Künstliche Intelligenz verändert die Bedrohungslage in der Cybersecurity grundlegend. KI-gestützte Angriffe beschleunigen Kampagnen und machen bekannte Angriffsmuster noch skalierbarer, gezielter und schwerer berechenbar. Dadurch entstehen nicht unbedingt neue Angriffsmethoden. Vielmehr werden bestehende Angriffsformen verstärkt, effizienter und haben eine deutlich größere Reichweite. Und selbst technisch weniger versierte Akteure können automatisierte Angriffe durchführen, für die bislang deutlich mehr Know-how erforderlich war.
Mit KI-gestützten Angriffen wachsen daher die Anforderungen an Security-Teams. Die Zahl der Warnmeldungen steigt, die Zeitfenster für Gegenmaßnahmen werden kürzer, die Priorisierung schwieriger. Security Operations müssen aus unzähligen Informationen diejenigen Risiken herausfiltern, die tatsächlich unmittelbaren Handlungsbedarf erfordern. Gleichzeitig verkürzen sich die Zeitfenster zwischen der Entdeckung einer Schwachstelle und ihrer möglichen Ausnutzung.
Kommentar von Zakir Durumeric, CEO Censys
In vielen Unternehmen erfolgt diese Priorisierung von Risiken noch immer auf Basis von unvollständigen, veralteten oder zu groben externen Informationen. Zwar verfügen Security Operations häufig über umfangreiche interne Datenquellen wie Vulnerability-Scanner, SIEM-Systeme oder Endpoint-Telemetrie. Oft fehlt jedoch ein aktuelles und belastbares Verständnis der Internetinfrastruktur, die hinter Bedrohungen, Angriffskampagnen und verdächtigen Aktivitäten steht.
Das erschwert die Risikobewertung erheblich. Eine Schwachstelle kann auf dem Papier kritisch erscheinen, ohne tatsächlich ein relevantes Risiko darzustellen. Umgekehrt können vermeintlich unauffällige Warnmeldungen auf reale Angriffe hindeuten, wenn sie mit bestimmten externen Infrastrukturen oder bekannten Mustern von Angreifern in Verbindung stehen.
Der fehlende Blick auf die Infrastruktur hinter Bedrohungen
Angreifer operieren nicht isoliert, sondern vielmehr über eine Vielzahl miteinander verknüpfter Internetressourcen. Domains, IP-Adressen, Zertifikate, Hosting-Umgebungen, DNS-Infrastrukturen oder technische Beziehungen zwischen verschiedenen Assets bilden die Grundlage vieler Angriffskampagnen.
Für Security Operations ist es deshalb entscheidend, nicht nur einzelne Indikatoren zu betrachten, sondern die dahinterliegende Infrastruktur zu verstehen. Genau hier stoßen viele Sicherheitsprozesse an ihre Grenzen. Externe Informationen sind häufig fragmentiert, nicht aktuell genug oder liefern nicht die notwendige Detailtiefe, um Risiken zuverlässig einzuordnen. Die Folge sind ineffiziente Untersuchungen, falsch priorisierte Tickets und längere Reaktionszeiten. Gerade weil KI die Geschwindigkeit von Angriffen erhöht, kann fehlender Kontext schnell zum Sicherheitsrisiko werden.
Internet Intelligence schließt die Lücke
Internet Intelligence-Daten liefern den so wichtigen externen Kontext für fundierte Entscheidungen mit präzisen, umfassenden und in Echtzeit verfügbaren Daten über die Internetinfrastruktur hinter Bedrohungen und über die eigene öffentlich sichtbare Infrastruktur. Dazu gehören etwa Informationen über Domains, IP-Adressen, Zertifikate, Hostnames, offene Dienste, Technologien, Exponierungsmuster, Beziehungen innerhalb der Infrastruktur und Veränderungen im Zeitverlauf.
Mit Internet Intelligence entsteht ein vollständiges Lagebild, das über klassische Indikatoren hinausgeht. Die Daten beantworten unter anderem Fragen wie:
– Welche Infrastruktur steckt hinter einer verdächtigen Domain?
– Welche weiteren Systeme sind mit einer bekannten Bedrohung verbunden?
– Welche technischen Beziehungen existieren zwischen verschiedenen Indikatoren?
– Welche Veränderungen in der Infrastruktur deuten auf neue Aktivitäten oder Kampagnen hin?
– Welche Bedrohungen entwickeln sich aktuell im Internet?
Mehr Effizienz in Triage und Incident Response
Der größte Mehrwert entsteht, wenn die Daten direkt in bestehende Security-Workflows integriert werden. Warnmeldungen können automatisch mit aktuellem Internetkontext angereichert werden. Dadurch erhalten Analysten unmittelbar zusätzliche Informationen über die Infrastruktur hinter einer Warnung oder einem sicherheitsrelevanten Ereignis und können schneller erkennen, ob ein Vorfall tatsächlich kritisch ist.
Die Vorteile zeigen sich insbesondere bei der Triage von Warnmeldungen. Angesichts steigender Ticketzahlen wird die Priorisierung zu einer der wichtigsten Aufgaben im SOC. Internet Intelligence hilft dabei, Risiken zu validieren und fundierte Prioritäten festzulegen. Statt jede Meldung isoliert zu betrachten, können Sicherheitsverantwortliche Entscheidungen auf Basis belastbarer Echtzeitinformationen treffen. Darüber hinaus profitieren auch Untersuchungen und Incident-Response-Prozesse. Wenn die Beziehungen zwischen verschiedenen Infrastrukturkomponenten sichtbar werden, lassen sich Angriffsmuster schneller erkennen und Zusammenhänge effizienter analysieren.
Externer Kontext für fundierte Entscheidungen
Für das SOC bedeutet das einen erheblichen Effizienzgewinn. Jede Warnmeldung kann automatisch mit relevantem Internetkontext angereichert werden. Ist das betroffene System aus dem Internet erreichbar? Welche Dienste laufen dort? Hat sich die Infrastruktur kürzlich verändert? Gibt es Hinweise darauf, dass vergleichbare Systeme aktiv gescannt oder angegriffen werden? Gehört die IP-Adresse tatsächlich zum Unternehmen oder zu einem Drittanbieter? Existieren vergessene Subdomains oder Schatten-IT-Komponenten, die in internen Inventaren nicht auftauchen?
Erst diese Kontextinformationen helfen dabei, aus einer abstrakten Warnmeldung eine fundierte Sicherheitsentscheidung abzuleiten. Das ist besonders wichtig, weil KI-gestützte Angriffe die Menge potenziell relevanter Tickets erhöhen. Je einfacher Angreifer Kampagnen starten können, desto schneller steigt auch die Zahl der Scans, Anmeldeversuche, Phishing-Indikatoren und Schwachstellenhinweise. Ohne belastbare Priorisierung drohen Security-Teams, in Alarmen zu versinken und den Überblick zu verlieren. Mit Echtzeit-Internet-Intelligence können sie dagegen erkennen, welche Risiken unmittelbar handlungsrelevant sind. Denn eine kritische Schwachstelle in einem intern isolierten System hat eine andere Priorität als dieselbe Schwachstelle in einem öffentlich erreichbaren, geschäftskritischen Dienst, der bereits aktiv beobachtet wird. Automatisierte Anreicherung und faktenbasierte Entscheidungslogik entlasten Analysten, reduzieren manuelle Recherche und beschleunigen die Triage. Teams können sich auf die kritischsten Assets konzentrieren, statt Zeit mit der Prüfung unvollständiger oder ungenauer Daten zu verlieren.
Fazit
KI macht Cyberangriffe schneller, skalierbarer und zugänglicher. Wer detaillierte Echtzeitdaten über die externe Infrastruktur operativ nutzt, kann Risiken präziser bewerten, Warnmeldungen besser priorisieren und Angreifern weiterhin einen Schritt voraus sein. Damit wird Internet Intelligence zu einem zentralen Faktor moderner Security Operations.
Über Censys:
Censys, Inc.TM ist die führende Internet-Intelligence-Plattform für Threat Hunting und Attack Surface Management. Censys wurde 2017 in Ann Arbor in Michigan, USA, gegründet und bietet Unternehmen den weltweit umfassendsten Echtzeit-Überblick ihrer Internet-Infrastruktur, Assets und Geräte. Kunden wie Google, Cisco, Microsoft, Samsung, das U.S. Department of Homeland Security, das Office of the Director of National Intelligence (ODNI), die Cybersecurity & Infrastructure Security Agency (CISA) und mehr als 50 % der Fortune 500 vertrauen auf Censys für eine kontextualisierte Echtzeitansicht ihrer Internet- und Clouds-Assets. Um mehr zu erfahren, besuchen Sie www.censys.com und folgen Sie Censys auf LinkedIn, X, Bluesky und Mastodon.
Firmenkontakt
Censys, Inc.TM
Eugenia Kendrick
S Main St 116 ½
MI 48104 Ann Arbor
+1-877-438-9159

http://www.censys.com/de
Pressekontakt
Sprengel & Partner GmbH
Nico Reinicke
Nisterstraße 3
56472 Nisterau
+49 (0) 26 61-91 26 0-0

https://www.sprengel-pr.com/
- Cybersecurity (Wikipedia)
Informationssicherheit ist ein Zustand von technischen oder nicht-technischen Systemen zur Informationsverarbeitung und -speicherung, der die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen soll. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe oder dem US-System der System and Organization Controls (SOC). Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet. Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung. Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller. Die Umsetzung aus der Cyberresilienz-Verordnung schafft dabei auch Sicherheit auf Hardwareebene und schützt dadurch auch die Betreiber von Anlagen und Maschinen, indirekt auch die Verbraucher. - Cybersicherheit (Wikipedia)
Informationssicherheit ist ein Zustand von technischen oder nicht-technischen Systemen zur Informationsverarbeitung und -speicherung, der die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen soll. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe oder dem US-System der System and Organization Controls (SOC). Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet. Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung. Die Normenreihe IEC 62443 befasst sich mit der Informationssicherheit von „Industrial Automation and Control Systems“ (IACS) und verfolgt dabei einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller. Die Umsetzung aus der Cyberresilienz-Verordnung schafft dabei auch Sicherheit auf Hardwareebene und schützt dadurch auch die Betreiber von Anlagen und Maschinen, indirekt auch die Verbraucher. - Security Operations Center (Wikipedia)
Das Security Operations Center (SOC) (deutsch etwa „Sicherheitsbetriebszentrum“) ist eine zentrale organisatorische Einheit, in der alle sicherheitsrelevanten Services im IT-Umfeld von Organisationen oder Unternehmen vor internen und externen Gefahren geschützt werden. Die Aufgabe dieser Einheit ist eine Sicherheitsdienstleistung zur Vorbeugung gegen alle Cyberrisiken. Das beinhaltet die Hardware und Software zur Verwaltung des Sicherheitssystems (Technischer Bereich) ebenso wie das eingesetzte Personal (Organisatorischer Bereich). Während ein Network Operations Center (NOC) der zentralen Betriebsüberwachung und -unterstützung eines Netzwerks dient, schützt das SOC diese Systeme. Geschützt werden neben den Unternehmensnetzwerken, Servern und Arbeitsplatzrechnern zunehmend auch die Cloud- und Internetservices. SOC vereint die drei Teilbereiche Menschen, Prozesse und Technologien um die Sicherheitslage einer Organisation zu steuern und zu verbessern. Ein SOC alarmiert über das Sicherheitsproblem, sorgt aber selbst nicht für die Behebung, für die weiterhin der Kunde oder andere Einheiten verantwortlich sind. Ein SOC kann innerhalb einer Organisation als eigenständige Einheit geführt werden. Alternativ ist ein SOC ein externer Dienstleister, der den Sicherheitsservice erbringt. Ein SOC stellt kontinuierlich 24 Stunden am Tag und für 365 Tage im Jahr die Sicherheit der IT-Plattformen sicher und analysiert alle relevanten Informationen. Die operativen Verwaltungsprozesse, die das SOC steuern, analysieren ständig das Restrisiko und bieten auch Schutz vor Einbruch durch vorübergehende Sicherheitslöcher. Da die Verwaltung von Netzwerk-Sicherheit eine Tätigkeit ist, die viel Zeit und Personal erfordert, ziehen es Unternehmen oft vor, den Dienst auszulagern bzw. an andere Unternehmen zu übertragen, die im Bereich der Informationssicherheit spezialisiert sind. Solch einem Sicherheitspartner die Verwaltung der Sicherheit des eigenen Firmennetzwerks anzuvertrauen, führt typischerweise zu einer erheblichen Kostensenkung. Der Sicherheitspartner muss dazu besonders qualifiziertes Sicherheitspersonal bereitstellen. Die Dienstleistung besteht unter anderem aus dem … - SOC (Wikipedia)
SOC steht als Abkürzung für: Curtiss SOC Seagull, US-amerikanischer Doppeldecker Security Operations Center, IT-Sicherheitszentrum Selectable Output Control, ein Oberbegriff für Kopierschutz-Steuersignale Self-organized criticality, siehe Selbstorganisierte Kritikalität Service-oriented Computing, modulare Software-Technik SOC, IATA-Code des indonesischen Flughafens Adisumarmo (Surakarta) Standards of Care, medizinische Leitlinien zu Geschlechtsdysphorie Super Optimal broth with Catabolite repression, ein Nährmedium für Bakterien, siehe SOB-Medium System Organ Class, medizinische Organklasse, siehe Medical Dictionary for Regulatory Activities #Organklassen SoC steht als Abkürzung für: State of Charge, Ladezustand von Akkumulatoren, siehe Akkumulator#Ladezustand Sense of Coherence, das Kohärenzgefühl nach Aaron Antonovsky in der Salutogenese System-on-a-Chip, Ein-Chip-System Soc steht für: Soko (Sprache) (ISO-639-3-Code), eine Bantusprache der Demokratischen Republik Kongo nördlich von Basoko Siehe auch: Special Operations Command