PowerShell ist ein zentrales Steuerungsinstrument in Microsoft-basierten Infrastrukturen. Ob Benutzerverwaltung, Systemkonfiguration, Deployment oder Cloud-Integration – viele sicherheitsrelevante Prozesse laufen über Skripte.
Gerade aus Sicht des Bundesamt für Sicherheit in der Informationstechnik (BSI) ergibt sich daraus eine klare Anforderung:
Skripte müssen nachvollziehbar, kontrolliert und sicher betrieben werden.
Im IT-Grundschutz bedeutet das konkret:
Code darf nicht einfach „laufen“, sondern muss geprüft, bewertet und freigegeben werden.
Typische Schwachstellen in PowerShell-Skriptlandschaften
In der Realität sieht es häufig anders aus. PowerShell-Skripte entstehen dezentral, werden schnell angepasst und ohne formale Prüfung weiterverwendet. Dadurch entsteht eine gewachsene Struktur mit begrenzter Transparenz.
Besonders kritisch wird es in folgenden Fällen:
- Skripte mit administrativen Rechten ohne dokumentierte Funktion
- Nutzung externer Ressourcen oder dynamischer Befehle
- Fehlende Versionierung und Nachvollziehbarkeit
Diese Punkte stehen im direkten Widerspruch zu den Anforderungen an kontrollierte IT-Systeme nach BSI-Prinzipien.
BSI-Anforderungen treffen auf praktische Herausforderungen
Die Vorgaben des BSI sind fachlich klar: Sicherheit, Nachvollziehbarkeit und Minimierung von Risiken. Die Umsetzung scheitert jedoch oft an der Skalierung.
Manuelle Prüfungen sind aufwendig und nicht wirtschaftlich, wenn viele Skripte im Umlauf sind. Klassische Tools liefern zwar Hinweise, bleiben aber meist auf syntaktischer Ebene und erfassen nicht die tatsächliche Wirkung eines Skripts.
Damit entsteht eine Lücke zwischen Sicherheitsanforderung und operativer Realität.
KI-gestützte Analyse im BSI-Kontext
Hier setzt die KI-basierte Codeanalyse an. Moderne Modelle können PowerShell-Skripte ganzheitlich bewerten und dabei Prinzipien berücksichtigen, die sich an BSI-Standards orientieren.
Die Analyse umfasst unter anderem:
- Funktionale Transparenz: Was macht das Skript tatsächlich?
- Sicherheitsbewertung: Welche Risiken bestehen im Kontext des Systems?
- Verhalten: Welche Aktionen werden ausgeführt und mit welchen Auswirkungen?
Im Unterschied zu klassischen Tools erkennt die KI auch komplexe Zusammenhänge und bewertet Code im Gesamtkontext.
Eigenes KI-Modell für sichere und kontrollierte Nutzung
Für diese Analyse setze ich ein eigenes, speziell trainiertes KI-Modell ein, das vollständig self-hosted betrieben wird und gezielt auf Sicherheitsanforderungen nach BSI-Standard ausgerichtet ist. Das Modell wurde auf typische PowerShell-Muster, sicherheitsrelevante Szenarien und Best Practices trainiert und ermöglicht eine strukturierte Bewertung hinsichtlich Funktion, Risiko und Compliance. Durch den lokalen Betrieb bleiben alle Daten innerhalb der eigenen Infrastruktur, was insbesondere in regulierten Umgebungen ein entscheidender Vorteil ist.
Script-Prüfung & Signatur – unsere Softwarelösung
Wir haben eine Software, die jede Art von Skript (z. B. PowerShell, Python, Batch, WSH, Office) auf Schadcode prüft und signiert – und wir führen sie Ihnen gern live vor.
Die Prüfung erfolgt je nach Umfang entweder über ein selbstentwickeltes Scan-Script oder – bei größeren Makro- und Skriptmengen – über ein eigenes trainiertes KI-Modell, das self-hosted betrieben wird und sich am BSI-Standard orientiert.
Hier geht es zur Online-Demo. Melden Sie sich gern bei uns für eine individuelle Vorführung.
Zusätzlich unterstützen wir Sie bei der Ablösung von Makros und Skripten – von der Bestandsaufnahme bis zur sicheren Migration. Nehmen Sie gerne Kontakt auf!
Signierung als Bestandteil der Governance
Ein zentraler Baustein im BSI-Kontext ist die kontrollierte Freigabe von Code. Genau hier setzt die Signierung an.
Nach erfolgreicher Analyse kann ein PowerShell-Skript digital signiert werden. Die Signatur bestätigt, dass das Skript geprüft wurde und den definierten Anforderungen entspricht. Über entsprechende Richtlinien kann sichergestellt werden, dass nur signierter Code ausgeführt wird.
Damit entsteht ein klar strukturierter Prozess:
- Skript wird eingereicht
- KI führt eine Analyse nach definierten Kriterien durch
- Bewertung erfolgt automatisiert oder ergänzt durch manuelle Prüfung
- Freigegebene Skripte werden signiert und produktiv genutzt
Mehrwert für Unternehmen
Durch die Kombination aus KI und BSI-orientierter Prüfung entsteht ein skalierbarer Sicherheitsprozess. Unternehmen können große Mengen an Skripten effizient bewerten und gleichzeitig die Anforderungen an Compliance erfüllen.
Zusätzlich entsteht Transparenz: Jede Entscheidung ist nachvollziehbar, jede Bewertung dokumentiert. Das erleichtert Audits und reduziert operative Risiken.
Fazit
PowerShell ist ein unverzichtbares Werkzeug – aber auch ein potenzieller Risikofaktor, wenn es unkontrolliert eingesetzt wird.
Die Verbindung aus KI-gestützter Analyse, self-hosted Betrieb und Signierung schafft eine Brücke zwischen technischer Realität und BSI-Anforderungen.
Unternehmen erhalten damit einen strukturierten Ansatz, um Sicherheit, Effizienz und Governance in Einklang zu bringen – ohne ihre Prozesse auszubremsen.
Image: ChatGPT
Ich blogge über den Einfluss der Digitalisierung auf unsere Arbeitswelt. Hierzu gebe ich Inhalte aus der Wissenschaft praxisnah wieder und zeige hilfreiche Tipps aus meinen Berufsalltag. Ich bin selbst Führungskraft in einem KMU und Ich habe berufsgeleitend an der Universität Erlangen-Nürnberg am Lehrstuhl für IT-Management meine Doktorarbeit geschrieben.
