Rawpixel.com - stock.adobe.com
Cybersicherheit 2025: Risiken abwägen und Prioritäten setzen
IT-Umgebungen gestalten sich nahezu beliebig komplex, auch was die Risiken angeht. IT-Verantwortliche müssen die Risiken und Maßnahmen priorisieren und Kompromisse eingehen.
Führungskräfte für Cybersicherheit jonglieren ständig mit begrenzten Ressourcen, um auf immer größer werdende Risikofaktoren zu reagieren. Für CISOs, die sich in der aktuellen Bedrohungslandschaft zurechtfinden müssen, besteht die Herausforderung nicht darin, bestehende Sicherheitslücken zu identifizieren. Sie müssen stattdessen entscheiden, welche davon zuerst geschlossen werden können und sollten. Diese Entscheidung wird immer komplexer, da Unternehmen die Anforderungen an die Cloud Security gegen die neuen Risiken abwägen müssen, die durch künstliche Intelligenz (KI) entstehen.
Laut der Thales-Studie zur Cloud-Sicherheit 2025 gibt mehr als die Hälfte (52 Prozent) der Sicherheitsexperten weltweit an, dass sie der KI-Sicherheit Vorrang vor anderen Sicherheitsausgaben, einschließlich der Cloud, einräumen. Diese Verschiebung spiegelt das wachsende Bewusstsein wider, dass KI-Modelle, insbesondere solche, die in geschäftskritischen Prozessen eingesetzt werden, nicht nur transformatives Potenzial bieten, sondern auch neue Formen der Anfälligkeit mit sich bringen – von vergifteten Trainingsdaten bis hin zu Modellinversions- und Inferenzangriffen.
Die Frage stellt sich, wie Führungskräfte rational entscheiden können, welche Prioritäten sie setzen, wenn die Sicherheitsbudgets bereits für Identitäts- und Authentifizierungs-, Datenschutz- und Souveränitätsanforderungen sowie für das Risikomanagement durch Verbindungen zu Dritten wie APIs ausgeschöpft sind.
Zunehmende Komplexität der Cloud
Die Cloud Security bestimmt seit ein paar Jahren die Ausgabenagenda – und das zu Recht, da der Wert von Daten für Angreifer gestiegen ist. Als Unternehmen ihre Workloads auf Hybrid- und Multi-Cloud-Umgebungen umstellten, standen sie vor der Notwendigkeit, diese wachsenden Datenbestände zu klassifizieren und zu sichern, Zugriffskontrollen zu implementieren und die zunehmend kurzlebige Infrastruktur angemessen zu verwalten.
Es wurden Investitionen in die Verschlüsselung ruhender und übertragener Daten, in Tokenisierung und in fortschrittliche Datenklassifizierungssysteme getätigt, um sensible Informationen zu schützen, deren Menge in der Cloud weiter wächst. 83 Prozent der Befragten der diesjährigen Thales-Studie gaben an, dass mindestens 40 Prozent ihrer Cloud-Daten sensibel sind, gegenüber 62 Prozent im Vorjahr. Viele Unternehmen setzten auch Cloud-native Erkennungs- und Detection Tools ein, um Transparenz über Container, serverlose Funktionen und APIs zu gewinnen.
Dadurch ist die Angriffsfläche nicht kleiner geworden. Fehlkonfigurationen und menschliches Versagen sind nach wie für viele Probleme verantwortlich. Letzteres ist laut der eingangs zitierten Studie die Hauptursache für Datenverletzungen – und der Druck, die Agilitätsanforderungen eines typischen Digital-First-Unternehmens zu erfüllen, sorgt dafür, dass Cloud-Sicherheit weiterhin ganz oben auf der Risikoliste steht.
KI erweitert die Bedrohungslandschaft
KI ist sowohl Werkzeug als auch Ziel. In allen Geschäftsbereichen beginnt sie bereits, die Betriebsprozesse neu zu gestalten. Hinter jeder KI-Fähigkeit steht jedoch ein Modell, das auf zugrunde liegenden Daten trainiert wurde – oft sensiblen, manchmal proprietären und dadurch zunehmend gefährdeten Daten.
Sicherheitsverantwortliche müssen sich nun mit einer neuen Art von Problemen auseinandersetzen. Sie müssen die Herkunft und Integrität von Trainingsdaten überprüfen, Modellabweichungen oder Manipulationen erkennen und sicherstellen, dass KI-generierte Ergebnisse nicht versehentlich vertrauliche Informationen preisgeben. Selbst die Einbettung generativer KI-APIs von Drittanbietern in Produkte birgt neue Risiken in Bezug auf die Nutzung von Schatten-KI, Datenresidenz und Prompt Injection.
Die Verschiebung der Ausgabenprioritäten deutet darauf hin, dass viele Unternehmen sich der langfristigen Auswirkungen dieser Unsicherheit bewusst werden. Es könnte sich jedoch als kurzsichtig erweisen, die Aufmerksamkeit zu früh von Cloud-Kontrollen abzuwenden.
„Unternehmen sollten auch die Wechselwirkungen zwischen Cloud- und KI-Sicherheit berücksichtigen. Beide schließen sich nicht gegenseitig aus. Viele KI-Modelle werden in Cloud-Umgebungen trainiert und eingesetzt, sodass Cloud-native Sicherheits-Tools für den Schutz der KI direkt relevant sind.“
Thorsten Krüger, Thales
Auswahl des richtigen Kompromissmodells
In der Praxis haben die meisten Sicherheitsteams nicht den Luxus, bei null anzufangen. Sie müssen Kompromisse eingehen.
Ein Ansatz besteht darin, ein risikobereinigtes ROI-Modell zu verwenden, das die geschäftlichen Auswirkungen eines bestimmten Sicherheitsversagens gegen die Wahrscheinlichkeit seines Auftretens und die Kosten für seine Verhinderung abwägt. So könnte zum Beispiel ein großes Unternehmen, das Foundation-Modelle zur Personalisierung seiner Kunden nutzt, der Sicherheit von KI-Modellen in seiner Testumgebung eine höhere Priorität einräumen als der Verhinderung von Datenverlusten. Ein Finanzinstitut, das regulierte Kundendaten verarbeitet, wird hingegen wahrscheinlich Cloud-Verschlüsselung, Kontrollen der Datenhoheit und das Management des Lebenszyklus von Schlüsseln als grundlegend ansehen.
Ein weiterer praktischer Blickwinkel ist die Durchführbarkeit von Angriffen im Vergleich zu ihren Folgen. Während KI-Angriffe für manche noch immer hypothetisch erscheinen mögen, können ihre potenziellen Folgen erheblich sein. Hierzu zählen zum Beispiel die Beschädigung von Modellen oder die unbeabsichtigte Offenlegung von geistigem Eigentum. Das Gleiche gilt jedoch auch für eine schlecht gesicherte Cloud-Fehlkonfiguration, die zu Identitätsdiebstahl oder Ransomware führen kann. Die technische Reife des Angreifers und die Leichtigkeit, mit der ein Exploit ausgeführt werden kann, sollten ebenfalls berücksichtigt werden. Die Risiken sind in einer Welt, in der Unternehmen durchschnittlich 91 SaaS-Anwendungen im Einsatz melden, erhöht, sodass es wenig überraschend ist, dass 55 Prozent der Befragten der Studie die Cloud-Sicherheit für komplexer halten als die Sicherung der lokalen Infrastruktur.
Unternehmen sollten auch die Wechselwirkungen zwischen Cloud- und KI-Sicherheit berücksichtigen. Beide schließen sich nicht gegenseitig aus. Viele KI-Modelle werden in Cloud-Umgebungen trainiert und eingesetzt, sodass Cloud-native Sicherheitstools (zum Beispiel vertrauliches Computing, Protokollierung von Modell-API-Aufrufen, IAM-Governance) für den Schutz der KI direkt relevant sind. Ebenso verbessern Investitionen in Datenklassifizierung und Zugriffskontrollen sowohl die Cloud-Datenhygiene als auch die Integrität des KI-Trainings.
Eine stärker integrierte Zukunft
Mit Blick auf die Zukunft beginnen die zukunftsorientiertesten Unternehmen, ihre Cloud- und KI-Sicherheitsstrategien unter einheitlichen Governance-Rahmenbedingungen zusammenzuführen. Dazu gehören die Einführung von Kontrollen der Datenherkunft, Audits zur Modelltransparenz und funktionsübergreifende Risikoprüfungen, an denen Data Scientists, DevOps und Sicherheitsteams beteiligt sind.
Diese integrierte Denkweise ist unerlässlich, um die Herausforderungen mit den zur Verfügung stehenden Budgets zu managen. Denn in der nahen Zukunft werden die Prioritäten von Reputation, regulatorischen Änderungen und Resilienz geprägt sein.
Sicherheitsverantwortliche müssen die Falle falscher Entweder/Oder-Gegensätze vermeiden. Es handelt sich nicht um eine Entscheidung zwischen Cloud- und KI-Sicherheit, sondern vielmehr um eine Frage der Reihenfolge, der Reife und der Ausrichtung auf die Geschäftsziele. Indem sie ihre Entscheidungen auf Risiken, gegenseitige Abhängigkeiten und langfristigen Wert stützen, können CISOs die Kompromisse mit größerer Zuversicht eingehen – und sicherstellen, dass ihre Unternehmen nicht nur für die Gegenwart, sondern auch für die KI-gestützte Zukunft abgesichert sind.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
