels:
  • Automatisierten Netzwerk-Scans, die Firmennetze von außen gezielt auf Schwachstellen überprüfen
  • Sprachrobotern, die sich am Telefon wie echte Menschen verhalten, Dialoge führen können und ihre Gesprächspartner:innen dazu auffordern, ihre Computer für eine angebliche Internet-Wartung per Remote-Zugriff freizugeben

Besonders anfällig: Kleinere Unternehmen ohne große IT-Abteilungen

Ziel KI-gestützter Cyberangriffe sind grundsätzlich alle Unternehmen, völlig egal ob groß oder klein. Bestimmte Firmen sind aber besonders häufig beispielsweise von Ransomware-Attacken betroffen, darunter vor allem Firmen aus dem Gesundheitswesen, Bildungseinrichtungen und KMU (kleine und mittlere Unternehmen).
Diese Unternehmen verfügen oft nicht über die gleichen robusten IT-Sicherheitsressourcen wie große Konzerne, was sie zu leichteren Zielen macht. Angreifer:innen wissen zudem, dass erfolgreiche KMU möglicherweise eher bereit sind, das geforderte Lösegeld zu zahlen, da sie sich keine längeren Ausfallzeiten leisten können.
Die IT-Betrüger:innen wissen außerdem, dass kleinere Unternehmen weniger gut geschützt sind und oft keine modernen Sicherheitstools verwenden. Um diesem Risiko entgegenzuwirken, müssen KMU beweisen, dass diese Annahme falsch ist. Entscheidend sind dabei:
Ob ein Unternehmen stark oder weniger stark von einem Cyberangriff betroffenen ist, hängt vor allem von der Reaktionszeit ab. Ein schneller, rund um die Uhr verfügbarer Sicherheitsdienstleister ist im Jahr 2026 unerlässlich für eine effektive Verteidigung.

KI zur Abwehr von Cyberangriffen: Bedrohungserkennung, Automatisierung & Reaktionsgeschwindigkeit

KI-optimierte Angriffe lassen sich abwehren – und zwar mit KI. Künstliche Intelligenz ist beispielsweise ein wertvolles Hilfsmittel für IT-Sicherheitsteams, die damit Aufgaben automatisieren. Denn Cybersicherheit erfordert viel Datenerfassung, Analyse, Systemverwaltung und ähnliche Tätigkeiten, die Zeit und Ressourcen von teuren Analyst:innen in Anspruch nehmen.
Dabei hat KI vor allem drei Einsatzgebiete:
  • Bedrohungserkennung: Entsprechend trainierte KI ist sehr gut darin, verdächtige Muster zu erkennen.
  • Steigerung der Reaktionsgeschwindigkeit: Mittels KI werden neue Bedrohungen schneller erkannt und Abwehrmechanismen schneller entwickelt. So lassen sich Sicherheitslücken schneller schließen.
  • Automatisierung: Aufgaben wie das Scannen des kompletten Netzwerkverkehrs sind ohne technische Hilfe für Menschen nicht umzusetzen. Hier unterstützt die KI.
KI eignet sich beispielsweise ideal, um riesige Datenmengen zu sammeln, zu analysieren und dann auf Grundlage der gewonnenen Erkenntnisse zu reagieren. So können Unternehmen Bedrohungen schneller und besser erkennen und Maßnahmen einleiten.
Die Erkenntnisse, die KI liefert, können außerdem das Situationsbewusstsein des IT-Personals verbessern – und die Fähigkeit, datengesteuerte Entscheidungen zu treffen.
Da Cyberkriminelle vermehrt auf die Vorteile von KI setzen, ist dies auch für Unternehmen sinnvoll. Wenn Sie ebenfalls KI-basierte Heuristiken und Werkzeuge anwenden, können Sie bei der Gefahrenabwehr mit den Entwicklungen in der Cyberkriminalität Schritt halten.
Empfohlener externer Inhalt
Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
Datenschutzerklärung

Herausforderungen beim Einsatz von KI in der Cybersicherheit

Die Verwendung von KI in der Cybersicherheit bringt nicht nur Vorteile, sondern auch Herausforderungen mit sich.
Schlechte Datenqualität als Risiko
Ein zentrales Problem ist die Abhängigkeit von der Datenqualität. KI wertet beispielsweise das übliche Verhalten aller Nutzer:innen in einem Netzwerk aus, um es von ungewöhnlichen, verdächtigen Handlungsmustern besser zu unterscheiden.
Unzureichende oder fehlerhafte Daten können allerdings dazu führen, dass KI-Modelle Bedrohungen falsch einschätzen. Dies führt unter Umständen zu einer trügerischen Sicherheit – und im schlimmsten Fall zu erfolgreichen Cyberangriffen.
KI lässt sich manipulieren
KI-Systeme sind anfällig für Manipulationen. Angreifer:innen können gezielt falsche Daten einspeisen, um die KI zu täuschen und dann Sicherheitslücken auszunutzen.
Eine KI würde beispielsweise nicht bemerken, dass sie gezielt mit veralteten Virensignaturen gefüttert wird, damit sie neue Viren nicht erkennt. Eine andere Methode wäre es, KI durch ständig eingespielte falsche Signaturen so häufig zu positiven Virenmeldungen zu animieren, bis die Nutzer:innen sie irgendwann genervt deaktivieren – ähnlich dem Schäfer aus der Fabel von Äsop, der so oft einen vermeintlichen Wolfsangriff meldet, bis ihm niemand mehr zur Hilfe kommt, als der Wolf tatsächlich auftaucht.
Derartige sogenannte Adversarial AI stellt eine neue Form der Bedrohung dar, gegen die herkömmliche Sicherheitsmaßnahmen oft nicht ausreichen.
Künstliche Intelligenz wird zur Blackbox
Ein weiteres Risiko besteht darin, dass KI-Modelle zu sogenannten Blackboxes werden, deren Entscheidungsprozesse kaum nachvollziehbar sind. Dies erschwert es, fehlerhafte Entscheidungen zu identifizieren und rechtzeitig zu korrigieren. Unternehmen müssen sicherstellen, dass ihre KI-Systeme nicht nur effektiv, sondern auch transparent und überprüfbar bleiben.
Herausfordernde Organisation und Implementierung
Nicht zuletzt stellt der Einsatz von KI viele Unternehmen auch vor organisatorische Herausforderungen. Die Implementierung und Wartung von KI-Systemen erfordert spezialisierte Fachkenntnisse und angepasste IT-Infrastrukturen. Besonders für kleinere Unternehmen kann das eine Hürde darstellen. Falls das entsprechende Wissen bei Ihnen fehlt, sollten Sie externe Expert:innen beauftragen, die sich mit KI in der Cybersicherheit auskennen.
Eine junge Frau betrachtet lächelnd ein Tablet.

Vodafone Business Security Services

Unsere Expert:innen überwachen Ihre Sicherheit. Und sie übernehmen das Management Ihrer Vodafone Security-Lösung: Von der Ersteinrichtung bis zum Betrieb und der Wartung unterstützen wir Sie.

  • Rund um die Uhr
  • Immer aktuell
  • Alles auf einen Blick via Cyber Hub

Software-Lösungen mit KI, die Unternehmen schon heute in der Cybersicherheit einsetzen können

Künstliche Intelligenz kommt in der Cybersicherheit bereits in vielen praxisnahen Lösungen zum Einsatz. So nutzen Endpoint-Security-Plattformen wie Microsoft Defender for Business KI-Modelle, um verdächtiges Verhalten auf Endgeräten frühzeitig zu erkennen und Angriffe automatisiert abzuwehren.
Der Defender nutzt maschinelles Lernen und Verhaltensanalysen, um verdächtige Aktivitäten auf Endgeräten frühzeitig zu erkennen. Dieses Machine Learning kann beispielsweise ungewöhnliche Dateiverschlüsselungen und bestimmte andere typische Anzeichen eines Ransomware-Angriffs erkennen. Bei Bedrohungen isoliert der Defender verdächtige E-Mails, Programme und Prozesse, gibt Alarmmeldungen aus oder wendet konkrete Gegenmaßnahmen an, um eine weitere Ausbreitung von Malware zu verhindern.
Die sogenannten Agents (selbständig arbeitende KI-Programme) des Security Copilot von Microsoft gehen ähnlich vor wie der Microsoft Defender for Business: Sie suchen gezielt nach Auffälligkeiten in Firmennetzen.
Für mobile Endgeräte setzen Lösungen wie Lookout auf KI-gestützte Analysen von Links, Apps und Netzwerkverbindungen, um Phishing und Malware bereits beim ersten Kontakt zu stoppen. Unternehmen erhalten so wirksamen Schutz, ohne eigene KI-Expertise aufbauen zu müssen.

KI und IT-Sicherheit im Unternehmen: Best Practices und konkrete Maßnahmen

Cybersecurity-Expert:innen steht mittlerweile ein breites Portfolio an Anwendungen und Methoden für die KI-basierte Cybersecurity und Gefahrenabwehr zur Verfügung. Im Fokus steht häufig die Abwehr von Ransomware: Diese Art der Malware ist am weitesten verbreitet – und verspricht Cyberkriminellen die potenziell höchsten Gewinne.
Gängige Methoden und Tools der KI-basierten Cybersecurity sind:
Behavior Analytics
Mittels Behavior Analytics (auf Deutsch: Verhaltensanalyse) überwacht eine KI das Verhalten von Programmen und Prozessen auf einem System. Wenn Nutzer:innen oder Anwendungen plötzlich sehr viele Dateien verschlüsseln oder ungewöhnliche Verschlüsselungsalgorithmen anwenden, stuft die KI dies als verdächtig ein. Vorteil: Diese Methode kann auch bisher unbekannte Ransomware erkennen. Dadurch steigt die Erkennungsrate gerade bei neuen Angriffen und sogenannten Zero-Day-Exploits.
Das funktioniert beispielsweise mit dem Microsoft Security Copilot oder der CrowdStrike Falcon Platform.
Anomalie-Erkennung
KI-Modelle lernen, wie sich Benutzer:innen, Geräte und Anwendungen normalerweise verhalten. Treten starke Abweichungen auf, beispielsweise ungewöhnliche Dateioperationen oder Zugriffe außerhalb der üblichen Zeiten, wird ein Alarm ausgelöst.
Diese Methode eignet sich besonders zur Erkennung von Zero-Day-Ransomware. Sie kann Bedrohungen identifizieren, für die noch keine Signaturen existieren. Da KI selbst auch programmieren und Sicherheitslücken identifizieren kann, kann sie Lücken und Auffälligkeiten viel besser erkennen und vorhersagen als herkömmliche Behavior Analytics. Die Genauigkeit verbessert sich mit zunehmender Datenmenge.
Gängige Tools dafür gibt es beispielsweise auf den Plattformen Darktrace und Vectra AI.
Datei- und Inhaltsanalyse
KI untersucht ausführbare Dateien auf verdächtige Merkmale, bevor die Programme erstmalig gestartet werden. Dabei analysiert sie Eigenschaften wie Dateistruktur, Code-Muster oder eingebettete Befehle. Maschinelles Lernen kann dabei Gemeinsamkeiten mit bekannter Malware erkennen. Selbst leicht veränderte Varianten sind immer noch identifizierbar, weil sie dieselben verdächtigen Muster anwenden. Auch dies unterstützt die Prävention von Ransomware-Angriffen.
Das funktioniert beispielsweise mit dem Microsoft Defender und CrowdStrike oder mit der SentinelOne Singularity Platform.
Netzwerkverkehrsanalyse
Viele Ransomware-Programme werden über sogenannte Kontrollserver aus dem Internet ferngesteuert. KI analysiert deshalb den Netzwerkverkehr zwischen Firmennetzen und dem Internet in Echtzeit. Sie sucht nach auffälligen Verbindungen oder Datenmustern, die auf eine Kommunikation zwischen bereits eingeschleuster Ransomware und externen Servern hindeuten. Diese Datenverkehre werden dann umgehend unterbrochen.
Im besten Fall können Sie so das Ausspähen von Firmendaten stoppen, die Aktivierung der Ransomware verhindern oder zumindest deren weitere Ausbreitung im Firmennetz einschränken.
Gängige Werkzeuge hierfür sind Vectra AI, IronDefense von IronNet und Gatewatcher NDR Platform.
Microsoft Defender für Unternehmen

Microsoft Defender for Business

Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.

Neu: Jetzt mit Vodafone Managed Endpoint Security Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.

  • Schutz vor Ransomware, Phishing und anderen Bedrohungen
  • In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten

Unser Fazit: Künstliche Intelligenz greift an – aber Sie sind nicht schutzlos

Gerade kleine und mittlere Unternehmen stehen KI-gestützten Angriffen oft mit begrenzten IT-Ressourcen gegenüber. Umso wichtiger sind Sicherheitslösungen, die Bedrohungen automatisiert erkennen und im Hintergrund wirksam abwehren.
Künstliche Intelligenz bietet hierfür inzwischen eine Vielzahl unterschiedlicher Methoden und Werkzeuge. Ein wichtiges Beispiel ist die Echtzeit-Analyse von verdächtigen Verhaltensmustern in Firmennetzen: Sie geht weit über die herkömmlichen Port-Sperrungen älterer Firewalls hinaus und ist damit deutlich effektiver in der Cybergefahrenabwehr.
Angebote wie der Microsoft Defender for Business helfen KMU dabei, ihre Endgeräte zentral zu schützen – ohne hohen Administrationsaufwand oder eigene Security-Teams.

KI in der Cybersecurity: Häufig gestellte Fragen (FAQ)

Das könnte Sie auch interessieren:
Security

Was ist VPN?

Ein Virtual Private Network (VPN) sichert Datenverkehr wirksam ab. Es nutzt moderne Verschlüsselungstechnologien, um eine geschützte Direktverbindung zwischen einem Gerät und einer vertrauenswürdigen Gegenstelle herzustellen. Wie Unternehmen VPN gezielt einsetzen können, erfahren Sie hier.

Digitalisierungsberatung

Die Beraterinnen und Berater helfen Ihnen kostenlos und unabhängig bei praktischen Fragen und geben konkrete Tipps. Vereinbaren Sie einen unverbindlichen Termin um Ihr Anliegen zu besprechen.

Termin vereinbaren