KI sicher einsetzen: Warum Architektur der Schlüssel ist

Von Eike Trapp, Senior Security Consultant bei Axians IT Security

Cyber Security hat sich durch den Einsatz von KI grundlegend verändert. Dabei bringt nicht jede Lösung echten Mehrwert.

Die zentrale Frage: Wie können Verantwortliche in IT und Informationssicherheit KI sinnvoll und sicher einsetzen, ohne neue Angriffsvektoren zu schaffen?

KI ist in der Cybersecurity längst Realität und große Sprachmodelle haben die Messlatte noch einmal angehoben. Wer heute auf sie setzt, gewinnt Geschwindigkeit: bei der Dokumentation, bei Scripting-Aufgaben und bei der Integration komplexer Systeme. Doch Technologie allein entscheidet nicht über Erfolg oder Misserfolg.

Wichtig sind eine tragfähige Architektur, klare Prozesse und eine Governance, die Verantwortung nicht dem Zufall überlässt.

Was gut funktioniert

Am wirksamsten arbeitet KI in Bereichen, in denen sie Muster lernt und Abweichungen vom Normalzustand erkennt – etwa in Umgebungen für Security Information and Event Management (SIEM) und Managed Detection and Response (MDR). Hier lassen sich mithilfe von User- und Entity-Behavior-Analytics (UEBA) Unregelmäßigkeiten im Log- und Netzwerkverkehr aufdecken, die signaturbasiert unsichtbar bleiben würden. Wenn sich ein Administrator plötzlich von einer ungewohnten Quelle anmeldet und parallel neue Konten angelegt werden, erkennt dies das System. Auf Endpoints hat sich darüber hinaus verhaltensbasierte Erkennung im Endpoint Detection and Response Bereich (EDR) etabliert. Aber auch Angreifer nutzen KI, was beispielsweise in Bereichen wieder E-Mail-Security dazu führt, dass sich generative und detektierende KI-Systeme unmittelbar gegenüberstehen: Angreifer optimieren Phishing-Mails, die Verteidigungslinie reagiert mit feineren, sprach- und kontextsensitiven Erkennungsmodellen.

Regulatorik und Vertrauen

Regulatorische Vorgaben bestimmen zunehmend, unter welchen Bedingungen KI im Unternehmen eingesetzt werden darf. Zwei Regelwerke sind dabei besonders relevant:

EU AI Act:

Für den KI-Einsatz in kritischen Infrastrukturen sind in der Regel besonders zugelassene beziehungsweise konforme KI-Systeme erforderlich. In Bereichen mit geringem Risikoprofil gelten hingegen vor allem begrenzte Transparenz- und Informationspflichten – etwa die Anforderung, KI-generierte Inhalte eindeutig als solche zu kennzeichnen. Die Vorgaben der KI-Verordnung (EU) 2024/1689 sind grundsätzlich ab dem 2. August 2026 unmittelbar anwendbar.

DSGVO:

Sobald KI-Verfahren benutzerbezogene Daten wie UEBA auswerten, greifen Anforderungen wie Zweckbindung, Datenminimierung, Auftragsverarbeitung sowie Vorgaben zu Datenlokation und potenziellen Rechtszugriffen. Unternehmen müssen daher jederzeit nachvollziehen können, wo welche Daten liegen, wer sie verarbeitet und welche Jurisdiktionen im Ernstfall Zugriff nehmen könnten. Über die reine Compliance hinaus entstehen jedoch weitere Risiken, die nicht unterschätzt werden sollten. Denn frei verfügbare KI-Dienste können Eingaben zum Training nutzen, wodurch geistiges Eigentum unbeabsichtigt abfließen oder reproduziert werden kann. Ebenso können fehlerhafte KI-Auskünfte in Support- oder Self-Service-Szenarien zu Haftungsfragen führen. Klare Nutzungsregeln und verpflichtende Schulungen sind für den KI-Einsatz zentral. Wo nötig empfiehlt es sich, lizenzierte Modelle von Anbietern zu nutzen. Sie sichern verbindlich zu, dass eingegebene Inhalte nicht zum Training verwendet werden.

KI-Interoperabilität

Neben regulatorischen Anforderungen stellt auch die technische Integration eine unterschätzte Herausforderung dar. Herstellerzentrierte Sicherheits-Ökosysteme sind nach wie vor stark abgeschottet und nur begrenzt interoperabel. Palo Alto integriert primär mit Palo Alto, Fortinet mit Fortinet. Vor diesem Hintergrund prüfen viele Unternehmen eine Konsolidierung auf wenige Anbieter und Plattformen, um Komplexität sowie Vertrags-, Betriebs- und Datenschutzaufwände zu senken. Gleichzeitig bleibt der Best-of-Breed-Ansatz in der Praxis relevant, weil kaum ein Hersteller in allen Domänen gleichermaßen führend ist. Daraus entsteht ein Zielkonflikt: Plattformstrategien erleichtern Integration und Betrieb, gehen jedoch mit fachlichen Abstrichen und potenziellem Vendor-Lock-in einher. Best-of-Breed sichert hingegen spezialisierte Spitzenlösungen, verlagert den Aufwand aber auf die Integrationsschicht – von APIs und Datenpipelines bis hin zu SOAR-Playbooks.

KI ist kein Allheilmittel

Künstliche Intelligenz kann Anomalien und Fehlkonfigurationen schneller sichtbar machen, ersetzt jedoch weder eine tragfähige Sicherheitsarchitektur noch klare Prozesse. In der Praxis scheitern Vorhaben oft an schlecht segmentierten Netzen, lückenhaft ausgerollten Controls, fehlender Transparenz über geschäftskritische Anwendungen sowie unklaren Rollen und Eskalationswegen – etwa beim Anspruch auf ein 24/7-SOC ohne erreichbare Entscheider außerhalb der Geschäftszeiten. Ohne Risiko- und Business-Kontext kann automatisierte Response (zum Beispiel Account-Sperren oder Traffic-Blocking) den Geschäftsbetrieb stärker beeinträchtigen als der ursprüngliche Vorfall.

Ähnlich verhält es sich mit über Jahre gewachsenen „Schweizer-Käse“-Firewall-Regelwerken: ML-Methoden unterstützen beim Bereinigen, indem sie ungenutzte oder falsch platzierte Regeln identifizieren und Regel-Sets Anwendungen zuordnen. Die Bewertung von Kritikalität, Verantwortlichkeiten und zulässigen Auswirkungen bleibt jedoch eine Management- und Governance-Entscheidung und erfordert dokumentierte Prozesse und eindeutige Owner.

Fehlanwendung von KI kann zudem Compliance- und Datenschutzrisiken bis hin zum Abfluss von Geschäftsgeheimnissen oder der unzulässigen Verarbeitung personenbezogener Daten erzeugen. Erst ausreichende Design- und Prozessreife macht KI vom Analysewerkzeug zum wirksamen Schutzbaustein.

Fazit: Struktur schafft Mehrwert

KI entfaltet in der Cyber Security nur dann messbaren Mehrwert, wenn Architektur, Prozesse und Verantwortlichkeiten sauber definiert sind. Ebenso zentral bleiben Training und Sensibilisierung der Mitarbeitenden. Viele Organisationen fahren pragmatisch gut damit, diesen Pfad nicht ausschließlich intern zu gestalten, sondern punktuell einen unabhängigen, erfahrenen Partner wie Axians einzubeziehen. Das reduziert das Risiko vorschneller Tool-Festlegungen, beschleunigt Priorisierung und Roadmap und stellt sicher, dass Automatisierung entlang klarer Leitplanken umgesetzt wird. Entscheidend ist dabei weniger „mehr KI“ als eine höhere Anschlussfähigkeit der Organisation. Der externe Blick deckt blinde Flecken auf, stärkt vorhandene Fähigkeiten und sorgt dafür, dass KI als Beschleuniger wirkt – nicht als Risikotreiber.