GenAI transformiert die Cybersicherheitslandschaft. Die kriminelle Nutzung von KI, vor allem generativer KI, bereitet Chief Information Security Officers (CISO) einiges Kopfzerbrechen. Dabei stellt dieselbe Technologie auch für die Cybersicherheit eine Zeitenwende dar, ist sie doch das einzige Kraut, das gegen die kriminelle Nutzung von KI gewachsen ist. 

Ein typisches Beispiel aus einem redlichen Arbeitsalltag: „Keine Ahnung, ich frag mal ChatGPT.“ Alles, was man wissen muss, ist, wie man die eigenen Prompts so gestaltet, dass das Modell einem eine brauchbare Antwort generiert – et voilà: Fertig ist der gewünschte Text, egal ob Gliederung für eine Präsentation oder Liebesbrief. Alles kein Hexenwerk – allerdings auch nicht für Cyberkriminelle. 

Genauso unterstützen im Dark Net verfügbare Sprachmodelle wie WormGPT oder FraudGPT Hackerinnen und Hacker. Die Fähigkeiten, Informationen aus dem Netz zusammenzuziehen, auszuwerten und je nach Prompt eine in Stil und Inhalt passende Antwort anzufertigen, kommen dann nicht für Liebesbriefe, sondern beim Entwerfen von Phishing-Mails zum Einsatz (Spoiler Alert: Dies könnten auch mal Liebesbriefe sein). Und das nicht nur einmal, sondern zigfach und völlig individuell für eine frei festzulegende Anzahl von Zielpersonen. So erschleichen sich Cyberkriminelle Zugang zu sensiblen Informationen wie Passwörtern, mit deren Hilfe sie dann in die Systeme der Zielobjekte eindringen können. Klingt gefährlich? Ist es auch, und leider ist das erst der Anfang. 

Unentdeckbare Angriffe 

Im Pen-Testing untersuchen Cybersicherheit-Teams unter anderem, wie sie über offene oder mangelhaft konfigurierte Ports in Informationsverbünde eindringen können. Das können auch Akteure mit kriminellen Absichten. Da KI-Modelle unter anderem über Feedback trainiert werden, lernen sie sowohl aus erfolgreichen als auch aus erfolglosen Angriffen und verbessern sich so bei jeder Iteration. Übrigens werden auch erfolgreiche Angriffe weiter abgewandelt, um unentdeckt zu bleiben. In Verbindung mit ausreichend Rechenleistung führt das dazu, dass sich Kampagnen wie Distributed Denial of Service (DDoS) und Advanced Persistent Threats (APT) quasi autonom verbessern.  

Die Bazooka unter den Cyberangriffen ist jedoch polymorphe Malware. Von „polymorphos“, dem altgriechischen Wort für „vielgestaltig“ abgeleitet, bezeichnet man damit Schadsoftware, die ihre Gestalt – in dem Fall die Signatur – ständig verändert, sei es willkürlich oder in perfekter Anpassung an die Umgebung. Aus der Security-Perspektive ist das hoch bedenklich. Denn durch das Gestaltwandeln schafft es die Malware zumeist, den Angriffsvektor vollständig zu verschleiern. Das heißt: Man bekämpft die Auswirkungen, während der Angreifer in den Untiefen weiterhin unerkannt sein Unwesen treibt. Dem Einsatz sind dabei keinerlei Grenzen gesetzt – von Verschlüsselung über Manipulation von Daten bis hin zu Diebstahl oder Löschung ist alles denkbar. Damit wird Malware als gängigster und einfachster Cyberangriffstyp noch erfolgreicher und gefährlicher. Und mithilfe maligner Chatbots wie FraudGPT auch Hackerinnen und Hackern ohne umfangreiche Programmier-Skills zugänglich.  

Hilfe naht – und zwar in Form von KI 

Die Fähigkeiten generativer KI, große Mengen an Daten zu analysieren, Muster zu erkennen und Text bzw. Code zu generieren, lassen sich natürlich auch zu Cybersicherheitszwecken nutzen.  

Machine Learning (ML) eignet sich beispielsweise hervorragend für Routineaufgaben wie die Analyse von Firewall Logs oder Nutzerverhalten. ML lernt normalen Verkehr und Aktivitäten sowie deren Regelmäßigkeiten kennen und identifiziert Anomalien über Abweichungen vom großen Gesamtbild und in Einzelbeziehungen, z. B. zwischen Source und Destination IPs.  

Neuronale Netze unterstützen das Vorfallmanagement (Incident Management), indem sie Informationen zu einem Vorfall aus einem System (z. B. Security Incident and Event Management – SIEM) mit anderen Daten (z. B. Cyber Threat Intelligence – CTI) abgleichen und anreichern. Damit wird die Analyse von Vorfällen nicht nur stark beschleunigt, sondern auch in ihrer Qualität verbessert.  

Das ist gerade bei einem erfolgreichen Angriff wichtig, um schnell das Schadensausmaß zu begrenzen und mit der Wiederherstellung zu beginnen. Dabei unterstützen wiederum unterschiedliche KI-Modelle die SOAR-Plattformen (SOAR steht für Security Orchestration, Automation and Response). Außerdem helfen sie, abschließend Vorfallsberichte zu verfassen und die Performance fortlaufend auszuwerten. 

Weitestgehend Zukunftsmusik ist heute noch der Bereich der Prognostik. KI kann systematisch Bedrohungsmodellierungen für ganze Informationsverbände durchführen, präventive Maßnahmen selektieren, mit Blick auf ihre Wirksamkeit bewerten und schließlich implementieren. Auch wenn man so mit KI vor die Bugwelle kommen kann, brauchen die Entwicklung der Systematik und die Optimierung von Ergebnissen für einen effektiven Schutz im Wirkbetrieb noch etwas Zeit. 

Tipps für die Security-Praxis 

Wichtig sind realistische Erwartungen, was KI für die Cybersicherheit leisten kann und was nicht. So unterschiedlich wie die Anforderungen und Einsatzbereiche gängiger Security Tools sind, so unterschiedlich sind auch die Anforderungen an KI-Modelle, die diese unterstützen sollen.  

Eine eierlegende KI-Wollmilchsau, die alle Security-Aufgaben bündelt und mit höherer Qualität erledigt, ist unwahrscheinlich. Das ergibt sich allein schon aus der Heterogenität der Anforderungen und den unterschiedlichen Modelltypen, die diese jeweils am besten erfüllen können. Manches hingegen braucht einfach noch etwas Zeit, bewegt sich aber grundsätzlich im Rahmen des Möglichen.  

Dennoch bieten die oben genannten Einsatzfelder bereits heute einen echten Mehrwert im Hinblick auf Geschwindigkeits- und Qualitätssteigerung sowie Ressourcenersparnisse. Analystinnen und Analysten, die vorher mit der manuellen Informationssuche und -analyse im Vorfallmanagement beschäftigt waren, können sich dank KI-Unterstützung darauf konzentrieren, Vorfälle zu beheben. 

Das Ressourcenargument ist wirklich schlagend. 42 Prozent der befragten Personen von Unternehmen und Verwaltungen nennen niedrige Cybersecurity-Budgets als Hindernis für die Verbesserung der Cybersicherheit ihrer Organisation. Das ergibt eine aktuelle Studie von Sopra Steria.  

Auch deswegen ist das Plädoyer ganz klar: nicht mit dem Einsatz von KI in der Cybersicherheit auf eine optimale Lösung in ferner Zukunft warten, sondern das Kosten-Nutzen-Verhältnis bereits heute durch KI-Einsatz optimieren.  

Um diesen Schatz zu heben, sollte man sich dreier Punkte bewusst sein:  

1. Einsetzen, einsetzen, einsetzen. KI-Modelle müssen eingesetzt werden. Und das im Bewusstsein, dass sie selten von vornherein perfekt für einen spezifischen Einsatzfall sind. So viele Produkte es auch bereits gibt, die allermeisten müssen im Einsatzumfeld konfiguriert und getestet werden, damit sie eine vernünftige Wirksamkeit entfalten. Dennoch – bereits heute hat man ohne KI-Einsatz in der Cybersicherheit kaum eine Chance gegenüber KI-getriebenen Bedrohungen. Und wer erst nach hundert Kilometer Fahrt auf den Zug aufspringen will, hat eine Menge Weg aufzuholen.
2. Gerade mit Blick auf die hochdynamische, weil KI-getriebene Entwicklung der Cyberbedrohungslandschaft müssen KI-Modelle im Cybersecurity-Bereich regelmäßig im Wirkbetrieb geprüft und weiterentwickelt werden – so wie alle anderen Tools auch. Das ist absehbar und sollte ressourcenmäßig berücksichtigt werden.
3. Mitarbeitende bleiben unsere größte Ressource. Aufgrund der Komplexität des Cybersecurity-Feldes werden wir vielleicht weniger von ihnen brauchen, sie werden jedoch nie ganz durch KI ersetzt werden. Stattdessen müssen sie die Modelle verstehen und einzusetzen wissen. Je früher man in diese Fähigkeiten investiert, desto besser kommt der Fortschritt in der eigenen Cybersicherheitsorganisation voran und desto weniger abhängig ist man dauerhaft von externer Expertise.