Cybersecurity Basement – der Podcast für echten Security-Content
Herzlich Willkommen im Cybersecurity Basement. In unserem Podcast spricht Michael Döhmen alle 14 Tage mit spannenden Gästen über Themen aus dem Bereich Cybersecurity. Dabei legen wir großen Wert auf Objektivität gelegt. Kein suresecure-Feature-Fucking, sondern ein seriöser, authentischer und ehrlicher Austausch aus Theorie und Praxis.
Der Podcast richtet sich an IT- und Security-Entscheider und alle, die es mal werden wollen. Hier gibts kein Blabla, sondern Security als Handwerk. Ehrlich auf den Tisch. Dabei übersetzen die Protagonisten Security in Business-Sprache und umgekehrt.
Zudem werden auch Gäste eingeladen, um andere Blickwinkel oder auch Kundenstimmen einzufangen. So geht es noch mehr in die Praxis und der Podcast bewegt sich auf Augenhöhe mit dem Zielpublikum.
Cybersecurity Basement – der Podcast für echten Security-Content
KI im Einsatz der Hacker: Deepfakes, Agenten & 24/7-Cyberangriffe
In dieser Folge spricht Michael mit Andreas über KI auf der Angreiferseite und warum das längst Alltag ist. Die beiden schauen darauf, wie Hacker heute KI-Agenten einsetzen, um sich durch Netzwerke zu bewegen, Mitarbeiter perfekt zu imitieren, Deepfakes zu bauen und Angriffe 24/7 laufen zu lassen.
Dabei geht es nicht nur um die verrücktesten Beispiele aus echten Vorfällen, sondern auch darum, warum klassische Schutzmechanismen da schnell an ihre Grenzen kommen und wie Verteidiger mit eigener KI dagegenhalten können.
Eine Folge für alle, die wissen wollen, wie KI-basierte Cyberangriffe wirklich funktionieren, warum sie immer smarter werden und was Unternehmen dagegen tun können.
Wir freuen uns auf dein Feedback!
Möchtest du mehr über unseren Podcast wissen? Dann wirf einen Blick in unser Media Kit. Dort findest du alles Wichtige:
Cybersecurity Basement - Media Kit
Du findest uns auch auf:
(2) suresecure GmbH: Ihr Unternehmen | LinkedIn
@suresecure_de • Instagram-Fotos und -Videos
suresecure (@suresecure_de) | TikTok
Michael:
Herzlich willkommen zu einer neuen Ausgabe von Cyber Security Basement, dem Podcast für echten Security Content. Ich begrüße meinen heutigen Gast: Andreas Papa Daniel, Gründer und CEO der Schuh GmbH. Guten Morgen, Andreas.
Andreas:
Guten Morgen, schön, dass ich hier sein darf.
Michael:
Wie immer sehr gerne. Andreas, du warst auf einer Messe in Dubai, auf der Getex. Erzähl uns mal: Welche Eindrücke hast du mitgenommen? Was waren die großen Themen? Die Messe ist ja nicht unbedeutend. Wie ist es dir ergangen?
Andreas:
Tatsächlich haben wir mittlerweile eine der größten IT-Messen der Welt, und das merkt man. Großes Thema ist natürlich AI, künstliche Intelligenz, und Cyber Security. Ich war letztes Jahr schon da, da war der Cyber-Security-Bereich noch kleiner. Dieses Jahr hat man deutlich gemerkt, wie stark das Interesse gewachsen ist. Das sind mittlerweile die Top-Themen auf diesen Messen: IT-Security und AI – und vor allem die Kombination.
Andreas:
Wir merken, dass wir nur mit Menschen der Sache nicht mehr beikommen. Weltweit gibt es einen enormen Fachkräftemangel, und viele Aufgaben wiederholen sich, sodass man sie gut durch AI unterstützen oder ersetzen kann. Und man sieht viele Hersteller und Serviceprovider, die AI in ihrem Portfolio einsetzen. „AI-powered“ war überall zu lesen. Jeder Hersteller kommuniziert: Wir nutzen AI in unseren Produkten. Und es macht auch Sinn.
Andreas:
Die Kombination betrifft sowohl die Verteidiger- als auch die Angreiferseite. Wir sehen, dass Angriffe durch AI immer gefährlicher und spezifischer werden. In den letzten Monaten gab es einige wirklich beeindruckende Beispiele.
Michael:
Das reicht uns als Intro. Du hast ja gerade gesagt: Genau darüber wollen wir sprechen – KI auf der Verteidigungsseite, aber vor allem starten wir jetzt mit KI aus Angreiferperspektive. Du bist durch die Hallen gelaufen, eine der größten Messen überhaupt. Ich habe es gerade nachgeschaut: 200.000 Menschen waren dort. Viele Hersteller haben ja bereits KI in ihren Lösungen. Kann man mittlerweile sagen: KI im Cyber-Kontext ist nicht mehr Zukunft, sondern Gegenwart?
Andreas:
Auf jeden Fall. Gerade bei der Bewältigung sehr großer Datenmengen oder beim 24/7-Betrieb. Angriffe finden 24/7 statt, aber du findest gar nicht genug Experten, um ein Team rund um die Uhr zu besetzen. Deswegen gehen viele hin und bauen ein Tier-Modell: Tier 1 sortiert und kategorisiert, Tier 2 schaut genauer hin, Tier 3 ist der Experte für Forensik. AI kann heute Tier 1 komplett übernehmen und damit höherqualifizierte Ressourcen gezielt einsetzen. Das erleichtert enorm.
Michael:
Steigen wir mit der Angreiferperspektive ein: Wie würdest du einem Laien erklären, was KI-basierte Angriffe von klassischen Angriffen unterscheidet?
Andreas:
Ein KI-basierter Angriff erleichtert zwei Dinge enorm: Information Gathering und Vorbereitung. KI macht es einfacher, Informationen über Personen oder Unternehmen herauszufinden. Früher musstest du 20 Portale durchsuchen. Heute fragst du ein System wie ChatGPT: „Gib mir alle verfügbaren Infos über den CFO dieser Firma.“ Du kannst spezifizieren, was du haben willst: Wo ist er angemeldet? Welche Accounts nutzt er? Welche Social-Media-Profile gibt es? Das macht gezielte Angriffe viel leichter.
Michael:
Und man darf sich nicht blenden lassen: Auch klassische Angriffe wie Phishing profitieren jetzt von KI.
Andreas:
Absolut. Die E-Mails sind viel besser geworden. Früher konntest du Rechtschreibfehler erkennen. Heute nicht mehr. Und die Kommunikation selbst wird von KI geführt: Wenn du auf die E-Mail antwortest, reagiert ein KI-Agent. Er kann jede Person imitieren – auch Personen deines Vertrauens. Er schaut sich deren Kommunikationsstil in sozialen Medien an und übernimmt Redewendungen oder Formulierungen.
Andreas:
Das gibt es auch im Videoformat. Es gibt Angriffe über WhatsApp: Du bekommst ein Video von jemandem aus dem Finanzbereich: „Bitte überweise sofort Geld auf dieses Konto.“ Du schaust es an – sieht echt aus. Vielleicht wunderst du dich kurz, aber wenn du nachfragst, antwortet dir der „Kollege“ sofort im gleichen Sprachstil. Diese Impersonation hat ein sehr hohes Niveau und ist erstaunlich einfach umzusetzen.
Michael:
In der Verteidigung überlegt man genau, wo man KI einsetzt. Angreifer machen das nicht – die setzen alles ein. Malware wird bereits KI-optimiert, teilweise schicken die einen KI-Agenten in die Infrastruktur, der wie ein Spion arbeitet. Wie funktioniert das?
Andreas:
Früher hat ein Angreifer einen Benutzer angelegt, der Malware ausführt oder eine Backdoor bereitstellt. Der Benutzer war aber nicht „aktiv“. Heute kannst du ihn so programmieren, dass er mit Mitarbeitern kommuniziert – über Teams zum Beispiel.
Andreas:
In einem internationalen Konzern könntest du sagen: Das ist ein koreanischer Mitarbeiter. Dann kommuniziert der Agent mit koreanischen Redewendungen und Verhaltensmustern. In Deutschland fällt das niemandem auf. Er kann sogar telefonieren – in Koreanisch, Englisch oder welcher Sprache auch immer. Die Imitation ist enorm gut.
Andreas:
Damit kann der Agent autonom Social Engineering durchführen. Und das geht jetzt erst los – wir sehen von Monat zu Monat neue, ausgefeilte Attacken. Jeder kann das ausprobieren. Es gibt Tools, bei denen du per Drag and Drop einen kompletten Agenten zusammenklickst: Sprache, Nationalität, Aufgaben, Verhalten.
Michael:
Die Magie ist: Der Agent kann sein Verhalten ständig anpassen. Gibt es ein Limit? Oder kann man ihm unendlich viele Verhaltensweisen und Methoden mitgeben?
Andreas:
Das ist das Gefährliche: Bisher konnten wir anhand weniger Artefakte erkennen, welche Ransomware-Gruppe dahintersteckt. Die Gruppen hatten Muster.
Andreas:
Bei einem KI-Agenten fällt das weg. Er kann aus einem riesigen Repertoire wählen. Du kannst nicht mehr antizipieren, was als Nächstes passiert. Auch rückwirkend wird es schwer – viele Unternehmen haben kein zentrales Log-Management, Logs werden gelöscht.
Andreas:
Früher konnten wir anhand der Kill Chain sagen: Das ist diese Gruppe, also erwarten wir folgende Schritte. Das geht jetzt nicht mehr. Ein KI-Agent verhält sich wie ein Mensch, der autonom in der Umgebung agiert.
Michael:
Wie kommt so ein Agent überhaupt rein? Wieder über eine Phishing-Mail?
Andreas:
Im Prinzip ja. Meist über Links. Schadcode setzt sich lokal aus Komponenten zusammen – cleverer als früher. Mit einem klassischen Virenscanner hast du keine Chance. Du brauchst verhaltensbasierte Erkennung.
Michael:
Und wenn der Agent platziert ist? Früher hat ein Hacker selbst geschaut: Was kann ich tun? Jetzt macht das alles der Agent. Wie bekommt die Hackergruppe Feedback?
Andreas:
So wie du willst. Du musst es nicht komplett durchprogrammieren. Früher musstest du jede Wenn-Dann-Bedingung per Skript definieren – extrem aufwändig. KI bringt diese Flexibilität von Haus aus mit.
Michael:
Es gibt aber Signale, die man erkennen kann. Unsere Verteidigung schickt ja auch KI ins Rennen. Was sind aussagekräftige Hinweise, dass ein KI-Agent im Netzwerk ist?
Andreas:
Die KI erkennt nicht direkt: „Das ist eine andere KI.“ Sie erkennt Verhalten. Wenn ein Benutzer Dinge tut, die er nicht tun sollte, korreliert die KI das sehr schnell.
Andreas:
Auch Kommunikationsanalysen sind möglich – man kann unnatürliche Schreibstile erkennen oder Deepfake-Videos analysieren. Aber vieles ist noch nicht flächendeckend im Einsatz.
Andreas:
Die Stärke der Verteidigungs-KI liegt in der Analyse sehr großer Datenmengen in kurzer Zeit, Entscheidungswege zu verkürzen und automatisiert zu reagieren – 24/7, ohne Müdigkeit, ohne Fehler.
Michael:
Wie damals bei TV Total: „Der Gerät – der Gerät schläft nie.“
Andreas:
Der Gerät mit KI – da kommt mir eine gute Idee.
Michael:
Playbooks spielen ja eine große Rolle im SOC. Aber ein adaptiver Angreifer passt nicht in starre Playbooks. Muss man Playbooks neu denken?
Andreas:
Playbooks werden bleiben, aber KI-unterstützte Playbooks werden besser. Du musst nicht mehr alles bis ins kleinste Detail definieren, weil KI viele Informationen automatisch liefert.
Andreas:
Visuell ist ein Playbook wie ein Baum: Wenn dieses Event eintritt, tue das. KI nimmt dir viele dieser Detaildefinitionen ab und macht die Reaktion schneller.
Andreas:
Wir hatten Angriffe, da kam es auf Minuten an. Ein Angreifer las gerade Active-Directory-Daten aus. Wir erkannten das Verhalten, stoppten den Angriff und verhinderten die Exfiltration. Wären wir eine Stunde später gewesen, wären die Daten weg gewesen.
Michael:
Ich stelle mir vor, wie zwei KI-Systeme gegeneinander kämpfen – Angreifer und Verteidiger. Kann so etwas skalieren?
Andreas:
Noch nie drüber nachgedacht, aber das wäre eine großartige Idee für eine Netflix-Serie. Zwei KI-Agents, die gegeneinander kämpfen, während du zuschaust.
Andreas:
Es gibt tatsächlich Szenarien, bei denen man Angreifer beobachtet, um herauszufinden, wer dahinter steckt. Aber dafür brauchst du ein sehr reifes Security-Setup.
Michael:
Was ist mit „Poisoning“? Angreifer könnten ja vorhandene KI-Systeme im Unternehmen manipulieren, statt eigene mitzubringen.
Andreas:
Habe ich so noch nicht gesehen, aber denkbar ist es. Supply-Chain-Attacks gibt es ja schon: manipulierte Updates, kompromittierte Hersteller.
Andreas:
Man könnte sich vorstellen, dass KI-Tools, die Dateien verarbeiten, missbraucht werden, um sensible Daten zu extrahieren. Da kann man paranoid werden.
Michael:
Diese Überlegungen müssten in die Incident Response einfließen. Gibt es Maßnahmen, die das Risiko reduzieren?
Andreas:
Ja – alles, was wir schon kennen. KI ändert nicht die grundlegenden Techniken. Ein KI-Agent kommt über dieselben Wege rein.
Andreas:
Wichtig sind:
– vernünftiges Berechtigungsmodell
– Schwachstellenmanagement
– Netzwerksegmentierung
– zentrales Log-Management
– moderne Firewalls, die Benutzerkontext verstehen
Andreas:
Der Agent hat mehr Möglichkeiten, aber die Prinzipien bleiben gleich. Türen zu – im übertragenen Sinne – heißt: Segmentierung, dynamische Firewall-Regeln, moderne Erkennungsmethoden.
Michael:
Also bekannte Maßnahmen bleiben gültig. Wie siehst du das Thema Täuschung – also den Angreifer bewusst fehlleiten?
Andreas:
Durchaus möglich, aber man spielt mit dem Feuer. Momentan ist die gängige Strategie: Eindämmen, aussperren, fertig. Die Angreifer ziehen weiter zum nächsten, schlechter geschützten Target.
Andreas:
Regulatorisch und technisch werden Unternehmen reifer. Dann wird sich die Angriffsdynamik verändern. Das Spiel geht immer weiter. IT wird bleiben – also bleiben Angriffe auch.
Andreas:
Deepfakes funktionieren heute ausgezeichnet, weil die Hürde gering ist. Geld wird trotz Sicherheitsmechanismen überwiesen. Prozesse werden nachgezogen, dann passen Angreifer ihre Methoden an. 100% Sicherheit gibt es nicht.
Michael:
Vielleicht ist dieses Interview auch ein Deepfake – wer weiß?
Andreas:
Ja, vielleicht. Klare Empfehlung: Setzt die Sicherheitsmechanismen ruhig runter. Macht alle Benutzer zu Admins, das hilft.
Michael:
Sehr guter Tipp. Vielen Dank für den Exkurs in Angreifer- und Verteidigungssicht mit Fokus auf KI. Das Thema wird uns sicher noch viele Jahre begleiten. Ich hoffe, wir sprechen später noch einmal darüber.
Andreas:
Machen wir. Wenn wir die ersten richtig ausgefeilten Angriffe sehen, bin ich gespannt. Wir sind gut gewappnet – wir haben KI auf unserer Seite. Schauen wir mal, wie es weitergeht.
Michael:
Perfekt. Dann hören wir voneinander. Bleibt sicher und gesund, lasst euch nicht täuschen. Bis demnächst. Tschüss!