Echtzeit-Bedrohungsinformationen in einer KI-gesteuerten Bedrohungslandschaft

Da Cyberbedrohungen immer automatisierter, verteilter und komplexer werden, wird es zunehmend schwieriger, präzise und zeitnahe Bedrohungsinformationen bereitzustellen. Von KI-gestützten Phishing-Kampagnen bis hin zu komplexen, kanalübergreifenden Angriffsinfrastrukturen müssen sich Unternehmen an ein sich schnell wandelndes Risikoumfeld anpassen. In diesem Interview erklärt Carel Bitter, CEO von Spamhaus Technology, wie großangelegte Datenanalysen, maschinelles Lernen und kollaborative Modelle dazu beitragen, Bedrohungen frühzeitig zu erkennen, Erkennungsmechanismen zu verbessern und Unternehmen bei der Absicherung ihrer digitalen Ökosysteme zu unterstützen.

Spamhaus Technology analysiert täglich Milliarden von IP-Adressen und Millionen von Domains, um Bedrohungsinformationen in Echtzeit bereitzustellen. Wie haben sich Umfang und Komplexität dieser Herausforderung in den letzten Jahren entwickelt, und was ist erforderlich, um die Zuverlässigkeit und Genauigkeit aufrechtzuerhalten, auf die sich Ihre Kunden verlassen?

In vielen Bereichen der Cyberkriminalität entwickeln sich die Dinge sehr schnell, was die Bewertung der Reputation zu einer besonderen Herausforderung macht: Sie muss sowohl schnell als auch präzise erfolgen. Um uns erfolgreich anzupassen und weiterhin Nutzer sowie das Internet zu schützen, mussten wir zusätzliche Werkzeuge entwickeln, neue Wege der Datenanalyse erschließen und teilweise unsere Arbeitsweise verändern - und genau das haben wir getan.

Spamhaus Technology arbeitet mit Daten aus großen, verteilten Sensornetzwerken. Diese ergänzen wir durch den Austausch mit vertrauenswürdigen Drittparteien, darunter sowohl große als auch kleinere Netzwerke, sowie durch Nutzerberichte über submit.spamhaus.org. All diese Daten werden durch hochspezialisierte Systeme kontinuierlich analysiert, um unsere Erkennungsmechanismen und Maßnahmen laufend zu verbessern. Und unabhängig davon, wie viel Automatisierung und "KI" eingesetzt wird, bleibt menschliche Expertise ein entscheidender Faktor.

Bedrohungsakteure nutzen zunehmend KI, um Spam-, Phishing- und Malware-Kampagnen ausgefeilter und schwerer erkennbar zu machen. Wie reagiert Spamhaus Technology auf KI-getriebene Bedrohungen, und welche Rolle spielt maschinelles Lernen in Ihren eigenen Erkennungs- und Datenverarbeitungsprozessen?

Wir setzen uns seit Jahrzehnten erfolgreich mit automatisierten Bedrohungen auseinander - unabhängig davon, ob es sich um Spam oder andere Angriffsformen handelt. In gewisser Weise ist "KI" lediglich eine weitere Ausprägung solcher Automatisierung, auf die wir mit bewährten Prinzipien reagieren. Maschinelles Lernen kommt bei uns bereits seit einiger Zeit zum Einsatz, insbesondere im Bereich DNS- und Domain-Reputation. Eine Ausweitung dieser Ansätze auf weitere Unternehmensbereiche wird kontinuierlich geprüft - überall dort, wo sie uns helfen, effizienter und effektiver zu arbeiten.

Spamhaus Technology agiert an der Schnittstelle von E-Mail-Schutz, DNS-Sicherheit und Threat Intelligence. Wie ergänzen sich diese Disziplinen, und wie unterstützen Sie Unternehmen dabei, Ihre Bedrohungsdaten in bestehende Sicherheitsinfrastrukturen zu integrieren?

Diese drei Bereiche sind eng miteinander verknüpft - sie lassen sich nicht isoliert voneinander betrachten. Der Blick auf Bedrohungen über ihren ursprünglichen Kontext hinaus liefert oft entscheidende Hinweise, um nicht nur einzelne Angriffe zu erkennen, sondern auch die zugrunde liegende Infrastruktur und die verwendeten Taktiken, Techniken und Verfahren (TTPs) zu verstehen. So können wir - insbesondere auf DNS-Ebene - häufig bereits der nächsten Iteration von Angriffskampagnen einen Schritt voraus sein.

Während E-Mail-basierte Bedrohungen auch künftig relevant bleiben, sehen sich die meisten Unternehmen einer zunehmend vernetzten und komplexen Bedrohungslandschaft gegenüber. Phishing erfolgt heute beispielsweise auch über SMS oder Instant Messaging, Bring Your Own Device (BYOD) führt zusätzliche Proxys in den Unternehmensperimeter ein, und Command-and-Control-(C2)-Kanäle werden immer verdeckter und komplexer.

Indem wir unsere Erkenntnisse in offenen Formaten bereitstellen - und einen Großteil davon frei verfügbar machen - ermöglichen wir es Unternehmen, ein grundlegendes Sicherheitsniveau zu etablieren, unabhängig von ihrer bestehenden Infrastruktur oder den eingesetzten Anbietern.

Die Spamhaus-abuse.ch-Allianz vereint komplementäre, missionsgetriebene Datensätze, um umfassendere Erkenntnisse zu liefern. Welche Vorteile bietet ein solches Partnerschaftsmodell im Vergleich zu klassischen, isolierten Threat-Intelligence-Ansätzen?

Unsere Datensätze ergänzen sich in idealer Weise. Während Spamhaus traditionell stark in den Bereichen E-Mail-Filterung und Klassifizierung von Hosting-Anbietern ist, konzentriert sich abuse.ch auf IOCs und Malware-Erkennung, einschließlich C2-Servern und zugehöriger Infrastruktur. Gemeinsam tragen diese Datensätze dazu bei, die Verbreitung von Malware zu unterbinden, indem sie die gesamte Angriffskette abdecken: vom initialen Angriffsvektor mit der schadhaften URL über die Kommunikation mit C2-Servern bis hin zum Nachladen weiterer Schadsoftware.

Mit Blick auf die Zukunft: Welche Trends in der Threat Intelligence und Cybersicherheitslandschaft werden Ihrer Einschätzung nach in den nächsten fünf Jahren den größten Einfluss haben, und wie positioniert sich Spamhaus Technology entsprechend?

Wir sehen drei zentrale Entwicklungen, die in den kommenden fünf Jahren maßgeblich sein werden.

Erstens die zunehmende Industrialisierung der Cyberkriminalität: Die bereits bestehende Untergrundökonomie spezialisierter Anbieter wird durch den Einsatz generativer KI weiter beschleunigt, da diese als effizientes "Bindeglied" zwischen einzelnen Komponenten dient. Unser Fokus auf Automatisierung und schnelle Bereitstellung von Daten versetzt uns in eine gute Position, dieser Entwicklung entgegenzuwirken.

Zweitens beobachten wir eine zunehmende Plattformkonsolidierung - sowohl auf Angreifer - als auch auf Verteidigerseite. Angreifer nutzen verstärkt vorhandene, legitime Infrastruktur ("Live-off-the-Land"), während auf Seiten der Verteidigung die Konsolidierung von Anbietern die Auswahlmöglichkeiten einschränkt. Als Datenanbieter bleiben wir bewusst plattformunabhängig und lassen sich flexibel in unterschiedlichste Sicherheitslösungen integrieren.

Drittens gewinnen geopolitische Einflüsse zunehmend an Bedeutung und werden Entscheidungen im Bereich der Cyberabwehr stärker prägen als bisher. Das betrifft nicht nur die Bedrohungen selbst, sondern auch die Auswahl geeigneter Sicherheitslösungen. Regulatorische Entwicklungen rund um digitale Souveränität könnten die Situation zusätzlich verkomplizieren, gleichzeitig aber auch Chancen für Organisationen innerhalb der EU schaffen. Unsere Position als vertrauenswürdiger, unabhängiger Datenanbieter wird uns dabei weiterhin zugutekommen.