KI in der Cybersicherheit: Die Herausforderungen hinter dem Hype
Was ist eine KI? Und vielleicht noch wichtiger: Was ist eine KI nicht?
Einfach ausgedrückt ist eine KI ein Algorithmus, dessen Zweck es ist, auf eine der menschlichen Intelligenz nachgeahmte Art und Weise mit einem Datensatz zu interagieren. Je komplexer und zielgerichteter diese Algorithmen werden, desto erstaunlicher sind einige Ergebnisse, wie der scheinbar menschliche Umgang mit Sprache, die Schaffung von Kunstwerken und die dem Menschen bereits weit überlegene Mustererkennung. Das Wort „scheinbar“ ist hier wichtig, sowohl als Warnung als auch, wenn es darum geht, was KI nicht ist. Ein gutes Beispiel sind Tools für die Textgenerierung. Sie ermitteln anhand bereits vorhandener Texte (in der Regel aus dem Internet), welches Wort oder welche Wortgruppe im Kontext des Benutzerprompts mit der größten Wahrscheinlichkeit auf die bereits generierten Wörter folgt. Dieser wahrscheinlichkeitsbasierte Ansatz ist sehr erfolgreich, aber er hat nichts mit Denken zu tun und stößt an seine Grenzen, wenn mehrere Antworten sehr wahrscheinlich sind, aber nur eine von ihnen richtig ist. Wer mit KI etwas erreichen will, muss verstehen, wie sie funktioniert – denn wie effektiv ein Tool ist, hängt davon ab, wie es genutzt wird.
Warum KI in der Cybersicherheit so wichtig ist
Das Grundkonzept von KI-Algorithmen besteht darin, einen gegebenen Datensatz zu analysieren, eine Wahrscheinlichkeitsfunktion zu erstellen, die abbildet, welche Daten mit welcher Wahrscheinlichkeit auf welche anderen Daten folgen, und diese Funktion dann zu nutzen, um neue Daten zu generieren, die in den vorliegenden Datensatz passen. Stellen wir uns nun vor, dass wir dieses Prinzip sowohl auf Datensätze aus Angreifertools und ‑verhalten als auch auf Datensätze aus legitimen Tools und normalem Benutzerverhalten anwenden und die Ergebnisse dann mit Dateien, Datenverkehrsmustern oder Verhaltensweisen vergleichen, die wir beurteilen sollen. Auf diese Weise könnten wir böswillige Ereignisse erkennen, die zuvor noch nie aufgetreten sind. Bevor wir diese Ergebnisse erzielen – und KI zur Stärkung der Cybersicherheit nutzen – können, müssen wir jedoch einige wichtige Herausforderungen bewältigen.
Die größten Herausforderungen auf dem Weg zu erfolgreicher KI in der Cybersicherheit
- 1. Herausforderung: Daten und Algorithmen: die Grundlagen der KI – und ihre Achillesferse
Jede KI ist nur so gut, wie der Algorithmus, den sie nutzt, und die Daten, mit denen sie trainiert wurde. Wenn unser Algorithmus Datensätze nicht mithilfe von Parametern analysiert, die auf böswillige Aktivitäten hinweisen, können wir ihn mit den besten Daten der Welt trainieren und er wird böswillige Ereignisse trotzdem nicht als solche erkennen. Ebenso wird der richtige Algorithmus zu falschen Ergebnissen kommen, wenn er nicht mit genug Daten trainiert wurde oder wenn die Datenqualität nicht gut genug war. In beiden Fällen wird die generierte Wahrscheinlichkeitsfunktion zu oft ein falsches Ergebnis (ein False Positive oder False Negative) für wahrscheinlicher halten als die richtige Antwort. - 2. Herausforderung: Intransparenz: einer Black Box vertrauen?
Einige Anbieter betreiben ihre KI-Modelle als „Black Box“, in der weder der Algorithmus noch der Entscheidungsprozess nachvollziehbar sind. Diese Intransparenz kann zum Problem werden, weil man (wenn überhaupt) nur mit großen Schwierigkeiten herausfinden kann, warum die KI bestimmte Ereignisse als verdächtig eingestuft hat. Das kann schnell zu Bedenken bezüglich der Überprüfbarkeit und möglicher Vorurteile führen. - 3. Herausforderung: Integration und Expertise: Plug-and-Play bleibt ein Traum
KI-Lösungen sind keine sofort einsatzbereiten Wundermittel. Sie müssen in die bereits vorhandene Infrastruktur integriert werden und die richtige Interpretation und Anwendung ihrer Ausgaben erfordert Fachkenntnisse. Sicherheitsteams müssen lernen, wie KI funktioniert, wo ihre Grenzen sind und wie ihre Ergebnisse am besten genutzt werden können, um das allgemeine Sicherheitsniveau zu steigern.
Einige Missverständnisse, die wir auch ausräumen sollten
Neben den Herausforderungen tragen auch mehrere weit verbreitete Missverständnisse dazu bei, dass vielerorts unklar ist, was KI in der Cybersicherheit bewirken kann.
- 1. Missverständnis: Automatischer Turbo für jedes Cybersicherheitstool
Vielen Cybersicherheitsanbietern käme es sehr entgegen, wenn Sie glauben würden, dass jede KI jedes Sicherheitstool automatisch verbessert. Tatsache ist jedoch: Es gibt KI-Algorithmen für viele verschiedene Zwecke (bis hin zum Generieren von Kunstwerken) und mit dem falschen Algorithmus werden Sie keine guten Ergebnisse erzielen. - 2. Missverständnis: Universelle KI-Lösungen
Verschiedene KI-Lösungen erfüllen unterschiedliche Anforderungen. Um KI erfolgreich einzusetzen, müssen Sie Ihre spezifischen Anforderungen ermitteln und für jeden Anwendungsbereich das richtige Tool auswählen. - 3. Missverständnis: Absolute Sicherheit
KI ist ebenso angreifbar wie jede andere Technologie. Deshalb müssen KI-Systeme kontinuierlich überwacht und angepasst werden, um effektiv zu bleiben.
Warum funktioniert KI in der Cybersicherheit bislang nicht?
In einigen Anwendungsbereichen funktioniert sie durchaus; es gibt zum Beispiel Modelle, die einfache Muster in schädlichen Dateien erkennen können. Wenn man die Definition im Wortsinn anwendet, kann man diese Modelle zur Mustererkennung als einfache KI-Algorithmen bezeichnen, und sie waren die Grundlage für die ersten IDS/IPS-Engines, aber sie sind weder robust noch „intelligent“ genug, um die Herausforderungen zu bewältigen, mit denen wir in der Cybersicherheit heute konfrontiert sind. Dazu sind das richtige Modell und – vielleicht noch wichtiger – die Expertise zur Entwicklung und Verbesserung dieses Modells – erforderlich. Es ist keine leichte Aufgabe, ein Modell zu entwickeln, das eine Wahrscheinlichkeitsfunktion für „das ganze Internet“ erstellen kann, und dasselbe trifft auch auf Modelle zu, die legitime und schädliche Aktivitäten voneinander unterscheiden können. Nach der Erstellung muss dieses Modell (wie für die 1. Herausforderung oben beschrieben) mit riesigen Mengen von Daten trainiert werden (ähnlich wie LLMs, die „das ganze Internet“ dazu nutzen) und diese Daten müssen vorab korrekt kategorisiert und gefiltert werden.
Was sollten Führungskräfte bei der Aufnahme von KI in ihre Cybersicherheitsprogramme beachten?
KI kann in der Cybersicherheit extrem nützlich sein – wenn sie richtig eingesetzt wird. Eine neu installierte Allzweck-KI-Lösung „wüsste“ ursprünglich nicht genug über die Bedrohungslandschaft und müsste daher im Unternehmen trainiert werden – eine äußerst komplizierte und CPU-intensive Aufgabe. Deshalb empfehlen wir, dass Sie vor dem Kauf sehr genau prüfen, wie gut die zur Auswahl stehenden Cybersicherheitsanbieter KI in ihre Produkte integriert haben. Wenn ein Anbieter Ihnen nicht erklären kann, wie sein Algorithmus funktioniert und wie und mit welchen Arten von Daten er trainiert wurde, handeln Sie sich mit den resultierenden potenziellen Problemen möglicherweise mehr Risiken ein, als dieser Anbieter (seinen eigenen Angaben zufolge) beheben kann.