Bedrohungsabwehr: Wie moderne KI-Technologie Cyberangriffe frühzeitig erkennt (Gesponsert)

Sprecherin: Diese Folge wurde vom Arbeitgeber des Interviewpartners gesponsert. „heise meets … – Der Entscheider-Talk". Wir besprechen kritische, aktuelle und zukunftsgerichtete Themen aus der Perspektive eines Entscheiders. heise business services begrüßt Persönlichkeiten aus Wirtschaft, Wissenschaft und Politik. Immer aktuell und nah am Geschehen.

Sprecher: „heise meets …" heute mit einer weiteren Folge, die wir auf dem Elastic AI Executive Circle aufgezeichnet haben. Im ersten Teil haben wir zusammen mit der Lufthansa gehört, wie Elastic dort eingesetzt wird. Doch wie ist es um die Sicherheit bestellt, wenn endlose Datenmöglichkeiten in echte Ergebnisse umgewandelt werden sollen? Sicherheit ist nicht nur in der Fliegerei wichtig. Wie stellt man beispielsweise sicher, dass Interna aus Unternehmen nicht plötzlich zum Futter für die künstliche Intelligenz ganz allgemein werden? Darüber wollen wir heute sprechen mit den Kollegen von der Leitwerk AG. Übrigens, Elastic wirbt damit, die besten Menschen einzustellen, die unser Planet zu bieten hat. Und zumindest diese Runde hier ist richtig international. Von Elastic haben wir Thorben Jändling.

Thorben Jändling: Hallo, freut mich, dabei zu sein.

Sprecher: Patrick Antoun von Leitwerk AG.

Patrick Antoun: Guten Tag, freut mich auch.

Sprecher: Und dann ist noch Kevin Zimmermann.

Kevin Zimmermann: Hallo.

Sprecher: Und wir haben gerade festgestellt, diese Runde ist so international, wie sie selten bei einem heise-Podcast ist. Thorben, deine Geschichte. Du kommst woher?

Thorben Jändling: Ich komme aus Großbritannien, Wales, aber ich lebe jetzt lange Zeit in der Schweiz und bin schon Schweizer geworden.

Sprecher: Schweizer-Macher.

Thorben Jändling: Ja, ich bin Schweizer gemacht ;-)

Sprecher: Dann haben wir Patrick Anton und du hast mir gesagt, du hast auch so eine interessante Geschichte.

Patrick Antoun: Auf jeden Fall, klar. Tatsächlich geboren in Beirut, seit 1990 in Deutschland und lebe in Baden-Württemberg.

Sprecher: Und zufrieden bei der Leitwerk?

Patrick Antoun: Auf jeden Fall! Seit 18 Jahren.

Sprecher: Kevin Zimmermann, auch Leitwerk, auch Schwarzwald, auch zufrieden?

Kevin Zimmermann: Ja, das schon seit fast sieben Jahren, ja.

Sprecher: Thorben, was ist dein Job bei Elastic?

Thorben Jändling: Ich bin ein Security Specialist. Ich habe jetzt bei Elastic sieben Jahre gearbeitet und vor den über 15 Jahren in verschiedenen nationalen CCERTs. So ich habe sehr lange in Security gearbeitet, auf nationaler Ebene und jetzt unterstütze ich die Kunden bei Elastic mit den Security-Projekten, vor allem mit unserem Produkt Elastic Security.

Sprecher: Und du unterstützt Leitwerk.

Thorben Jändling: Ja, genau.

Sprecher: Fühlt ihr euch gut unterstützt, Jungs?

Kevin Zimmermann: Auf jeden Fall, auf jeden Fall.

Sprecher: Was ist für euch das Besondere, Patrick, an der Zusammenarbeit mit Elastic?

Patrick Antoun Na gut, die Flexibilität, die wir mit dem Produkt natürlich haben, vor allem für unsere Kunden. Wenn wir natürlich sagen, wir müssen gerade die Leitwerk, der CyberFox bietet ja für seine Kunden eine Managed-SOC-Plattform an. Das bedeutet, wir überwachen die Kunden, damit sie keinen Angriff erleiden oder die Angriffe werden da rein, aber damit wir zumindest frühzeitig reagieren können. Die Flexibilität, die wir mit dem Produkt haben, mit der Anbindung der Systeme, das ist der große Vorteil.

Sprecher: Wann ist ein Produkt so flexibel, wie Patrick das bezeichnet hat? Kevin, wo legt ihr den Wert speziell drauf? Was muss ein flexibles Produkt können?

Kevin Zimmermann: Die Anbindungsmöglichkeiten. Die Lösung, die wir bisher eingesetzt haben, sind wir gut gefahren, allerdings nicht in diesem Umfang, wie wir es jetzt haben. Wir haben knapp an die 500 Integrationen von Elastic, die Haus-aus mitgeliefert werden. Und unabhängig von der Technologie, die eingesetzt wird, alles was beim Kunden läuft, können wir anbinden. Vielleicht mit mehr oder weniger Arbeit, aber es gibt die Möglichkeit, alles auf eine Plattform zentral einzuliefern, was uns das Leben halt massiv einfacher macht.

Sprecher: Erzähl mir das mal ein Beispiel.

Kevin Zimmermann: Naja gut, manche Kunden von uns beispielsweise haben Surface Firewalls, die anderen wiederum Checkpoint, oder wiederum Sonicwalls, die gar nicht von uns gemanagt werden. Und da geht es natürlich darum, gerade in einem SOC eine relativ breite Transparenz nachher schlussendlich zu schaffen, das heißt, ich kann ja nicht nur mit den Endgeräten starten oder nur mit den Servern, ich brauche mehr da drin. Und das bietet halt mit Elastic uns die Möglichkeit, dass das gesamte Portfolio, alles was infrastruktur-technisch beim Kunden da ist, nachher schlussendlich einzubinden, egal was es spricht.

Sprecher: Das heißt, egal was ich als Kunde mitbringe. Ich komme zur Leitwerk AG und sage, ich habe die Server von Unternehmen A, ich habe die Firewall von Unternehmen B, ich habe da noch ein bisschen was anderes laufen von Unternehmen C. Da sagt ihr, kein Thema, macht alles Elastic für uns?

Patrick Antoun: Genau, wir müssen natürlich die Integration schaffen, so dass wir die gesamte Transparenz schaffen. Die Aufgabe des SOC ist ja die maximale Transparenz zu schaffen, um frühzeitig zu erkennen, dass sich irgendjemand im Haus befindet, der da gar nicht hingehört. Und tatsächlich ist es uns so gut wie egal, was dahinter steht. Wenn es natürlich die Integration von Haus- aus Elastic mitliefert, geht es natürlich noch viel schneller. In dem anderen Fall können wir alles, was ein Syslog schreiben kann, können wir anbinden.

Sprecher: Thorben, wenn jemand, wie Leitwerk, zu dir kommt und sagt, du wir haben da ein riesengroßes Portfolio an unterschiedlichen Herausforderungen, dann wachsen dir graue Haare oder lehnst du dich entspannt zurück?

Thorben Jändling: Ich lehne mich entspannt zurück.

Sprecher: Er hat auch keine grauen Haare. ;-)

Thorben Jändling: Warte, meine Tochter ist erst acht. Kommt noch.

Wir haben eine ganz interessante Kultur. Elasticsearch selber ist vom Open Source entwickelt und wir haben sehr viel von diesen Kulturen mitgebracht. Das heißt sehr viel Flexibilität. Ich weiß zum Beispiel, dass ich zu der Project Engineering gehen kann und Unterstützung bekomme, vor allem wenn sie so neue Integrationen brauchen. Oder ich rede oft, ich habe der und der Kunde, der diese Integrationen braucht und dann kann ich das dann auf der Liste von Integrationen setzen. In der Zwischenzeit liefern wir jetzt fast 500 Integrationen für verschiedene Datenquellen. Das heißt, für diese Datenquellen ist es sehr leicht für die Kunden, die Daten hineinzubringen. Und das ist quasi das Ziel, so leicht wie möglich die Daten in Elastic zu haben, dass man damit arbeiten und dann Analytics machen kann.

Auf der anderen Seite haben wir Elastic Security Labs, die sind unser Malware- und Threat-Forschungsteam. Und der ganze Security-Inhalt, der in Elastic Security mitkommt, ist durch dieses Team dann kuratiert. Sie schauen, dass wir immer die besten Alerts, Detection Rules und Endpoint Security haben. Das ist ihre Arbeit. Und das wird dann alles unseren Kunden zur Verfügung gestellt. Damit finden wir es oft einfach die Kunden zu unterstützen und ihre Probleme zu lösen.

Sprecher: Was passiert dann bei euch, wenn ein Kunde sagt, ich habe ein Problem oder ihr analysiert, dass da ein Problem ist, was passiert dann im Hintergrund?

Patrick Antoun: Am Ende des Tages haben wir initial die Elastic-Plattform laufen, die lassen wir laufen. Die Plattform ist ja erstmal nichts anderes als eine Plattform, die Daten korreliert und Anomalien erkennt. Sobald das System eine Anomalie erkennt, wird bei uns ein Ticket eröffnet. Dann stehen unsere Kollegen, die in der Forensik arbeiten, da und analysieren das Thema durch. Was ist denn da gerade passiert? Ist es ein True-Positive oder ein False-Positive?

Es gibt natürlich immer zwei Arten von Meldungen. Es gibt den False-Positive und den True-Positive. Ist es ein False-Positive, geht es eher darum, das System nochmal anzupassen, sodass dieser False-Positive nicht noch mal auftritt. Ist es aber ein True-Positive, dann geht die Feuerwehr raus. Dann sind tatsächlich unsere Incident-Responder im Einsatz und versuchen diesen Vorfall so gering wie möglich zu halten, den Hacker auszusperren. Im schlimmsten Fall müssen wir vor Ort reiten, um den Kunden wieder arbeitsfähig zu machen.

Sprecher: Wie ist bei euch die Entscheidung, Kevin, gefallen, wir nehmen Elastic als Partner an Bord?

Kevin Zimmermann: Das hatte tatsächlich viele Gründe. Wir haben uns mehrere Lösungen angeguckt, große Namen dabei natürlich, wie eine Microsoft, Splunk oder solche Dinge. Das Thema für uns war aber ganz wichtig, dadurch, dass wir mehrere Rechenzentren betreiben, war für uns ganz klar, wir wollen das Ding bei uns haben. Thema Datensouveränität, deutscher Datenschutz, Auditmöglichkeiten etc., dass wir gesagt haben, es gibt eigentlich keinen Weg dran vorbei, das Ding muss bei uns stehen.

Daraufhin sind viele Lösungen schon rausgefallen, weswegen einer der letzten Wettbewerber tatsächlich Elastic war. Und als wir es uns dann angeschaut haben, wir haben initial mit der Cloud gestartet, das war ganz cool, man konnte schnell starten und dann haben wir gesagt, okay, wir migrieren jetzt zu uns, wir haben ein Elastic Cluster bei uns in der OwnCloud hochgezogen. Da betreiben wir mittlerweile an die 30 Kunden drauf und vieles was uns tatsächlich in dem Umfeld mittlerweile treibt, ist klar Regulation, NIS2 zukünftig, Kritis-Kunde haben wir auch, aber allerdings da drin. Und das ist so der große Kernpunkt tatsächlich, warum die Lösung Elastic gefallen ist.

Sprecher: Wenn jemand wie die Leitwerke auf euch zukommt und sagt, wir brauchen NIS2, wir brauchen alles Mögliche, was Sicherheit ist. Was passiert dann bei euch? Wie geht ihr mit so einer Anfrage um?

Thorben Jändling: Wir sind nicht die Einzigen, die NIS2 machen müssen oder DPA machen müssen oder DORA jetzt ganz neu. Ein Vorteil bei mir natürlich ist die Arbeit mit verschiedenen Security-Kumpeln. Dann kriege ich so ein gemeinsames Knowledge, was ist dort gelungen und nicht gelungen. Und dann kann ich das beibringen. Und dann tue ich das Beste, das anzupassen, dass dann Leitwerk Erfolg hat.

Sprecher: Wir sind Ende 2025. Wir gehen in die Weihnachtszeit. Patrick, jetzt ist die Zeit für Wünsche an Thorben. Was wünscht ihr euch für die Zukunft? Welche Herausforderungen kommen, wo ihr sagt, da müssen wir miteinander reden, dass wir das meistern?

Patrick Antoun: Die Herausforderung, die wir haben, ist, dass sich die Bedrohungslage stetig weiterentwickelt. Das sehen wir ja sehr stark. Wo es früher den Hackern eher darum ging zu zeigen, was sie technologisch drauf haben, was kaputt zu machen, befinden wir uns schon seit längerem, seit den letzten fünf, sechs Jahren in dem Bereich von Ransomware.

Was uns natürlich jetzt sehr stark kommt und das merkt man, ist die KI, die uns nicht hilft, weil die Hacker da keine Ethik dahinter haben. Die haben keine Systeme, die Ethik sagen, nein, wir machen nicht im Hacking. Das Thema KI wird uns sehr stark treiben über die nächsten Jahre, wird die Bedrohungslage auch sehr stark entwickeln. Deswegen benötigen wir natürlich im Stack unten auch zur Gegenwehr die KI, die auch voll funktional eingreifen kann.

Sprecher: Du hast aufmerksam zugehört.

Thorben Jändling Zum Glück sind wir schon am Spitzen von dieser Entwicklung. Elastic ist schon lange so, KI-Einsätze in verschiedenen Orten. Das erste Teil, das ich so erwähnen wollte, ist der Global Threat Report. Das machen wir alle Jahre. Wir haben Kunden, die uns gewisse Telemetry von ihrer Umgebung teilen, nicht jeder, aber manche. Und das erlaubt uns dann zu sehen, was ist momentan am Laufen oder wie entwickelt sich, was machen die Verteidiger , was machen die Angreifer.

Es ist so, dass wir schon in den letzten Reports, GTA 2025, ein Zunehmen an zum Beispiel frischen Droppers und Loaders gesehen haben. Das ist der erste Schritt in einen Angriff, anstatt einen fixfertigen zu machen, dass es irgendwie eine neu entwickelt wird, der vermutlich dahinter ist, dass sie KI nutzen, um einzigartig zu werden. Den Antivirus dann nicht mehr erkennt, oder? Weil die haben das nicht vorher gesehen, oder? Da ist eine dieser Menge, haben wir gesehen, hat sich verdoppelt gegenüber 24. Also das ist auch ein Problem.

Andererseits sehen wir eine Steigerung in komprimierten Credentials. Und da ist vermutlich auch eine Heck-KI ein bisschen im Hintergrund. Oder heutzutage kann man eine perfekte Spearfishing E-Mail schreiben, die in der Sprache und Kultur der Zielfirma ist.

Ich gebe ein Beispiel. Auf Elastics Webseite haben wir eine Seite, die heißt „Our Source Code". Das beschreibt unsere Kultur. Oder was für eine Firma ist Elastic? Wie sollen wir miteinander umgehen? Wie reden wir miteinander? Das kannst du so einer KI geben und sagen, okay, schreibe mir eine E-Mail in dieser Art. Und jetzt hast du eine super Phishing E-Mail, die genauso aussieht wie eine interne E-Mail von Elastic. Oder es ist so geschrieben mit derselben Stimme. Und das ist sehr gefährlich.

Auf der anderen Seite kann LLM mit Awareness helfen oder der kann das durchschauen und helfen. Was sind die Zeichen, dass das eine von LLM erstellte E-Mail ist oder so. Man kann auch die Awareness-Kampagnen anpassen.

Sprecher: Darf ich dich mal ganz kurz unterbrechen? Ihr habt einen Text auf der Website, den kann sich die KI klauen und dadurch eine Phishing-Mail machen. Wenn das euer Text ist, wie erkennt ihr genau, dass es doch eine Phishing-E-Mail ist? Am Absender?

Thorben Jändling: Absender ist ein Zeichen. Zweitens, wir würden nie solche E-Mails schicken, wo es verlangt ist, dass der User ein Passwort-Reset machen soll oder so. Und drittens gibt es andere interne Prozesse. Aber auch, man könnte eigentlich diese E-Mail an ein LLM geben und sagen, ist das eine Phishing-E-Mail und der kann auch identifizieren, wo die Punkte sind.

Jetzt haben die Angreifer LLM KI als Zutat, aber wir haben auch LLMs und KI und können das auch nutzen. In Elastic Security nutzen wir jetzt KI sehr stark. Wir haben eine Funktion, die heißt Tag Discovery. Und die macht dann den Level 1 Triage von Alerts. Oder die geht durch die Alerts, was ist false positive, was ist true positive. Alle diese true positives gehören zu demselben Tag. Das ist mit LM gemacht.

Wir haben den Assistant da drin, das ist auch mit LM gemacht. Und der Assistant hilft dem Analysten zu erkennen, was jetzt läuft. Schau mal diese Alerts an, wo soll ich anfangen, was heißt dieser Alert, was sollen die nächsten Schritte sein. Und das kann man auch einbinden mit den Playbooks von den Teams. Lightwork hat sicher eine Wiki oder etwas, das beschreibt, wie seine Analysten arbeiten sollen. Das kann man auch mit diesem Assistant anbinden, dass, wenn der Assistant einen Rat gibt, es nach dem Playbook von Lightwork ist und nicht irgendein Rat, den er selber im Internet gefunden hat. Das ist ziemlich korrektive Technologie. Und da kann man dieses Katz-und-Maus-Spiel dann fortführen mit den Angreifern oder mit dieser Technologie. Ich glaube, beide Seiten sind jetzt gezwungen, diese Technologie einzusetzen und voraus zu bleiben.

Sprecher: Patrick nickt die ganze Zeit…

Patrick Antoun: Das Katz-und-Maus-Spiel wird uns weiter treiben. Das wird uns schon die ganze Zeit treiben. Das war schon so, seitdem es IT gibt, gibt es eigentlich genau dieses Katz-und-Maus-Spiel von den Viren bis Antivirus. Dieses Thema wird uns die ganzen Jahre beschäftigen.

Die Herausforderung, die wir natürlich schon haben, ist gerade in Deutschland, wir haben einen sehr starken Mittelstand. Was man ja immer hat, ist der Mittelstand hat gleiche Herausforderung an Verfügbarkeit, an Erreichbarkeit, an den Systemen, die alle großen Konzerne auch haben. Normalerweise ist nur immer das Thema, was da gegenübersteht, die Wirtschaftlichkeit. Man hat ja nicht immer das gleiche Verhältnis an Geld zur Verfügung in dem Moment und deswegen müssen wir natürlich immer schauen, wie wir diese Lösung für den Mittelstand bezahlbar halten und das ist auch das, was uns mit Elastic gemeinsam gelungen ist.

Sprecher: Kevin, Patrick hat schon das Stichwort Mittelstand gegeben. Wie geht ihr damit um?

Kevin Zimmermann: Ja, wie gehen wir damit um? Also an erster Stelle ist es erstmal wichtig, in vielen Dingen pragmatisch zu bleiben. Das Thema von vorne bis nach hinten durch zudeklinieren ist oftmals zum Scheitern verurteilt. Deswegen ist unser Ansatz, die Themen erstmal pragmatisch anzugehen. Welche Themen haben wir denn aktuell? Welche Herausforderungen haben wir? Wie lösen wir sie am besten? Und da haben wir tatsächlich mit Elastic die Möglichkeit.

Wenn ich zurückdenke, wir haben jetzt fast vor einem genauen Jahr mit Elastic begonnen. Die erste Installation, die wir gemacht haben, war glaube ich katastrophal, die wir bei uns im Lab aufgezogen haben. Mittlerweile läuft das wie geschnittenes Brot, sage ich jetzt mal.

Sprecher: Innerhalb eines Jahres ist es eine reife Leistung!

Kevin Zimmermann: Würde ich jetzt auch mal behaupten, tatsächlich. Wir sind tatsächlich auch schon Kunden am Umziehen von der Bestandslösung eben jetzt aufs Elastic und es kommen weitere hinzu. Ich kann nur beim Wort pragmatisch bleiben. Oftmals ist es tatsächlich so, dass gewisse Dinge einfach gehalten sein müssen, weil umso komplizierter das Ganze wird, umso teurer wird das Ganze im hintenraus. Und das ist so quasi unser Ansatz dazu, ja.

Warum denn überhaupt? Also wir sind ja nicht nur ein reiner Security-Anbieter als Cyberfox, beziehungsweise die Leitwerk. Die Geofox-Gruppe hat ja rund um 360 Grad IT, die wir anbieten. Gerade vor allem unser größtes Steckenpferd in der Leitwerk ist der Betrieb sicherer IT-Infrastrukturen. Da nachher schlussendlich alles aus einer Hand zu bekommen, ist ja dann nachher schlussendlich auch ein Thema, um Geld zu sparen.

Ich habe nicht mehrere Dienstleister, ich kriege alles aus einer Hand und wir sitzen nicht in verschiedenen Gebäuden, an verschiedenen Standorten, sondern in der Regel sitzen mehrere Inhaltsgesellschaften in einem Gebäude, gerade im Büro Walter, dann hast du mal „g`schwind“ Stein rüber geworfen zum Kollege. Das ist die Flexibilität, die wir haben, auch dieser Pragmatismus, der uns weiterbringt.

Wir bieten unseren Kunden dann auch nicht nur, Achtung hier Herr Schötzen, Alarm, sondern wir können im Hinteraus auch noch mehr Werte bieten, indem wir sagen, jetzt pass auf, du hast hier eine Schwachstelle in deiner Firewall, wir können sie auch gemeinsam mit dir lösen.

Sprecher: Lass uns mal alle drei Herren abschließend gemeinsam ein bisschen weiter nach vorne gucken. Die Herausforderung für das nächste Jahr habt ihr genannt, es bleibt dieser Wettlauf, Angreifer, Angegriffene. Was glaubst du, was kommt im nächsten Jahr auf uns zu, Thorben?

Thorben Jändling: Diesen Katzen-Maus-Spiel mit den LLMs sicher oder so neuen Technologien. Auf Elastic-Seite würden wir jetzt sehr viel in den nächsten Jahren mitbringen, oder einer, das wir jetzt hier in Elastic erkundet haben, ist der Workflow, oder so, und Agent-Builder. Mit diesen beiden hier können Teams viel mehr optimisieren, oder das auch, Kosten sparen, oder und neuen, so Human-in-the-Loop-Prozessen aufbauen, dass man dann mehrdeckend Infrastruktur schützen kann mit weniger Leuten oder so, das ist so das Ziel auf unserer Seite.

Sprecher: Ihr beiden Leitwerk-Jungs, ihr habt schon gesagt, so ungefähr 30 Kunden laufen jetzt mit Elastic bei euch. Im nächsten Jahr? Wie viel sind es, 50, 100?

Patrick Antoun: Ich hoffe 50 oder 100, also ich glaube eher 100, das ist mein Ziel, persönlich, aber nein. Tatsächlich ist es ja so, dass wir ja da draußen sehen, dass wir pro Jahr einen Wachstum von 30 Prozent Schaden haben, jedes Jahr durch Cyberangriffe. Ich glaube aber auch, dass der Wachstum des Security Markts sehr stark ist. Ich gehe schon davon aus, dass wir gern verdoppeln würden.

Kevin Zimmermann: Mindestens.

Sprecher: Mindestens, er sagt nur ein Wort ;-) Herzlichen Dank, die Herren.

Thorben Jändling, Patrick Antoun, Kevin Zimmermann: Dankeschön, danke.

Sprecherin: Das war "heise meets … – Der Entscheider-Talk". Sie wollen mehr erfahren? Dann besuchen Sie uns auf heise-meets.de. Wir freuen uns auf Sie!