IAM

Wenn KI Schwachstellen schneller findet: Was «Mythos»-artige Systeme für Web-Security bedeuten

#API  ·  #Authentisierung  ·  #Zero Trust
Michael Doujak

KI bringt eine neue Dynamik in die IT-Security. Fortschrittliche Systeme wie Claude Mythos, die grosse Codebasen systematisch analysieren können, machen es deutlich einfacher, Schwachstellen in weit verbreiteter Software schneller zu finden und auszunutzen.

Betroffen sind auch weit verbreitete Komponenten, auf denen ein grosser Teil der Internet-Infrastruktur basiert: Linux, Apache, OpenSSL, Kubernetes, PostgreSQL und viele weitere Bausteine moderner IT-Landschaften.

Was bedeuten diese «Mythos»-artigen Werkzeuge für Web-Security, API-Schutz und die Verteidigung am Edge?

Angriffe werden schneller – aber nicht sichtbarer

Mit KI-gestützter Analyse ist davon auszugehen, dass sich das Verhalten von Angreifern verändert.

  • Mehr Zero-Day-Schwachstellen können entdeckt werden, weil KI grosse Codebasen systematisch und parallel analysieren kann. Dazu gehören auch komplexe Interaktionen, die für Menschen nur schwer skalierbar sind.
  • Gleichzeitig verkürzt sich die Zeit zwischen Entdeckung und Ausnutzung. Was früher aus mehreren manuellen Schritten bestand – Analyse, Verständnis, Exploit-Idee, Anpassung und Test – kann zunehmend automatisiert oder zumindest stark beschleunigt werden.
  • Hinzu kommt: Angreifer können gezielter priorisieren. KI kann helfen einzuschätzen, welche Schwachstellen besonders attraktiv sind – etwa weil eine betroffene Library weit verbreitet ist, weil die Ausnutzung realistisch erscheint oder weil der potenzielle Impact hoch ist.
  • Auch Exploits selbst dürften schneller iteriert werden. Varianten eines Angriffs können automatisiert generiert, getestet und angepasst werden, bis sie bestehende Schutzmechanismen umgehen oder zumindest an deren Grenzen stossen.

Das bedeutet aber nicht automatisch, dass jeder KI-gestützte Angriff als klar erkennbare Welle sichtbar wird, wie wir sie beispielsweise bei log4shell beobachten konnten. Solche Wellen wird es weiterhin geben – insbesondere wenn Schwachstellen oder Exploits breit bekannt werden und von vielen Angreifern gleichzeitig genutzt werden.

Mit KI-gestützter Analyse kommt jedoch eine zweite Dynamik hinzu: Neu entdeckte Schwachstellen können gezielter, schneller und nicht-öffentlich eingesetzt werden. Wer mit KI einen wirksamen Zero-Day-Exploit findet, hat oft wenig Interesse daran, diesen öffentlich zu teilen.

Deshalb ist künftig nicht nur mit klassischen Angriffswellen rund um einzelne bekannte Schwachstellen zu rechnen, sondern auch mit einer länger anhaltenden Zunahme gezielter, KI-unterstützter Angriffe auf unterschiedliche Schwachstellen und Angriffspfade. Das Risiko wird dadurch nicht kleiner, sondern nur weniger sichtbar.

Warum Schutz an der Edge weiterhin entscheidend bleibt

Eine Web Application Firewall bleibt in diesem Umfeld ein zentraler Baustein am API-Layer und an der Netzwerk-Edge. Der Grund ist einfach: Viele Angriffe erfolgen weiterhin über standardisierte Protokolle wie HTTP. Genau dort lässt sich Traffic zentral kontrollieren, filtern und begrenzen, bevor er die geschützten Anwendungen erreicht.

Das Airlock Gateway adressiert diese Ebene mit mehreren Schutzmechanismen:

Patten-basierte Regeln bleiben relevant. Sie erkennen nicht nur bekannte Exploits, sondern auch generische Angriffsmuster wie Injection-Techniken. Dadurch können auch Angriffe auf bisher unbekannte Schwachstellen blockiert werden, sofern sie typische Payload-Strukturen verwenden. Wir wissen aus der Erfahrung mit unserem Bug Bounty Programm, dass unsere Filter auch gegen KI-Modelle sehr robust performen, weil sie die Struktur des Angriffspayloads prüfen und nicht nur eine Signatur.

OpenAPI Enforcement reduziert die Angriffsfläsche strukturell. Nur Requests, die der definierten API-Spezifikation entsprechen, werden zugelassen. Unerwartete Eingaben erreich das Backend gar nicht erst. Das ist keine kosmetische Massnahme, sondern eine klare Einschränkung dessen, was ein Angreifer überhaupt ausprobieren kann und reduziert die Angriffsoberfläche substantiell.

Virtual Patching ermöglicht eine schnelle Reaktion auf bekannte Schwachstellen. Angriffe können über Regeln im Traffic abgefangen werden, ohne dass die betroffene Anwendung sofort angepasst oder gepatcht werden muss. Gerade wenn sich die Zeit zwischen Bekanntwerden einer Schwachsetelle und deren Ausnutzung verkürzt, ist diese Fähigkeit entscheidend.

Gleichzeitig gilt: Eine WAF kann vor der Ausnutzung einer Schwachstelle schützen, behebt diese jedoch nicht direkt, da sie nur eingehenden Traffic filtert. Angriffe, die diesen Pfad umgehen oder auf interner Logik, Seiteneffekten oder nachgelagerten Berechtigungen basieren, lassen sich damit nicht vollständig verhindern.

Deshalb ist es wichtig, Schutzmechanismen möglichst nahe an der Applikation zu platzieren und reine Prävention durch zusätzliche Sichtbarkeit und Verhaltensanalyse zu ergänzen.

Anomaly Detection: Friktion für Angreifer

Machine-Learning-basierte Anomalieerkennung wird in diesem Kontext besonders wichtig. Denn sie setzte dort an, wo klassische Regeln an Grenzen kommen:

  • bei der Erkennung unbekannter Angriffsmuster,
  • bei der Analyse von Angriffen mit formal gültigen Requests, die klassische Mechanismen umgehen und
  • bei iterativen Tests, die auf den ersten Blick nicht zwingend wie ein klassischer Angriff aussehen.

Das ist entscheidend, weil auch KI-gestützte Angriffe in der Regel nicht perfekt in einem Schritt entstehen. Ein funktionierender Exploit braucht weiterhin Iteration, Testing und Anpassung. Angreifer müssen Varianten ausprobieren, Parameter verändern und Reaktionen auswerten.

Anomaly Detection mit dem Airlock Anomaly Shield setzt hier an: Sie erkennt ungewöhnliches Verhalten und bringt Friktion in die Feedback-Schleife der Angreifer. Wiederholte und variierende Tests werden sichtbarer, der Aufwand steigt und die Wahrscheinlichkeit sinkt, dass ein Angriff unbemerkt bis zur erfolgreichen Ausnutzung optimiert werden kann.

IAM begrenzt Zugriff und Schaden

Neben Schuzt an der Edge und Verhaltensanalyse bleibt Identity- und Access-Management ein zentraler Bestandteil der Verteidigung. Denn selbst wenn eine Schwachstelle erfolgreich ausgenutzt wird, entscheidet die Zugriffskontrolle darüber, wie gross der Schaden tatsächlich werden kann.

  • Besonders wirksam ist die vorgelagerte Authentisierung: Wenn eine Applikation ohne gültige Authentisierung gar nicht erreichbar ist, reduziert sich die Angriffsfläche drastisch. Auch ein KI-gestütztes System kann keine Applikation angreifen, auf die es keinen Zugriff erhält.
  • Least Privilege sorgt dafür, dass kompromittierte Komponenten nur minimale Rechte besitzen.
  • Scopes und Zugriffsbeschränkungen verhindern, dass ein erfolgreicher Angriff automatisch auf weitere Systeme übergreift.
  • Starke Authentisierung und Step-up-Mechanismen schützen besonders sensible Aktionen zusätzlich.

Gerade bei KI-gestützten Angriffen, die gezielt einzelne Schwachstellen ausnutzen, ist IAM die zweite Verteidigungslinie. Sie verhindert nicht zwingend den ersten erfolgreichen Exploit, aber sie begrenzt den Schaden auf klar definierte Bereiche.

KI als Werkzeug in der Softwareentwicklung 

Auch auf Verteidigungsseite ist KI ein wertvolles Werkzeug. Als Hersteller von WAF- und IAM-Lösungen nutzen wir KI gezielt, um unsere eigene Software und typische Einsatzszenarien kontinuierlich zu analysieren und zu verbessern.

  • KI unterstützt dabei, Schwachstellen frühzeitig in der Entwicklung zu identifizieren und zu beheben.  
  • Sicherheitsanalysen werden systematischer, skalierbarer und gerade bei komplexen Codebasen deutlich effizienter.
  • Fortschrittliche Modelle können ausserdem eingesetzt werden, um potenzielle Angriffsvektoren aus Sicht eines Angreifers zu simulieren.
  • «Mythos»-artige Ansätze sind deshalb nicht nur ein Risiko, sondern auch eine Chance. Richtig eingesetzt helfen sie, Schwachstellen zu finden, bevor sie von Angreifern ausgenutzt werden.

Fazit: Geschwindigkeit und Resilienz werden wichtiger

KI-Systeme wie «Mythos» verändern die Dynamik in der IT-Security. Sie beschleunigen die Entdeckung und potenziell auch die Ausnutzung von Schwachstellen. Gleichzeitig ist weniger mit flächendeckenden Angriffswellen zu rechnen als mit gezielten, schwer erkennbaren Angriffen, die iterativ entwickelt und laufend angepasst werden.

Für die Verteidigung beudetet das:

  • Der Fokus verschiebt sich von reiner Prävention hin zu Geschwindigkeit, Sichtbarkeit und Resilienz.
  • Wer KI nicht selbst für Schwachstellensuche, Code Reviews und Security-Analysen nutzt, gerät ins Hintertreffen.
  • Und eine einzelne Schutzmassnahme reicht nicht aus: Defense in Depth bleibt zentral.

Wirksam ist die Kombination aus schneller Reaktion an der Edge durch WAF und Virtual Patching, struktureller Reduktion der Angriffsfläche durch API Enforcement, Verhaltensanalyse durch Anomaly Detection, gezielte Erschwerung der Angriffsiteration durch Friktion, Schadensbegrenzung durch IAM, vorgelagerte Authentisierung und Least Priviledge und proaktiver Nutzung von KI in der eigenen Entwicklung.

Absolte Sicherheit gibt es nicht. Das war schon vor KI so, und wird mit KI nicht anders. Entscheidend ist, Angriffe früh zu stören, ihre Entwicklung zu verlangsamen, ihre Sichtbarkeit zu erhöhen und den möglichen Impact konsequent zu begrenzen.

Genau dort liegt die Stärke einer kombinierten Verteidigung aus Airlock Gateway, Airlock Anomaly Shield und Airlock IAM.

Diese Website verwendet Cookies
Diese Website nutzt Tracking- und Targeting-Technologien (z. B. Cookies). Es werden für den Betrieb der Seite notwendige Cookies gesetzt. Darüber hinaus verwenden wir Technologien, um die Zugriffe auf unsere Website zu analysieren sowie Inhalte und Anzeigen zu personalisieren. Indem Sie „Alle akzeptieren“ klicken, erklären Sie sich mit der Verwendung der oben genannten Technologien und Cookies einverstanden (jederzeit widerruflich). Unter „Einstellungen“ können Sie Ihre Einstellungen ändern und die Datenverarbeitung ablehnen.
Notwendige Cookies ermöglichen es Ihnen, sich auf unserer Website zu bewegen und deren grundsätzliche Funktionalität bereitzustellen. Ohne diese Cookies können wesentliche Funktionen nicht bereitgestellt werden.Statistik Cookies werden eingesetzt, um die Nutzung unserer Website statistisch zu erfassen und zum Zwecke der Optimierung unseres Angebotes für Sie auszuwerten.Marketing Cookies können von uns oder unseren Werbepartnern auf unserer Website bereitgestellt werden, um ein Profil Ihrer Interessen zu erstellen und Ihnen relevante Inhalte auf unserer und auf Websites Dritter zu zeigen. Um Ihnen relevante Inhalte auf Websites Dritter zu präsentieren, teilen wir diese Informationen mit Dritten, z.B. mit Werbeplattformen und sozialen Netzwerken.
←  Zurück
ImpressumDatenschutz

Wir informieren Sie

-Unsere Whitepaper-

Whitepaper: IAM as a Service

Dieses Whitepaper zeigt, wie IAM as a Service die Einführung von bzw. den Wechsel zu einem modernen, flexibel anpassbaren und zukunftssicheren cIAM erleichtert.

Whitepaper anfordern

Whitepaper: Sprechen Sie Token?

Dieses Whitepaper zeigt, wie Security-Verantwortliche Identitäten über Domänengrenzen hinweg zuverlässig autorisieren können, ohne Agilität oder Benutzerfreundlichkeit zu beeinträchtigen – mit einem Ansatz, der WAAP, Microgateways und Token Exchange verbindet.

Whitepaper anfordern

Whitepaper: Die Puzzleteile moderner Authentifizierung

Beim Identitätsmanagement verhält es sich wie bei einem Puzzle: Man muss das Gesamtbild verstehen, die relevanten Puzzleteile identifizieren und sie in der richtigen Reihenfolge zusammensetzen. Dieses Whitepaper zeigt, wie das gelingt.

Whitepaper anfordern

Whitepaper: Wie wird Ihr CIAM zum Erfolgsfaktor?

Steigende Anforderungen an Sicherheit und Benutzerfreundlichkeit machen Customer Identity and Access Management unverzichtbar. Finden Sie in diesem Whitepaper heraus, wie Sie mit der richtigen CIAM-Strategie Ihren Wettbewerbsvorteil sichern.

Jetzt kostenlos anfordern

Whitepaper: Sicherheit für cloudnative Anwendungen

Wie es Unternehmen gelingt, die Sicherheit von Web-Applikationen und APIs in Kubernetes zu gewährleisten lesen Sie hier im Whitepaper "Sicherheit für cloudnative Anwendungen“, das in Zusammenarbeit zwischen heise und Airlock entstanden ist.

Whitepaper anfordern

Whitepaper: Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern