Mit immer neuen Cyberbedrohungen stellt sich für IT-Administratoren die Frage, wie sich Technologien auf Basis von künstlicher Intelligenz (KI) zur Abwehr von Angriffen nutzen lassen. Klar ist: KI ermöglicht schnellere und effizientere Reaktionen auf Attacken aus dem Internet – und das ohne zusätzliches Personal. Unbestritten ist aber auch, dass der Einsatz generativer KI für mehr Komplexität sorgt und damit spezielles Expertenwissen voraussetzt.

Das Katz-und-Maus-Spiel zwischen Cyberkriminellen und IT-Sicherheitsverantwortlichen geht in eine neue Runde: Mit KI wächst die Hoffnung für Unternehmen, der andauernden Bedrohung aus dem Internet schneller und effizienter begegnen zu können. Denn während traditionelle Sicherheitslösungen größtenteils auf dem Prinzip basieren, bekannte Angriffsmethoden durch vordefinierte Signaturen und Regeln zu erkennen, lässt sich nun menschenähnliche Intelligenz quasi simulieren.

ML und KI: Wichtige Unterschiede. Das gilt beispielsweise für die Erkennung von Anomalien: Ein Ansatz besteht unter anderem darin, Algorithmen zu trainieren, die das normale Verhalten eines Systems oder einer Datenquelle erfassen und anschließend Abweichungen identifizieren. Dabei können verschiedene ML-Techniken wie supervised learning, semi-supervised learning oder unsupervised learning angewendet werden, je nach Verfügbarkeit und Art der Daten. Außerdem wird häufig die Fähigkeit von KI-Systemen genutzt, ihre Modelle im Laufe der Zeit zu verbessern und sich an neue Arten von Anomalien anzupassen.

Die verschiedenen Stufen der KI Maschinelles Lernen (ML)

Ein Unterfeld der KI, bei dem Algorithmen aus Daten lernen, Muster erkennen und Vorhersagen treffen können.

Beispiele: Betrugserkennung, Bildklassifikation, Spracherkennung.

Ein Unterfeld der KI, bei dem Algorithmen aus Daten lernen, Muster erkennen und Vorhersagen treffen können. Beispiele: Betrugserkennung, Bildklassifikation, Spracherkennung. Tiefe neuronale Netze (Deep Learning)

Ein spezialisierter Bereich des maschinellen Lernens, der auf künstlichen neuronalen Netzen basiert. Deep Learning wird für komplexe Aufgaben wie Sprachverarbeitung und Bildverarbeitung verwendet.

Beispiele: Bildgenerierung, autonome Fahrzeuge, medizinische Bilddiagnosen.

Ein spezialisierter Bereich des maschinellen Lernens, der auf künstlichen neuronalen Netzen basiert. Deep Learning wird für komplexe Aufgaben wie Sprachverarbeitung und Bildverarbeitung verwendet. Beispiele: Bildgenerierung, autonome Fahrzeuge, medizinische Bilddiagnosen. Natural Language Processing (NLP)

NLP ist die Verarbeitung und das Verständnis menschlicher Sprache durch KI. Es umfasst das Erkennen von Text, die Analyse von Sätzen und das Generieren von natürlicher Sprache.

Beispiele: Google Translate, ChatGPT, automatische Textgenerierung.

NLP ist die Verarbeitung und das Verständnis menschlicher Sprache durch KI. Es umfasst das Erkennen von Text, die Analyse von Sätzen und das Generieren von natürlicher Sprache. Beispiele: Google Translate, ChatGPT, automatische Textgenerierung. Computer Vision

Dieser Bereich der KI zielt darauf ab, Maschinen das Sehen beizubringen. Computer Vision ermöglicht es Maschinen, Bilder und Videos zu analysieren und Muster zu erkennen.

Beispiele: Gesichtserkennung, medizinische Bildanalyse, autonome Fahrzeuge.

Dieser Bereich der KI zielt darauf ab, Maschinen das Sehen beizubringen. Computer Vision ermöglicht es Maschinen, Bilder und Videos zu analysieren und Muster zu erkennen. Beispiele: Gesichtserkennung, medizinische Bildanalyse, autonome Fahrzeuge. Generative KI

Generative KI kann neue Inhalte wie Bilder, Musik oder Text generieren, oft basierend auf Trainingsdaten.

Beispiele: DALL·E, ChatGPT, Musikkompositionssysteme.

Datenschutz essenziell für KI-Implementierung. Um effizient zu funktionieren, benötigt KI einen möglichst großen Datenschatz, aus dem Muster identifiziert werden können. Und hier zeigt sich ein typisches Problem: Informationen, die für die Technologie zur Bearbeitung zur Verfügung gestellt werden, müssen entweder anonymisiert oder nur für einen speziellen Anwendungsfall beziehungsweise Expertenkreis isoliert freigegeben werden. Andernfalls besteht die Möglichkeit, dass Daten, die zum Erlernen verwendet wurden, dem Large Language Model (Sprachmodell/LLM) wieder entlockt werden könnten. Darüber hinaus haben sich erste Firmen darauf spezialisiert, LLMs abzusichern, indem festgelegt wird, welche Fragen gestellt werden dürfen, bevor eine Filterung des Outputs erfolgt. Unternehmen sollten also zwingend sicherstellen, dass ihre KI-Systeme im Einklang mit geltenden Datenschutzbestimmungen und -richtlinien stehen und die Privatsphäre ihrer Benutzer respektieren. Eine weitere Herausforderung ist die Komplexität der aktuell verwendeten KI-Modelle und -Algorithmen. Diese erfordern oft spezielle Fachkenntnisse, um implementiert und verwaltet zu werden. Unternehmen müssen deshalb möglicherweise in die Schulung des Sicherheitspersonals investieren oder externe Experten hinzuziehen.

Hinzu kommt, dass die Qualität der Daten, die für das Training von KI-Modellen verwendet werden, eine entscheidende Rolle spielen. Das Ergebnis der KI-Algorithmen ist nur so gut wie die Daten, auf denen sie basieren. Sind diese Daten unvollständig oder fehlerhaft, können auch die entsprechenden KI-Modelle ungenau oder sogar fehlerhaft sein. Anders ausgedrückt: Unternehmen müssen sicherstellen, dass sie über hochwertige und aussagekräftige Daten verfügen, um ihre KI-Systeme ordnungsgemäß trainieren zu können. Richtig implementiert kann KI dann dazu verwendet werden, proaktiv Maßnahmen zu ergreifen, um Verletzungen der IT-Sicherheit zu verhindern, anstatt nur auf Angriffe reagieren zu können.

SIEM im SOC: Sicherheit per Dienstleistung. Ein allzu häufiges Problem dabei: Es fehlt an Fachkräften, um moderne Technologien wie KI implementieren, nutzen und Kapital daraus schlagen zu können. Hier hat sich ein Security Information and Event Management (SIEM) in Kombination mit einem Security Operations Center (SOC) bewährt. Im SOC stehen Sicherheitsanalysten rund um die Uhr in der Pflicht, die vom System ausgegebenen Warnmeldungen zu überprüfen, Sicherheitsvorfälle zu untersuchen, Gegenmaßnahmen zu ergreifen und Berichte zu erstellen.

Ein SIEM im SOC ermöglicht es, die Erfassung, Korre-lation, Analyse und Visualisierung von Sicherheitsinformationen und Ereignisdaten aus verschiedenen Quellen in die Hände eines Dienstleisters zu übergeben und die KI-Integration dem Partner zu überlassen. Zu den Hauptfunktionen der Dienstleistung gehören die Datenaggregation, bei der Sicherheitsinformationen und Ereignisdaten aus verschiedenen Quellen gesammelt werden. Anschließend werden diese Daten korreliert und analysiert, um Muster, Anomalien und potenzielle Sicherheitsvorfälle zu identifizieren. So lassen sich Angriffe frühzeitig erkennen und Gegenmaßnahmen einleiten, noch bevor der Angreifer erfolgreich in das System eindringen kann.

Bei der Erkennung verdächtiger Aktivitäten oder potenzieller Sicherheitsvorfälle generiert das SIEM Warnmeldungen und Benachrichtigungen, um das SOC-Team zu alarmieren und zur weiteren Untersuchung zu veranlassen. Darüber hinaus trägt ein SIEM zur Einhaltung von Compliance-Anforderungen bei, indem es Protokolle über Sicherheitsereignisse führt und Berichte über Sicherheitsaktivitäten erstellt, die für Audits und regulatorische Anforderungen benötigt werden. Unternehmen schlagen damit mehrere Fliegen mit einer Klappe: Sie müssen sich nicht um die IT-Sicherheit kümmern, weil Experten beim Dienstleister rund um die Uhr Sorge tragen.

KI im SIEM Bedrohungserkennung und -analyse:

KI-Algorithmen können große Mengen von Sicherheitsdaten in Echtzeit analysieren, um verdächtige Aktivitäten, Anomalien und potenzielle Bedrohungen zu identifizieren. Durch ML und KI können SIEM-Systeme Muster erkennen, die auf bekannte Angriffsmethoden oder neuartige Bedrohungen hinweisen.

KI-Algorithmen können große Mengen von Sicherheitsdaten in Echtzeit analysieren, um verdächtige Aktivitäten, Anomalien und potenzielle Bedrohungen zu identifizieren. Durch ML und KI können SIEM-Systeme Muster erkennen, die auf bekannte Angriffsmethoden oder neuartige Bedrohungen hinweisen. Automatisierung von Reaktionen:

KI kann genutzt werden, um automatisierte Reaktionen auf Sicherheitsvorfälle einzurichten. Auf der Grundlage vordefinierter Richtlinien und Verfahren sind KI-gestützte SIEM-Systeme in der Lage, Maßnahmen wie die Isolierung von Systemen, das Blockieren von verdächtigem Datenverkehr oder das Zurücksetzen von Zugriffsrechten durchzuführen. Darüber hinaus unterstützen Security-Orchestration-Automation-and-Response-Technologien (SOAR) Sicherheitsoperationsteams dabei, ihre Prozesse zu orchestrieren, automatisieren und koordinieren.

KI kann genutzt werden, um automatisierte Reaktionen auf Sicherheitsvorfälle einzurichten. Auf der Grundlage vordefinierter Richtlinien und Verfahren sind KI-gestützte SIEM-Systeme in der Lage, Maßnahmen wie die Isolierung von Systemen, das Blockieren von verdächtigem Datenverkehr oder das Zurücksetzen von Zugriffsrechten durchzuführen. Darüber hinaus unterstützen Security-Orchestration-Automation-and-Response-Technologien (SOAR) Sicherheitsoperationsteams dabei, ihre Prozesse zu orchestrieren, automatisieren und koordinieren. Verbesserung der Erkennungsgenauigkeit:

KI kann dazu beitragen, die Erkennungsgenauigkeit von Sicherheitsvorfällen zu verbessern, indem sie fortschrittliche Analysetechniken wie Verhaltensanalyse, Anomalieerkennung und maschinelles Lernen einsetzt. Dies reduziert falsche Alarme und ermöglicht es dem SOC-Team, sich auf die wirklich bedrohlichen Ereignisse zu konzentrieren.

KI kann dazu beitragen, die Erkennungsgenauigkeit von Sicherheitsvorfällen zu verbessern, indem sie fortschrittliche Analysetechniken wie Verhaltensanalyse, Anomalieerkennung und maschinelles Lernen einsetzt. Dies reduziert falsche Alarme und ermöglicht es dem SOC-Team, sich auf die wirklich bedrohlichen Ereignisse zu konzentrieren. Vorausschauende Analysen:

Durch die Analyse historischer Sicherheitsdaten und das Erkennen von Trends unterstützt KI dabei, potenzielle zukünftige Sicherheitsrisiken vorherzusagen.

Durch die Analyse historischer Sicherheitsdaten und das Erkennen von Trends unterstützt KI dabei, potenzielle zukünftige Sicherheitsrisiken vorherzusagen. Optimierung von Workflows:

KI kann dazu beitragen, die Effizienz von Sicherheitsanalysten im SOC zu steigern, indem sie repetitive Aufgaben automatisiert und den Arbeitsablauf optimiert. Dies ermöglicht es dem SOC-Team, sich auf die wichtigsten Aufgaben zu konzentrieren und die Reaktionszeit auf Sicherheitsvorfälle zu verkürzen.

Patrick Wunder,

Team Lead Security Operations Center, Governance & Standards

bei der noris network AG

4158 Artikel zu „IT-Security KI“