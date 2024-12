»Die Zeit läuft nicht, sie rennt.« Friedrich Schillers Zitat trifft vor allem auf Cyberbedrohungen zu: diese werden nicht nur zunehmend komplexer, sondern entwickeln sich in rasantem Tempo weiter. Traditionelle Sicherheitsmaßnahmen stoßen immer häufiger an ihre Grenzen. In Sachen Authentifizierung zur kritischen Unternehmensinfrastruktur wird es besonders heikel – insbesondere, wenn es sich um privilegierte Konten handelt. Über sie bekommt man Zugang zu den sensibelsten Daten eines Unternehmens.

Genau hier kommt Privileged Access Management (PAM) ins Spiel. PAM ist eine umfassende Cybersecurity-Lösung, die den Zugriff auf privilegierte Konten verwaltet, überwacht und kontrolliert. Im Bereich der Cybersecruity wird ja schon seit einiger Zeit auf die Vorteile von künstlicher Intelligenz (KI) zurückgegriffen.

Wie kann die Integration von künstlicher Intelligenz in eine PAM-Lösung nicht nur die Effizienz erhöhen, sondern auch die Sicherheit auf ein völlig neues Niveau heben?

Warum PAM so wichtig ist. Privilegierte Konten verfügen über erweiterte Berechtigungen und ermöglichen es Nutzern, administrative Aufgaben durchzuführen, die tief in die IT-Infrastruktur eines Unternehmens eingreifen können. Das macht sie zu einem der beliebtesten Ziele für Cyberkriminelle. Wenn ein solches Konto kompromittiert wird, können Angreifer manipulativen Zugang zu den kritischsten Systemen und Daten des Unternehmens erhalten. Das primäre Ziel von PAM ist daher die rollenbasierte Zugriffskontrolle auf diese Konten. Nur so lässt sich das Risiko einer unbefugten Nutzung auf ein Minimum reduzieren.

Best Practice: Zugriffe auf Hochrisiko-Systeme und -Prozesse sollten ausschließlich über PAM erfolgen und dokumentiert werden, sowie entsprechende Genehmigungsworkflows mit einbezogen werden.

KI – der Wächter für Privileged Access Management. Vom Prinzip kann man sich die Rolle von KI für PAM-Lösungen wie folgt veranschaulichen: KI fungiert in diesem Zusammenhang wie ein digitaler Wachhund, der das Verhalten von Benutzern mit privilegiertem Zugriff kontinuierlich überwacht und analysiert. In der Praxis bedeutet das, dass KI-Algorithmen in der Lage sind, ungewöhnliche Aktivitäten zu erkennen – beispielsweise wenn ein Nutzer sich zu untypischen Zeiten einloggt oder versucht, auf normalerweise gesperrte Ressourcen zuzugreifen. So kann KI etwa dann Alarm schlagen, wenn ein Mitarbeiter oder Dienstleister plötzlich versucht, auf hochsensible Dateien zuzugreifen. Auf diese Weise dient KI als eine Art virtuelle Sicherheitskraft, die verdächtige Aktivitäten in Echtzeit erkennt und reagiert. Administratoren oder das angebundene SOC (Security Operation Center) werden sofort benachrichtigt; bei hoher Wahrscheinlichkeit einer korrumpierten Sitzung wird diese unmittelbar beendet, um keinen weiteren Schaden zuzulassen.

KI geht jedoch über reine Überwachung hinaus. Sie ist in der Lage, aus historischen Daten zu lernen und daraus Schlüsse zu ziehen, um kontinuierlich Zugangskontrollen zu verbessern. Die KI erkennt nicht nur kurzfristige Bedrohungen, sondern kann sich auch langfristig an neue Muster und Risiken anpassen. Dadurch wird sie zum adaptiven Gehirn hinter dem PAM-System, das auch auf zukünftige Bedrohungen vorbereitet ist.

Wie sieht der reale Einsatz aus? Der polnische Sicherheitsspezialist Fudo hat als erster PAM-Hersteller die Vorteile der KI in seine PAM-Lösung eingebaut. Das Entwicklerteam hat bereits vor sechs Jahren mit der Programmierung begonnen.

Die wichtigste Produkteigenschaft ist die Fähigkeit zur Analyse individuellen Nutzerverhaltens. KI erstellt für jeden Nutzer ein personalisiertes Verhaltensmuster, und sobald eine Aktivität vom normalen Verhalten abweicht, wird der Administrator sofort benachrichtigt. Dies erfolgt typischerweise durch biometrische Identifikation, beispielsweise durch das Tippverhalten eines Anwenders auf seiner Tastatur. Auf diese Weise können potenzielle Bedrohungen frühzeitig erkannt und entsprechende Gegenmaßnahmen ergriffen werden.

Ein besonderer Vorteil ist die Flexibilität bei der Konfiguration des KI-Moduls. Unternehmen können festlegen, welche Kriterien und Zeiträume für das Training der KI verwendet werden sollen. Das System wird somit in die Lage versetzt, Nutzerverhalten auf der Basis von Protokollen wie SSH und RDP zu analysieren und stellt für jede Session detaillierte Statistiken zur Verfügung. Damit kann es spezifische Nutzerverhaltensweisen in Echtzeit erkennen und auf Grundlage festgelegter Session Policies automatisch reagieren.

Der Fokus liegt auf drei unterschiedlichen KI-Modellen zur Verhaltensanalyse:

Mouse Biometric Model (RDP): Dieses Modell basiert auf den Bewegungen und Klicks der Maus.

Dieses Modell basiert auf den Bewegungen und Klicks der Maus. Keyboard Biometric Model (RDP): Hier werden die Tippdynamiken der Tastatur analysiert.

Hier werden die Tippdynamiken der Tastatur analysiert. Semantic Behavioral Model (SSH): Dieses Modell erkennt individuelle Vorlieben bei der Eingabe von Befehlen. Es kann beispielsweise feststellen, ob ein Nutzer lieber »wget« statt »curl« verwendet.

Jedes dieser Modelle wird für jeden einzelnen Nutzer individuell trainiert und kalibriert, um eine optimale Vorhersagegenauigkeit zu erreichen. Insgesamt wird auch das Thema »False positives« deutlich reduziert, was in Konsequenz eine Entlastung für die Administratoren und deren SOC-Abteilungen nach sich zieht.

Trainingsstatistiken und Leistungskennzahlen – auch in SIEM-Lösungen integrierbar. Für jedes KI-Modell werden wichtige Trainingsstatistiken transparent und einsehbar. Diese können auch bequem in SIEM-Lösungen eingebaut werden. So erhält die Kontrollstelle alles Infos auf einen Blick:

Trainingsdauer: Die Zeit, die für das letzte Training aufgewendet wurde.

Die Zeit, die für das letzte Training aufgewendet wurde. Anzahl der verwendeten Sitzungssegmente: Die Anzahl der Segmente, die während des Trainingsprozesses genutzt wurden.

Die Anzahl der Segmente, die während des Trainingsprozesses genutzt wurden. True Positive Rate (TPR): Der Prozentsatz an Korrekturerkennung böswilliger Aktivitäten.

Der Prozentsatz an Korrekturerkennung böswilliger Aktivitäten. False Positive Rate (FPR): Der Prozentsatz legitimer Aktivitäten, die fälschlicherweise als bedrohlich erkannt wurden. Dieser Wert sinkt mit fortschreitendem Trainingsgrad.

Der Prozentsatz legitimer Aktivitäten, die fälschlicherweise als bedrohlich erkannt wurden. Dieser Wert sinkt mit fortschreitendem Trainingsgrad. Area Under ROC Curve (AUROC): Ein Indikator für die Modellqualität.

Diese Kennzahlen unterstützen den Chief Information Security Officer (CISO) oder das SOC-Team dabei, einen genauen Überblick über das System zu behalten und potenzielle Risiken frühzeitig zu erkennen.

Fazit. Künstliche Intelligenz hat sich zu einem unverzichtbaren Werkzeug für die Erkennung und Abwehr von Cyberbedrohungen entwickelt. Hersteller können diese Technologie nutzen, um nicht nur proaktiven Schutz zu bieten, sondern auch kontinuierlich aus Vorfällen zu lernen und sich an neue Bedrohungen anzupassen. In einer Zeit, in der Cyberangriffe immer raffinierter werden, ist es unerlässlich, auf KI-gestützte PAM-Lösungen zu setzen. So bleiben Unternehmen einen Schritt voraus und schützen ihre sensibelsten Daten und Systeme effizient.

Stefan Rabben, Regional Director DACH bei FUDO Security, ist seit über 25 Jahren in Sachen Cybersicherheit unterwegs. Der anerkannte Experte hielt in seiner Laufbahn zahlreiche Führungsposition inne, unter anderem bei den beiden Spezialisten für Zugangsmanagement RSA Security und Quest Software sowie beim französischen PAM-Anbieter Wallix. Derzeit verantwortet er als Regional Director die Geschäfte in der deutschsprachigen Region bei FUDO Security. Stefans Anspruch ist es Cybersecurity-Technologien so zu vertreiben, dass sie verständlich werden. Dabei ist es ihm wichtig, dass die Lösungen, die er anbietet, stets den lokalen Marktanforderungen, sowie den relevanten Compliance Frameworks (wie ISO27001, NIS2 oder DORA) entsprechen. Er ist mit dem direkten sowie indirektem Channel-Vertrieb bestens vertraut.

