Die handhabbare KI-Revolution : LOTL-Angriffe gezielt mit KI und Nutzerprofilen abwehren

Von Daniel Daraban, Bitdefender

Cyberkriminelle nutzen bei sogenannten Living-off-the-Land-(LOTL)-Attacken legitime Systemtools wie PowerShell, um ihre Angriffe vorzubereiten und durchzuführen. Diese Taktiken spielen besonders bei komplexen und gezielten Attacken eine große Rolle: Laut einer Analyse von Bitdefender, die auf 700 000 sicherheitsrelevanten Ereignissen aus Telemetriedaten im Frühjahr 2025 basiert, setzen 84 Prozent aller schwerwiegenden Cyberangriff e auf LOTL-Mechanismen.

Dennoch ist der überwiegende Teil der PowerShell-Nutzung legitim. Daher muss künstliche Intelligenz (KI) den legitimen vom missbräuchlichen Einsatz grundsätzlich unterscheiden. Eine automatisierte Nutzeranalyse leistet zusätzliche Hilfe, um effiziente Sicherheitsrichtlinien abzuleiten, die das Verhalten und die Bedürfnisse der jeweiligen Anwender berücksichtigen.

Klassische Verhaltensanalysen stoßen an Grenzen

Ein ungefilterter formaler Verhaltensreport auf Basis von KI und Machine Learning liefert keine praxisnahe Grundlage für eine wirksame Abwehr. Wenn jede Nutzeraktivität isoliert und ohne Kontext bewertet wird, resultiert daraus eher ein Alarmchaos statt echter Hilfe. Die Folge ist eine Vielzahl von Regeln und Warnungen, die Administratoren prüfen und dokumentieren müssen – selbst dann, wenn sie letztlich bewusst ignoriert werden. Hinzu kommt, dass der Einsatz von Tools je nach Endpunkt und Mitarbeiter stark variieren kann und sich pauschal kaum einheitlich bewerten lässt.

Auch berücksichtigt eine formale Verhaltensanalyse weder Industriekontexte noch die Geschäftsprozesse im jeweiligen Unternehmen. KI-Modelle bleiben für sich generisch. Angreifer können eine darauf basierende Abwehr umgehen, indem sie ihrerseits vereinfachte Benutzermuster nachahmen. Besonders bei gezielten Angriffen eruieren sie die Arbeitsweise der vorhandenen Sicherheitssoftware. Im nächsten Schritt identifizieren sie die effektivsten Verhaltensmuster legitimer Tools, mit denen sie sich am effizientesten und so lange wie möglich oder nötig tarnen können.

Dynamische, zugeschnittene Regeln

Auch im Zeitalter der KI benötigt die Cyberabwehr daher – über eine Mustererkennung hinausgehend – weiterführende Ansätze der Verhaltensanalyse, um verwertbare Sicherheitsregeln dynamisch auf der Grundlage von Rolle, Verhalten und unternehmensspezifischem Kontext zu definieren. Spezifische Merkmale einer Nutzerkategorie ergeben sich dabei aus der Funktion und Tätigkeit einer Person oder Personengruppe im Unternehmen, aus ihrer regionalen Herkunft und aus ihrer Branchenzugehörigkeit.

Das Festlegen charakteristischer Nutzergruppen anhand ihres individuellen Verhaltens, das sich aus ihren Aufgaben ergibt, hilft dabei, unnötiges und damit oft verdächtiges Nutzen von Tools zu blockieren und so die Angriffsfläche für LOTL effizient zu reduzieren.

Für PowerShell heißt dies zum Beispiel: LOTL-Angriff e mit PowerShell lassen sich problemlos für die meisten Nutzer blocken, weil Vertrieb, Marketing, Produktionsmanager, Management, Controlling oder HR für ihre Arbeit keinen PowerShell-Einsatz auf ihrem Endpunkt benötigen. Das betriff t also die allermeisten Anwender im Unternehmen. Ganz so einfach ist das aber nicht, weil auch Drittanbieter-Applikationen auf einem Endgerät PowerShell am Arbeitsplatz etwa der HR-Abteilung nutzen können – ohne Mitwissen des Mitarbeiters. Dieses applikationsbedingte Nutzen des Tools lässt sich durch KI erkennen und durch eine Regel erlauben. Nicht erklärbare PowerShell-Aktivitäten konsequent zu blockieren, reduziert hingegen potenzielle Angriffsflächen erheblich.

Aus der Verhaltensanalyse ergeben sich folgende segmentierte Nutzertypen:

• Task-User: Diese Mitarbeiter nutzen für LOTL-Angriffe beliebte Tools aufgrund vordefinierter Arbeitsabläufe nur eingeschränkt oder kaum. Notwendig und hilfreich sind hier strenge Ausführungsregeln und eine auf das Notwendigste beschränkte Vergabe von Privilegien.
• Knowledge-User: Fachleute wie Ingenieure, Analysten und Berater benötigen eine gewisse Flexibilität, Tools zu nutzen, folgen aber gegebenen Mustern.
• C-Level: Sie verwenden nur eine begrenzte Zahl von Tools, haben aber umfassenden Zugriff. Sie brauchen deswegen präzise Verhaltensvorgaben. Hier kommt es primär darauf an, dass privilegierte Aktionen mit dem erwarteten Verhalten übereinstimmen.

Sind die Benutzer in Gruppen segmentiert, können IT-Sicherheitsverantwortliche Richtlinien individuell und bedarfsgerecht definieren und dynamisch  – auf Wunsch automatisiert – anpassen, anstatt pauschale Blockaden durchzusetzen. In der Praxis hat sich das manuelle Segmentieren als zu umständlich erwiesen und oft zu zusätzlichen Reibungsverlusten innerhalb des Unternehmens geführt. Durch den Einsatz eines adaptiven Sicherheitsmodells, das das Verhalten jedes Einzelnen versteht und Benutzer automatisch auf der Grundlage ihres Verhaltens gruppiert, können Firmen potenzielle Gefahren frühzeitig verhindern, ohne die Produktivität zu beeinträchtigen.

KI benötigt Kontext

Eine klassische Verhaltensanalyse, die allein auf KI basiert, aber ohne das Clustern von Nutzertypen arbeitet, bleibt oft zu allgemein. Das führt zu Fehlalarmen oder blinden Flecken in der Abwehr. Denn wenn Modelle keine individuellen Nutzungsmuster und keinen konkreten Kontext einbeziehen, lassen sie sich von Angreifern leicht aushebeln. Jedoch kann ein neuer Ansatz, der Nutzergruppen segmentiert sowie Kontext und individuelle Benutzerverhaltensmuster granular und dynamisch in die Sicherheitsmaßnahmen mit einbezieht, eine präzisere Erkennung bieten. Mit den sich daraus ergebenden individuellen Nutzerregeln lassen sich legitime Aktivitäten klar vom Missbrauch trennen – und Risiken schon im Vorfeld eindämmen, bevor sie zu Vorfällen werden.

KI ist dabei ein mächtiges Werkzeug – aber erst in Kombination mit intelligenter Nutzungsanalyse, die automatisiert, individuell und adaptiv arbeitet, entfaltet sie ihr volles Potenzial. Denn jede technologische Revolution ist erst dann von Nutzen, wenn sie handhabbare Ergebnisse liefert.