Threat Hunting

AI & LLM Detection

Einsatz von Generative AI erkennen

Künstliche Intelligenz ist längst im Unternehmensalltag angekommen – oft schneller, als es IT und Compliance lieb ist. Viele Mitarbeitende greifen heute zu ChatGPT, Copilot, Claude & Co, um produktiver zu arbeiten oder kreative Aufgaben zu lösen. Doch der Einsatz von generativen KI-Tools birgt Risiken: Unkontrollierter Datentransfer, Compliance-Verstöße und „Schatten-IT“ können schnell zu Problemen führen.

Wie kann man also als IT-Verantwortlicher den Überblick behalten, ohne gleich auf Verbote oder vollständige Abschottung zu setzen? Die Antwort: Sichtbarkeit. Mit einer gezielten Query für CrowdStrike Next Gen SIEM haben wir einen pragmatischen Weg entwickelt, die Nutzung von AI-Tools im Unternehmen zu erkennen und zu steuern.

Warum ist das wichtig?

Der Hype um generative KI sorgt dafür, dass die Tools immer schneller Einzug in den Arbeitsalltag halten. Gleichzeitig gibt es klare Risiken:

Datenabfluss: Sensible Firmendaten könnten versehentlich an externe AI-Dienste weitergegeben werden.
Schatten-IT: Nicht freigegebene Tools werden genutzt, ohne dass IT oder Security davon wissen – das erschwert Kontrolle und Reaktion auf Vorfälle.
Richtlinienverstöße: Viele Unternehmen haben Regeln zum Umgang mit sensiblen Daten und zur Nutzung externer Dienste. Deren Einhaltung zu prüfen ist ohne Transparenz nahezu unmöglich.

So funktioniert unsere CrowdStrike SIEM Query

Mit der CrowdStrike Falcon Plattform lassen sich DNS-Anfragen zuverlässig analysieren. Unsere Query prüft, welche internen Systeme Anfragen an bekannte AI-Dienste stellen. So werden Zugriffe auf Domains wie chat.openai.com, copilot.microsoft.com oder claude.ai sichtbar.

Das ermöglicht:

Frühzeitige Erkennung von Verstößen gegen Richtlinien und Policies.
Aufdeckung von Schatten-IT und unautorisiert genutzten Tools.
Besseres Risikomanagement durch gezielte Einblicke in die AI-Nutzung.

Praktischer Nutzen für Ihr Unternehmen

Mit der regelmäßigen Suche nach der AI-Nutzung schaffen IT-Teams im Handumdrehen Transparenz:

Reporting: Wer nutzt generative AI – und wie häufig?
Alerting: Automatische Benachrichtigung bei Zugriffen auf kritische Dienste.
Governance: Grundlage für die Entwicklung oder Anpassung von Richtlinien zum AI-Einsatz.

Technische Basis

Als Datenquelle dienen CrowdStrike Falcon DNS-Events (event_simpleName=DnsRequest). Die Query lässt sich flexibel an die eigenen Anforderungen und zu überwachenden Domains anpassen.

// Look for DNS requests to specified AI domains
#event_simpleName=DnsRequest
| in(field=DomainName, values=[".ai", ".ai21.com", ".aleph-alpha.com", ".anthropic.com", ".assemblyai.com", ".bolt.ai", ".bubble.io", ".character.ai", ".claude.ai", ".clickup.com", ".codeium.com", ".cohere.ai", ".copy.ai", ".cursor.so", ".deepmind.com", ".deepseek.ai", ".deepl.com", ".dalle.ai", ".elevenlabs.io", ".feedhive.io", ".forefront.ai", ".grok.x.ai", ".gpt3.com", ".huggingface.co", ".inflection.ai", ".jasper.ai", ".llama.ai", ".looka.com", ".lovable.ai", ".midjourney.com", ".mistral.ai", ".openai.com", ".opus.ai", ".perplexity.ai", ".pi.ai", ".poe.com", ".replicate.com", ".runwayml.com", ".rytr.me", ".scale.com", ".stability.ai", ".sudowrite.com", ".synthesia.io", ".tabnine.com", ".together.ai", ".v0.dev", ".vercel.ai", ".vista.social", ".wordtune.com", ".writesonic.com", ".x.ai", ".you.com", "ai21.com", "aleph-alpha.com", "anthropic.com", "api.anthropic.com", "api.openai.com", "assemblyai.com", "bard.google.com", "bedrock.aws.amazon.com", "bolt.ai", "bubble.io", "character.ai", "chat.openai.com", "chatgpt.com", "claude.ai", "clickup.com", "codeium.com", "cohere.ai", "console.anthropic.com", "copilot.github.com", "copilot.microsoft.com", "copy.ai", "cursor.so", "dalle.ai", "deepmind.com", "deepseek.ai", "deepl.com", "elevenlabs.io", "ernie.baidu.com", "feedhive.io", "forefront.ai", "gemini.google.com", "gigachat.sberbank.ru", "grok.x.ai", "gpt3.com", "huggingface.co", "inflection.ai", "jasper.ai", "labs.perplexity.ai", "llama.ai", "looka.com", "lovable.ai", "midjourney.com", "mistral.ai", "openai.com", "opus.ai", "perplexity.ai", "pi.ai", "platform.openai.com", "poe.com", "replicate.com", "runwayml.com", "rytr.me", "scale.com", "stability.ai", "sudowrite.com", "synthesia.io", "tabnine.com", "together.ai", "v0.dev", "vercel.ai", "vista.social", "wordtune.com", "writesonic.com", "x.ai", "you.com"])
| groupBy([DomainName, ComputerName, event_platform])
| sort(field=_count,type=number,order=desc)

‍

AI & LLM Services

In der folgenden Tabelle sind die wichtigsten AI-Service-Domains aufgeführt, die in unserer CrowdStrike SIEM Query zur Erkennung von generativer KI-Nutzung im Unternehmen überprüft werden. Die Query nutzt diese Liste, um Zugriffe auf bekannte AI-Dienste zuverlässig zu identifizieren und zu überwachen.

AI Service Domain	Beschreibung des Dienstes (Fokus auf Generative AI)
.ai (TLD)	Allgemeine Top-Level-Domain (TLD), die häufig von Unternehmen im Bereich Künstliche Intelligenz genutzt wird. Sie steht für AI-Bezug, ist aber kein Dienst selbst.

ai21.com	AI21 Labs: Entwickelt große Sprachmodelle (LLMs) und generative KI-Anwendungen, z.B. für Texterstellung, Zusammenfassungen und Paraphrasierung.

aleph-alpha.com	Aleph Alpha: Baut und betreibt große, vertrauenswürdige KI-Modelle – insbesondere multimodale generative KI für den Unternehmenseinsatz in Europa.

anthropic.com, api.anthropic.com, console.anthropic.com, claude.ai	Anthropic: Entwickler von Claude, einem führenden Sprachmodell für Chatbots, Textgenerierung, Programmierung und komplexe Aufgaben – mit Fokus auf Sicherheit und Nutzbarkeit. API verfügbar.

assemblyai.com	AssemblyAI: Bietet KI-Modelle für Sprache-zu-Text, Zusammenfassungen und Audio-Intelligenz. Generiert u.a. Inhalte aus Audioquellen.

bolt.ai	Bolt.AI: Plattform für die Entwicklung und Bereitstellung von Chatbots und KI-Assistenten, häufig mit generativer KI für natürliche Konversationen.

bubble.io	Bubble.io: No-Code-Plattform, die zunehmend generative KI integriert, um Anwender beim Bau von Web-Apps, z.B. bei Inhalten und Logik, zu unterstützen.

character.ai	Character.AI: Plattform, auf der Nutzer eigene KI-Charaktere erstellen und interagieren können. Setzt generative KI für dynamische Gespräche ein.

clickup.com	ClickUp: Umfassendes Work-Management-Tool mit KI-Funktionen (ClickUp AI) für Content-Generierung, Dokumentenzusammenfassungen und Ideenfindung.

codeium.com	Codeium: KI-basierte Code-Vervollständigung und Generierung für Entwickler; bietet Echtzeit-Vorschläge und kann ganze Codeblöcke generieren.

cohere.ai	Cohere: Spezialisiert auf große Sprachmodelle für Unternehmen, mit Fokus auf Texterstellung, Zusammenfassung, semantische Suche und RAG (Retrieval Augmented Generation).

copy.ai	Copy.ai: KI-gestütztes Tool zur Erstellung von Marketing- und Verkaufstexten, Blogbeiträgen, Social-Media-Inhalten und anderen Textarten.

cursor.so	Cursor: KI-basierter Code-Editor, der Entwickler bei Codegenerierung, -bearbeitung, Debugging und Verständnis unterstützt.

deepmind.com	DeepMind: Führendes KI-Forschungslabor (Google). Entwickelt fortschrittliche KI, z.B. generative Modelle für Wissenschaft und kreative Inhalte.

deepseek.ai	DeepSeek AI: Forschung und Entwicklung im Bereich großer Sprachmodelle und generativer KI, oft mit Fokus auf Open-Source.

deepl.com	DeepL: Hochpräziser KI-gestützter Übersetzungsdienst auf Basis neuronaler Netze für natürliche und nuancierte Übersetzungen.

dalle.ai	DALL-E (OpenAI): Bekanntes Text-zu-Bild-Modell, das einzigartige Bilder aus Textbeschreibungen generiert. (Teil der OpenAI-Angebote)

elevenlabs.io	ElevenLabs: Führende Plattform für realistische KI-Stimmgenerierung und Text-to-Speech für hochwertige, natürliche Sprachsynthese.

ernie.baidu.com	Ernie (Baidu): Flaggschiff-Sprachmodell von Baidu; weit verbreitet in China für Textgenerierung, Verständnis und viele KI-Anwendungen.

feedhive.io	FeedHive: Social-Media-Management-Plattform, die KI zur Generierung von Inhalten, Captions und zur Optimierung von Posting-Strategien nutzt.

forefront.ai	Forefront AI: Bietet Schnittstellen zu verschiedenen fortgeschrittenen Sprachmodellen für Content-Erstellung und Conversational AI.

gemini.google.com, bard.google.com	Google Gemini (ehemals Bard): Multimodale Sprachmodelle von Google für Konversation, Textgenerierung, Programmierung, Bildverständnis uvm. `bard.google.com` war das erste öffentliche Interface.

gigachat.sberbank.ru	GigaChat (Sberbank): Generatives Sprachmodell und Assistent von Sberbank (größte Bank Russlands) für verschiedene textbasierte Aufgaben.

grok.x.ai, x.ai	Grok (xAI): xAI (Elon Musk) entwickelt Grok, einen Konversations-KI-Chatbot mit oft witziger, rebellischer Persönlichkeit und Echtzeit-Zugang zu X (Twitter).

gpt3.com	GPT-3 (OpenAI): Dritte Generation der OpenAI-Sprachmodelle für vielfältige Aufgaben der Textgenerierung. (Teil der OpenAI-Angebote)

huggingface.co	Hugging Face: Zentrale Plattform für Open-Source-KI-Modelle (darunter viele generative Modelle), Datensätze und Entwicklerwerkzeuge.

inflection.ai, pi.ai	Inflection AI: Entwickler von Pi (Personal AI), einem persönlichen KI-Assistenten, der auf Empathie, Hilfsbereitschaft und Emotionalität ausgelegt ist.

jasper.ai	Jasper: Plattform für KI-gestützte Content-Erstellung für Marketing, Blogs, Social Media und Bilderzeugung.

labs.perplexity.ai, perplexity.ai	Perplexity AI: KI-basierte Such- und Antwortmaschine, die Antworten generiert und belegt; experimentelle Features meist unter `labs.perplexity.ai`.

llama.ai	Llama (Meta AI): Open-Source-Sprachmodelle von Meta (z.B. Llama 2, Llama 3), häufig Grundlage für eigene generative KI-Anwendungen.

looka.com	Looka: KI-gestützter Logogenerator und Plattform für Brand-Design, die individuelle Logos und Brand-Kits nach Nutzerwunsch erstellt.

lovable.ai	Lovable.AI: Wahrscheinlich ein Dienst zur Generierung personalisierter, interaktiver Inhalte, ggf. für Marketing oder Kundenbindung.

midjourney.com	Midjourney: Unabhängiges Forschungslabor mit starkem Fokus auf KI-Bildgenerierung – bekannt für künstlerische und hochqualitative Ergebnisse.

mistral.ai	Mistral AI: Europäisches KI-Unternehmen, entwickelt leistungsfähige und effiziente (oft Open-Source-) Sprachmodelle.

opus.ai	Opus.AI: Vermutlich eine Plattform für generative KI, spezialisiert auf branchenspezifische Anwendungen wie Automatisierung oder Kreativ-Inhalte.

poe.com	Poe: Quora-Plattform, die es ermöglicht, mit verschiedenen führenden KI-Modellen (z.B. ChatGPT, Claude, Llama) zu interagieren und sie zu vergleichen.

replicate.com	Replicate: Plattform, um Open-Source-KI-Modelle (v.a. für Bild, Video, Text) per API einfach laufen zu lassen und bereitzustellen.

runwayml.com	RunwayML: Plattform für generative KI in kreativen Bereichen – Schwerpunkt Text-zu-Video, Video-Editing und Bildgenerierung.

rytr.me	Rytr: KI-Schreibassistent für unterschiedlichste Inhalte wie Artikel, E-Mails, Social Media oder kreatives Schreiben.

scale.com	Scale AI: Plattform für Datenlabeling und Annotation, essentiell für das Training generativer KI-Modelle. Kein generativer Dienst selbst.

stability.ai	Stability AI: Entwickler von Stable Diffusion, einem weitverbreiteten Open-Source-Text-zu-Bild-Modell, sowie weiteren generativen KI-Projekten.

sudowrite.com	Sudowrite: KI-Schreibassistent speziell für Fiction-Autor:innen, bietet Hilfen beim Brainstorming, Textausbau und Plot-Ideen.

synthesia.io	Synthesia: Plattform zur Erstellung KI-generierter Videos mit realistischen Avataren und vertonten Texten für Training, Marketing & Kommunikation.

tabnine.com	Tabnine: KI-gestützter Codeassistent für intelligente Code-Vervollständigungen, Vorschläge und das Generieren ganzer Code-Snippets.

together.ai	Together.AI: Cloud-Plattform für das Hosten, Trainieren und Feinabstimmen von Open-Source-Sprachmodellen und generativen KI-Anwendungen.

v0.dev	V0 (von Vercel): Generatives Tool zur schnellen Erstellung von UI-Code (React, HTML, CSS) aus Textbeschreibungen.

vercel.ai	Vercel AI: Initiative für KI-Tools und Frameworks zur Entwicklung KI-basierter Web-Anwendungen, oft mit generativen Komponenten.

vista.social	Vista Social: Social-Media-Management-Tool, das KI für Content-Erstellung, Posting-Optimierung und Analyse der Zielgruppen-Interaktion nutzt.

wordtune.com	Wordtune: KI-Schreibtool zum Umformulieren, Erweitern und Zusammenfassen von Texten – Fokus auf bessere Verständlichkeit und Tonalität.

writesonic.com	Writesonic: Plattform zur schnellen KI-gestützten Erstellung von Inhalten wie Artikeln, Werbetexten, Landingpages und Produktbeschreibungen.

you.com	You.com: KI-basierte Suchmaschine, die Zusammenfassungen, konversationale Suche und Anpassungen der Suchergebnisse per generativer KI bietet.

bedrock.aws.amazon.com	Amazon Bedrock (AWS): Vollständig verwalteter AWS-Dienst mit Zugriff auf verschiedene Foundation Models (FMs) von Amazon und Drittanbietern, um generative KI-Anwendungen zu bauen.

‍