KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist der KI-Einsatz sinnvoll, fragt Sebastian Schmerl von Arctic Wolf.

Eine Studie von Arctic Wolf ergab, dass trotz des derzeitigen KI-Hypes nur 22 Prozent der Unternehmen den Großteil ihres Cybersicherheitsbudgets für KI-gestützte Lösungen verwenden. Warum aber diese Zurückhaltung beim Einsatz von KI? Fast 40 Prozent der Befragten haben Bedenken hinsichtlich der unzureichenden technischen Fachkenntnisse und Fähigkeiten ihrer Teams haben, um KI effektiv in der Praxis zu nutzen. Auch die Kosten, die potenziellen Auswirkungen und die Investitionsrendite sind Faktoren, die die Implementierung von KI-Technologie in die Unternehmenssysteme verzögern oder sogar verhindern.

KI im Unternehmen also nicht weiterverfolgen? Nein, das wäre wahrlich nicht der richtige Ansatz. Es gilt jedoch genau hinzuschauen, wo KI lediglich ein Buzzword ist, um dem allgemeinen KI-Hype Rechnung zu tragen, und wo sie wirklich einen Mehrwert schafft. Denn in der Cybersecurity ist der Einsatz von künstlicher Intelligenz in bestimmten Bereichen zur Verbesserung der Prozesse – vor allem von Machine Learning (ML)-Methoden und Large Language Models (LLM) – durchaus sinnvoll und kann den Schutz der Systeme erheblich verbessern.

 Bedrohungsanalyse und Anomalieerkennung 

Jeder User legt entsprechend seiner Position und Aufgaben ein „Normalverhalten“ an den Tag. Die KI „lernt“ im Zeitverlauf dieses Normalverhalten durch Training. So greift beispielsweise die Vertriebsverantwortliche immer aus dem Büro in Berlin auf das CMS und die CCM-Lösung zu. Sie verhält sich mit individuellen Besonderheiten entsprechend ihrer Rolle. Weicht das Verhalten dann einmal dramatisch von dieser Norm ab – die Userin möchte plötzlich auf Systeme der Finanzbuchhaltung zugreifen – erkennt die KI die Anomalie sowie ein potenzielles Risiko und schlägt Alarm. Denn: Hacker, die sich auf dem Unternehmenssystem einnisten und dort eine User-Identität übernehmen, zeigen üblicherweise Abweichungen vom Normalverhalten des jeweiligen berechtigten Nutzers. Sie versuchen z. B. sich Zugang zu Systemen zu verschaffen, die der jeweilige User in seinem Alltag nicht nutzt. Security Engineers analysieren die gemeldete Anomalie und bewerten, ob tatsächliche eine Bedrohung vorliegt.

Doch nicht nur menschliches Verhalten kann die KI überwachen. Auch die Vorgänge innerhalb von Systemen und Services verlaufen in einer charakteristischen Abfolge. Eine Änderung dieser Abläufe erkennt das KI-System. Es reagiert auf verdächtige, mutmaßlich kompromittierte – durch Angreifer übernommene – Identitäten und schlägt ebenfalls Alarm.

 Generell gilt jedoch: Die KI muss konstant weitertrainiert werden, um über sich verändernde Verhaltensmuster und sich weiterentwickelnde Programme „auf dem Laufenden“ zu bleiben.  Nur so kann sie langfristig und zuverlässig Anomalien erkennen. Ein einmaliges Training der KI reicht nicht aus.

Incident-Response-Automatisierung

Auch bei der Automatisierung von Incident-Response-Maßnahmen kann KI unterstützend eingesetzt werden. Dabei empfiehlt das KI-Tool Sicherheitsverantwortlichen beim Auftreten von Problemen und Anomalien im Vorfeld gelernte Reaktionsmaßnahmen. Man könnte dies mit dem Schema von Amazon-Kaufempfehlungen vergleichen: „Forensic Engineers, die folgende Anomalie beobachtet haben, haben folgende Maßnahmen durchgeführt.“ Die KI gibt also auf Basis von vergangenen Erfahrungen und Learnings Hinweise für die derzeitige Bedrohungslage. So können auch IT-Verantwortliche mit begrenztem Security-Know-how schnell die richtigen Schritte unternehmen. Zudem können z. B. die Kommunikation und der Netzwerkverkehr, die von einer bestimmten IP-Adresse ausgehen, bei Verdacht auf maliziöse Absichten automatisiert gesperrt werden.

Phishing-Erkennung 

Smarte Security-Lösungen lernen Normalverhalten und können in Dokumenten und E-Mails auch den Schreibstil analysieren, z. B. hinsichtlich Rechtschreibung, Syntax, Höflichkeitsfloskeln und Formulierungen. Das ist extrem hilfreich in der Phishing-Erkennung. Die KI erkennt Muster, analysiert Sprachmerkmale und gleicht sie mit vormals gelernten Mustern individueller Nutzer im Unternehmen oder aber typischen E-Mailformaten für bestimmte Nachrichtentypen ab. So kann das Tool Alarm schlagen, wenn es den Verdacht hat, dass eine Mail z. B. nicht von dem angegebenen Absender stammt: Frau Müller aus dem Accounting macht nicht derart viele Rechtschreibfehler und schreibt zudem nie direkt Kollegen an, um sie dazu aufzufordern, ihre Kontodetails per Mail zu teilen. Die KI-Unterstützung bei der Spam- und Social-Engineering-Erkennung ist besonders wichtig, weil auch die Cyberkriminellen immer raffinierter werden und es mit dem menschlichen Auge immer schwieriger wird, betrügerische Nachrichten zu erkennen.

Malware-Erkennung

Für die Erkennung von Schadsoftware gibt es zwei Ansätze: eine statische und eine verhaltensbasierte, dynamische Analyse. Bei ersterer geht es um die Erkennung von Mustern in Malware. Wenn eine Datei etwa einen spezifischen String im Code hat, ist sie als verdächtig zu bewerten. In Zukunft wird jedoch vermehrt ein dynamischer Analyseansatz zum Einsatz kommen. Hier wird in der Sandbox geprüft, wie sich die schädliche Software verhält. Auch diese Maßnahme ist keine „Silverbullet“. Allerdings erhöht eine ausgereifte Malware-Erkennung den Angriffsaufwand für Cyberkriminelle erheblich. Angreifer wenden sich dann eher anderen, „einfacheren“ Zielen zu. Eine umfassende Malwareerkennung und -abwehr mit KI-Unterstützung bedeutet also eine deutliche Verringerung der Angriffsattraktivität von Unternehmen.

Risikobewertung und Schwachstellenmanagement

IT-Umgebungen – Cloud, hybrid, On-Premises – werden immer komplexer. Daher kommt es beim Risiko- und Schwachstellenmanagement vor allem auf die Zusammenhänge und Abhängigkeit von IT-Services und Systemen an. Der Grund: Ein Angreifer kann sich zunächst zu einem nachgelagerten System Zugang verschaffen und sich dann über Zwischenschritte zu zentralen Systemen wie dem ERP vorarbeiten. Daher müssen gleich zwei Fragen geklärt werden. Erstens: Welche Systeme und Anwendungen nutzen wir tatsächlich im Unternehmen? Es braucht eine umfassende Inventur und eine Priorisierung der Relevanz und Kritikalität der einzelnen Systeme: Welche enthalten unternehmenskritische Daten, welche sind essenziell notwendig zur Aufrechterhaltung der Business Continuity? Und zweitens: Welche Abhängigkeiten und Verbindungen bestehen zwischen den verschiedenen Systemen innerhalb einer Organisation? Diese Information kann aus Verkehr- und Logdaten exfiltriert werden.

Wenn dann Schwachstellen entdeckt werden, muss sofort eine Bewertung erfolgen, ob diese kritisch und/oder leicht auszunutzen sind. KI-Technologie hilft bei der Analyse der immensen Datenmengen und kann statistische Korrelationen aufzeigen, die auf Zusammenhänge und IT-Service-Abhängigkeiten hindeuten. Der tatsächliche Zusammenhang muss am Ende dann noch einmal von einem menschlichen Sicherheitsverantwortlichen validiert werden.

Security Information and Event Management

Im Bereich Security Information and Event Management (SIEM) kommen sehr großen Datenmengen zusammen. Diese müssen zentralisiert und nach Mustern ausgewertet werden. Eine Mammutaufgabe, deren Automatisierung durch Einsatz von LLM erheblich vereinfacht wird. So können Analysten natürlichsprachige Fragen stellen, die dann in komplexe Suchanfragen für das SIEM übersetzt werden. Dadurch können Analysten durch geschickte Anfragen (Prompting) nahezu ohne SIEM-spezifisches Wissen Zusammenhänge oder Auffälligkeiten identifizieren, nach denen typischerweise im Bereich IT-Operations und IT-Security gesucht wird.

Durch KI-Einsatz erhalten Sicherheitsverantwortliche einen umfassenden Überblick darüber, auf welche Systeme, Applikationen und Daten User üblicherweise zugreifen, welche Berechtigungen sie aktuell haben und welche sie regelmäßig nutzen und benötigen. Das System zeigt dann automatisch, welche Berechtigungen nicht gebraucht und somit entfernt werden können – eine wichtige Präventivmaßnahme. Denn: Durch die Beschränkung der Zugriffsrechte, erhalten auch potenzielle Angreifer nur den wirklich erforderlichen, begrenzten Zugang zur IT-Infrastruktur.

Predictive Analytics

 KI wird ebenfalls eingesetzt, um Vorhersagen zu Systemschwierigkeiten zu treffen. Ergaben sich etwa in der Vergangenheit oftmals Probleme bei der Anwendung bestimmter Programme oder Applikations-Kombinationen – wie Java oder ähnlicher Software, die stark auf unterschiedlichen Paketen aufbaut – so besteht eine hohe Wahrscheinlichkeit, dass diese in Zukunft ebenfalls auftreten und dass gut oder schlecht funktionierende Kombinationen von Anwendungssoftware, Betriebssystemen, Hardware und deren Versionen identifiziert werden können.

KI-Einsatz im SOC

In Security Operations Centern (SOC) ergeben sich weitere KI-Einsatzmöglichkeiten, darunter das Erstellen von Threat Reports in natürlicher Sprache aus IT-Forensik-Artefakten bei einem Sicherheitsvorfall, bzw. die umgekehrte Richtung der Übersetzung von Threat Reports (in natürlicher Sprache) in Suchanfragen, um nach den Angriffsspuren in der eigenen IT-Infrastruktur zu suchen. Ferner lassen sich im SOC Sicherheitsalarme nach Ursachen gruppieren, um diese dann zusammen strukturiert effizient abzuarbeiten. SOC-as-a-Service-Anbieter wie Arctic Wolf nutzen KI derart als Unterstützung, um den Schutz der IT-Infrastruktur von Kunden bestmöglich sicherzustellen.

Mensch-Maschine-Kommunikation in natürlicher Sprache

Zusätzlich zu den genannten konkreten Einsatzmöglichkeiten von KI in der Cybersecurity verbessert generative KI heute die Kommunikation zwischen Systemen und Usern. Sie dient folglich als Mensch-Maschine-Schnittstelle. Beispiel hierfür sind Anfragen in ChatGPT, die in natürlicher Sprache gestellt werden. Ganz ähnlich können IT-Teams heute durch Einsatz von LLM und Transformatoren statt einer Query in einer eigens dafür vorgesehen Sprache eine Anfrage in einfachen Sätzen formulieren, eine enorme Erleichterung – vor allemfür einen Nutzerkreis, der keine tiefergehende Expertise in Sicherheitslösungen besitzt.

Fazit: Menschliche und künstliche Mitarbeiter müssen lebenslang lernen

Der Einsatz von KI birgt ein großes Potenzial. Das haben insbesondere Cyberkriminelle schnell erkannt. Und genau deshalb muss auch die Verteidigerseite KI nutzen, um sich effektiv zu schützen. Dabei ist jedoch wichtig, genau zu evaluieren, in welchen Szenarien der KI-Einsatz tatsächlich effektiv und kosteneffizient ist. Und natürlich braucht es auch in Zukunft noch immer einen Menschen, um in den meisten Fälle die Situation final zu bewerten – denn auch die besten KI-Ansätze können bei der Bewertung der Daten falsch liegen oder „halluzinieren“. Das Tätigkeitsfeld von Analysten wird also kontinuierlich um mehr und mehr Prompt-Engineering erweitert. Ferner müssen Analysten KI-Korrelations- und Modellgrenzen verstehen und KI-Ergebnisse verifizieren und einschätzen können. Es bleibt spannend, welche KI-Entwicklungen uns in der Cybersicherheit noch erwarten werden.

Dr. Sebastian Schmerl

ist Vice President Security Services EMEA bei Arctic Wolf.