Sergey Nivens - stock.adobe.com
Wie KI die Arbeit von Sicherheitsexperten erleichtert
Der Einsatz von KI und maschinellem Lernen kann Sicherheitsexperten ganz trefflich unterstützen. Bedrohungen lassen sich schneller erkennen und Reaktionen automatisieren.
Die Bedrohung aus dem Cyberspace nimmt kontinuierlich zu. Gefährdet sind nicht mehr nur Unternehmen oder Gesundheitsdaten, sondern auch physische Infrastrukturen und etwa die sichere Durchführung von Wahlen. Außerdem kann es durch Cyberattacken zu unvorhersehbaren Konsequenzen für neue Technologien kommen.
Bis 2022 rechnen Experten deswegen mit einer Zunahme der Ausgaben für IT-Sicherheitsmaßnahmen auf rund 170 Milliarden US-Dollar weltweit. Dadurch erhöht sich aber auch der Druck auf die Branche, bessere und vor allem zuverlässigere Lösungen zu entwickeln.
Moderne Security-Tools werden zunehmend um Fähigkeiten aus der künstlichen Intelligenz (KI) erweitert. Dabei handelt es sich um verschiedene Techniken und Algorithmen aus dem Bereich maschinelles Lernen (Machine Learning, ML), mit denen die Analyse von Bedrohungen und die Reaktion auf sie verbessert werden sollen.
So lassen sich mit ihnen etwa ungewöhnliche Situationen leichter erkennen und verstehen. Außerdem eignen sie sich, um die Reaktion auf diese Geschehnisse zu automatisieren und um – dieser Punkt ist vielleicht am wichtigsten – proaktive Maßnahmen zu entwickeln. Anders als in vielen anderen Branchen, in denen eine Automatisierung von Prozessen und ein zunehmender Einsatz von künstlichen Intelligenzen zu einem Verlust an Jobs führen, sieht es bei der Abwehr von Cyberbedrohungen ganz anders aus. Hier helfen die neuen Techniken dabei, die Arbeit der Menschen zu verbessern und nicht, sie zu ersetzen. Wir haben drei Gründe für diesen positiven Trend zusammengestellt.
Bedrohungsanalyse erweitern und Gefahren priorisieren
Aktuelle mit KI-Techniken ausgestattete Werkzeuge nutzen Machine Learning, um die Arbeit von Sicherheitsspezialisten und Security Operations Centern (SOCs) auf zweierlei Arten zu unterstützen.
- Durch eine Automatisierung sich ständig wiederholender Aufgaben wie etwa die automatische Anreicherung von Daten oder die Analyse von mit niedriger Priorität eingestuften Alerts.
- Punkt 1 führt dazu, dass sich menschliche Analysten nur noch mit den wirklich gefährlichen Angriffen beschäftigen müssen und diese deswegen genauer untersuchen können.
Zusammengenommen sorgen diese beiden Effekte noch für einen weiteren Vorteil. Bislang mussten die meisten Sicherheitsexperten viele Stunden damit verbringen, ihre Bedrohungsanalysen zu Berichten zusammenzufassen. Meist geht es dabei jedoch mehr um das Sammeln von Informationen und ein besseres Verstehen der erkannten Gefahren als um ihre eigentliche Bekämpfung.
Ein Delegieren der Gefahren mit niedriger Priorität an eine KI bewirkt deshalb, dass die menschlichen Analysten mehr Zeit für kritische Entscheidungen haben. Diese Entwicklung ist nicht nur aus Sicht der Abwehr von Cybergefahren nützlich, sondern auch in Anbetracht der zunehmend komplexer werdenden Bedrohungslage, die Unternehmen zu ständigen Anpassungen ihrer Sicherheitsstrategie zwingt.
Auch wenn automatisierte Techniken eine große Zahl von Bedrohungsvektoren besser als jeder Mensch überwachen können, bleiben menschliche Analysten unverzichtbar, wenn es um die Kontrolle der getroffenen Maßnahmen, das Erkennen von Zusammenhängen zwischen vermeintlich unterschiedlichen Gefahren sowie um Hintergrundwissen über Angriffe und das Verstehen der hinter den Attacken liegenden Gründe geht.
Bedarf nach Sicherheitsexperten ergänzen
Die Unterstützung der vorhandenen Mitarbeiter ist ein besonders kritischer Punkt beim aktuellen Mangel an verfügbaren, gut ausgebildeten Sicherheitsexperten. Gerade in Anbetracht der zunehmenden und immer breiter werdenden Gefahr durch Cyberangriffe steigt der Bedarf nach erfahrenen Security-Analysten weiter. Wie die Marktforschungsgesellschaft ESG berichtete, erleben mehr als die Hälfte der Unternehmen weltweit derzeit einen problematischen Mangel an Sicherheitsexperten. Nach Schätzungen von (ISC)2 muss die Zahl der mit Sicherheitsthemen befassten Mitarbeiter weltweit sogar um 145 Prozent steigen, um den aktuellen Bedarf decken zu können.
Um KI-Fähigkeiten erweiterte Sicherheits-Tools werden diese Lücke nie alleine schließen können. Ihr Einsatz für automatisierte Big-Data-Analysen, für Berichte und Einschätzungen ist jedoch unverzichtbar, um auf den grassierenden Mangel an erfahrenen Sicherheitsexperten reagieren zu können. Diese Art von Werkzeugen wirkt wie ein Multiplikator beim Einsatz der vorhandenen Security-Experten, da sie folgende Vorteile aufweisen:
- Sie sind auch in Zeiten exponentiell wachsender Daten, Endpoints und Bedrohungen einsetzbar;
- sie setzen vorhandene Analysten frei und erlauben es erfahreneren Experten, sich auf besonders gefährliche Bedrohungen zu konzentrieren, um bestimmte Aspekte und Muster zu untersuchen;
- sie erweitern die Möglichkeiten einzelner Analysten, da diese weniger Zeit dafür aufwenden müssen, um überhaupt das aktuelle Geschehen erst einmal zu verstehen: stattdessen können sie sich intensiv um die besonders gefährlichen Risiken kümmern und sie bekämpfen;
- sie erhöhen also unterm Strich die Produktivität der Mitarbeiter und bieten damit erfahrenen Analysten die Möglichkeit, ihre weniger erfahrenen Kollegen zu unterstützen; und außerdem
- können sie Bedrohungsanalysen erstellen, die in ihrer Gesamtheit sowohl einzelne SOCs als auch nationale Anstrengungen unterstützen, um so letztlich für eine bessere, vielseitigere und proaktivere Cyberverteidigung zu sorgen.
Einen demokratisierten Schutz ermöglichen
Die längerfristigen Auswirkungen der Unterstützung von Menschen mit um KI-Fähigkeiten erweiterten Security-Tools haben jedoch weit weniger mit der eigentlichen Technik als mit den betroffenen Menschen selbst zu tun.
Der Trend, der dabei eine besonders große Rolle spielt, wird auch als Datendemokratisierung bezeichnet. Er steht für das Bestreben, mehr Nutzen aus den Daten eines Unternehmens durch den konsequenten Ausbau der Möglichkeiten der einzelnen Mitarbeiter zu ziehen.
So können sie etwa selbst leichter neue Erkenntnisse hinzufügen oder eigene Analysen durchführen, ohne dafür auf die Hilfe anderer Personen angewiesen zu sein. Einfacher gesagt, benötigen wir für einen langfristig ausgelegten Schutz vor Cyberattacken eine neue Unternehmenskultur, bei der jeder einzelne Mitarbeiter über die nötigen Kenntnisse, Ressourcen und Möglichkeiten verfügt, um seinen persönlichen Teil zum Schutz des gesamten Unternehmens beizutragen.
Eine Abwehr von Angreifern mit Hilfe einer bei Security-Themen gut ausgebildeten Belegschaft dürfte damit auf längere Zeit gesehen die beste Möglichkeit sein, um sich erfolgreich zu schützen.
Das derzeitige Angebot an KI-gestützten Sicherheits-Tools bewegt sich bereits in diese Richtung. Beispiele sind etwa Optimierungen von UX und UI (User Experience sowie User Interface), verbesserte Integrationen mit anderen Software-Suiten, eine erweiterte Unterstützung fremder Sprachen sowie neue Funktionen, um Daten besser zu verstehen.
Das betrifft auch insbesondere Daten, die an SIEM-Lösungen (Security and Information Event Management) sowie an Plattformen zur Security-Orchestration, zur Automatisierung und zur Reaktion auf sicherheitsrelevante Vorfälle übertragen werden.
Dazu kommt der Trend zu mehr Security and Privacy by Design. Das führt zu neuen Interfaces, die sich etwa per Augmented Reality oder mit Unterstützung von Audioausgaben leichter bedienen lassen. Darüber hinaus gibt es bereits Fortschritte beim Verständnis der verschiedenen Methoden, die Angreifer einsetzen, um ihre Opfer zu betrügen. Das betrifft auch die angemessenen Reaktionen auf diese Attacken. Genauso wie eine breitere „Demokratisierung der Daten“ jedoch eine Unterstützung durch die Hersteller und die Kunden bei der Entwicklung einer neuen Unternehmenskultur, beim Training und bei den Investitionen benötigt, gilt das auch für den gleichen Trend bei den IT-Sicherheitsmaßnahmen.
Alle Unternehmen sind permanent gefordert, ihr Arsenal zu erweitern, die Wirksamkeit der getroffenen Maßnahmen zu verbessern und neue Sicherheitsstrategie zu entwickeln. Das ist im Grunde aber nichts anderes, als es auch genauso ihre Gegenspieler tun. Den Firmen kommt daher jetzt eine entscheidende Rolle zu, ihre Mitarbeiter mit modernen Tools auszustatten. Nur dadurch können sie den Schutz und die Widerstandsfähigkeit ihrer Sicherheitsmaßnahmen im digitalen Zeitalter weiter verbessern.