KI für Cybersecurity – Hype oder Hoffnung

Erstens wird der Begriff Künstliche Intelligenz (KI) auf dem heutigen Markt gnadenlos überstrapaziert. Besonders in Bezug auf Cybersecurity ist es gängig, KI so oft und so beiläufig zu erwähnen, dass der Begriff seine Bedeutung verliert. KI liegt im Trend: Immer wieder finden sich Verweise auf „KI-verstärkte“ oder „KI-gesteuerte“ Sicherheitslösungen, die streng genommen keine KI-Implementierungen sind. Oft handelt es sich lediglich um regelbasierte Systeme oder Workflows vom Typ „Wenn … –  dann …“.

Zweites Problem: Ein Großteil der Öffentlichkeit versteht KI falsch und ist deshalb anfällig für Sensationsmeldungen in der Mainstream-Presse. Der Google-Ingenieur Blake Lemoine erregte vor kurzem weltweites Aufsehen: Er behauptete, ein Chatbot-System sei empfindungsfähig geworden. In einem Dialog habe der Chatbot sich als Person ausgegeben und unaufgefordert Ängste über die eigene Sterblichkeit geäußert. Google hat die Behauptung von Lemoine umgehend entkräftet. Aber für Nicht-Experten entsteht durch derartige Geschichten ein anderer Eindruck.

Der Nutzen von KI in der Cybersecurity

Im Bereich der Cybersecurity ist KI sicher nicht dafür vorgesehen, sich zu verselbstständigen. Dennoch bietet sie einen weitaus größeren Nutzen als ein einfacher, regelbasierter digitaler Wächter. Dieser meldet automatisch Anomalien, ohne den Kontext zu berücksichtigen. Das bedeutet, er hat weder Kenntnis von Präzedenzfällen, noch von parallel laufenden Ereignissen.

Heute brauchen wir antizipierende Funktionen. Damit können wir Bedrohungen erkennen, die über bekannte Angriffstools hinausgehen, um auf die Ziele eines Angreifers zu schließen. Wir brauchen Lösungen, die skalierbar sind, ohne an Leistung einzubüßen. Lösungen, die bisher unbekannte Formen von Cyberangriffen vorhersehen können. KI ist daher ein unverzichtbares Instrument, um sich gegen aktuelle Bedrohungen zu verteidigen.

Einige Hersteller nutzen tatsächlich maschinelles Lernen und fortschrittliche Analysen. Auf diese Weise lassen sich nicht nur Anomalien erkennen, sondern auch Bedrohungen. Effiziente Produkte identifizieren Verhaltensweisen und Muster von Angreifern im Zeitverlauf und Kontext der lokalen Umgebung – und hunderter weiterer Clouds und Netzwerkdomänen, die wir schützen. Sie klassifizieren Bedrohungen nach Schweregrad, heben echte Angriffe hervor und stellen Tools und Daten zur Verfügung, die rasche Abhilfe ermöglichen.

Vier Fragen, um den Wert einer KI-Lösung zu bestimmen

Doch wenn KI nicht gleich KI ist und es Angebote gibt, die nicht so gut sind, wie es den Anschein hat: Wie lässt sich der Unterschied erkennen?

Unternehmen sollten sich die folgenden vier Fragen stellen. Die Antworten geben Aufschluss darüber, wie effektiv ein KI-Angebot wirklich ist.

‍Konzentriert sich das KI-Angebot auf das, was ungewöhnlich ist, oder auf das tatsächliche Sicherheitsproblem? Ein Produkt, dass allgemein Anomalien aufspürt, besteht diesen Test nicht. Nicht jede Anomalie ist eine Bedrohung. Umgekehrt wird sich nicht jede echte Bedrohung als Anomalie zu erkennen geben. Moderne KI-Lösungen konzentrieren sich darauf, Aktionen und Verhalten von Angreifern hervorzuheben und das Hintergrundrauschen zu minimieren. Dadurch sind mehr umsetzbare Warnungen möglich.
‍

1. Wie und wo setzt ein Anbieter KI ein? Einige nutzen künstliche Intelligenz, um periphere Probleme zu lösen. Wenn es jedoch um die entscheidenden Herausforderungen bei der Ausführung geht, sind sie weiterhin auf alte Technologien angewiesen. Je zentraler die Rolle der KI ist, desto mehr Wert kann sie bieten. Ein professioneller Anbieter setzt KI im Kern seiner Plattform ein – um das Verhalten von Angreifern zu erkennen, mehrstufige Angriffe zu priorisieren und das System zu verwalten.
   ‍
2. Wie sieht es mit dem menschlichen Faktor aus? KI ist nur so gut wie ihre Schöpfer. Sie kann blinde Flecken, Voreingenommenheit oder andere Einschränkungen widerspiegeln. Leistungsstarke Teams mit hoch spezialisierten Fähigkeiten sind für die Entwicklung von KI unerlässlich. Die Datenwissenschaftler und Experten für Sicherheitsforschung bringen vielfältige Fähigkeiten in die KI ein: Diese reichen von den Neurowissenschaften bis zur Physik, von der Reaktion auf Vorfälle in der physikalischen Welt bis zum Reverse Engineering. Ihr profundes Wissen in ihren jeweiligen Gebieten und ihre gesammelte Erfahrung heben Experten von anderen Anbietern ab.
   ‍
   Der menschliche Faktor spielt auch eine Rolle, wenn eine KI-Lösung beim Kunden eingesetzt wird. Die Analystenteams etablierter Anbieter unterstützen und begleiten die SOCs rund um die Uhr. Man könnte sagen: „Wir sollten KI immer nur als Hilfsmittel und Wegweiser betrachten, die fundierte Entscheidung ist in vielen Bereichen nach wie vor Sache des Menschen.“
   ‍
3. Wird KI als Allheilmittel präsentiert? Als Allzweck-Antibiotikum für den Cyberspace? Echte KI funktioniert so nicht. Die sich verändernde, schwankende Topografie der Netzwerkdomänen – beispielhaft durch neue Hybrid-Cloud-Strategien und den Aufstieg von SaaS- und PaaS-Anbietern – stellt uns regelmäßig vor neue Herausforderungen. Seien Sie deshalb vorsichtig bei Anbietern, bei denen Sie das Gefühl haben, dass Ihnen zu viel versprochen wird.

   Darüber hinaus ist die Form zukünftiger Bedrohungen unbekannt. Die besten Verteidigungsstrategien gegen das Unbekannte sind Erfahrung, Flexibilität und die Bereitschaft zur Iteration. In diesem Sinne wenden professionelle Anbieter verschiedene KI-Techniken auf ihre Cybersecurity-Lösungen an. Das erfordert ein kontinuierliches Engagement für Forschung und Innovation. Kein Anbieter kann behaupten, alle Antworten zu kennen.

In echte KI investieren

Eines ist klar: Die Identifizierung echter KI und ihre Optimierung für die Cyberverteidigung ist eine nuancierte und komplexe Aufgabe. Sie kann den menschlichen Einfallsreichtum und das menschliche Urteilsvermögen nicht ersetzen, und schon gar nicht dagegen angehen. Aber sie ist heute das beste Werkzeug, um neue, anhaltende Bedrohungsmuster zu erkennen und sie von harmlosen Anomalien zu unterscheiden. Zwischenzeitlich entwickeln sich die Maßstäbe für KI weiter. Gleichzeitig gehen die Gegenspieler neue Wege, um Technologien in böser Absicht zu nutzen und dabei unentdeckt zu bleiben.