KI-basierte Cybersecurity
Nicht jede Cybersicherheitslösung kann KI
Trendthema KI – Welche Fragen man sich stellen muss
KI ist ein Trendthema – und ein Technologiebereich mit einem riesigen Investitionsvolumen und entsprechenden Potenzial. So geht die Bundesregierung in Deutschland von Investitionen in KI-Technologie in Höhe von sechs Milliarden Euro bis 2025 aus. Dieser Hype hat jedoch auch seine Schattenseiten, denn unzählige Technologieanbieter, speziell im Bereich IT-Sicherheit, heften sich nun das Label „KI“ ans Revers.
Woran sind nun aber tatsächlich KI-basierte Lösungen zu erkennen? Andreas Riepen, Head Central & Eastern Europe bei Vectra AI , bringt Licht in Dunkel:
„Die Fähigkeiten, Grenzen, Auswirkungen und sogar Motive von KI-Anwendungen wurden in öffentlichen Foren vielfach diskutiert, oft mit dem Effekt, die Wahrheit zu verschleiern oder zu übertreiben. Der Begriff „KI“ selbst wird – insbesondere im Bereich der Cybersicherheit – häufig als Sammelbegriff für mysteriöse Blackbox-Technologien verwendet, die sich als Allheilmittel für alle Probleme in Unternehmen anbieten. Viele von ihnen bestehen aus heuristischen Algorithmen, die zwar eine gewisse oberflächliche Intelligenz aufweisen, aber hinter dem Vorhang keine KI sind.
Dieser inflationäre Gebrauch des Begriffs hat zu weit verbreiteten Missverständnissen und Sensationsmeldungen in den Medien geführt. So soll kürzlich ein Mitglied des Google Responsible AI-Teams freigestellt worden sein wegen der Behauptung, das Chatbot-Framework LaMDA des Unternehmens kann Gefühle empfinden.
Es braucht anscheinend nicht viel, damit Menschen solche Geschichten mit den Science-Fiction-Alpträumen von Maschinen verbinden, die sich auflehnen oder sich erheben. Experten sind sich jedoch zumindest darüber im Klaren, dass richtige, reale KI, die einen Mehrwert schafft, anstatt in Apokalypsen zu schwelgen, genauso einer sorgfältigen Prüfung unterliegt wie jede andere Technologie. Diese Sorgfaltspflicht gilt auch für KI zur Erkennung von Bedrohungen. Es ist von entscheidender Bedeutung festzustellen, ob „KI-gestützte“ Systeme das tun, was sie tun sollen. Heuristische Lösungen eignen sich hervorragend zum Erkennen von Anomalien, versagen jedoch beim Hinzufügen eines verwertbaren Kontexts, bei dem die Anomalie neben ähnlichen Entdeckungen im Laufe der Zeit analysiert wird, um die Wahrscheinlichkeit eines Angriffs einzuschätzen und den Befund entsprechend zu kategorisieren.
Wenn KI im Bereich der Cybersicherheit einen angemessenen Platz einnehmen soll, müssen die Lösungen in der Lage sein, mehr als nur einen Vektor oder eine Methodik zu identifizieren. Sie sollten in der Lage sein, die Ziele eines Angreifers zu erkennen und Angriffsmethoden zu antizipieren, auf die man noch nicht gestoßen ist. Sie sollten zudem ohne Leistungseinbußen skalierbar sein. Um herauszufinden, ob eine so genannte „KI-gestützte“ Cybersicherheitslösung das leistet, was sie verspricht, ist es ratsam, dem Anbieter vier wichtige Fragen zu stellen.
Anomalie-Erkennung oder Bedrohungsjäger?
Ein Scan nach Anomalien lässt Sicherheitsteams im Dunkeln, wenn er nicht von weiteren Informationen begleitet wird. Echte KI stützt sich auf Informationen von außerhalb des Zielunternehmens. Produkte, die lediglich Anomalien aufspüren, sind nicht sehr nützlich, da sich nicht jede Anomalie als Bedrohung herausstellt und viele echte Bedrohungen sich die Zeit nehmen, ihr Verhalten als autorisiert oder harmlos zu tarnen. KI-Plattformen berücksichtigen diese Probleme. Nicht-KI-Lösungen verursachen hingegen Probleme, indem sie die Flut von Warnungen erhöhen und die Sicherheitsteams mit Ermittlungen belasten, während sie die wirklichen Bedrohungen übersehen. KI-Lösungen berücksichtigen das Verhalten und die Historie, um das Hintergrundrauschen zu minimieren und kontextbezogene, umsetzbare Warnungen zu liefern.
Standort, Standort, Standort?
Wenn KI nur ein Zusatz zu einer Lösung ist und nur dazu dient, periphere Probleme zu lösen, ist das Potenzial begrenzt. Jegliche KI muss die Peripherie überwachen, aber auch die zentralen Herausforderungen bei der Ausführung bewältigen. Sie muss für die Kernfunktionen und die Verwaltung eines Systems von zentraler Bedeutung sein. Kurz gesagt, es ist sehr wichtig, wo die KI eingesetzt wird und wo sie arbeitet.
Und was ist mit den Entwicklern?
Selbst ein flüchtiger Blick auf das Team, das die KI-Lösung entwickelt hat, verrät viel. Wie steht es um Data Science? Sicherheitsforschung? Psychologie? Viele Disziplinen und Fähigkeiten fließen in die Entwicklung von wertschöpfender KI ein. Zudem ist zu bedenken, dass selbst die wertvollsten Lösungen ihren Wert erst freisetzen müssen. Es gilt also die Supportverpflichtungen des Anbieters oder des Serviceintegrators zu prüfen. Werden sie dem Unternehmen helfen, das Beste aus der Investition herauszuholen?
Welche Versprechungen macht die Lösung?
Wenn eine KI-gestützte Lösung als Heilmittel für alle Übel angepriesen wird, gilt es misstrauisch zu sein. KI ist nicht allwissend, aber auch nicht allmächtig. Mit der digitalen Transformation sind neue Komplexitäten entstanden – Hybrid-Cloud, Multi-Cloud, eine Vielzahl undurchsichtiger Netzwerke von Drittanbietern, unsichere Endpunkte sowie die wachsende Beliebtheit von SaaS und PaaS. Übertriebene Versprechungen sind kein neuer Trend, aber inmitten des starken Drucks, moderne Cybersicherheitsfunktionen einzusetzen, ist die Verlockung dieser Allheilmittel vielleicht so groß wie nie zuvor. Der beste Weg nach vorne liegt in der Erfahrung, der Flexibilität und der Bereitschaft zur Iteration. Mit der Zeit wird sich echte KI verbessern, während die Versprechungen fragwürdiger Angebote unter dem Gewicht der Realität zusammenbrechen werden.
Echte KI: Erkennungsmerkmale
Wer sich auf die Suche nach echter KI begibt, wird bald feststellen, dass ihre Optimierung für die Cyberverteidigung eine subtile Kunst ist. Wer diese Erkenntnis gewonnen hat, wird zumindest nicht mehr Opfer von unseriösen Sensationsangeboten, die den nächsten großen Durchbruch anpreisen. Entscheidend ist auch, dass selbst die echten Produkte nur von erfahrenen Fachleuten eingesetzt werden können, um einen echten Nutzen zu erzielen. Der menschliche Einfallsreichtum und das menschliche Urteilsvermögen werden selbst von den intelligentesten Maschinen nur unvollkommen nachgeahmt.
Richtige, gut gemanagte und gut verstandene KI ist derzeit jedoch das effektivste Tool zur Identifizierung der neuesten, raffiniertesten Angriffsmethoden. KI dieser Liga punktet damit, dass sie gutartige Anomalien aussortiert und Sicherheitsteams tagelange mühsame Arbeit erspart. Mit falscher KI bleiben Unternehmen stets hinter den Angreifern zurück, mit echter KI jedoch können sie ihnen einen Schritt voraus sein.
