Wie lässt sich Künstliche Intelligenz in der Netzwerk- und Security-Analyse einsetzen? Diese Frage beschäftigt auch Walter Hofstetter von AnyWeb. Wir haben ihn im Interview gefragt, wann KI-gestützte Analysen sinnvoll sind.
.
Interview mit Walter Hofstetter
Walter Hofstetter
Wie sicher ist es, TCP-Dumps von bekannten KI-Diensten analysieren zu lassen?
Walter Hostetter: Es gilt dasselbe wie bei Dokumenten, die ich über KI-Dienste – egal ob Chatbot, Bildmodell oder Code-Interpreter – verarbeiten lasse: Ich gehe grundsätzlich davon aus, dass diese Daten öffentlich einsehbar werden könnten. Persönliche Daten und Geschäftsinformationen sind daher per Default tabu. Selbst wenn Dienste die Option anbieten, Daten nicht zu speichern, bleibt das Risiko bestehen, dass sie dennoch für das Training von KI-Modellen genutzt werden. Der Zero-Trust-Gedanke sollte auch in diesem Bereich konsequent angewendet werden. In meiner Session zeige ich zudem Möglichkeiten auf, wie sich lokale KI-Dienste mit lokalen LLMs sicher einsetzen lassen.
.
Was sind dabei die typischen Erkenntnisse?
Wie bei vielen Technologien gilt: Man sollte sie dort einsetzen, wo sie echten Mehrwert bringen und gegebenenfalls eigene Wissenslücken ausgleichen können. Ein passender Vergleich ist die Bedienung mit Tastatur-Shortcuts versus der Maus: Beherrsche ich die Shortcuts, arbeite ich meist deutlich effizienter als mit der Maus. Gerade bei Netzwerk- und Security-Analysen ist eine Kombination aus klassischem Vorgehen und KI-Unterstützung sinnvoll – allerdings immer abhängig vom konkreten Anwendungsfall.
.
Wann ist es sinnvoll, solche KI-gestützten Analysen durchzuführen?
Sind die KI-Funktionen eines Herstellers in einer Plattform integriert, die im besten Fall Netzwerkdaten mit Endpunktinformationen abgleicht und zusätzlich mit IoCs (Indicators of Compromise) anreichert, kann das zweifellos eine grosse Hilfe sein. Typischerweise basieren solche Anwendungen jedoch auf einem Datalake – das bedeutet, dass grosse Datenmengen über längere Zeiträume in die Cloud übertragen werden müssen, was nicht nur Kosten, sondern auch zusätzliche Risiken mit sich bringt. Für die reine Paket-Analyse, wie ich sie oft durchführe, sind die Resultate bisher meist eher bescheiden. Der Knackpunkt ist dabei die begrenzte Speicher- und Rechenleistung im Verhältnis zum Datenvolumen – besonders dann, wenn ungefiltert analysiert wird und der eigentliche Problembereich noch gar nicht eingegrenzt ist. Ein grosser Nutzen von KI in meiner Arbeit ist aber oft in der Post-Analysis-Phase:
– Zum Verifizieren von meinen Annahmen.
– Als Unterstützung bei der strukturierten Dokumentation meiner Findings.
– Indirekt auch zur Hilfe bei komplexen Filterkriterien oder beim Erstellen kleiner Python-Programme, die die Auswertung von Daten erleichtern.
.
Was sind die typischen Unterschiede zwischen den unterschiedlichen KI-Diensten?
Es gibt kein «One-Size-Fits-All»-LLM. Viele kommerzielle Produkte wie Darktrace, AIOps oder Vectra AI nutzen eigene LLMs oder trainieren bestehende Modelle mit Daten für ihren spezifischen Einsatzzweck. Eine direkte Paketanalyse ist dabei eher selten – meist liegt der Fokus auf Verhaltens- und Anomalieerkennung. Darüber hinaus existieren zahlreiche Forschungsprojekte, etwa TrafficLLM, die Frameworks und Datensätze bereitstellen, um bestehende LLMs für Netzwerkanalysen zu trainieren. In der Praxis handelt es sich bislang jedoch überwiegend um Forschungsarbeiten, die perspektivisch zu Produkten weiterentwickelt werden, die auch von Analysten im Alltag eingesetzt werden können. Die Erfahrungen, die ich in meinem Vortrag teile, beziehen sich hingegen auf «Standard»-KI-Tools und LLMs. Auch diese lassen sich bis zu einem gewissen Grad anpassen – beispielsweise durch die Erstellung eines Custom GPT mit OpenAI GPT-5 für Netzwerkanalysen. Ein entsprechendes Beispiel wird ebenfalls im Vortrag gezeigt.
.
.
Walter Hofstetter verfügt über eine grosse Erfahrung aus dem Cybersecurity- und Netzwerk-Bereich. Er war mehrere Jahre bei Palo Alto Networks, Symantec und Citrix tätig. Sein jetziger Arbeitgeber AnyWeb beschäftigt 36 Mitarbeitende und ist seit 30 Jahren als auf Netzwerk- und Security-Lösungen spezialisierter Dienstleister erfolgreich am Markt.
.
Am 13. November 2025 wird Walter Hofstetter am Technology Forum ein Referat zum Thema «Einsatz von KI für Netzwerk- und Security-Analyse» halten. Möchten Sie mehr darüber erfahren? Dann sichern Sie sich jetzt Ihr TEFO-Ticket.
.
Autor
