Leo Lintang - stock.adobe.com
Cybersicherheit: Wie KI heute wirklich hilft
KI verändert die IT Security, bringt aber nicht immer Mehrwert. Für CISOs und IT-Leiter stellt sich die Frage: Wie kann KI sicher eingesetzt werden, ohne neue Risiken zu schaffen?
KI in der Cybersicherheit ist beides: Alltagswerkzeug und Hype. Seit Jahren arbeiten Cyber-Security-Teams mit Werkzeugen aus dem KI-Baukasten – beispielsweise in der Anomalieerkennung von Nutzer- und Netzwerkverhalten, in verhaltensbasierten Endpoint-Lösungen und in der E-Mail-Security. Neu ist vor allem die Sichtbarkeit großer Sprachmodelle, die Dokumentation, Scripting und Integrationsaufgaben vereinfachen.
Die zentrale Botschaft aus der Praxis bleibt jedoch nüchtern: Der Flaschenhals ist selten mangelnde KI, sondern zu häufig eine unzureichende Architektur, unklare Prozesse und fehlende Risikotransparenz. KI beschleunigt, priorisiert und macht sichtbar – sie ersetzt aber weder sauberes Design noch nachvollziehbare Governance und Verantwortlichkeiten.
Wo KI Mehrwert schafft
Am wirksamsten entfaltet KI ihren Nutzen dort, wo sie Muster lernt und Abweichungen vom Normalzustand erkennt. In Umgebungen für Security Information and Event Management (SIEM) und Managed Detection and Response (MDR) decken User- und Entity-Behavior-Analytics (UEBA) Unregelmäßigkeiten im Log- und Netzwerkverkehr auf, die signaturbasiert unsichtbar bleiben würden – etwa, wenn sich ein Administrator plötzlich von einer ungewohnten Quelle anmeldet und parallel neue Konten angelegt werden.
Auf Endpoints hat sich verhaltensbasierte Erkennung im EDR-Bereich (Endpoint Detection and Response) etabliert. In der E-Mail-Security stehen sich generative und detektierende KI-Systeme unmittelbar gegenüber: Angreifer erstellen überzeugendere Phishing-Mails, Verteidiger reagieren mit feineren, sprach- und kontextsensitiven Erkennungsmodellen.
Herausforderungen im SOC
Die verschiedenen Hersteller-Ökosysteme sind bezüglich KI weitgehend abgekapselt und wenig interoperabel. Fortinet harmoniert mit Fortinet, Palo Alto mit Palo Alto. Das stellt IT-Verantwortliche zunehmend vor Herausforderungen. Eine End-to-End-Korrelation über Toolgrenzen hinweg erfordert die Integration in ein Security Operations Center (SOC), saubere Datenmodelle und Playbooks für Security Orchestration, Automation and Response (SOAR) – Arbeit, die weder wegautomatisiert noch vom Markt vollständig standardisiert wird. SOAR-Tools werden meist in einem SOC eingesetzt und versuchen die Schnittstellen der möglichen Informationsquellen zu bedienen. Ziel ist es, Informationen zusammenzutragen und zu automatisieren, damit die Analysten einen ganzheitlichen Blick bekommen können.
Best-of-Breed versus Plattform
Viele Unternehmen erwägen eine Konsolidierung auf wenige Hersteller und deren Plattformen, um Komplexität, Vertrags- und Datenschutzaufwände zu reduzieren. In der Praxis bleibt Best-of-Breed dennoch relevant, weil kaum ein Anbieter in jeder Disziplin Spitzenleistung bietet. Die Folge ist ein Spannungsfeld: Wer auf eine Plattform setzt, profitiert von engerer Integration, riskiert aber fachliche Kompromisse und Lock-in-Effekte. Wer Best-of-Breed wählt, behält Spitzenlösungen, trägt jedoch Integrationslast – von APIs und Datenpipelines bis zu SOAR-Playbooks.
Kosten sind ein oft unterschätzter Faktor. Cloud-SIEMs zum Beispiel scheinen attraktiv und bieten meist gute Leistungen, können jedoch durch die benötigte Log-Aufbewahrung, Ingest-Gebühren, also Gebühren auf die Menge der importierten Daten und Datenexporte teuer werden. Alternativen wie dedizierte UEBA / Anomalie-Engines oder hybride Systeme können Total Cost of Ownership (TCO) und Compliance-Anforderungen teils besser ausbalancieren – abhängig vom Datenfluss, den benötigten Retention-Zeiten (Aufbewahrungszeiten) und den regulatorischen Pflichten. Unabhängig vom Ansatz gilt: Erwartungen realistisch managen, Wechselkosten mitdenken und Sichtbarkeitslücken außerhalb des jeweiligen Ökosystems identifizieren.
„KI macht Auffälligkeiten sichtbar, kuriert aber nicht eine schlechte Ausgangslage. In der Praxis begegnen Security-Verantwortliche oft unklar segmentierte Netze, unvollständig eingeführte Sicherheitslösungen, Unwissenheit über die für das Unternehmen kritische Anwendungen, nicht definierte Verantwortlichkeiten und Prozesse.“
Eike Trapp, Axians IT Security
KI ist kein Allheilmittel
Künstliche Intelligenz macht Auffälligkeiten sichtbar, kuriert aber nicht eine schlechte Ausgangslage. In der Praxis begegnen Security-Verantwortliche oft unklar segmentierte Netze, unvollständig eingeführte Sicherheitslösungen, Unwissenheit über die für das Unternehmen kritische Anwendungen, nicht definierte Verantwortlichkeiten und Prozesse. Ein Beispiel: Der Wunsch nach einem 24/7-SOC ohne erreichbare Entscheider am Wochenende. Eine automatisierte Response, die etwa Konten sperrt oder Traffic blockiert, kann ohne begleitendes Risiko- und Geschäftsverständnis größeren Schaden anrichten als der ursprüngliche Alarm.
Ein weiterer Klassiker ist das Schweizer-Käse-Regelwerk in Firewalls: Über Jahre sind immer neue Ausnahmen entstanden. Machine Learning kann beim Aufräumen helfen, ungenutzte oder falsch platzierte Regeln identifizieren und Regeln einer Anwendung zuordnen. Wer aber verantwortlich für die Anwendung ist und wie kritisch diese für das Unternehmen sein kann, kann nur der Mensch entscheiden. Hierfür benötigt es Prozesse, Dokumentation und Verantwortliche.
Fazit: Mehrwert entsteht durch Klarheit
KI stiftet in der Cyber Security dann echten Nutzen, wenn Architektur, Prozesse und Verantwortlichkeiten geklärt sind. Die Schulung und Sensibilisierung der Mitarbeiter bleibt einer der wichtigsten Punkte. In vielen Organisationen ist es pragmatisch, diesen Weg nicht allein zu gehen, sondern punktuell einen unabhängigen, erfahrenen Dienstleister einzubinden. Das senkt das Risiko voreiliger Tool-Entscheidungen, beschleunigt die Priorisierung und sorgt dafür, dass Automatisierung mit klaren Eckpfeilern erfolgt. Zentral ist dabei nicht, den KI-Einsatz zu erhöhen, sondern die bessere Anschlussfähigkeit. Ein externer Blick hilft, Wahrnehmungslücken zu identifizieren und bestehende Stärken zu nutzen – damit KI als Beschleuniger wirkt, nicht als Risikoverstärker.
Über den Autor:
Eike Trapp ist Senior Security Consultant bei Axians IT Security.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
