Mathematische Modellierung adaptiver Informationssicherheitsstrategien mithilfe zusammengesetzter Verhaltensmodelle

Warum intelligentere Cyberabwehr wichtig ist

Von Krankenhausakten bis zu Stromnetzen hängt unser Leben inzwischen von digitalen Systemen ab, die dauerhaft unter Beschuss stehen. Kriminelle und staatlich unterstützte Hacker nutzen keine einzelnen, groben Tricks mehr; sie weben lange, heimliche Kampagnen, die sich anpassen, sobald die Verteidiger reagieren. Dieses Papier stellt eine neue Methode vor, dieses Katz-und-Maus-Spiel mathematisch zu modellieren, mit dem Ziel, Verteidigern Werkzeuge zu geben, die sich in Echtzeit anpassen, statt auf festen Regeln oder einmaligen Machine-Learning-Modellen zu beruhen.

Grenzen der heutigen Schutzmauern

Die meisten existierenden Sicherheitswerkzeuge suchen entweder nach bekannten Fingerabdrücken vergangener Angriffe oder nach einfachen statistischen Auffälligkeiten im Netzwerkverkehr. Andere verwenden Spieltheorie oder Machine Learning, um Bedrohungen vorauszusehen. Jede dieser Ansätze erfasst nur einen Ausschnitt der Realität: Sie modellieren vielleicht den Angreifer oder den Verteidiger, aber selten beide zusammen, und sie nehmen oft Verhalten an, das sich im Zeitverlauf kaum ändert. Eine umfangreiche Literaturanalyse in dieser Studie, die 75 Forschungsarbeiten von 2018 bis 2025 umfasste, zeigte, dass weniger als ein Drittel der bestehenden Modelle versucht, unterschiedliche Verhaltensmuster zu kombinieren, und nur etwa ein Viertel echte Echtzeit-Anpassung unterstützt. Anders ausgedrückt behandeln die meisten Modelle Cyberkonflikte als statisch und eindimensional, obwohl echte Eindringlinge sich über viele Phasen entfalten und auf Züge der Verteidiger reagieren.

Eine einheitliche Sicht auf Angreifer und Verteidiger

Die Autoren schlagen ein zusammengesetztes Verhaltensmodell vor, das viele kleinere Modelle von Angreifern und Verteidigern zu einem einzigen, dynamischen Bild verwebt. Auf der Angreiferseite werden Phasen wie das Scannen eines Netzwerks, das Eindringen, seitliche Bewegung zwischen Systemen und das Aufrechterhalten eines versteckten Standbeins abgebildet. Auf der Verteidigerseite umfasst es Komponenten wie Anomalieerkennung, Firewall-Anpassungen und die Verlagerung von Rechenressourcen dorthin, wo sie am dringendsten benötigt werden. All diese Teile sind durch mathematische Gleichungen verknüpft, die beschreiben, wie sich der Zustand des Gesamtsystems über die Zeit ändert, einschließlich Unsicherheit und zufälliger Störungen. Entscheidend ist, dass der Verteidiger keine perfekte Sicht auf das Geschehen hat; stattdessen sieht er verrauschte Signale – etwa unvollkommene Alarme und Logs – und muss daraus schließen, was der Angreifer wahrscheinlich tut, und entsprechend reagieren.

Mathematik in bewegliche Abwehr verwandeln

Um ihre Ideen zu prüfen, bauten die Autoren eine detaillierte Simulationsumgebung auf Basis gängiger Cybersicherheits-Datensätze (NSL-KDD und UNSW-NB15) und realistischer, synthetischer Angriffskampagnen, die von den „Kill-Chain“-Phasen moderner Eindringlinge inspiriert sind. Angriffe verlaufen als probabilistische Ereignisketten, mit zufälligen Zeitpunkten und Sensorsignalrauschen, um die unordentlichen Bedingungen realer Netzwerke nachzubilden. Verteidigerkomponenten verwenden Lernregeln und Feedbacksteuerung, um Schwellenwerte anzupassen, Abwehrmaßnahmen neu zu konfigurieren und Ressourcen umzuverteilen, sobald neue Hinweise eintreffen. Das Modell läuft als geschlossener Regelkreis: Angreifer ändern ihre Taktik als Reaktion auf Abwehrmaßnahmen, diese passen sich wiederum an, und so weiter, was den Forschern erlaubt, das Verhalten des Gesamtsystems über viele Tausende Zeitschritte zu untersuchen.

Was die Simulationen offenbaren

Über ein breites Spektrum von Szenarien – von einfachen Eindringversuchen bis zu komplexen, langsam verlaufenden Kampagnen gegen simulierte Industrie-Steuerungssysteme – übertraf das zusammengesetzte Modell beständig traditionelle nicht-adaptive Abwehrmechanismen und mehrere fortgeschrittene Referenzmodelle. In niedrig verrauschten Umgebungen erzielte es Erkennungsraten nahe oder über 90 Prozent und blieb selbst bei anspruchsvolleren Angreifern oder stark verrauschten Überwachungsdaten bei etwa 85 Prozent. Im Vergleich zu einem statischen Basismodell erkannte es mehr Angriffe, reagierte schneller auf Änderungen im Angreifer-Verhalten und nutzte Rechenressourcen effizienter, indem es Fehlalarme reduzierte und zugleich explodierende Kosten vermied. Statistische Tests bestätigten, dass diese Verbesserungen nicht zufällig waren, und die internen Dynamiken des Systems blieben stabil, statt durch die wechselseitigen Anpassungen von Angreifern und Verteidigern ins Chaos zu geraten.

Was das für alltägliche Sicherheit bedeutet

Für Nicht-Spezialisten ist die zentrale Botschaft, dass Cyberabwehr eher wie ein sich entwickelndes Ökosystem als wie eine feste Mauer modelliert werden kann. Indem mathematisch beschrieben wird, wie viele unterschiedliche Angriffs- und Verteidigungsverhalten über die Zeit miteinander interagieren – und indem Unsicherheit und teilweise Sichtbarkeit berücksichtigt werden – zeigt der vorgeschlagene Rahmen einen Weg zu Sicherheitssystemen, die während eines Angriffs dazulernen, nicht nur davor. Solche zusammengesetzten, adaptiven Modelle könnten die Grundlage künftiger Werkzeuge bilden, die die Abwehr eines Netzwerks unauffällig neu ausrichten, während Bedrohungen sich entfalten, und so kritische Dienste online und vertrauenswürdig halten, auch wenn Gegner hartnäckiger und einfallsreicher werden.

Zitation: Nuaim, A.A., Nuaim, A.A., Nadeem, M. et al. Mathematical modeling of adaptive information security strategies using composite behavior models. Sci Rep 16, 10755 (2026). https://doi.org/10.1038/s41598-026-45315-5

Schlüsselwörter: adaptive Cybersicherheit, verhaltensorientierte Bedrohungsmodellierung, Angriffs–Verteidigungs-Dynamik, stochastische Sicherheitssysteme, Eindringungserkennung