- Story
Scharfe Waffe im Kampf gegen Cybercrime
11.09.2025 Das BFH-Spin-off Threatray hat sich als effektives Instrument zur Abwehr von Malware etabliert. Seine Stärke ist das Erkennen und Analysieren von Malware-Codefragmenten, die andere Abwehrtools übersehen. Indem die Software von Threatray die potenziell gefährlichen «Stecknadeln im Heuhaufen» findet, verbessert sie die Sicherheit von IT-Netzwerken in Unternehmen.
Cyber-Abwehr: Ein endloses Katz-und-Maus-Spiel
Die Abwehr von Cyber-Angriffen ähnelt einem Katz-und-Maus-Spiel, das voraussichtlich nicht enden wird, solange es das Internet gibt. Immer mehr Kriminelle fluten den Cyberspace mit Schadsoftware (Malware), um sich unerlaubt Daten zu beschaffen, Kryptowährungen zu stehlen, Netzwerke lahmzulegen und Unternehmen, Organisationen und öffentliche Verwaltungen zu erpressen. Viele der Attacken sind ziemlich plump und leicht zu erkennen. Um Angreifern Zugang zum eigenen IT-System zu verschaffen, muss man oft nur ein verdächtiges Attachement eines unbekannten Absenders öffnen oder auf einen dubiosen Link klicken. Antivirenprogramme erkennen zwar einen Grossteil der Malware und blockieren sie. Fortgeschrittenen Angreifern gelingt es allerdings immer wieder, die erste Verteidigungslinie zu überwinden und gut getarnte Malware-Komponenten dennoch zur Ausführung zu bringen
Institute for Cybersecurity and Engineering ICE
Im Institute for Cybersecurity and Engineering ICE, entwickeln wir neue Technologien, um die Gesellschaft, die Wirtschaft und Infrastrukturen vor Cyber-Bedrohungen zu schützen.
Unsere Kernkompetenzen decken viele Themen zur Cyber-Sicherheit und zum Schutz der Privatsphäre ab. Unsere Aktivitäten reichen von der Grundlagenforschung über angewandte Forschung und Entwicklung bis zu ausgewählten Beratungsleistungen. Förderorganisationen wie Innosuisse, EU, SNF, Hasler-Stiftung etc. unterstützen unsere Projekte.
Ständige Flut von Warnmeldungen
Die unerkannten Komponenten können sich im Arbeitsspeicher von Endgeräten einnisten und sich zu einem späteren Zeitpunkt aktivieren. Hier kommt nun – falls vorhanden – eine weitere Abwehrwaffe zum Einsatz: die Endpoint Detection and Response Software (EDR), die das Verhalten der verbundenen Endgeräte (Server, PCs und Laptops) überwacht und nach Auffälligkeiten sucht. Das Problem dabei: Die EDR entdeckt viele unbekannte und somit verdächtige Aktivitäten, die eine Flut von Warnungen erzeugen. Diese «Alerts» sind für die Security Operations Center (SOC) grosser Unternehmen eine Herausforderung, denn längst nicht von jedem verdächtigen Code-Schnipsel geht eine reale Gefahr aus. Die Analystinnen und Analysten können unmöglich bei jedem Alarm aufwändig recherchieren, ob tatsächlich ein Risiko besteht. Man spricht in der Branche von der «Alert Fatigue».
Automatisierte Analyse spart Zeit und Aufwand
Genau bei diesem Problem bietet das Bieler Unternehmen Threatray mit seinen Software-Produkten eine Lösung an. «Wir sind führend beim Erkennen von neuen Malware-Varianten», sagt Endre Bangerter, Gründer und CEO des BFH-Spin-offs und Co-Leiter des Institute for Cybersecurity and Engineering (ICE) der BFH-TI. «Normalerweise müssen Menschen analysieren, was zu tun ist, wenn die EDR einen unbekannten Code meldet. Threatray automatisiert die Analyse, was enorm viel Zeit und Aufwand spart.» Bei diesem Vorgang macht sich Threatray eine Schwachstelle von Malware zunutze: Weil auch Cyber-Kriminelle Kosten und Nutzen abwägen, handelt es sich bei Schadsoftware selten um komplette Neuentwicklungen, sondern meistens um Weiterentwicklungen. Bestehende Malware, die früher oder später allen Abwehrtools bekannt ist, wird umgebaut, wobei – wie bei jedem Programm-Update – Bewährtes erhalten bleibt. Diese alten Code-Fragmente zu finden und einer bekannten Malware zuzuordnen, ist die Spezialität von Threatray.
«Unsere Stärke ist das Aufspüren von Korrelationen in diesem Datenozean.»
Neue Kundensegmente dank KI
Mit den Analysen von Threatray können die SOC-Teams rascher und gezielter die richtigen Gegenmassnahmen einleiten, aber auch Fehlalarme der Analysesoftware EDR erkennen. Das Tool ist indes nur eines von vielen, die Unternehmen heute zur Cyber-Abwehr einsetzen, und kann auch keine absolute Sicherheit garantieren: «Die wird es nie geben, aber wir verbessern die Sichtbarkeit von Malware, die auf fortschrittlichen Technologien beruht.» In kurzer Zeit hat sich das Unternehmen einen guten Namen gemacht. Zur Kundschaft gehören grosse Unternehmen im In- und Ausland, die über spezialisierte SOC-Teams verfügen, sowie IT-Serviceerbringer, an welche kleinere Unternehmen ihre Cybersecurity auslagern. «Derzeit richten sich unsere Produkte an spezialisierte Analystinnen und Analysten», räumt Endre Bangerter ein. «Mit dem Einsatz von künstlicher Intelligenz bietet sich nun aber die Möglichkeit, unser Kundensegment zu erweitern. KI kann die Resultate des Analysevorgangs auch für weniger qualifizierte Nutzerinnen und Nutzer so aufbereiten, dass sie damit arbeiten können.»
Entstanden auf dem BFH-Nährboden
Die Threatray-Technologie lässt sich in jede EDR integrieren und fügt sich so problemlos in die Cyber-Abwehrsysteme von Unternehmen ein. Derzeit erprobt das Unternehmen die Integration in den Microsoft Defender for Endpoint mit den IT-Services der BFH, die diese Software verwenden. Damit schliesst sich ein Kreis: Mit ihrer grossen Erfahrung im Bereich Machine Learning und künstliche Intelligenz war die BFH-TI jahrelang der ideale Nährboden für die Entwicklung der Technologien, auf denen Threatray beruht. Das 2018 gegründete Unternehmen wurde 2022 von führenden Schweizer Investor*innen unter die 100 erfolgversprechendsten Start-ups gewählt. Seither konnte es das an der Hochschule entwickelte Know-how erfolgreich in die Wirtschaftswelt transferieren. Die Arbeit wird ihm nicht so schnell ausgehen.
