KI-Tools in der Netzwerksicherheit brauchen präzise Prompt-Engineering-Workflows. Ein multiphasiger Ansatz automatisiert Sicherheitsanalysen, identifiziert Bedrohungen und entwickelt Reaktionsstrategien. Dieser Beitrag analysiert einen konkreten Workflow. Wir zerlegen die Prompts, erklären Techniken und geben Einblicke für fortgeschrittene Anwender.

Überblick

Der Workflow stammt aus einem Reddit-Beitrag. Trotz eines Netzwerkblocks („You’ve been blocked by network security“) zeigt er, wie man multiphasige Prompt-Workflows strukturiert. Der Autor nutzt KI-Modelle wie GPT-4 oder Claude für schrittweise Netzwerksicherheitsanalysen. Der Workflow umfasst vier Phasen: 1) Initiale Log-Analyse, 2) Anomalie-Identifikation, 3) Gegenmaßnahmen-Entwicklung, 4) Berichtserstellung. Jede Phase baut mit spezifischen Prompts auf den Ergebnissen der vorherigen auf. Das reduziert Fehler, erhöht die Genauigkeit und spart Zeit.

Prompt-Analyse

Phase 1: Initiale Log-Analyse

Der Prompt

Rolle: Du bist ein erfahrener Netzwerksicherheitsanalyst mit 10 Jahren Erfahrung in der Analyse von Firewall- und Systemlogs.
Kontext: Ich gebe dir einen Auszug aus einem Firewall-Log (CSV-Format). Das Log enthält Zeitstempel, Quell-IP, Ziel-IP, Port, Protokoll und Status. Analysiere die Daten auf verdächtige Aktivitäten wie Port-Scans, Denial-of-Service (DoS)-Angriffe oder ungewöhnliche Verbindungen.
Aufgabe: Identifiziere alle Anomalien, liste sie mit Zeitstempel und IP-Adressen auf und gib eine kurze Einschätzung der Bedrohungsstufe (niedrig, mittel, hoch).
Output-Format: Gib die Ergebnisse als nummerierte Liste aus. Jeder Eintrag soll folgendes Format haben: [Zeitstempel] - [Quell-IP] -> [Ziel-IP] - [Anomalie-Typ] - [Bedrohungsstufe].
Constraints: Berücksichtige nur Verbindungen, die in den letzten 24 Stunden protokolliert wurden. Ignoriere interne IPs (192.168.x.x). Verwende keine externen Tools oder Datenbanken.

Bestandteile

Rolle/Persona: Die Rolle als erfahrener Netzwerksicherheitsanalyst gibt dem Modell eine klare Fachperspektive. Das erhöht die Wahrscheinlichkeit präziser, domänenspezifischer Antworten. Die Angabe von 10 Jahren Erfahrung verstärkt die Autorität.

Kontext: Der Kontext spezifiziert die Datenquelle (Firewall-Log im CSV-Format) und relevante Felder (Zeitstempel, IPs, Port, Protokoll, Status). Das reduziert Interpretationsspielraum. Die Erwähnung spezifischer Angriffstypen lenkt die Analyse auf bekannte Bedrohungen.

Aufgabe: Die Aufgabe ist klar definiert: Anomalien identifizieren, auflisten und bewerten. Die Anforderung einer Bedrohungsstufe zwingt zu einer qualitativen Bewertung.

Output-Format: Das strukturierte Format (nummerierte Liste mit festgelegter Syntax) erleichtert die maschinelle Weiterverarbeitung. Es stellt konsistente Ergebnisse sicher.

Constraints: Die Einschränkungen (nur letzte 24 Stunden, Ignorieren interner IPs, keine externen Tools) verhindern Overengineering. Sie spiegeln reale Sicherheitsrichtlinien wider.

Phase 2: Detaillierte Anomalie-Untersuchung

Der Prompt

Rolle: Du bist ein Threat-Intelligence-Spezialist, der sich auf die Analyse von Netzwerkanomalien spezialisiert hat.
Kontext: Basierend auf der vorherigen Analyse wurden folgende Anomalien identifiziert: [Liste der Anomalien]. Untersuche jede Anomalie tiefergehend. Für jede IP-Adresse (Quelle und Ziel) recherchiere mögliche bekannte Bedrohungen (z.B. bekannte Malware-C2-Server, Botnetz-Aktivität). Verwende dazu dein internes Wissen über aktuelle Bedrohungen (Stand 2023).
Aufgabe: Erstelle für jede Anomalie einen detaillierten Bericht mit: 1) Beschreibung der Anomalie, 2) Mögliche Bedrohungsklassifikation (z.B. APT, Ransomware, Phishing), 3) Empfohlene nächste Schritte (z.B. IP blocken, Logs archivieren, Team benachrichtigen).
Output-Format: Verwende Markdown-Überschriften (##) für jede Anomalie. Innerhalb jeder Sektion verwende Aufzählungspunkte für die drei Punkte.
Constraints: Gib keine falschen oder spekulativen Informationen. Wenn du unsicher bist, markiere die Anomalie als „unbekannt“. Beschränke dich auf maximal 5 Anomalien.

Bestandteile

Rolle/Persona: Die Rolle als Threat-Intelligence-Spezialist erweitert die Perspektive auf Bedrohungsanalyse. Das ist eine natürliche Weiterentwicklung der ersten Phase.

Kontext: Der Kontext verweist auf die Ergebnisse der vorherigen Phase. Das schafft einen nahtlosen Workflow. Die Aufforderung, internes Wissen zu nutzen, macht den Prompt autark.

Task: Die Aufgabe ist in drei Unterpunkte gegliedert: Beschreibung, Klassifikation, nächste Schritte. Das zwingt zu einer umfassenden Analyse.

Output-Format: Markdown-Format mit Überschriften und Aufzählungspunkten erleichtert die Lesbarkeit. Die Struktur ist für Menschen und Maschinen geeignet.

Constraints: Die Einschränkung, keine spekulativen Informationen zu liefern, erhöht die Verlässlichkeit. Die Begrenzung auf 5 Anomalien verhindert Informationsüberflutung.

Phase 3: Reaktionsstrategie entwickeln

Der Prompt

Rolle: Du bist ein Incident-Response-Manager mit Erfahrung in der Koordination von Sicherheitsvorfällen in Unternehmensnetzwerken.
Kontext: Basierend auf der detaillierten Analyse der Anomalien (siehe vorherige Phase) müssen nun Reaktionsstrategien entwickelt werden. Die Anomalien betreffen kritische Systeme (Datenbankserver, Domänencontroller). Die priorisierten Bedrohungen sind: [Liste der Bedrohungen mit Stufen].
Aufgabe: Entwickle einen mehrstufigen Reaktionsplan. Der Plan soll folgende Phasen enthalten: 1) Sofortmaßnahmen (innerhalb von 15 Minuten), 2) Kurzfristige Maßnahmen (innerhalb von 24 Stunden), 3) Langfristige Maßnahmen (innerhalb von 1 Woche). Jede Phase soll konkrete Aktionen, verantwortliche Rollen und erwartete Ergebnisse enthalten.
Output-Format: Verwende eine Tabelle mit Spalten: Phase, Aktion, Verantwortliche Rolle, Erwartetes Ergebnis. Füge eine Einleitung hinzu, die den Gesamtkontext beschreibt.
Constraints: Gehe von einem mittelgroßen Unternehmen (500 Mitarbeiter) aus. Berücksichtige Compliance-Anforderungen (z.B. DSGVO, ISO 27001). Verwende keine unrealistischen Ressourcen (z.B. dediziertes SOC-Team).

Bestandteile

Rolle/Persona: Die Rolle als Incident-Response-Manager bringt eine strategische Perspektive ein. Das ist entscheidend für Reaktionspläne, die über technische Details hinausgehen.

Kontext: Der Kontext spezifiziert die betroffenen Systeme und priorisierten Bedrohungen. Die Erwähnung der Unternehmensgröße und Compliance schafft realistische Rahmenbedingungen.

Task: Die Aufgabe ist in drei Zeitphasen unterteilt. Das zwingt zu Priorisierung und zeitlicher Staffelung. Die Anforderung konkreter Aktionen und Verantwortlichkeiten erhöht die Umsetzbarkeit.

Output-Format: Eine Tabelle bietet einen schnellen Überblick. Die Einleitung sorgt für Kontext.

Constraints: Die Einschränkungen stellen sicher, dass der Plan praktisch anwendbar ist. Das verhindert ideale, aber nicht umsetzbare Lösungen.

Phase 4: Berichtserstellung

Der Prompt

Rolle: Du bist ein technischer Redakteur, der sich auf Sicherheitsberichte spezialisiert hat.
Kontext: Fasse die Ergebnisse der vorherigen drei Phasen zu einem abschließenden Sicherheitsbericht zusammen. Der Bericht richtet sich an das Management (CTO, CISOs). Verwende eine klare, nicht-technische Sprache, aber behalte die fachliche Korrektheit bei.
Aufgabe: Erstelle einen Bericht mit folgenden Abschnitten: 1) Executive Summary, 2) Zusammenfassung der Anomalien (mit Bedrohungsstufen), 3) Reaktionsplan (tabellarisch), 4) Empfehlungen für zukünftige Prävention. Der Bericht soll maximal 2 Seiten lang sein (ca. 1000 Wörter).
Output-Format: Verwende professionelles Markdown mit Überschriften, Aufzählungen und einer Tabelle. Füge am Ende eine Liste von Key Takeaways (3-5 Punkte) hinzu.
Constraints: Vermeide Fachjargon, der für Nicht-Techniker unverständlich ist. Erkläre notwendige Fachbegriffe in Klammern. Gib keine übertriebenen Handlungsaufforderungen (z.B. „sofortiges Handeln erforderlich“), sondern bleibe sachlich.

Bestandteile

Rolle/Persona: Die Rolle als technischer Redakteur sorgt für klare, verständliche Kommunikation. Das ist wichtig für Berichte an Entscheidungsträger.

Kontext: Der Kontext fasst die vorherigen Phasen zusammen und definiert die Zielgruppe. Das beeinflusst Ton und Sprache. Die Anforderung maximal 2 Seiten zwingt zur Prägnanz.

Task: Die Aufgabe gliedert den Bericht in vier Abschnitte. Der Executive Summary fasst die wichtigsten Punkte für das Management zusammen.

Output-Format: Professionelles Markdown mit Key Takeaways erleichtert die Lesbarkeit und Entscheidungsfindung.

Constraints: Die Vermeidung von Fachjargon und die Erklärung von Begriffen stellen die Verständlichkeit sicher. Die sachliche Sprache fördert rationale Entscheidungen.

Häufig gestellte Fragen

Wie vermeide ich Halluzinationen in multiphasigen Workflows?

Setzen Sie Constraints, die das Modell zwingen, Unsicherheiten zu markieren (z.B. „unbekannt“). Verwenden Sie faktenbasierte Rollen. Überprüfen Sie die Ergebnisse jeder Phase kritisch, bevor Sie sie in die nächste Phase übernehmen.

Welche KI-Modelle eignen sich am besten für Netzwerksicherheit?

GPT-4, Claude 3 und spezialisierte Modelle wie SecurityBERT sind geeignet. GPT-4 bietet gute Reasoning-Fähigkeiten. Claude 3 ist stark in der Analyse großer Kontexte. SecurityBERT ist auf Sicherheitsdaten vortrainiert.

Wie viele Phasen sollte ein Workflow idealerweise haben?

3-5 Phasen sind optimal. Weniger Phasen können zu oberflächlichen Ergebnissen führen. Mehr Phasen erhöhen die Komplexität und Fehleranfälligkeit. Jede Phase sollte einen klaren Mehrwert bieten.

Kann ich den Workflow automatisieren?

Ja, mit Tools wie LangChain oder AutoGPT können Sie die Phasen verketten. Achten Sie auf Fehlerbehandlung und Validierung.

Wie stelle ich die Konsistenz zwischen den Phasen sicher?

Verweisen Sie in jeder Phase auf die Ergebnisse der vorherigen Phase (z.B. „Basierend auf der vorherigen Analyse“). Verwenden Sie einheitliche Formate und logisch aufbauende Rollen.

Was tun, wenn das Modell in einer Phase falsche Ergebnisse liefert?

Implementieren Sie eine Validierungsschleife. Lassen Sie das Modell seine eigenen Ergebnisse überprüfen oder nutzen Sie eine separate Instanz zur Plausibilitätsprüfung. Dokumentieren Sie Fehlerquellen.

Quelle

Basiert auf diesem Artikel.