Um den immer komplexeren Cyberangriffe zu begegnen, ist der Einsatz von KI unabdingbar. Wichtig sind die richtige Integration und die Kenntnis der damit verbundenen Risiken.
Der Einsatz von KI (künstlicher Intelligenz) in der Cybersicherheit wird nicht nur Standard, sondern auch absolute Notwendigkeit. Unternehmen sehen sich jeden Tag mit neuen Bedrohungen, Exploits und Schwachstellen konfrontiert. Zudem sind die Ressourcen in Sicherheitsteams begrenzt. Infolgedessen nutzt man KI, um viele Aufgaben abzudecken, die früher manuelle Eingriffe erforderten.
Unter den Vorteilen des Einsatzes von künstlicher Intelligenz in der IT-Sicherheit ragen zwei besonders heraus. Dazu gehört die Fähigkeit von KI, Bedrohungen in Echtzeit richtig zu priorisieren und einzuordnen. Hierfür werden große Mengen an gesammelten Sicherheitsdaten von Systemen gesichtet. Damit müssen Administratoren nicht mehr manuell eine große Anzahl Dashboards der verschiedenen Tools überprüfen, um dann zu bestimmen, welche Bedrohungen wie angegangen werden müssen.
Stattdessen können sich Admins auf die eigentliche Lösung des Problems konzentrieren, statt zunächst das Problem identifizieren zu müssen. Derlei Funktionalität ist seit vielen Jahren in Sicherheits-Tools integriert. Neuere Plattformen sind in der Lage, die Daten aus einer Vielzahl von Sicherheitslösungen und Netzwerkgeräten auszuwerten und in einer zentralen Plattform zusammenzufassen.
Sobald eine Plattform so zentral agieren kann, liefert sie einen vollständigen End-to-End-Überblick über den allgemeinen Sicherheitszustand des gesamten Netzwerks. Diese Lösungen werden auch als Network Detection and Response (NDR) bezeichnet. Mit diesen KI-basierten Werkzeugen sollten Security-Admins künftig vertraut sein.
Der zweite wichtige Vorteil KI-basierter Lösungen ist der Ansatz, den Systemen auch eine der eigenen Struktur angemessenen Risikokorrektur beizubringen, um diese zu automatisieren. Dieses Konzept ist noch relativ jung und erfordert von den Sicherheitsadministratoren die Fähigkeit, die KI so zu schulen, dass sie auf der Grundlage von Faktoren – wie etwa dem Risikoniveau der Bedrohung – richtig reagiert. Beispielsweise, dass sich die KI für die Abhilfemaßnahmen entscheidet, die die geringsten Auswirkungen auf den Geschäftsbetrieb des Unternehmens haben.
Damit das mit der Automatisierung von Security-Abläufen auch richtig funktioniert, müssen die Security-Mitarbeiter natürlich in der Lage sein, die KI-basierten Lösungen entsprechend zu steuern.
In welchem Bereich der IT-Sicherheit sollte KI zuerst eingesetzt werden?
Längst ist KI in irgendeiner Ausprägung Bestandteil aller Security-Tools neueren Datums. Damit ist es fast unabwendbar, dass zumindest mit einem Upgrade die Verwendung künstlicher Intelligenz in der eigenen Cybersicherheit Einzug hält. Will man dies gezielt steuern, kann es durchaus eine Herausforderung sein, für welchen Teil der eigenen Umgebung derlei Technologie am ehesten eine Einführung in Frage kommt. Der Fahrplan zur Einführung von KI-basierten Tools unterscheidet sich nicht von der Integration anderer Sicherheitswerkzeuge. Eine solide Grundlage im Netzwerk zu schaffen, ist stets eine gute Idee.
Das Netzwerk ist seit jeher ein wichtiger strategischer Einsatzort für Sicherheits-Tools wie Firewalls, Intrusion-Prevention-Systeme, Web-Gateways und sicheren Fernzugriff. Wenn Unternehmen die vorhandenen Tools durch solche mit KI ersetzten möchten, sollten sie darauf achten, dass diese dennoch so weit wie möglich in der eigenen Umgebung agieren. Ein Großteil des Data Mining und der Analyse kann im eigenen Rechenzentrum oder der Public Cloud stattfinden. Die Menge der anfallenden relevanten Sicherheitsinformationen, die sich aus Routern, Switches und netzwerkbasierten Security-Tools abrufen lassen, erreicht schnell eine immense Dimension.
Es gilt zu berücksichtigen, dass Lösungen mit künstlicher Intelligenz, um wirklich produktiv zu sein, einen kontinuierlichen Strom an Sicherheitsinformationen zur Analyse benötigen. Und für sicherheitsrelevante Daten ist das Netzwerk selbst eine ganz treffliche Quelle.
Dazu gehören natürlich immer unter allen Datenschutz- und Compliance-Aspekten die Flussdaten im Netzwerk, Deep Packet Inspection (DPI) sowie weitere Netzwerk-Telemetrie-Informationen. Die Informationen können von einer entsprechend KI-basierten Lösung extrahiert, gebündelt und dann analysiert werden. Das ist ein weiterer Grund, warum sich NDR-Systeme zunehmender Beliebtheit erfreuen.
Eine aufs Netzwerk ausgerichtete Bereitstellung entsprechender Lösungen dürfte im Hinblick auf die Investition ein effizienter Ansatz sein. Eine netzwerkorientierte KI-Plattform kann Bedrohungen schnell erkennen und die Risiken für das Unternehmensnetzwerk (LAN wie WLAN) und Remote-Anwender mindern.
Und zudem lassen sich diese auch für die Überwachung und Sicherung öffentlicher und privater Cloud-Ressourcen nutzen. Selbstredend ist das Netzwerk meist nicht der preiswerteste oder technisch einfachste Teil der IT-Infrastruktur, um mit dem Einsatz von KI-Security-Tools zu beginnen. Aber es dürfte eindeutig der Bereich sein, der das größte Potential bietet.
Welche Risiken birgt der Einsatz von KI-basierten Security-Werkzeugen?
Natürlich bringt die Nutzung KI-basierter Lösungen einige Vorteile mit sich. Aber wie jede Technologie kann dies auch mit Risiken verbunden sein. Künstliche Intelligenz kann jedoch nur dann sinnvolle Ergebnisse abliefern, wenn sie hinsichtlich neu auftretender Bedrohungen und Änderungen an der physischen oder logischen Infrastruktur auf dem Laufenden ist.
Längst ist künstliche Intelligenz in irgendeiner Ausprägung Bestandteil aller Security-Tools neueren Datums.
Damit eine KI-basierte Lösung effektiv arbeiten kann, müssen die Security-Admins die Technik so abstimmen, dass diese auch versteht, welche Daten am wichtigsten sind, was legitim ist oder was als fragwürdig angesehen werden kann. Und natürlich, welche Bedrohungen für das Unternehmen am gefährlichsten sind. Ohne diese Betreuung und Versorgung mit Informationen kann eine KI-zentrierte Sicherheitsplattform ihr Potenzial keinesfalls entfalten.
Und natürlich sind KI-basierte Systeme auch verwundbar – beziehungsweise angreifbar. Weniger redliche Naturen verbringen viel Zeit damit, die KI-basierten Tools zu untersuchen, die Unternehmen zum Schutz einsetzen.
So gibt es durchaus Bereiche, in denen KI-basierte Ansätze vorhersehbarer sind als das menschliche Handeln. Angreifer wissen das, und dies ist einer der Gründe, warum sie daran arbeiten, die KI-Systeme zu umgehen. Das macht einen mehrstufigen Ansatz für die Cybersicherheit so wichtig, bei der KI und menschliche Expertise sich ergänzen.
In vielen Fällen sind KI-basierte Lösungen auch nicht in der Lage, das große Ganze im Hinblick auf die Transparenz der gesamten IT-Infrastruktur und des Unternehmens an sich zu erkennen. Diese Einschränkungen kann auch nur ganz einfach technische oder organisatorische Ursachen haben, so dass der Lösung nicht alle relevanten Informationen vorliegen.
Wenn dann aus dieser eingeschränkten Perspektive Entscheidungen getroffen werden, sind es unter Umständen nicht diejenigen, die aus einer allgemeinen Unternehmensperspektive tatsächlich die besten Entscheidungen wären. Schlussendlich bedeutet dies, dass unabhängig davon wie automatisiert und intelligent überwacht die Netzwerkinfrastruktur ist, sollten Administratoren die großen Entscheidungen zur Behebung von Sicherheitsproblemen treffen.
Wird KI für die Cybersicherheit eingesetzt, kann eine entsprechende Lösung immer nur so intelligent sein, wie die Daten und Bedrohungsinformationen, die ihr vorliegen. Security-Tools müssen daher immer die besten lokalen und externen Quellen für Bedrohungsinformationen anzapfen können.
Gleichzeitig müssen Security-Teams wissen, dass immer mehr zugeführte Daten nicht gleichbedeutend mit einer besseren Aufklärung sind. Daten können die KI auch aus dem Takt bringen, verlangsamen oder überfordern, etwa bei vielen Dopplern. Daher sollte ein wichtiger Ansatz sein, die nützlichsten Daten aus einer Vielzahl von Quellen zu beschaffen.
