Zurück zum Blog
Erklärt·14 Min. Lesezeit

Wie erkennt maschinelles Lernen Malware? Eine Schritt-für-Schritt-Erklärung

Herkömmliche Antivirenprogramme vergleichen Dateien mit einer Liste bekannter Malware-Signaturen. ML-basierte Erkennung entwickelt ein Modell, das die <em>Muster</em> schädlichen Verhaltens erkennt – und so Bedrohungen aufdeckt, die noch niemand zuvor gesehen hat. Hier erfährst du Schritt für Schritt, wie das funktioniert.

Von Casper's Cloak Security Team

Kurz zusammengefasst: Signaturbasierter Virenschutz ist wie ein Türsteher mit einem Fotoalbum – wenn dein Gesicht nicht drin ist, kommst du rein. ML-basierte Erkennung ist wie ein Türsteher, der Tausende von Schlägereien studiert hat und gelernt hat, Körpersprache zu lesen – auch wenn du ein Unbekannter bist, verrät dich deine Haltung. Genau dieser Unterschied trennt "Wir haben den gestrigen Virus erkannt" von "Wir haben einen Zero-Day-Angriff abgewehrt, den noch niemand katalogisiert hatte." Im Folgenden: Was Signaturen wirklich leisten, warum sie nicht ausreichen, wie ML-Klassifikatoren funktionieren, die drei wichtigsten Ansätze, was Casper's Cloak speziell auf Netzwerkebene tut – und die ehrlichen Grenzen des Verfahrens.

Signaturbasierte vs. ML-basierte Erkennung auf einen Blick

Bevor wir in die Details gehen, hier der übergeordnete Vergleich. Beide Ansätze haben ihre Berechtigung; die entscheidende Frage ist, welche Bedrohungen jeder einzelne gut abdeckt.

FaktorSignaturbasiertML-basiert
Erkennungsgeschwindigkeit bei bekannten BedrohungenSehr schnell – direkter Hash-/MusterabgleichSchnell – Feature-Extraktion + Klassifikation
Zero-Day-ErkennungKeine, bis eine Signatur erstellt wirdKann neue Bedrohungen anhand von Verhaltensmustern erkennen
Falsch-Positiv-RateSehr niedrig – exakter TrefferHöher – probabilistische Klassifikation
AktualisierungshäufigkeitStündliche/tägliche Signatur-DB-UpdatesModell wird periodisch neu trainiert; Inferenz läuft kontinuierlich
RessourcenverbrauchGering – Mustersuche in einer DatenbankModerat – abhängig von Modellkomplexität und Inferenzort
Schwierigkeit der UmgehungEinfach – ein geändertes Byte umgeht die SignaturSchwieriger – es müssen genug Merkmale verändert werden, um die Klassifikation zu kippen

Die Antwort in der Praxis lautet: "Beide einsetzen." Signaturen sind schnell und präzise für bekannte Bedrohungen; ML erkennt die neuen. Die meisten modernen Sicherheitsprodukte kombinieren beide Ansätze. Die interessante Frage ist wie der ML-Teil funktioniert – und genau darum geht es im Rest dieses Artikels.

Was signaturbasierte Erkennung leistet (und warum sie nicht ausreicht)

Signaturbasierte Erkennung ist konzeptionell einfach: Ein Sicherheitsforscher analysiert ein neues Schadprogramm, extrahiert eine eindeutige Bytesequenz (die "Signatur") und fügt sie einer Datenbank hinzu. Jede Datei, die dein Antivirenprogramm scannt, wird mit dieser Datenbank verglichen. Treffer gefunden? Quarantäne. Kein Treffer? Sauber.

Dieses Modell funktionierte in den frühen 2000er-Jahren gut, als täglich nur Dutzende neue Schadprogramme auftauchten und menschliche Analysten damit Schritt halten konnten. Das AV-TEST-Institut registriert heute über 450.000 neue Schadprogramme und potenziell unerwünschte Anwendungen pro Tag. Kein Team menschlicher Analysten schreibt 450.000 Signaturen am Tag. Selbst automatisierte Signaturgenerierung kann da nicht mithalten, weil Malware-Autoren Polymorphismus einsetzen – sie verändern die Bytesequenz des Codes bei jeder Verbreitung, ohne sein Verhalten zu ändern. Ein polymorphes Virus kann tausend Varianten haben, jede mit einem anderen Hash, jede mit einer anderen erforderlichen Signatur. Statisches Mustermatching ist bei diesem Spiel strukturell im Nachteil.

Das zweite Problem ist das Expositionsfenster. Zwischen dem Moment, in dem ein neues Schadprogramm in freier Wildbahn auftaucht, und dem Moment, in dem eine Signatur dafür auf deinem Gerät ankommt, gibt es eine Lücke. Diese Lücke betrug 2020 im Durchschnitt 24–48 Stunden; durch schnellere Pipeline-Automatisierung ist sie kürzer geworden, aber sie ist nie null. Während dieser Lücke ist dein signaturbasierter Virenschutz für die neue Bedrohung völlig blind. In dieser Lücke leben Zero-Day-Angriffe.

Das dritte Problem ist Mobile. Herkömmliches signaturbasiertes Scannen erfordert das Abgleichen jeder Datei mit einer großen Datenbank – ein Vorgang, der den Akku entleert und Speicher für die Signaturdatenbank selbst beansprucht. iOS erlaubt Apps nicht einmal, Dateien anderer Apps zu scannen. Auf Mobilgeräten ist ein herkömmliches AV-Engine im Hintergrund entweder unpraktisch (Android-Akkuverbrauch) oder architektonisch unmöglich (iOS-Sandbox). Die Erkennung muss woanders stattfinden.

Wie ML-Modelle lernen, wie "bösartig" aussieht

ML-basierte Erkennung verfolgt einen grundlegend anderen Ansatz. Statt einzelne Malware-Exemplare auswendig zu lernen, trainiert man ein Modell auf Features – messbare Eigenschaften, die zwischen schädlicher und harmloser Software (oder schädlichem und harmlosem Netzwerkverhalten) tendenziell unterschiedlich sind. Das Modell lernt eine Entscheidungsgrenze: „Dinge mit diesen Merkmalskombinationen sind wahrscheinlich bösartig; Dinge mit jenen Kombinationen sind wahrscheinlich sicher."

Schritt 1: Trainingsdatensatz zusammenstellen

Man benötigt beschriftete Beispiele – bekannte Schadprogramme und bekannte gutartige Dateien. Für dateibasiertes ML bedeutet das typischerweise Millionen von PE-Dateien (Portable Executables) aus Threat-Intelligence-Feeds, öffentlichen Repositorys wie VirusTotal, unternehmenseigenen Honeypots und Malware-Sharing-Konsortien. Für netzwerkbasiertes ML bedeutet das beschriftete DNS-Query-Logs, Netzwerkflussdatensätze und Domain-Registrierungsmetadaten – Millionen bekannter Schaddomains und Millionen bekannter gutartiger Domains.

Schritt 2: Features extrahieren

Rohdaten sind für einen Klassifikator nicht direkt nützlich. Man transformiert jede Probe in einen Feature-Vektor – eine Liste von Zahlen, die ihre Eigenschaften beschreiben. Bei einer Windows-Programmdatei können Features umfassen: die Entropie jedes Code-Abschnitts (komprimierter/verschlüsselter Code hat höhere Entropie), importierte API-Aufrufe (Malware importiert typischerweise Prozessinjektions- und Registry-Manipulations-APIs), das Verhältnis von Lese-Schreib- zu Nur-Lese-Abschnitten, ob die Datei eine gültige digitale Signatur hat, String-Muster im Binärformat. Bei einem Domainnamen können Features umfassen: Domain-Alter, Registrar, WHOIS-Datenschutzstatus, TLS-Zertifikatsattribute, DNS-Datensatzverlauf, lexikalische Struktur des Domainnamens selbst.

Schritt 3: Einen Klassifikator trainieren

Mit beschrifteten Feature-Vektoren zur Hand trainiert man ein maschinelles Lernmodell – Gradient-Boosted Trees (XGBoost, LightGBM), Random Forests, tiefe neuronale Netze oder Ensemble-Kombinationen aus mehreren. Das Modell lernt, welche Merkmalskombinationen mit "bösartig" korrelieren und welche mit "harmlos". Kreuzvalidierung und Holdout-Testsets stellen sicher, dass das Modell auf ungesehene Proben verallgemeinert, anstatt den Trainingssatz auswendig zu lernen.

Schritt 4: Für Inferenz einsetzen

Das trainierte Modell wird dort eingesetzt, wo es neue Proben in Echtzeit bewerten kann. Bei dateibasierter Erkennung ist das in der Regel ein Endpoint-Agent auf dem Gerät des Benutzers oder eine Cloud-Sandbox. Bei netzwerkbasierter Erkennung ist es ein Klassifikator, der inline auf dem DNS-Resolver oder Netzwerk-Proxy sitzt. Eine neue Probe trifft ein, Features werden extrahiert, das Modell bewertet sie (typischerweise als Wahrscheinlichkeit zwischen 0,0 und 1,0), und ein Schwellenwert bestimmt die Aktion – blockieren, erlauben oder zur menschlichen Überprüfung markieren.

Der entscheidende Unterschied zu Signaturen: Das Modell hat diese spezifische Probe noch nie gesehen, erkennt aber das Muster. Eine neue polymorphe Variante bestehender Ransomware ändert ihre Bytesequenz, importiert aber immer noch dieselben Verschlüsselungs-APIs, hat immer noch hochentropische Abschnitte, verfügt immer noch über kein gültiges Zertifikat – das Modell erkennt sie, weil die Features dem bösartigen Muster entsprechen, auch wenn kein Mensch eine Regel für diese Variante geschrieben hat.

Die drei wichtigsten ML-Ansätze zur Malware-Erkennung

ML-basierte Erkennung ist keine einzelne Sache – es sind mindestens drei verschiedene Ansätze, die jeweils auf einer anderen Ebene des Stack operieren und verschiedene Kategorien von Bedrohungen abfangen.

1. Statische Analyse: Datei inspizieren, ohne sie auszuführen

Statische ML-Modelle analysieren die Struktur, Metadaten und den Inhalt einer Datei, ohne sie auszuführen. Features umfassen PE-Header-Attribute, Abschnittsentropie, Import-Tabellen, eingebettete Strings, Ressourcenmetadaten, Packer-Identifikation und zunehmend rohe Bytesequenzen, die in konvolutionale neuronale Netze eingespeist werden, die ihre eigenen Features direkt aus dem Binärformat lernen.

Stärken: schnell (keine Sandbox-Ausführung erforderlich), skaliert auf Millionen von Dateien, erkennt viele Standard-Bedrohungen. Schwächen: kann durch Verschleierung, Packing oder metamorphen Code umgangen werden, der sich selbst umstrukturiert. Ein hinreichend motivierter Angreifer kann sein Binary so transformieren, dass die statischen Features harmlos wirken. Das MITRE ATT&CK-Framework dokumentiert diese Umgehungstechniken unter Defense Evasion (TA0005).

2. Dynamische/Verhaltensanalyse: Datei ausführen und beobachten, was sie tut

Die dynamische Analyse führt die verdächtige Datei in einer Sandbox (einer instrumentierten virtuellen Maschine) aus und zeichnet ihr Laufzeitverhalten auf: welche Dateien sie liest und schreibt, welche Registry-Schlüssel sie ändert, welche Netzwerkverbindungen sie öffnet, welche Prozesse sie startet, welche Systemaufrufe sie ausführt. Ein auf diesen Verhaltensabläufen trainiertes ML-Modell kann die Probe danach klassifizieren, was sie tut, nicht wie sie aussieht.

Stärken: viel schwerer zu umgehen – selbst wenn das Binary verschleiert ist, muss das Verhalten ablaufen, damit Malware ihr Ziel erreicht. Ransomware muss Dateien verschlüsseln; ein Keylogger muss die Tastatur abhören; ein C2-Beacon muss nach Hause telefonieren. Das Verhalten ist die Wahrheit. Schwächen: langsam (Sandbox-Ausführung dauert Sekunden bis Minuten), teuer (VMs verbrauchen Rechenleistung), und manche Malware erkennt Sandboxes und verweigert die Ausführung. Sandbox-Umgehung ist ein eigenes Katz-und-Maus-Spiel.

3. Netzwerkverkehrsanalyse: Verbindungen klassifizieren, ohne Payloads zu inspizieren

ML auf Netzwerkebene arbeitet mit den Metadaten von Netzwerkverbindungen – DNS-Anfragen, TLS-Handshake-Attributen, Flow-Statistiken, Domain-Registrierungsmustern – ohne den eigentlichen Payload zu entschlüsseln oder zu inspizieren. Dies ist der Ansatz, der für die Sicherheit mobiler Endnutzer am relevantesten ist, und der Bereich, in dem Casper's Cloak arbeitet.

Stärken: funktioniert auf jedem Gerät ohne Installation eines Endpoint-Agents, der Dateien scannt; verarbeitet verschlüsselten Datenverkehr, ohne die Verschlüsselung zu brechen; skaliert auf Millionen von DNS-Anfragen pro Sekunde; erkennt Phishing- und C2-Infrastruktur auf Domain-Registrierungsebene, bevor die Malware überhaupt das Gerät des Benutzers erreicht. Schwächen: kann den verschlüsselten Payload nicht einsehen, erkennt keine Malware, die keine Netzwerkverbindungen herstellt, und ist auf die Qualität der Domain-/Netzwerkfeatures angewiesen.

Welche Features betrachtet das Modell eigentlich?

Hier wird aus dem abstrakten "ML erkennt Muster" etwas Konkretes. Bei der ML-Klassifikation auf Netzwerkebene – dem für Casper relevantesten Ansatz – lassen sich die Features in sechs Kategorien einteilen:

  • Domain-Alter und Registrierungsmuster. Bösartige Domains sind überwiegend jung – Tage oder Stunden vor der Nutzung registriert, oft in Massen über automatisierte Registrare. Eine vor 72 Stunden über einen Privacy-WHOIS-Registrar registrierte Domain, der in derselben Charge noch 200 weitere Domains registriert hat, ist statistisch gesehen weit häufiger bösartig als eine vor acht Jahren registrierte Domain mit konsistentem WHOIS-Eintrag. Der Klassifikator gewichtet das Domain-Alter stark, und das aus gutem Grund: Das NIST Cybersecurity Framework nennt Asset-Management und Supply-Chain-Risiko (einschließlich Domain-Herkunft) als zentrale Identify-Funktion-Kontrollen.
  • TLS-Zertifikatsattribute. Legitime Sites nutzen zunehmend Zertifikate etablierter CAs mit Organisationsvalidierung. Phishing- und Malware-Infrastruktur setzt auf kostenlose, automatisch ausgestellte DV-Zertifikate (Domain Validation) – insbesondere eine hohe Anzahl von Let's Encrypt-Zertifikaten, die in rascher Folge für Domains ohne vorherige Webpräsenz ausgestellt wurden. Der Klassifikator prüft Zertifikatsaussteller, Gültigkeitsdauer, SAN-Einträge (Subject Alternative Name) und ob die Zertifikatskette zum erkennbaren Zweck der Domain passt.
  • DNS-Verhalten. Malware-C2-Infrastruktur verwendet häufig Fast-Flux-DNS (schnell rotierende IP-Adressen hinter einer Domain), DGA-generierte Domainnamen (algorithmisch erzeugte Zeichenketten wie xk3j7mq9.net) oder ungewöhnliche Record-Typen (TXT-Records für Datenexfiltration). Der Klassifikator prüft TTL-Werte, die Anzahl zurückgegebener IP-Adressen, die geografische Streuung aufgelöster IPs und die lexikalische Entropie des Domainnamens selbst.
  • Hosting-Infrastruktur. Bulletproof-Hosting-Anbieter und bestimmte ASNs (Autonomous System Numbers) sind überproportional häufig mit Malware-Infrastruktur verbunden. Das Modell lernt, welche Hosting-Umgebungen mit bösartiger Aktivität korrelieren – nicht als Blocklist, sondern als gewichtetes Feature neben allen anderen.
  • Anfragemuster. Malware-C2-Beacons erzeugen tendenziell charakteristische Verkehrsmuster: regelmäßige Callback-Intervalle, kleine Payloads in beide Richtungen, Verbindungen zu Infrastruktur ohne legitimen Webinhalt. Der Klassifikator kann diese Muster aus Flow-Metadaten (Timing, Größe, Richtung) erkennen, ohne den verschlüsselten Inhalt zu inspizieren.
  • Lexikalische und strukturelle Analyse des Domainnamens. DGA-Domains haben hohe Entropie und geringe Aussprachefreundlichkeit. Phishing-Domains imitieren bekannte Marken mit Zeichenersetzungen (paypa1.com, arnazon-security.com). NLP-basierte Features messen die Edit-Distanz zu bekannten Marken, Zeichen-N-Gramm-Verteilungen und ob die Domain den strukturellen Mustern legitimer Registrierungen folgt.

Kein einzelnes Feature ist ausschlaggebend – viele legitime Domains sind neu, verwenden Let's Encrypt oder werden auf geteilter Infrastruktur gehostet. Die Aufgabe des Klassifikators besteht darin, alle Features gleichzeitig zu gewichten und einen Risikoscore zu erzeugen. Eine neue Domain allein könnte 0,3 erzielen; eine neue Domain mit DGA-ähnlichem Namen, einem 48 Stunden alten Let's Encrypt-Zertifikat, gehostet auf einem bekannt missbrauchten ASN, ohne Webinhalt? Die erzielt 0,95+.

Wie Casper's Cloak ML-Erkennung auf Netzwerkebene einsetzt

Caspers Bedrohungsschutz arbeitet auf der DNS-Auflösungsebene. Wenn dein Gerät eine DNS-Anfrage stellt – jede App, jede Verbindung – wird die Anfrage durch Caspers Resolver geleitet, bevor eine IP-Adresse zurückgegeben wird. Folgendes passiert in den Millisekunden zwischen Anfrage und Antwort:

  1. Die DNS-Anfrage trifft bei Caspers Resolver ein. Dein Smartphone fragt: „Was ist die IP für suspicious-domain.com?" Die Anfrage läuft durch den verschlüsselten VPN-Tunnel, sodass niemand im lokalen Netzwerk (Café-WLAN, ISP) sie sehen kann.
  2. Statische Blocklist-Prüfung. Zuerst ein schneller Abgleich mit kuratierten Blocklists – bekannte Phishing-Domains, bekannte Malware-C2-Domains, bekannte Tracker-Domains. Dies entspricht dem Signatur-Check: präzise, schnell und auf bekannte Bedrohungen beschränkt. Bei einem Treffer wird die Domain sofort blockiert.
  3. ML-Klassifikator-Bewertung. Wenn die Domain auf keiner statischen Liste steht, extrahiert der Klassifikator Features: Domain-Alter, Registrar, Zertifikatsmetadaten, DNS-Datensatzverlauf, lexikalische Analyse, Hosting-Infrastruktur und aktuelle Anfragemuster für diese Domain über alle Casper-Nutzer (anonymisiert und aggregiert). Das Modell bewertet das Risiko der Domain.
  4. Schwellenwertbasierte Entscheidung. Überschreitet der Risikoscore den konfigurierten Schwellenwert, wird die Domain blockiert (der Resolver gibt NXDOMAIN zurück). Liegt er darunter, wird die legitime IP zurückgegeben. Grenzwertige Scores können einen "Soft Block" auslösen – der Nutzer sieht eine Warn-Interstitialseite statt einer harten Blockierung, mit der Option fortzufahren.
  5. Der gesamte Prozess ist abgeschlossen, bevor die Verbindung hergestellt wird. Die Klassifikation erfolgt zum Zeitpunkt der DNS-Auflösung – vor dem TCP-Handshake, vor der TLS-Aushandlung, bevor Daten ausgetauscht werden. Die bösartige Verbindung wird nie hergestellt.

Das macht DNS-Layer-ML-Erkennung besonders gut für mobile Geräte geeignet: Sie schützt jede App auf dem Gerät, erfordert kein lokales Scanning (das Modell läuft auf unserer Resolver-Infrastruktur), entleert nicht den Akku und funktioniert sowohl auf iOS als auch auf Android, ohne die architektonischen Einschränkungen, die herkömmlichen Antivirenprogrammen auf Mobilgeräten im Weg stehen. Die Phishing-Seite davon haben wir ausführlich in unserer Analyse von drei realen Phishing-Kampagnen behandelt.

Was Caspers ML auf Netzwerkebene nicht tut: Es scannt keine Dateien auf deinem Gerät. Es inspiziert keine Inhalte verschlüsselter Verbindungen. Es überwacht kein App-Verhalten auf dem Gerät. Wenn sich bereits eine Schadprogramm auf deinem Gerät befindet und nur über IP-Adressen kommuniziert (kein DNS-Lookup), wird Caspers DNS-Layer-Klassifikator es nicht sehen. Das ist die ehrliche Grenze der Erkennung auf Netzwerkebene – sie ist äußerst effektiv beim Abfangen von Bedrohungen, die domänenbasierte Infrastruktur nutzen (was die überwiegende Mehrheit von Phishing, Malware-Verteilung und C2-Kommunikation ausmacht), ist aber kein Ersatz für geräteseitige Endpoint-Security in Unternehmensumgebungen, in denen gezielte, ausgefeilte Angreifer möglicherweise IP-only-C2-Kanäle nutzen.

Grenzen und ehrliche Einschränkungen

ML-basierte Malware-Erkennung ist eine echte Verbesserung gegenüber reinen Signaturen, hat aber reale Grenzen, die jede ehrliche Diskussion benennen muss.

Falsch-Positive sind ein echter Kostenfaktor

Probabilistische Klassifikation bedeutet, dass das Modell manchmal legitime Domains als bösartig einstuft. Ein brandneues Startup mit einer kürzlich registrierten Domain, einem Let's Encrypt-Zertifikat und Hosting beim Budget-Anbieter kann dieselben Features auslösen wie Malware-Infrastruktur. Die Falsch-Positiv-Rate eines gut abgestimmten DNS-Klassifikators liegt typischerweise im Bereich von 0,01–0,1 % – niedrig in Prozent, aber bei Millionen von Anfragen täglich bedeuten selbst 0,01 % Tausende fälschlicherweise markierter legitimer Anfragen. Die eigentliche Ingenieursarbeit liegt in der Schwellenwert-Abstimmung, dem Aufbau schneller Allowlist-Mechanismen und dem kontinuierlichen Neutraining auf Basis von Falsch-Positiv-Rückmeldungen, um die Rate weiter zu senken.

Adversarial ML ist eine echte Disziplin

Angreifer, die ML-Klassifikatoren verstehen, können ihre Infrastruktur so gestalten, dass sie diese umgehen – Domains vor der Nutzung altern lassen, EV-Zertifikate erwerben, bei seriösen Hostern hosten, legitim wirkende Domainnamen verwenden. Das nennt sich Adversarial Machine Learning und ist ein aktives Forschungsgebiet sowie ein reales Katz-und-Maus-Spiel. Das MITRE ATLAS-Framework (Adversarial Threat Landscape for AI Systems) katalogisiert bekannte Adversarial-ML-Techniken speziell für diesen Bereich.

Der Vorteil der Verteidiger: Ein einzelnes Feature zu umgehen ist einfach; alle Features gleichzeitig zu umgehen ist teuer. Eine Domain altern zu lassen kostet Zeit (und Zeit ist Geld für Angriffskampagnen). Ein EV-Zertifikat zu erwerben erfordert eine Überprüfung der Organisationsidentität. Beim Hosting bei seriösen Anbietern muss man deren Missbrauchsreaktionsprozesse akzeptieren. Der ML-Klassifikator muss nicht jedes Feature für sich allein unschlagbar machen – er muss die Kombination so teuer in der Umgehung gestalten, dass die meisten Angreifer es nicht versuchen, und diejenigen, die es tun, an anderen Features oder im nächsten Retraining-Zyklus hängen bleiben.

Verschlüsselte Payloads sind auf Netzwerkebene undurchsichtig

ML auf Netzwerkebene sieht Metadaten – Domainnamen, Zertifikatsattribute, Flow-Statistiken – nicht den Payload-Inhalt. Wenn ein bösartiger Payload über HTTPS von einer legitim wirkenden Domain geliefert wird (eine kompromittierte WordPress-Site, eine bösartige Datei bei einem großen Cloud-Anbieter-Speicher), markiert der DNS-Klassifikator sie möglicherweise nicht, weil die Features der Domain sauber wirken. Deshalb ergänzt Erkennung auf Netzwerkebene andere Schutzschichten, ersetzt sie aber nicht: Tracker-Blocking auf DNS-Ebene stoppt den Datenexfiltrationskanal; Browser- und OS-seitige Schutzmaßnahmen (Google Safe Browsing, Apples XProtect) übernehmen die Payload-Inspektionsebene.

Modelldrift erfordert kontinuierliches Neutraining

Die Bedrohungslandschaft verändert sich ständig. Angreifer wechseln Registrare, adoptieren neue Hosting-Anbieter, ändern ihre Domain-Generierungsalgorithmen. Ein auf Daten von 2025 trainiertes Modell verliert ohne Neutraining auf frischen beschrifteten Daten über Monate an Genauigkeit. Kontinuierliches Neutraining auf neuer Threat-Intelligence – plus Rückkopplungsschleifen aus Falsch-Positiven und Falsch-Negativen in der Produktion – ist unerlässlich. Ein eingesetzter ML-Klassifikator ist kein "einmal trainieren, für immer liefern"-Artefakt; er ist ein lebendes System, das laufende Investitionen braucht.

Was das für dein Smartphone bedeutet

Wenn du das gerade auf einem Smartphone liest – was statistisch gesehen für die meisten von euch zutrifft – hier die praktische Schlussfolgerung:

  • Herkömmlicher Virenschutz funktioniert auf Mobilgeräten nicht gut. iOS erlaubt es architektonisch nicht; auf Android entleert er den Akku und kann trotzdem die meisten App-Daten nicht scannen. Das Signaturmodell wurde für Desktop-Computer mit vollem Dateisystemzugang entwickelt.
  • ML-Erkennung auf Netzwerkebene funktioniert auf jeder mobilen Plattform. Sie benötigt keinen Dateisystemzugang, muss nicht auf dem Gerät laufen und schützt alle Apps gleichzeitig. Wenn dein Smartphone versucht, eine Phishing-Domain zu erreichen, blockiert der DNS-Layer-Klassifikator sie, bevor die Verbindung geöffnet wird – unabhängig davon, welche App die Verbindung initiiert hat.
  • Die Kombination aus statischen Blocklists und ML-Klassifikation deckt sowohl bekannte als auch unbekannte Bedrohungen ab. Blocklists erkennen bereits katalogisierte Domains; der ML-Klassifikator erkennt neue, die noch nicht erfasst wurden. Zusammen sind sie deutlich effektiver als jeder Ansatz für sich allein.
  • Keine einzelne Schicht deckt alles ab. ML auf DNS-Ebene erkennt domänenbasierte Bedrohungen (Phishing, Malware-Verteilung, C2-Kommunikation, Tracking). Es erkennt keine Bedrohungen, die erstanbieteradäquat gehostet werden, oder Bedrohungen, die DNS vollständig umgehen. Ein mehrschichtiger Ansatz – Casper auf Netzwerkebene, Browser-Schutz auf Inhaltsebene, OS-Schutz auf Systemebene – bietet die breiteste Abdeckung.

Der übergeordnete Punkt: Maschinelles Lernen in der Sicherheit ist weder Hype noch Magie. Es ist eine spezifische Ingenieursdisziplin, die Muster in Daten erkennt – und für das spezifische Problem „Ist diese Domain wahrscheinlich bösartig?" übertrifft der Mustererkennungsansatz statische Listen bei Weitem, insbesondere für Zero-Day-Bedrohungen, die Signaturen nie rechtzeitig erkennen werden. Die entscheidende Frage ist, ob deine Sicherheitstools ihn einsetzen – und ob sie ehrlich sind, was er abdeckt und was nicht.


Verwandt: Phishing-Nachrichten 2026 – Anatomie von drei Kampagnen zeigt den ML-Klassifikator im Einsatz gegen reale Phishing-Infrastruktur. Bedrohungsschutz ist die Feature-Seite für Caspers ML-basierte Erkennung. Tracker-Blocking beschreibt die ergänzende DNS-Level-Filterschicht. Für die akademischen Grundlagen katalogisiert das MITRE ATLAS-Framework Adversarial-ML-Techniken, und das NIST Cybersecurity Framework liefert den übergreifenden Risikomanagement-Kontext, in dem diese Erkennungssysteme operieren.

Geprüft vom Casper's Cloak Security Team · Zuletzt aktualisiert

ML-Bedrohungserkennung in Aktion erleben

Casper's Cloak führt den oben beschriebenen DNS-Level-ML-Klassifikator aus – analysiert in Echtzeit jede DNS-Anfrage deines Smartphones und blockiert bösartige Domains, bevor die Verbindung geöffnet wird. Kombiniert mit statischen Blocklists, Tracker-Blocking und einem verschlüsselten VPN-Tunnel. Erfahre, <a href="/features/threat-protection">wie der Bedrohungsschutz funktioniert</a>, oder wirf einen Blick auf die <a href="/subscriptions">Preise</a>.