KI gegen KI

Welches sind die größten Herausforderungen im Bereich Cybersicherheit, mit denen Unternehmen heute konfrontiert sind?

Gergely Revay: Cyberkriminalität durchläuft eine industrielle Revolution. Früher hatten wir es mit Einzelpersonen zu tun, die mit Systemen experimentiert haben. Heute ist Cyberkriminalität ein Geschäft mit Arbeitsteilung, bei dem sich verschiedene Gruppen auf Ransomware, Datendiebstahl und anderes spezialisieren. Die nächste Phase ist die Industrialisierung: Angreifer nutzen Automatisierung und KI, um ihre Operationen skalieren zu können. Mit Hilfe von KI können Angriffe dynamisch angepasst werden.

Wie hat sich die Geschwindigkeit von Angriffen verändert?

Revay: Die Zeitspanne von der Intrusion bis zur Auswirkung hat sich dramatisch verkürzt. Bei fortgeschrittenen, „Advanced Persistent Threats (APTs)“ bleiben Angreifer oft monatelang unentdeckt, insbesondere wenn es um Spionage oder Sabotage geht. Bei Cyberkriminalität wie Ransomware läuft der Prozess dagegen sehr schnell ab. Angreifer lokalisieren in kürzester Zeit Domain-Controller, setzen Ransomware ein und ziehen Daten für Erpressungen ab. Die Automatisierung beschleunigt jeden dieser Schritte ungemein – von der Identifizierung der gesuchten Daten bis zur Ausführung der Angriffe.

Wie können hier die Verteidiger agieren, um diesen Bedrohungen zu begegnen? Was muss sich ändern?

Revay: Unternehmen sollten umfassende Sicherheitsmaßnahmen implementieren, für die Detektion und Erkennung auf allen Ebenen. Traditionelle Antivirenprogramme reichen nicht mehr aus. Mit einer „Endpoint Detection and Response (EDR)“ wird das Verhalten von Endgeräten analysiert. Beispielsweise haben wir Malware beobachtet, die KI nutzt, um verschlüsselte Prompts zu generieren, die erst bei der Interaktion mit einem Sprachmodell entschlüsselt werden. EDR kann diese Interaktionen erkennen und verdächtiges Verhalten melden.

Wie sieht es mit der Sicherheit auf Netzwerkebene aus?

Revay: Klassische Geräte für die Netzwerksicherheit wie Firewalls sind unverzichtbar. Sie können den Datenverkehr überwachen, Exploits erkennen und sogar verdächtige Dateien an Sandboxes zur tiefergehenden Analyse weiterleiten. Ein Integritätsschutz stellt sicher, dass Geräte nicht manipuliert werden, während Intrusion-Prevention-Systeme böswillige Aktivitäten erkennen und blockieren. Diese Tools bieten die Übersicht und Kontrolle, selbst für Produkte von Drittanbietern.

Werden Werkzeuge für die Cybersicherheit irgendwann komplett den Menschen ablösen?

Revay: In modernen Security Operations Centers (SOCs) ist die Automatisierung bereits Realität. Playbooks und Tools für das Zusammenspielen von Abwehrmaßen rationalisieren den Umgang und die Bearbeitung von Sicherheitsvorfällen. Auch der Mensch, diesem Fall Security-Analysten können automatisierte Reaktionen auslösen oder KI nutzen, um Warnmeldungen mit weiteren Daten zu vervollständigen. Das spart Zeit. Dennoch bleibt der Mensch als verantwortliche Instanz bei Entscheidungen, insbesondere in komplexen Szenarien.

Welche jüngsten Entwicklungen haben Sie überrascht?

Revay: Ein wachsendes Problem ist der menschliche Faktor in SOCs. Bei der unaufhörlichen Flut an Warnmeldungen kommt es oft zu einer Überlastung der Analysten. KI kann helfen, indem sie Bedrohungen filtert und priorisiert, um diese kognitive Belastung zu verringern. Ein weiterer faszinierender Trend ist die fortschreitende Entwicklung von APT. Innerhalb eines Jahrzehnts haben sich Akteure dort so weiterentwickelt, dass sie einfach die vorhandenen Tools in den Systemen ihrer Opfer nutzen. Für den Angriff muss gar keine kompromittierte Datei mehr übertragen werden. Diese Fähigkeit, sich anzupassen und ständig neu zu erfinden, ist bemerkenswert.