Multi-Step Reasoning revolutioniert die Cybersicherheit: Durch sequenzielle Analyse komplexer Angriffe ermöglicht es präzise Vorhersagen und Reaktionen. KI unterstützt die Mustererkennung, doch menschliche Expertise bleibt essenziell – ein Muss für jeden IT-Security-Experten, der den entscheidenden Vorsprung sucht.
Multi-Step Reasoning ermöglicht IT-Security-Experten, komplexe Cyberangriffe durch schrittweise Analyse, KI-gestützte Mustererkennung und menschliche Expertise zu verstehen, vorherzusagen und effektiv abzuwehren.
(Bild: Ju PhotoStocker - stock.adobe.com)
Multi-Step Reasoning, auf deutsch „mehrschrittiges Denken“, ist ein Konzept, das in der Grundschule im Mathematikunterricht gelehrt wird, aber weit über mathematische Berechnungen und Textaufgaben hinausgeht. Es ist der Prozess, ein mathematisches Problem über mehrere Berechnungen oder Schritte zu lösen, um zur endgültigen Antwort zu gelangen. Multi-Step Reasoning (MSR) erfordert Reihenfolge, Logik und manchmal Vorwissen oder Schlussfolgerungen.
Es erfordert auch, dass jeder Schritt in einem Entscheidungsprozess für sich allein gültig ist, aber dennoch zu einer übergeordneten Schlussfolgerung beiträgt. Wie beim Bau eines Gebäudes, ist die Platzierung jedes einzelnen Ziegels wichtig, und das Fundament ist ebenso bedeutsam wie das Dach und jede Schicht dazwischen.
Im Bereich der Cybersicherheit, in dem Komplexität die Norm ist, sind mehrschichtige Überlegungen unerlässlich - von der Reaktion auf Vorfälle bis hin zur Vorhersage künftiger Bedrohungen.
Warum ist Multi-Step Reasoning in der Cybersicherheit wichtig?
Cybersicherheitsexperten, insbesondere Bedrohungsjäger, Incident Responder und Sicherheitsanalysten, sehen sich häufig mit vielschichtigen Bedrohungen konfrontiert. Cyber-Angriffe sind oftmals äußerst komplex und deshalb teils schwer zu stoppen. Dank dem MITRE ATT&CK Framework und der Lockheed Kill Chain ist bekannt, dass Cyberangriffe viele Schritte umfassen, von der Aufklärung und Persistenz bis hin zur Privilegienerweiterung und Datenexfiltration. Um diese Angriffe zu verstehen und zu entschärfen, muss man in der Lage sein, jede Phase eines Angriffs zu verstehen, die nächsten Schritte der Drahtzieher vorherzusagen und angemessen darauf zu reagieren.
Ohne MSR können Sicherheitsexperten einzelne Symptome eines Angriffs angehen, ohne das Gesamtbild verstehen zu müssen. Eine unvollständige oder unangemessene Reaktion und Schadensbegrenzung kann es Angreifern ermöglichen, ihre Aktivitäten fortzusetzen, zu ändern oder zu wiederholen.
Um die Anwendung von MSR zu verstehen, hilft ein Beispiel. Angenommen, das Sicherheitsteam eines Unternehmens erhält eine Warnung über ungewöhnliche Netzwerkaktivitäten. Wie sieht der mehrstufige Denkprozess bei der Erkennung aus?
1. Ein Sicherheitsanalyst beobachtet eine ungewöhnliche Spitze im Netzwerkverkehr, die von einer einzelnen, unbekannten IP-Adresse ausgeht.
2. Der Analyst korreliert das Verkehrsmuster mit Open-Source-Informationen, die darauf hindeuten, dass eine bekannte Schwachstelle kürzlich entdeckt, aber noch nicht in der Applikation gepatcht wurde.
3. Ein IT-Experte für Incident Response reagiert auf den Vorfall, identifiziert die Daten, auf die es der Angreifer abgesehen hat, bewertet das potenzielle Risiko des Zugriffs und legt die Prioritäten für die Abwehr fest.
4. Daraufhin ergreift er Maßnahmen, um die IP-Adresse zu sperren, die Applikation zu patchen, und weiteren Schaden zu verhindern.
5. Der Responder und ein Bedrohungsjäger suchen gemeinsam nach weiteren Anzeichen für eine Bedrohung und stellen sicher, dass der Angreifer nicht mehr im System ist, nicht erneut in das Netzwerk eindringen kann und keine Daten exfiltriert hat.
Jeder Schritt baut auf dem vorherigen auf und erfordert sorgfältiges und logisches Denken, um die Bedrohung wirksam zu bekämpfen.
Multi-Step Reasoning bei der Erkennung von Bedrohungen
Angreifer, insbesondere fortgeschrittene, hartnäckige Bedrohungen (Advanced Persistent Threats, APTs), offenbaren ihre Hand selten in einem einzigen Zug. APTs sind langfristige, verdeckte Angriffe, bei denen Hacker mehrere Schritte sorgfältig planen und durchführen, um der Erkennung zu entgehen und unentdeckt zu bleiben. Auch Ransomware-Gruppen und andere Cyberkriminelle versuchen, Teile ihrer Kampagnen zu verschleiern. Die Erkennung und Reaktion auf Bedrohungen ist ein mehrstufiger Denkprozess, und jeder Schritt eines Angriffs erfordert eine unabhängige Identifizierung und Überprüfung.
Erstzugriff, Seitwärtsbewegung („Lateral Movement“) und Datenexfiltration erfordern jeweils eigene, mehrstufige Erkennungs- und Reaktionsüberlegungen. Wenn ein Sicherheitsteam verdächtige Aktivitäten im Netzwerk feststellt, muss es die Aktivitäten bis zur Quelle zurückverfolgen und verstehen, wie und wohin sich der Angreifer bewegt hat und möglicherweise weiterbewegen wird. Das Multi-Step Reasoning ermöglicht es Cybersicherheitsexperten, das Gesamtbild zu sehen, indem sie einzelne Ereignisse zu einer vollständigen Bedrohungshistorie verknüpfen.
Multi-Step Reasoning mit KI
Mit der Einführung von KI und LLM in die Cybersicherheit erhält die mehrstufige Argumentation eine neue Dimension. Diese Werkzeuge können nun Sicherheitsteams dabei unterstützen, große Datenmengen zu verarbeiten, Muster zu erkennen und logische Schlussfolgerungen über mehrere Untersuchungsstufen hinweg zu ziehen.
Ein Beispiel: Ein Sicherheitsanalyst erhält eine Warnmeldung über eine ungewöhnliche Anmeldung von einem Administratorkonto eines Mitarbeiters. Bei der ersten Überprüfung der Ereignisprotokolle des Benutzers stellt der Analytiker fest, dass der Benutzer eine GetFunction zur Informationsbeschaffung aufgerufen hat. Anstatt die nächsten Minuten damit zu verbringen, neue und alte Benutzerereignisse zu durchsuchen, um ein Muster zu finden, fragt der Analytiker zuerst sein KI-Tool, ob das Ereignis verdächtig ist. Die KI gibt eine kontextbezogene Erklärung zu den Informationen, die durch den GetFunction-Aufruf erhalten wurden, und erwähnt die Berechtigungen des Benutzers, die Risikobewertung und andere erkannte Risiken. Der Analyst sollte nun genügend Informationen und Grund zur Besorgnis haben, um die nächsten Eskalations- und Reaktionsschritte festzulegen. Auf der Grundlage des Gesprächs kann das KI-Tool auch sofortige Reaktionsmaßnahmen sowie vorausschauende Präventionsstrategien und Prozessverbesserungen empfehlen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Auch wenn KI dazu beitragen kann, die mehrstufigen Überlegungen und Untersuchungen zur Abwehr von Angreifern zu beschleunigen, sind menschliche Analysten nach wie vor unverzichtbar. Sie bringen Kontext, Erfahrung und Intuition mit - Eigenschaften, die keine noch so fortschrittliche KI nachbilden kann.
Im Bereich der Cybersicherheit ist Multi-Step Reasoning eine maßgebliches Verfahren, um die komplexen, vielschichtigen Bedrohungen, mit denen Unternehmen heute konfrontiert sind, zu verstehen und darauf zu reagieren. Durch eine sequenzielle Bedrohungsanalyse können Sicherheitsexperten Angriffe zurückverfolgen, das Verhalten von Angreifern vorhersagen und auf der Grundlage präziser Details und eines genauen Gesamtbildes wirksame, mehrschichtige Abwehrmaßnahmen entwickeln.
Ganz gleich, ob es darum geht, einen Phishing-Angriff zu erkennen, auf eine APT zu reagieren oder KI für die Sicherheit einzusetzen, die mehrstufige Argumentation stellt sicher, dass jede Aktion wohlüberlegt und logisch ist und zum ultimativen Ziel beiträgt: dem Schutz des Unternehmens vor fortgeschrittenen Cyber-Bedrohungen.
* Der Autor Crystal Morin ist Cybersecurity Strategist bei Sysdig.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f7cc26f7408cedf841ef7b8107413/0129170884v1.jpeg "Positive Bilanz: Die starke Nachfrage nach Cloud- und ERP-Lösungen trieb 2025 Umsatz und Betriebsergebnis von SAP. (Bild: SAP SE)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:quality(80)/p7i.vogel.de/wcms/ed/02/ed026456742caf5eed9c074877e3b395/0106061627.jpeg "Clouds sollten nicht einzeln für sich als Angriffsziel gesehen werden, sondern auch als Angriffswerkzeug. (Bild: alexyz3d - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/4a/e94a1c1720064152fa0536955b28849a/0120157460v1.jpeg "Wie sich Attacken auf Cloud-Umgebungen frühzeitig erkennen und abwehren lassen, zeigt das neue eBook „Umfassende Sicherheit für Cloud-Umgebungen“. (Bild: © Lance, stock.adobe.com / VIT)")
:quality(80)/p7i.vogel.de/wcms/4c/d4/4cd4bf6d7b46ac3c2aaef3a8a75a6fda/0122368780v1.jpeg "Steigende Angriffe auf IT-Infrastrukturen wie Cloud-Umgebungen lassen nur einen Schluss für 2025 zu: Die Sicherheitsmaßnahmen müssen deutlich erhöht werden. (Bild: Kiattiporn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/4f/cc4f3c7a84fb84cec2ccef1dd3b8cd85/0127381701v1.jpeg "Vorausschauende Cloud-Sicherheit erkennt Risiken, bevor sie entstehen, durch intelligente Analysen, Automatisierung und kontinuierliche Transparenz in allen Ebenen der Infrastruktur. (Bild: © Bo Dean - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/74/95/749561a344fbdf3c3a99267c49c38262/0123498535v2.jpeg "Die Sicherheitsexperten von Proofpoint haben festgestellt, dass 78 Prozent der Microsoft-365-Kunden mindestens einmal von einem versuchten Account-Hijacking betroffen waren. (Bild: Blue Planet Studio - stock.adobe.com)")