Kursbeschreibung
In diesem Seminar entwickelst Du eine belastbare Strategie, um Spam und Scam mit KI zu erkennen und gleichzeitig die operativen Nebenwirkungen im Griff zu behalten. Du arbeitest entlang typischer Herausforderungen: uneinheitliche Labels, wechselnde Kampagnen, adversariale Umgehung und die Frage, wie man ein Modell in produktive Workflows integriert. Du startest mit dem Threat Modeling: Welche Betrugsarten sind für Dein Unternehmen kritisch, welche Kanäle sind besonders anfällig und welche Aktionen sind erlaubt, zum Beispiel Blocken, Quarantäne, Banner oder Link-Umleitung. Danach gehst Du in die Datenarbeit: sinnvolle Quellen, Datenqualität, PII-Redaktion und ein Labeling-Ansatz, der Heuristiken, Stichproben-Reviews und Active Learning kombiniert. Im Modellteil lernst Du, wie Du mehrschichtige Signale aufbaust. Du nutzt Header- und Routing-Merkmale, wertest SPF/DKIM/DMARC-Resultate als Features aus, analysierst URLs inklusive Redirect-Ketten und kombinierst das mit Textsignalen, die Social Engineering abbilden. Du setzt Baselines als Referenz, erweiterst sie um Embeddings oder Transformer und prüfst LLM-Scoring nur dort, wo es echten Mehrwert liefert und sich mit Guardrails, Kostenkontrolle und Datenschutz verantworten lässt. Abschließend geht es um Betrieb und Resilienz: Evaluation mit PR-Kurven, kanalabhängige Thresholds, Review-Queues, Monitoring für Data Quality und Drift sowie Incident-Playbooks, die neue Scam-Wellen schnell in Regeln, Labels und Retraining überführen.
Zielgruppe
- Security Engineers und SOC-Analysten
- Data Scientists und ML Engineers
- IT-Administratoren für E-Mail und Collaboration
- Product Owner im Bereich Messaging-Security
- Alle, die Spam- und Scam-Erkennung messbar verbessern und in reale Workflows integrieren wollen
Voraussetzung für die Schulung
- Grundverständnis von E-Mail- oder Web-Workflows und HTTP/URLs.
- Hilfreich sind Basiskenntnisse in Datenanalyse und ML-Begriffen, aber Du bekommst eine klare Vorgehensstruktur.
Kursinhalte
- Bedrohungsbild: Spam, Scam, BEC, Smishing
- Angriffsmuster, Psychologie, typische TTPs
- Warum klassische Regeln scheitern und wo sie bleiben
- Risiken: Account Takeover, Zahlungsbetrug, Datenabfluss
- Datenbasis und Labeling, die tragen
- Quellen: Mail-Header, Body, URLs, Attachments, Chat-Logs
- Label-Strategien: Heuristiken, Review, Active Learning
- Datenschutz: PII-Redaktion, Aufbewahrung, Zugriff
- Feature Engineering und Signale
- Header- und Routing-Signale, SPF/DKIM/DMARC als Features
- URL- und Domain-Reputation, Redirect-Ketten
- Textsignale: Intent, Dringlichkeit, Social Engineering
- Modelle: von Baselines bis LLM-gestützt
- Baselines: Logistic Regression, Gradient Boosting
- Embeddings und Transformer-Klassifikation
- LLM-Scoring mit Guardrails und Kostenkontrolle
- Evaluation, Thresholds und Business-KPIs
- Precision/Recall, ROC/PR, Kostenmatrix
- Thresholding nach Kanal und Risiko
- Human-in-the-Loop und Review-Queues
- Deployment: Echtzeit-Pipeline und Integration
- Architektur: Ingestion, Enrichment, Scoring, Actions
- Quarantäne, Banner, Link-Umleitung, Block/Allow
- APIs, Webhooks, Logging und Audit-Trails
- Adversarial Taktiken und Drift
- Prompting, Obfuskation, Homoglyphs, Image-Spam
- Concept Drift, Kampagnenwechsel, Saisonality
- Retraining, Canary-Releases, Rollback-Strategien
- Monitoring, Security Operations, Playbooks
- Model Monitoring: Data Quality, Latency, Fail-open/closed
- Alerting und Incident-Workflows
- Post-Incident: Feedback in Labels und Regeln
