Endpunkte umfassen heute weit mehr als klassische PCs: mobile Geräte, IoT- und Edge-Systeme, Server und Cloud-Workloads erweitern die Angriffsfläche erheblich. Gleichzeitig entwickeln sich Bedrohungen zunehmend dynamisch, polymorph und teils dateilos. Klassische Antivirus-Ansätze stoßen hier strukturell an Grenzen. Dennoch setzen laut einer IDC-Studie von 2025 zum Beispiel im Finanzsektor noch 81 Prozent der Unternehmen primär auf reine Signaturmodelle.
Der Autor: Florian Richter ist Market Leader Solutions & Services Group DACH, Lenovo
(Bild: Lenovo)
Vor diesem Hintergrund hat sich Künstliche Intelligenz (KI) zu einem zentralen Bestandteil moderner Endpunktsicherheit entwickelt. Kaum eine Sicherheitsarchitektur kommt heute ohne Machine-Learning-Modelle, neuronale Netze oder verhaltensbasierte Analytik aus.
Doch in der Debatte dominiert häufig die Frage, ob KI eingesetzt wird – weniger die Frage, wo sie verankert ist. Es stellt sich hier beispielsweise die Frage, ob cloudbasierte Analysen ausreichen oder die Intelligenz direkt im Gerät sitzen muss. Eine rein zentrale Sicherheitslogik schafft Abhängigkeiten von Konnektivität und Latenz. Einer ausschließlich lokalen KI hingegen fehlt der globale Kontext für kontinuierliches Lernen.
Die Wirksamkeit von KI entscheidet sich daher nicht an der Existenz eines Algorithmus, sondern an seiner architektonischen Einbettung. Erst die bewusste Aufgabenteilung zwischen On-device- und Cloud-KI bestimmt, ob Geschwindigkeit, Resilienz und Lernfähigkeit im Gleichgewicht sind oder ob strukturelle Blindspots entstehen.
On-device-KI: Schutz direkt am Endpunkt
Moderne Cyberangriffe sind schnell, automatisiert und oft schwer greifbar. Viele Angriffe verzichten inzwischen auf eigene Schadprogramme auf der Festplatte, manipulieren stattdessen legitime Prozesse oder operieren ausschließlich im Arbeitsspeicher. In solchen Szenarien reicht es nicht aus, erst Telemetriedaten an eine zentrale Plattform zu senden und dort auszuwerten. Jede zusätzliche Übertragung erzeugt Latenz – und damit ein Zeitfenster, in dem sich ein Angriff bereits ausbreiten kann. On-device-KI setzt deshalb direkt am Endpunkt an: Analyse und Entscheidung erfolgen dort, wo der Code ausgeführt wird.
Ein erster Baustein sind statische Machine-Learning-Modelle, die Dateien prüfen, bevor sie gestartet werden. Anders als klassische Antivirus-Systeme, die bekannte Signaturen vergleichen, analysieren diese Modelle strukturelle Merkmale, Code-Muster oder ungewöhnliche Eigenschaften einer Datei. Dadurch lassen sich auch neue, bislang unbekannte Varianten erkennen.
Entscheidend wird lokale KI jedoch bei der Laufzeitanalyse. Sie erkennt, wenn ein Prozess unerwartet auf sensible Speicherbereiche zugreift, versucht andere Programme zu manipulieren oder typische Muster einer Code-Injection erzeugt. Gerade bei dateilosen Angriffen ist dieses Verhalten oft der einzige Hinweis auf eine Kompromittierung. Die Erkennung basiert somit nicht auf bekannten Mustern, sondern auf Abweichungen vom normalen Systemverhalten. 77 Prozent bevorzugen verhaltensbasierte Modelle, die Prozesse in Echtzeit beobachten.
On-device-KI sorgt für Resilienz
Ein weiterer Faktor ist die Resilienz. Eine rein cloudbasierte Sicherheitsarchitektur ist auf stabile Konnektivität angewiesen. In Umgebungen mit eingeschränkter oder unterbrochener Verbindung – etwa in isolierten Netzen oder bei Netzwerkstörungen – kann sonst ein Schutzdefizit entstehen. On-device-KI stellt sicher, dass Detektion und Reaktion auch ohne permanente Cloud-Anbindung möglich bleiben. Blockieren, isolieren oder beenden von Prozessen kann lokal erfolgen.
Schließlich spielt auch der Datenschutz eine Rolle. Wenn die Analyse direkt am Gerät stattfindet, müssen weniger Rohdaten zentral übertragen und gespeichert werden. Das reduziert potenzielle Expositionsrisiken und unterstützt regulatorische Anforderungen.
On-device-KI erfüllt damit drei zentrale Funktionen: Sie ermöglicht schnelle Reaktionen, erhöht die Ausfallsicherheit und begrenzt die Datenabhängigkeit von zentralen Systemen. Ihr Blick bleibt jedoch naturgemäß lokal. Ein einzelnes Endgerät erkennt nur das, was in seiner eigenen Umgebung geschieht. Angriffsmuster, die andernorts bereits identifiziert wurden, bleiben ohne übergreifende Korrelation unsichtbar.
Damit stößt rein lokale Intelligenz an eine strukturelle Grenze: Sie kann effektiv reagieren, aber nur begrenzt lernen. Ohne kontinuierliche Modellpflege und Abgleich mit einer breiteren Datenbasis fehlt der globale Bedrohungskontext. Genau hier setzt die Cloud-Ebene an.
Cloud-KI: Kontext, Skalierung und kontinuierliches Lernen
In der Cloud werden große Mengen an Telemetriedaten aus unterschiedlichen Quellen zusammengeführt – von Endpunkten, Netzwerken, Identitätssystemen oder Cloud-Workloads. Diese Datenbasis ermöglicht es, Muster zu erkennen, die auf einem einzelnen Gerät nicht sichtbar wären. Voraussetzung dafür ist kontinuierliches Training auf einer breiten Datenbasis.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Während On-device-KI vor allem für die Inferenz zuständig ist – also für die unmittelbare Entscheidung „bösartig oder nicht“ –, liegt das Training komplexer Modelle typischerweise in der Cloud. Dort stehen Rechenleistung und Datenvolumen zur Verfügung, um neuronale Netze weiterzuentwickeln, Schwellenwerte anzupassen und neue Angriffstechniken in die Modelle zu integrieren.
Hinzu kommt die flächendeckende Bedrohungskorrelation. Wird ein neuartiger Angriff in einer Umgebung identifiziert, kann dieses Wissen zentral verarbeitet und anschließend an alle angebundenen Endpunkte verteilt werden. Dadurch entsteht ein Lerneffekt über die gesamte Geräteflotte hinweg. Isolierte Einzelgeräte würden diesen Effekt nicht erzielen.
Auch die Skalierbarkeit spricht für die Cloud-Ebene. Rechenintensive Analysen oder komplexe Korrelationen lassen sich zentral effizienter durchführen, ohne die Performance der Endgeräte zu beeinträchtigen. Gerade in heterogenen Umgebungen mit unterschiedlichen Gerätetypen und Betriebssystemen sorgt die zentrale Ebene für ein konsistentes Sicherheitsniveau.
Cloud-KI liefert damit den globalen Blick auf die Bedrohungslage, stellt kontinuierliche Modellverbesserung sicher und ermöglicht eine skalierbare Auswertung großer Datenmengen. Ohne sie würde lokale Intelligenz langfristig an Aktualität verlieren.
Zwei Ebenen, ein Sicherheitsmodell
Wirksame Endpunktsicherheit entsteht erst durch eine klare Aufgabenteilung: Lokale KI übernimmt die unmittelbare Inferenz – also Erkennung und Reaktion in Echtzeit, Schutz auch bei unterbrochener Verbindung und datensensible Analyse direkt am Gerät. Die Cloud hingegen stellt das kontinuierliche Training, die globale Korrelation von Telemetriedaten und die Anpassung der Modelle sicher.
Entscheidend ist dabei die Synchronisation beider Ebenen. Lokale Erkenntnisse fließen in zentrale Trainingsprozesse ein, aktualisierte Modelle werden regelmäßig an die Endpunkte verteilt. So entsteht ein Kreislauf aus Erkennen, Lernen und Anpassen. Dieses Zusammenspiel folgt keinem Entweder-oder-, sondern einem hybriden Architekturprinzip: Intelligenz ist dort verankert, wo sie funktional am wirksamsten ist.
Für Security-Teams hat eine solche hybride Verteilung direkte operative Auswirkungen. Automatisierte Maßnahmen wie das Blockieren bösartiger Prozesse oder die Isolation kompromittierter Endpunkte können lokal erfolgen, während zentrale Systeme die Gesamtlage bewerten und priorisieren. KI-gestützte Zusammenfassungen reduzieren die Alert-Fatigue, vereinfachte Abfragen unterstützen auch weniger erfahrene Analysten. Produktivität entsteht damit nicht durch KI allein, sondern durch ihre abgestimmte Verteilung innerhalb der Sicherheitsarchitektur.
Die entscheidende Frage lautet daher nicht, ob KI eingesetzt wird – sondern wie lokale und zentrale Intelligenz orchestriert sind. Erst ein bewusst hybrides Modell schafft Geschwindigkeit, Lernfähigkeit und Resilienz zugleich.
:quality(80)/p7i.vogel.de/wcms/39/9a/399a23ac13512099ac0a298e926c3a71/0123336583v1.jpeg "Bernhard Kretschmer, Managing Director und Vice President Services bei NTT Germany, sieht moderne Netzwerkarchitekturen als Voraussetzung für skalierbare KI-Workloads, Sicherheit und messbaren Geschäftswert. (Quelle:NTT DATA)")
:quality(80)/p7i.vogel.de/wcms/c4/99/c4999d632d9f7aa4cf916f948975792c/0129899268v2.jpeg "Die Fraunhofer-Institute IAF und IIS arbeiten im Fraunhofer Forschungs- und Innovationszentrum Chip AI an Chipdesigns für und mit KI. (Bild: Fraunhofer IAS / KI-generiert (Adobe Firefly))")
:quality(80)/p7i.vogel.de/wcms/55/00/550007979508377a91017d5d9625a7e5/0129898368v2.jpeg "Die PIC64-Serie an Multicore-Mikroprozessoren setzt auf RISC-V-Kerne und eignen sich speziell für Anwendungen mit asynchronem Multipricessing (AMP) in intelligenten Embedded-Edge-Anwendungen. (Bild: Microchip)")
:quality(80)/p7i.vogel.de/wcms/a4/74/a474f28b1c7366a885e1ab921ccf7b7a/0129748163v1.jpeg "Ein Umweltsiegel für KI-Anwendungen? Durch ein solches könnten Nutzer von KI-Anwendungen einsehen, wie nachhaltig die Systeme sind. Das Projekt „Nakidi“ prüft aktuell, ob das möglich ist. (Bild: © The Little Hut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8e/70/8e7083abba5bdaa5b5ab6972670ec5fd/0130190257v1.jpeg "Sudhir Hasbe, Präsident sowie Technology und Chief Product Officer bei Neo4j, erklärte, warum Graph-Technologien für bessere KI-Analysen eine sinnvolle Ergänzung der KI-Verarbeitungskette sind. (Bild: Rüdiger)")
:quality(80)/p7i.vogel.de/wcms/28/95/289560ddeb2ca55c1e003d57d331063c/0130126830v1.jpeg "Diese Folie zeigt, woraus RisingWave besteht. (Bild: RisingWave)")
:quality(80)/p7i.vogel.de/wcms/0c/d8/0cd89e354ae9a39e4cc21bdf8e84d617/0130136165v1.jpeg "Mit Kpow bringt Factor House eine Lösung zur Kontrolle komplexer Kafka-Umgebungen nun verstärkt nach Deutschland. (Bild: Factor House)")
:quality(80)/p7i.vogel.de/wcms/9b/b7/9bb7262b2aa0544674d00838d4571111/0129985592v1.jpeg "Wachsende Datenvolumen führen in Streaming-Architekturen zu dauerhaft laufenden Clustern mit hoher Leerlaufkapazität – und damit zu steigendem Energieverbrauch. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/37/af/37af6545336ac8aac53cccaf675c22d5/0116632947v1.jpeg "Der Autor: Steffen Vierkorn ist Geschäftsführer der QUNIS GmbH. Neben seiner Tätigkeit bei QUNIS lehrt er an der TU München und der TH Rosenheim. Zudem ist er Member ausgewählter Data Councils und Steerings großer Konzerne und weltweit tätiger Unternehmen. (Bild: QUNIS GmbH)")
:quality(80)/p7i.vogel.de/wcms/e7/34/e734f4d362cad6fc347f5a049b1522db/0129238699v1.jpeg "Snowflake integriert OpenAI-Modelle direkt in seine Plattform. Die 200-Millionen-Dollar-Partnerschaft bringt KI-Agenten in Enterprise-Datenumgebungen. (Bild: Snowflake)")
:quality(80)/p7i.vogel.de/wcms/e1/53/e1539f6251b6e5502bd1856048c4267e/0128161589v2.jpeg "Nikolas Fleschhut, Director und Mitglied der Geschäftsführung bei der HRtbeat GmbH meint: „Employer Branding sollte 2025 für den Mittelstand keine Option mehr sein, sondern ein Muss!“ (Bild: www.bkfotofilm.de – marconomy)")
:quality(80)/p7i.vogel.de/wcms/c9/1a/c91ad9dfc806cc7df9fe7074ca5e64dd/0127064676v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/44/a4/44a46c9ceab98af6ff329088a54cab08/0130095999v1.jpeg "Kion bringt mithilfe von Nvidia Projekte mit physischer künstlicher Intelligenz (KI) in den Realbetrieb. (Bild: Nvidia)")
:quality(80)/p7i.vogel.de/wcms/fe/a8/fea8f6059c37426fdf63e7554e9f9f4b/0130316817v1.jpeg "Siemens und Palo Alto Networks bieten geprüfte Cybersecurity-Lösung für industrielles 5G an. (Bild: Siemens)")
:quality(80)/p7i.vogel.de/wcms/a3/0c/a30c93256bbda6759aabfcebbfcacb77/0129964017v1.jpeg "KI ist längst Bestandteil der modernen Produktion. (Bild: © Success Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d3/a3/d3a31ea4e0bc62c49bf42099f907b6c6/0129912380v1.jpeg "Erst durch semantische Harmonisierung werden KI und Advanced Analytics realisierbar und ohne eine einheitliche Semantik bleibt der Einsatz von KI in der Industrie oft ein isoliertes Experiment ohne klaren ROI. (Bild: © shobakhul - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fb/c7/fbc717c4ca741003b01549908e6831bb/0129747508v1.jpeg "Der Autor: Florian Richter ist Market Leader Solutions & Services Group DACH, Lenovo (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/1d/a5/1da5ee3d7b323edcdf5aab97e8e1b6b5/0130407684v1.jpeg "Der Autor: Max Heinemeyer ist Global Field CISO bei Darktrace und Cybersicherheitsexperte mit über einem Jahrzehnt Erfahrung in diesem Bereich (Bild: Darktrace)")
:quality(80)/p7i.vogel.de/wcms/91/19/9119fa96f1e5da8b20b482def7cfc803/0130368473v1.jpeg "Der Autor: Eugeny Malyutin ist Head of LLM bei Sumsub (Bild: Sumsub)")
:quality(80)/p7i.vogel.de/wcms/d4/32/d43236754073cadc6da1d131be06493b/0130357245v2.jpeg "Prototyp des neuartigen Sensorchips: ETH-Forschende haben ein Sensorsystem entwickelt, das produzierte Daten direkt im Chip fälschungssicher signiert und das unbemerkte Fälschen von Daten praktisch unmöglich machen soll. (Bild: Caroline Arndt Foppa / ETH Zürich)")
:quality(80)/p7i.vogel.de/wcms/86/45/86458aceead999f7ffcbbcd9039543a1/0130502708v2.jpeg "In einer sich wandelnden Landschaft, in der technische Innovationen und menschliche Fähigkeiten Hand in Hand gehen, können Kreativität, soziale Kompetenzen und komplexe Problemlösungen der Schlüssel zu „zukunftssicheren“ Berufen sein. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/99/ba/99ba69a8921df4be68d3e4a900c863cb/0130092667v1.jpeg "Artificial Superintelligence (ASI) bezeichnet eine hypothetische Form von KI, deren Fähigkeiten die menschliche Intelligenz in nahezu allen Bereichen übertreffen würden. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d5/59/d5597bab8d5d2a99d6655c93a99ef357/0129935720v1.jpeg "Artificial General Intelligence bezeichnet eine hypothetische KI mit universellen kognitiven Fähigkeiten, die Wissen flexibel auf unterschiedliche Aufgaben übertragen kann. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/f8/68f8b9869e1288dfa2eeff3a1dc6a7eb/0127838110v1.jpeg "Nicht jedes Modell muss groß sein, um große Wirkung zu erzielen: Small Language Models (SLMs) arbeiten mit deutlich weniger Parametern als ihre großskaligen Gegenstücke, liefern aber in klar umrissenen Aufgabenfeldern vergleichbare Ergebnisse. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/74/05/74053661b14a2f12ec5e98ebd1469197/0127788138v1.jpeg "Ein neuronales Netz als Sprachdenker: Large Language Models verarbeiten Milliarden von Wörtern, um Sprache zu verstehen, zu strukturieren und neu zu erzeugen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/82/9a/829ab32db929fbae572a7c8290463a08/0121295821v1.jpeg "Die Gewinner der BigData-Insider Readers' Choice Awards 2024 (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/bb/2f/bb2fe4b2ab795c0708e4c3c9ae7cb3c8/0129577296v2.jpeg "Der EU AI Act macht Cybersicherheit zur Compliance-Pflicht für KI-Systeme. Gerade Hochrisiko-KI-Systeme sind besonders schutzbedürftig. Ein risikobasierter Rechtsrahmen soll helfen. (Bild: © Franklin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/6f/796f33fbca1e803a117f8b35c3452463/0129343775v1.jpeg "Autonome KI wird dieses Jahr die Sicherheitslandschaft prägen: Als Produktivitäts-Werkzeug, als Angriffs-Werkzeug und auch als Verteidigungs-Werkzeug. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/34/ab/34ab0f4e5decb45debaec41abf74f68d/0129516824v1.jpeg "Kyndryl integriert Compliance-Regeln direkt in KI-Agenten. Policy as Code soll Governance und Auditierbarkeit agentischer Workflows sichern. (Bild: Kyndryl)")
:quality(80)/p7i.vogel.de/wcms/99/45/9945d797ba630dfb08be2c740768459f/0126347810v1.jpeg "Einige KI-Anwendungen sind aus regulatorischen Gründen auf eine On-Premises-Umgebung angewiesen. (Bild: © Happy Lab - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/46/8b46e03a5e258917145994a3727a4a24/0127928995v1.jpeg "Die Autorinnen: Elena Rüdenauer (links) und Shirin Elsinghorst sind Topic Leads Daten- und KI-Strategieberatung bei Codecentric (Bild: Codecentric)")