Verbrechensabwehr mit KI

Im Trubel der diesjährigen Münchner Sicherheitskonferenz ging ein wichtiger Report ukrainischer Beamter fast unter: Sie warnten vor den KI-gestützten Attacken russischer Hacker-Netzwerke, die etwa kurz zuvor die Server von Behörden in Bayern lahmgelegt hatten. In immer Fällen nutzen die Banden mittlerweile Maschinelles Lernens (ML), um Daten aus infiltrierten Postfächern zu analysieren und damit möglichst echt anmutende Phishing-Attacken zu generieren.

Missbrauch von großen KI-Modellen

Die beunruhigende Entwicklung dabei ist, dass Kriminelle neben selbstgestrickten Sprachmodellen wie WormGPT oder FraudGPT auch vermehrt große KI-Modelle für ihre Zwecke umfunktionieren. Googles Chatbot Gemini wurde zuletzt mehrfach von Gruppierungen aus Russland, China, dem Iran und Nordkorea eingesetzt, um Sicherheitsarchitekturen auszuspähen, Malware zu optimieren und neue Infiltrierungsmethoden auszuprobieren.

Kein Wunder, dass deshalb auch immer mehr Unternehmen auf KI setzen, um sich gegen automatisierte Angriffe zur Wehr zu setzen. Denn die Technologie ist äußerst schlagkräftig, wenn es darum geht, ihre eigene Handschrift zu erkennen – beispielsweise verdächtige Muster im Code und Verhalten. Der KI-Einsatz in der Cybersicherheit zeigt damit positive Wirkung: Trotz einer exponentiellen Zunahme an Attacken, nimmt die Zahl der erfolgreichen Angriffe nicht im gleichen Maße zu. Grund genug, die wirksamsten Anwendungsfelder von KI-gestützter Softwarearchitektur in den Fokus zu nehmen.

Bedrohungserkennung mit neuronalen Netzen

Ob Datenmuster oder Nutzerverhalten – ML-Modelle lassen sich effektiv darauf trainieren, eine Basislinie zu erlernen und Abweichungen zu erkennen. Dadurch können ML-Modelle automatisierte Angriffe bereits in der Frühphase aufdecken: etwa, wenn Malware zum Einsatz kommt, die zu einer ungewöhnlichen Tageszeit agiert oder von einer neuen IP-Adresse auf ein Portal zugreift. Auch kleinste Details wie eine unpassende Formulierung in einer gefakten Freigabe-E-Mail können das entscheidende Indiz sein.

Daten, Daten, Daten sind deshalb die notwendige Grundlage für das Training von ML-Modellen, die auf neuronalen Netzen basieren. Security-Teams können dabei die besten Ergebnisse erzielen, wenn die verwendeten Daten aus verschiedenen Quellen stammen und in Echtzeit bereitgestellt werden. Hier wird auch klar, weshalb KI aus der Cybersicherheit nicht mehr weg zu denken ist: im neuronalen Netz zirkulieren sehr große Mengen an komplexen Daten völlig autonom zwischen Netzwerkpunkten. Eine Aufgabe, die der Mensch nicht leisten kann.

Das trainierte Netz nutzt das erarbeitete Wissen anschließend zur Bewertung neuer Fälle. Ein Prozess, der als „Inferenz“ bezeichnet wird. Er kommt in vielen ML-Bereichen zum Einsatz – beispielsweise bei der Erkennung von Malware-Aktivitäten im Netzwerk oder um legitime E-Mails von betrügerischen Aktionen unterscheiden zu können.

Branchenspezifische Risikomodellierung

Vom Finanzsektor bis zur Baubranche haben Unternehmen ein eigenständiges Profil bei der Cybersicherheit. Zu den profilbildenden Merkmalen zählen potenzielle Angriffsmuster von Kriminellen ebenso wie die Risiken, die sich aus den Schnittstellen zu Lieferanten oder Kunden ergeben. Je besser die Softwarearchitektur an dieses individuelle Profil angepasst ist, umso effektiver und resilienter kann sie im Falle einer Attacke agieren.

Auch bei der Integration von spezifischen Risiken schlägt die Stunde der KI. Mit ML-Modellen können Unternehmen Schlupflöcher und Bedrohungen identifizieren und ihre Infrastruktur dagegen härten. Das führt zu mehr Agilität im Fraud-Management, weil sich beispielsweise tagesaktuelle Entwicklungen in Echtzeit integrieren lassen. Und es verhindert Fehlinvestitionen, weil die Architektur an das tatsächliche Risiko angepasst wird. Ein unnötig hoher Ressourceneinsatz wird dadurch vermieden.

Ressourcensparende Automatisierung

Security-Experten zählen zu den gesuchtesten Fachkräften, was sie einer zu teuren und seltenen Ressource im Unternehmen macht. In der Automatisierung von Cybersecurity-Abläufen liegt daher auch ein betriebswirtschaftlicher Mehrwert: Administratoren können sich mit wertschöpfenden Tätigkeiten beschäftigen, weil KI-Tools einfache Aufgaben wie die Analyse des Netzwerkverkehrs und das Alert-Management übernehmen. In der Folge wächst im Unternehmen das generelle Wissen um die Netzwerkumgebung. Die kontinuierlichen Analysen im Rahmen des Fraud-Managements bringen Schwachstellen und die Schatten-IT ans Licht.

Durch KI-gestützte Anwendungen werden Sicherheitsteams zudem deutlich reaktionsschneller bei der Erfassung und Analyse von relevanten Daten. Auch das trägt dazu bei, dass die Karten jetzt neu gemischt werden. Je besser sich das verteidigende Security Operations Center (SOC) auf gefährliche Attacken fokussieren kann, umso wahrscheinlicher ist es, dass Angriffe abgewehrt werden, bevor sie großen Schaden anrichten.

Prozessoptimierung mit LLMs

Ausgefeilte Prozesse, die störungsfrei und automatisiert ablaufen – von diesem Idealbild sind SOC-Teams in der Realität oft weit entfernt. Denn Prozessoptimierung steht im Lastenheft oft hinten an, wenn die Auslastung der Mitarbeitenden hoch ist und Abläufe grundlegend funktionieren.

Im Einsatz von generativer KI liegt hier großes Potential. Große Sprachmodelle (LLMs) sind effektiver als ML-Modelle, wenn es darum geht, Inhalte wie Text, Audio, Video und Code zu analysieren und zu optimieren. Dadurch können sie mehr relevante Daten einbeziehen und auswerten und sie von unrelevanten Daten unterschieden. Dieser strategische Umgang mit Datenrauschen (Data noise) ist entscheidend, um eine effektive Analyse durchführen zu können, die jeder Prozessoptimierung zugrunde liegt.

Autonome Modelle: Wo bleibt der Mensch?

Für viele Experten zeichnet sich die Zukunft in der Cybersecurity bereits ab: autonom agierende Modelle analysieren in Echtzeit die Bedrohungslage und treffen selbstbestimmt Entscheidungen, um die Sicherheit zu gewährleisten. Diese Vorstellung ist allerdings für viele Entscheider mit großen Befürchtungen verknüpft. Sie kann sogar dazu beitragen, dass eine generelle Skepsis gegenüber der Prozessautomatisierung entsteht. Pauschal zurückweisen sollte man diese Sorgen nicht, denn es gibt gute Gründe, weshalb Menschen weiterhin die entscheidungsgebenden Funktionen einnehmen sollten.

Eine der aktuellen Schwachstellen von KI-Systemen liegt darin, dass sie oft nur eine unzureichende Begründung für ihre Entscheidungsfindung liefern. Schon aus Compliance-Gründen ist es daher wichtig, diese Schwachstelle zu kennen und zu berücksichtigen. Wie weit KI-Systeme im Unternehmen autonom agieren dürfen, hängt deshalb von der Risikobereitschaft im Unternehmen und dem unternehmensspezifischen Cyberrisiko ab.

Das produktive Potential von KI-gesteuerten Systemen sollte dabei nicht völlig in den Hintergrund gedrängt werden, auch wenn KI-gestützte Systeme derzeit die überwiegende Realität sind. Denn wenn sie für positive Erfahrungen sorgen, kann aus einem langsamen Start auch schnell ein intensiver Sprint werden.

Zac Warren

ist Chief Security Advisor EMEA bei Tanium.