Heute wird von jeder Cybersecurity-Firma erwartet, Künstliche Intelligenz in ihr Angebot zu integrieren. Mit viel Tamtam werden intelligente Thread-Detection-Systeme oder Analyseprogramme, die Anomalien aufspüren, angepriesen. Betrachtet man die Programme jedoch genauer, handelt es sich oft eher um Anwendungen von Machine Learning.
Auch wenn Machine Learning (ML) als Unterkategorie von Künstlicher Intelligenz (KI) gesehen werden kann, muss hier klar getrennt werden. Die wichtigsten Unterscheidungspunkte sind das Ziel und die Methodik. Das Ziel der KI ist es, Software-Systeme zu schaffen, die menschliche Intelligenz nachahmen können, während sich ML darauf konzentriert, Algorithmen zu entwickeln, die aus Daten lernen und ihre Leistung bei bestimmten Aufgaben verbessern können. Was die Methodik angeht, verwendet Künstliche Intelligenz verschiedene Techniken, einschließlich ML, regelbasierter Systeme und Wissensrepräsentation, während sich Machine Learning auf statistische Modelle und Algorithmen stützt, um aus Daten zu lernen. Diese Trennung der beiden Technologien ist wichtig, um zu verstehen, warum KI im Cybersecurity-Umfeld derzeit noch überschätzt wird.
Die Problematik lässt sich gut anhand der dunklen Seite der Cybersicherheit illustrieren: Die wichtigsten Angriffsvektoren für Angreifer basieren nach wie vor auf Phishing und Social Engineering. Der größte Vorteil, den KI in diesem Umfeld gebracht hat, sind zuverlässige Rechtschreibprogramme, die das Fälschen offiziell anmutender Nachrichten deutlich vereinfachen. Einen kreativen, neuen Ansatz, um Zero Days in komplexen Anwendungen zu finden, wird eine KI (derzeit) nicht liefern. Das Problem liegt darin, dass eine KI nur auf vorhandene Daten trainiert werden und damit nur altes Wissen auf neue Herausforderungen anwenden kann. Es fehlt also etwas Wesentliches: die Kreativität.
Viele Schritte sind derzeit noch manuell
Der Mangel an Kreativität lässt sich auch auf die Cyberabwehr übertragen: Natürlich kann ein Algorithmus viel besser Anomalien in riesigen Datenmengen erkennen, aber das ist im Grunde nichts anderes als Machine Learning. Das Anwenden statistischer Methoden, um Abweichungen im System zu erkennen, verlangt keine KI, wie sie in diesem Beitrag definiert ist. So können zwar Angriffe deutlich schneller identifiziert werden, geeignete Maßnahmen dagegen ergreifen muss jedoch ein Mensch, da ein kreativer Angriff eine kreative Lösung verlangt. Es ist gerade das Wesen der Cybersicherheit, dass auf das Unbekannte reagiert werden muss. Einen erfolgreichen Angriff, der nur bekannte Fehler ausnutzt, hat sich das Opfer aufgrund mangelnder Vorsorge selbst zuzuschreiben.
Bei aller Kritik am Etikettenschwindel ist das Potenzial für KI in der Cyberabwehr jedoch enorm. Viele Schritte sind derzeit noch manuell: Die Identifizierung und Analyse von Bedrohungen erfolgt oft durch Sicherheitsteams, die Warnmeldungen überprüfen und potenzielle Vorfälle analysieren müssen. Nur so kann zwischen echten Bedrohungen und Fehlalarmen unterscheiden werden, was sehr zeitintensiv ist. Auch die Reaktion auf Sicherheitsvorfälle umfasst manuelle Schritte, darunter das Scannen von Systemen, das Sammeln von Daten und die Quarantäne betroffener Systeme. Außerdem ist nach einem Vorfall eine gründliche Untersuchung erforderlich, um die Ursachen zu ermitteln und den Umfang des Schadens zu bewerten. Nicht zuletzt werden regelmäßige Sicherheitsüberprüfungen oder Audits in der Regel manuell durchgeführt, um Schwachstellen in der IT-Infrastruktur zu identifizieren. Diese Prüfungen machen eine detaillierte Analyse der Systeme und Prozesse notwendig, um zu gewährleisten, dass alle Sicherheitsrichtlinien eingehalten werden.
KI-gestützte Systeme minimieren Fehlalarme
Jeder dieser Schritte kann und sollte durch KI optimiert werden. Damit sind Ressourceneinsparungen im hohen zweistelligen Prozentbereich möglich. Aber nicht nur das: KI-gestützte Systeme sind in der Lage, echte Bedrohungen präziser zu erkennen und Fehlalarme zu minimieren. Dies spart Zeit bei der Analyse von Warnmeldungen, reduziert aber auch den Aufwand für Sicherheitsteams, die sich mit unnötigen Alarmen befassen müssen. Zudem kann durch eine kontinuierliche Überwachung der Systeme mit KI eine Identifikation von Sicherheitslücken in Echtzeit stattfinden. Diese Fähigkeit zur proaktiven Überwachung verringert die Notwendigkeit für manuelle Audits und Prüfungen.
Was am Ende dieser Übersicht deutlich werden sollte: Die Anwendungsfälle von echter KI sind mannigfaltig und gehen noch über die Möglichkeiten von aktuellen ML-Anwendungen hinaus. Es wird jedoch auch in Zukunft so sein, dass bestimmte Bereiche der Cyberabwehr in Menschenhand bleiben müssen. Bis KI in der Lage ist, "outside the box" zu denken, wird wohl noch einige Zeit vergehen. Bis dahin werden Menschen auf kreative Angriffsvektoren mit kreativen Antworten reagieren müssen. Auch strategische und ethische Überlegungen sollten nicht an Maschinen ausgelagert werden. Nicht zuletzt ist Cyberabwehr auch immer eine Frage der Kommunikation, wie zum Beispiel die Zusammenarbeit mit anderen Sicherheitsteams, die Zusammenarbeit mit Geschäftseinheiten und die Kommunikation mit Kunden oder Partnern. Diese sozialen Fähigkeiten werden für KI-Systeme, noch lange Zeit eine Herausforderung bleiben, zumindest so lange, wie Organisationen noch von Menschen geführt werden.