Der Wert der KI für die Cybersicherheit ist hinlänglich belegt. Es stellt sich die Frage, ob die Bewertung von KI als Allheilmittel in der IT-Sicherheit mehr schaden als nützen könnte.
Künstliche Intelligenz (KI) und insbesondere der Teilbereich des Machine Learning (ML) sorgen in der Cyber-sicherheits-Community schon seit einiger Zeit für Aufsehen. Und spätestens im Zuge der Debatte rund um ChatGPT hat der Hype einen neuen Höhepunkt erreicht. Allerdings wirft das die Frage auf, ob KI wirklich das Allheilmittel der Cybersecurity ist, für das es von so manchem in der Branche gehalten wird, oder nur ein weiteres Werkzeug in einem bereits umfangreichen Arsenal?
Forbes postulierte Ende letzten Jahres, dass KI in allen Geschäftsbereichen Einzug halten wird, und Gartner machte KI gleich in mehrfacher Hinsicht als einen der Top Trends für 2023 aus [1] [2]. IT-Sicherheitsexperten scheinen diese Einschätzung zu teilen. Eine Studie des Capgemini Research Institute unter mehr als 850 Führungskräften aus den Bereichen IT-Informationssicherheit, Cybersicherheit und IT-Betrieb förderte folgende Erkenntnisse zutage [3]:
- Fast zwei Drittel der Führungskräfte bezweifeln, dass sie kritische Bedrohungen ohne KI erkennen können.
- Drei von fünf Unternehmen sagen, dass KI die Genauigkeit und Effizienz von Cyberanalysten verbessert.
- Rund drei Viertel der Unternehmen prüfen Einsatzszenarien für die KI.
Künstliche Intelligenz ist zweifellos von Bedeutung bei der Cybersicherheit von Unternehmen. Aber wird ihr Potenzial nicht zuweilen überschätzt?
Was darf von KI und ML erwartet werden? KI und die ML-Anwendungen Natural Language Processing und Robotic Process Automation werden in letzter Zeit häufig als Schlagworte verwendet, sind aber in der Welt der Cybersicherheit beileibe nicht neu. Der traditionelle Spam-Filter gilt als das früheste Beispiel für ML. Er stammt aus den frühen Nullerjahren. Mit der Zeit hat sich die Leistungsfähigkeit dieser Tools sukzessive erweitert, angefangen mit der Filterung bestimmter Wörter bis hin zum Scannen von URLs, Domänen, Anhängen und vielen weiteren Aspekten.
Allerdings sind es die neuesten Entwicklungen in der KI, die die Blicke der Branche auf sich ziehen. Und das aus gutem Grund: KI macht große Fortschritte und hilft bei der Abwehr einer Reihe von Bedrohungsvektoren. Betrugserkennung, Malware-Erkennung, Intrusion Detection, Risikobewertung und Analyse des Benutzer-/Maschinenverhaltens sind die fünf wichtigsten Einsatzbereiche. Solche Anwendungen sind weiter verbreitet, als es gemeinhin bekannt sein dürfte. Untersuchungen von Capgemini haben ergeben, dass mehr als die Hälfte der Unternehmen KI bereits bei mindestens fünf Anwendungsfällen zum Einsatz bringt [4].
Bei der Frage, was es mit dem KI-Hype auf sich hat, geht es folglich nicht um den Wert von KI als solches. Dieser ist hinlänglich belegt. Vielmehr geht es darum, ob die Bewertung von KI als Allheilmittel in der IT-Sicherheit mehr schaden als nützen könnte. Denn wenn sich die Diskussion auf Vorstandsebene einzig um den Einsatz von KI zur Verbesserung der Cybersicherheit dreht, geht damit auch ein großes Risiko einher: Die Gefahr besteht, dass sich eine gewisse Selbstzufriedenheit in Bezug auf den Schutz vor neuen Bedrohungen einstellt.
Trotz all ihrer Vorzüge handelt es sich bei KI nicht um eine allumfassende Lösung. KI mag in der Lage sein, tiefer gehende Analysen in viel kürzerer Zeit durchzuführen als Menschen, aber aktuell sind wir noch ein gutes Stück davon entfernt, dass sie die erste, letzte und einzige Verteidigungslinie bilden könnte. In diesem Zusammenhang ist es von großer Bedeutung, dass KI als ein Werkzeug zur Unterstützung von Cybersicherheitsteams verstanden wird. Und nicht als eine Methode, die menschliches Agieren zu ersetzen imstande wäre – denn Cyberabwehr ist am robustesten, wenn Mensch und Technologie Hand in Hand arbeiten.
Eine aktuelle Studie des Massachusetts Institute of Technology (MIT) hat ergeben, dass eine Kombination aus menschlichem Fachwissen und maschinellen Lernsystemen – das so genannte überwachte maschinelle Lernen (Supervised Machine Learning) – wesentlich effektiver ist als Menschen oder ML allein [5]. Das überwachte Modell schnitt 10 Mal besser ab als das alleinige ML-Äquivalent.
Mensch und Maschine: Zusammenarbeit mit der KI. Die MIT-Studie bringt auf den Punkt, wie sich KI-Technologie in die Cyberabwehr einfügen sollte. Sie ist ein leistungsfähiges Instrument, um eine Vielzahl von Cyberangriffen zu entdecken und zu stoppen, aber ihr Einsatz allein reicht bei weitem nicht aus. KI hat großes Potenzial, gängige Bedrohungen zu erkennen, kann aber nur mit menschlicher Unterstützung wirksam gegen moderne Cyberbedrohungen eingesetzt werden. So kann ein ML-System zwar eine Bedrohung erkennen und unschädlich machen, die mittels eines bösartigen Links oder Anhangs verbreitet wird. Jedoch ist ein solches System weit weniger effektiv beim Schutz vor Social-Engineering-Angriffen wie Business E-Mail Compromise (BEC).
Trotz aller Fortschritte ist KI immer noch nicht in der Lage, Nuancen und Eigenheiten des menschlichen Verhaltens zu analysieren, was dazu führen kann, dass Bedrohungen übersehen werden und es zu falsch-positiven Meldungen kommt.
Das ist ein wichtiger Punkt, weil Cyberkriminelle sich bei ihren Angriffen von technischen Infrastrukturen beziehungsweise Netzwerken abgewandt haben und nun den Menschen als Einfallstor in die Unternehmens-IT attackieren. Die Mitarbeiter sind folglich die größte Schwachstelle eines Unternehmens, weshalb ein auf den Menschen ausgerichteter Sicherheitsansatz von entscheidender Bedeutung beim Schutz der Organisation ist.
So wie KI und ML nicht als Ersatz für menschliches Wissen und Tatkraft angesehen werden sollten, sollte auch nicht erwartet werden, dass sie die aktuellen Cybersicherheitstechnologien ersetzen können. Abgesehen von ML werden Techniken wie die statische Analyse, die dynamische Verhaltensanalyse und die Protokollanalyse auch weiterhin ihren Platz haben.
Eine gute Cyberverteidigung muss ebenso robust wie umfassend sein. Das bedeutet, dass durch Schulung und Ausbildung der Mitarbeiter eine Kultur geschaffen werden muss, bei der die Sicherheit im Vordergrund steht. Darüber hinaus müssen die Teams mit ausgereiften IT-Sicherheitslösungen ausgestattet werden.
Was ist also dran am Hype um die KI? Mit Sicherheit ist KI ein mächtiges Werkzeug, um die Cybersicherheit aller Organisationen zu verbessern. Als alleiniges Heilmittel, das jedweden Schaden von einem Unternehmen fernhält, taugt die Technologie jedoch nicht.
Bert Skaletski,
Resident CISO, EMEA
bei Proofpoint
[1] https://www.forbes.com/sites/bernardmarr/2022/11/21/the-top-10-tech-trends-in-2023-everyone-must-be-ready-for/
[2] https://www.gartner.de/de/artikel/gartner-top-10-strategische-technologie-trends-2023
[3] https://www.capgemini.com/wp-content/uploads/2019/07/AI-in-Cybersecurity_Report_20190711_V06.pdf
[4] https://www.capgemini.com/wp-content/uploads/2019/07/AI-in-Cybersecurity_Report_20190711_V06.pdf
[5] https://people.csail.mit.edu/kalyan/AI2_Paper.pdf