Neugierig, wie künstliche Intelligenz unsere Informationssicherheit revolutioniert? Natascha Becker, Information Security Officer, gibt Einblicke in die Welt der Bedrohungserkennung, Schwachstellenanalyse und automatisierten Reaktionen. Wir haben mit ihr darüber gesprochen, warum KI sowohl Schutz als auch Herausforderung ist und wie sie uns in der Cybersecurity unterstützt. Die wichtigsten Fragen erklärt sie in unserem Format “REWE Group Short – KI erleben”.
one: Seit wann nutzen wir KI in der Cybersecurity?Natascha Becker: KI ist tatsächlich gar nicht neu in der Informationssicherheit nur hat es in den letzten Jahren erheblich an Präsenz und Aufmerksamkeit gewonnen. Schon seit den 1980er Jahren werden in der Cybersecurity große Datenmengen in Echtzeit analysiert, um möglichst schnell Muster und mögliche Bedrohungen zu erkennen. Heute ist KI in fast allen Bedrohungserkennungssystemen, wie z.B. Endpoint Protection, Security und Event Management Systeme (SIEM) oder Intrusion Detection Systeme (IDS) integriert.
Endpoint Protection überwacht unsere Geräte und schützt sie vor Viren, Malware und anderen Bedrohungen. Ein SIEM-System sammelt und analysiert Hinweise und Ereignisse aus verschiedenen Datenquellen unserer IT-Infrastruktur, um Bedrohungen frühzeitig zu erkennen. IDS überwacht den Datenverkehr u.a. im Netzwerk und meldet verdächtige Aktivitäten oder Einbruchsversuche, damit Sicherheitsexperten schnell reagieren können.
one: Das Bundesamt für Sicherheit in der Informationstechnik, BSI, schreibt, dass KI - insbesondere LLMs - also Sprachmodelle, die mit großen Mengen Text trainiert wurden, wie beispielsweise ChatGPT - die Einstiegshürden für Cyberkriminelle senken. Das führe zu fähigeren Angreifern und qualitativ besseren Angriffen. Nun sagst du, dass KI uns genau vor dieser Bedrohung schützt. Wie geht das zusammen?
Natascha Becker: KI kann uns leider nicht vor all diesen Bedrohungen schützen, insbesondere in Bereichen, in denen der Mensch der Angriffsvektor ist, sind wir auch stark auf unsere Kolleginnen und Kollegen angewiesen, die gewissenhaft ihre Arbeit erledigen, stets aufmerksam gegenüber ungewöhnlichen Vorkommnissen sind und diese auch über die bekannten Stellen melden. KI kann uns aber dabei helfen, Bedrohungen in unserem Unternehmensnetzwerk zu erkennen, indem sie die Ereignisse oder Aktivitäten von allen Systemen seien es Server, Firewalls, Anwendungen oder ähnliches analysiert und Muster erkennt.
Ein Beispiel: Es gibt die „normalen“ Muster. Ich melde mich morgens bei M365 an, dann noch bei Confluence und vielleicht noch in einem Miro-Board. Nun versucht aber mein Benutzer plötzlich, sich willkürlich an irgendwelchen Systemen anzumelden, die ich sonst in meinem Arbeitsalltag nicht nutze. Genau das wird dank KI schnell als Anomalie erkannt und unseren Experten gemeldet. Die gehen dann auf die Suche nach der Ursache. Das ist ein sehr vereinfachtes Beispiel, aber es veranschaulicht, was auf einer großen Skala Tag und Nacht 365 Tage im Jahr in unserer IT-Infrastruktur analysiert wird. Was sind normale Muster und was weicht von diesem Muster ab und kann potenziell eine Bedrohung sein?
Während KI die Einstiegshürde für Cyberkriminelle senkt und damit eine ernstzunehmende Bedrohung darstellt, ist es ebenso eine Technologie, die uns in der Informationssicherheit bei der Verteidigung gegen solche Angriffe hilft.
Neue Technologien können dabei die Spielregeln in der Angreifer- vs. Verteidiger-Dynamik verändern und man muss lernen die neuen Technologien für sich zu nutzen, um sich gegen neue Angriffstechniken verteidigen zu können.
one: Was wären typische Beispiele für die Bedrohungserkennung? Und warum wäre hier ein KI-System einem klassischen System überlegen?
Natascha Becker: Da KI-Systeme in der Lage sind, eigenständig Muster zu identifizieren, lassen sich insbesondere neue oder weniger bekannte Angriffsmuster mit KI zuverlässiger erkennen. Das unterscheidet sie von klassischen und oft älteren Bedrohungserkennungs-Systemen, denen bis zu einem gewissen Grad vorgegeben werden muss, wonach zu suchen ist.
one: Was genau würde man sich unter einer automatisierten Reaktion vorstellen? Und wäre das ein erwünschtes Szenario?
Natascha Becker: Eine Möglichkeit ist es z. B., Systeme automatisch zu isolieren, wenn entsprechende Bedrohungsszenarien erkannt werden. Hierfür muss natürlich vorher durch Menschen geprüft werden, ob diese Isolation Auswirkungen auf den Geschäftsbetrieb hat. Ist dies der Fall, muss bewertet werden, ob diese Auswirkungen zu vertreten sind, um ein potenziell größeres Risiko zu vermeiden.
one: Kommen wir zum nächsten Einsatzbereich: Schwachstellenanalyse. Man hört immer wieder von Einfallstoren, die über längere Zeit, selbst bei weit verbreiteten Anwendungen, wie Microsoft, unentdeckt blieben. Könnte das künftig mit KI verhindert werden?
Natascha Becker: In der IT-Sicherheit ist Schnelligkeit entscheidend. Mit KI-gestützten Schwachstellenanalysen kann man die Prozesse zur Identifikation von Schwachstellen beschleunigen, in dem man sie z. B. für die Echtzeitanalyse von Code einsetzt. Übrigens kann man richtig eingesetzt auch die Zahl der falschen Warnungen oder Entwarnungen verringern und dadurch die Genauigkeit verbessern.
one: Damit wären wir dann aber auch bei den Herausforderungen von KI im Kontext der IT-Sicherheit.
Natascha Becker: Ja, KI erleichtert es Angreifern beispielweise glaubwürdige Phishing Mails zu erstellen oder kann Cyberkriminellen beim Schreiben von einfachem Schadcode unterstützen. Aber sie hilft uns auch, genau diese Tricks schneller zu entlarven. Insofern ist sie im Grunde Waffe und Abwehrinstrument in einem.
Allerdings bringt KI auch eigene Herausforderungen mit sich – besonders wenn es darum geht, die Informationssicherheit für das Unternehmen beim Einsatz von KI sicherzustellen. Ein zentrales Problem ist, dass KI-Systeme oft wie eine „Black Box“ funktionieren: Es ist schwer nachzuvollziehen, wie genau sie Informationen verarbeiten. Für Fachleute, die für die Sicherheit von Daten verantwortlich sind, ist es deshalb deutlich schwieriger einzuschätzen, wie sicher unsere Informationen sind, sobald sie von einer KI verarbeitet werden – im Vergleich zu herkömmlicher Software, deren Funktionsweise in der Regel besser nachvollziehbar ist.
Aus meiner Sicht ist aber der erleichterte Zugang zu Information ein großer Vorteil. Klar KI-Chatbots machen Fehler und generieren manchmal falsche Informationen, was eine Herausforderung darstellt. Aber sie ermöglichen es auch, uns Wissen anzueignen. Ähnlich wie in den 90ern das Internet, bietet KI, sofern sie richtig eingesetzt wird, einen guten ersten Einstieg, um schneller zur richtigen Information zu kommen und sich in der großen Wissenssammlung des Internets oder auch der REWE Group zurechtzufinden.