Defensive KI · Das reale Unterscheidungsmerkmal von OCIRIA
Wie wir KI zur Verteidigung einsetzen, nicht um Berichte schneller zu liefern. Unterschied zur offensiven KI und konkrete Beispiele aus europäischen KMU.
Defensive KI
KI verändert den Angriff ebenso wie die Verteidigung. Wir erklären, wie wir sie anwenden, ohne magische Versprechungen.
---
Was wir unter defensiver KI verstehen
Defensive KI ist der Einsatz von KI-Modellen, um drei konkrete Aufgaben in der Sicherheit zu verbessern: schwache Signale erkennen, die ein menschliches Team übersehen würde, Ereignisse korrelieren zwischen heterogenen Quellen in vertretbarer Zeit, und die Reaktion priorisieren auf Basis des Geschäftskontexts, nicht eines automatischen CVSS-Wertes.
Es ist kein Produkt, das man kauft. Es ist eine Schicht, die in den Analyseprozess eingebettet wird und stets von einem Senior-Ingenieur überwacht wird. Das Modell schlägt vor, der Mensch entscheidet.
---
Offensive KI vs. defensive KI
Die Asymmetrie ist real. Angreifer automatisieren Aufklärung, Phishing-Mail-Verfassung, Erzeugung von Malware-Varianten und Auffinden von Zugangsdaten mit KI-Techniken. Die Einstiegshürde für Angriffe sinkt jedes Quartal.
Die Verteidigung hat einen anderen Vorteil: Kontext. Der Angreifer weiß generisch, wonach er sucht. Der Verteidiger weiß spezifisch, welche Assets kritisch sind, welche Nutzungsmuster normal sind und welche Abweichungen zählen. Gut eingesetzte defensive KI verstärkt diesen Kontext, sie ersetzt ihn nicht.
Was ein Angreifer mit KI automatisieren kann:
- Massenhafte Sammlung öffentlicher Informationen über Ziele.
- Erzeugung personalisierter Social-Engineering-Nachrichten.
- Tests von Payload-Varianten zur Umgehung der Erkennung.
- Auffinden falsch konfigurierter Infrastruktur in großem Stil.
Was ein Verteidiger mit KI automatisieren kann:
- Korrelation von Ereignissen über Identitäts-, Netzwerk- und Endpunkt-Logs hinweg.
- Erkennung anomaler Zugriffs- oder Exfiltrationsmuster.
- Erzeugung von Untersuchungshypothesen für den Analysten.
- Executive-Zusammenfassungen von Vorfällen in klarer Sprache.
Der entscheidende Unterschied: Der Angreifer will Volumen, der Verteidiger will Präzision.
---
Wie wir es in jeder Leistung anwenden
Im vCISO. Wir verdichten den operativen Lärm (Alarme, Tickets, Logs) in ein monatliches Dashboard, das der Geschäftsführungskreis in fünfzehn Minuten lesen kann. Die KI erstellt den Entwurf, der Senior-Ingenieur prüft und unterschreibt ihn.
In ISO/IEC 42001. Wir nutzen den Standard selbst, um unsere eigene interne KI-Nutzung zu führen. Wir praktizieren, was wir predigen: Jedes Modell, das wir einsetzen, hat sein Systemdatenblatt, seine Risikobewertung und seine dokumentierte menschliche Aufsicht.
Im OSINT-Audit. KI beschleunigt Sammlung und Korrelation. Wenn eine Suche zehntausend Treffer ergibt, reduziert ein gut ausgerichtetes Modell sie auf zweihundert relevante. Analyse und Schlussfolgerungen liegen stets beim Menschen.
---
Was wir mit KI NICHT tun
- Wir nutzen KI nicht, um Sicherheitsentscheidungen ohne menschliche Aufsicht zu treffen.
- Wir nutzen KI nicht, um Executive-Berichte zu schreiben, ohne dass ein Ingenieur sie Zeile für Zeile prüft.
- Wir liefern Kundinnen und Kunden keine mit KI erzeugten Berichte, die als menschlich signiert werden.
- Wir geben Ihre vertraulichen Daten nicht in öffentliche Dienste ohne Auftragsverarbeitungsvertrag ein.
KI ist Werkzeug, kein Anbieter.
---
Eine Anmerkung zur Transparenz
Wenn ein Bericht von uns Abschnitte enthält, die mit KI-Unterstützung erstellt wurden, sagen wir das. Wenn ein kostenloses Tool von uns KI verwendet, um das zu analysieren, was Sie uns schicken, sagen wir es, bevor Sie auf "Analysieren" klicken. Das ist konsistent mit ISO/IEC 42001 und der EU-KI-Verordnung.
---
Möchten Sie einen konkreten Fall sehen?
Vereinbaren Sie eine dreißigminütige Sitzung. Wir zeigen Ihnen ein reales (anonymisiertes) Dashboard und erklären, was die KI macht, was der Mensch macht und wo die Linie verläuft.