Der ITWelt.at-Roundtable zum Thema „IT-Sicherheit in Zeiten Künstlicher Intelligenz“ thematisierte das Spannungsfeld zwischen Security, KI und dem Menschen als letzte Instanz der Kontrolle. Nachfolgend die gesammelten Statements von Stephan Preining, Leiter Security bei IBM Österreich. [...]
Welchen Aufgabenbereich verantworten Sie bei IBM Österreich?
Ich bin für den Security-Bereich in der IBM Österreich zuständig. IBM hat in Security über die Jahre ein sehr breites Portfolio entwickelt, das drei große Säulen hat:
- Wie schützt man seine (Zugangs-)Daten?
- Wie erkennt man Angriffe?
- Wie wehrt man sich als Unternehmen gegen solche Angriffe?
Diese drei Bereiche haben gemeinsam, dass wir sie im Lauf der Zeit auf unserer Open-Shift-Plattform aufgebaut haben. Damit können wir diese Lösungen sowohl als Cloud-Service als auch im lokalen Data Center zur Verfügung stellen. Das heißt, je nachdem wie die Anforderungen aussehen, kann man diese auch entsprechend abdecken. Und was eigentlich noch viel wichtiger ist: Wir haben eine gemeinsame Plattform, über die wir künstliche Intelligenz in alle Lösungen einfließen lassen können, um so das Unternehmen und die Analysten besser zu unterstützen. Gemeinsam mit unseren Partnern und mit unserer Serviceorganisation helfen wir unseren Kunden bei der Implementierung dieser Lösungen und – wenn gewünscht – auch beim Betrieb dieser Lösungen, damit wir unseren Kunden ein Gesamtpaket anbieten können. Im Zuge dieser Tätigkeiten kommen wir natürlich sehr oft mit dem Thema Künstliche Intelligenz in Kontakt, da IBM sehr viel in dieses Thema investiert. Wir arbeiten mit unseren Kunden daran das Thema KI auch entsprechend abzusichern.
Vor 18 Monaten veröffentlichte OpenAI den auf Machine Learning und Large Lnguage Models (LLMs) basierenden Chatbot ChatGPT. Andere Hersteller folgten mit ihren LLMs. Wie hat sich die aktuelle Gefährdungslage durch das Aufkommen von KI und Large Language Models verändert?
IBM macht jedes Jahr eine Untersuchung mit unserer eigenen internen Security-Abteilung bzgl. der Veränderungen in der Bedrohungslage. Seit Jahren waren Phishing und Ransomware das Topthema. Das hat sich 2023 deutlich geändert. Zum ersten Mal ist es so, dass wir mehr Angriffe mit gültigen Zugriffsdaten gesehen haben als Phishing-Angriffe. Das liegt zu einem guten Teil daran, dass auch die Angreifer sehr zielorientiert sind. Es ist im Moment wesentlich einfacher, Zugangsdaten im Darknet zu besorgen, als eine Phishing-E-Mail zu schreiben. Eine gut gemachte Phishing-E-Mail zu schreiben, dauert im Schnitt immer noch zwei Tage. Daten im Darknet zu finden und dann zu versuchen sich anzumelden, geht hingegen sehr rasch. Außerdem sind diese Angriffe wesentlich schwerer zu erkennen.
Wir glauben allerdings, dass sich dies auch wieder ändern wird, da es mit den Large Language Models immer einfacher wird, auch gute Phishing-E-Mails zu schreiben. Dann wird dieses Thema auch wieder deutlich an Bedeutung zunehmen.
Wir haben uns auch die Gefährdungslage mit den Large Language Models angesehen. Noch haben wir keine großen Angriffe auf ChatGPT oder ähnliche Modelle festgestellt. Wir prognostizieren jedoch: wenn sich der Markt konsolidiert, also eine Technologie 50 Prozent Marktanteil hat oder es nur noch drei Teilnehmer am Markt gibt, werden LLMs ein bevorzugtes Angriffsziel werden. Es gab vor kurzem eine Meldung: ein Framework, dass bei sehr vielen von diesen Systemen verwendet wird, hatte Schwachstellen und die wurden auch schon in großem Stil ausgenutzt. Einerseits, um Daten zu stehlen, und andererseits auch um Large Language Models mit Daten zu beeinflussen, die dort eingespielt wurden. Dieses Framework hat bereits einen großen Marktanteil und ist damit ein bevorzugtes Ziel für Angreifer.
KI ist für beiden Seiten relevant: Einerseits müssen wir die Systeme mit KI schützen, andererseits bedienen sich auch die Angreifer dieser Technologien.
Laut zahlreicher Studien nimmt das Gefährdungspotential stetig zu, aber sind durch die KI die Angriffe erfolgreicher?
Es wird immer schwieriger, solche Angriffe zu erkennen. Schadsoftware kann mutieren, passt sich an, selbst wenn sie schon im Unternehmen ist. Das macht es den Unternehmen schwerer, sich zu verteidigen. Andererseits gehen auch viele Unternehmen schon jetzt in die Richtung, dass sie bei einem Ransomware-Angriff nicht zahlen, sondern sich darauf konzentrieren, wie sie gegebenenfalls ihren Betrieb wieder herstellen, wie sie wieder schneller ins Laufen kommen. Dazu gehören auch Überlegungen, welche Maßnahmen ich setzen muss, damit sich eine Ransomware nicht so schnell ausbreiten kann.
Large Language Models erlauben völlig neue Angriffsmöglichkeiten, man denke an Prompt Injection oder dem Einspielen von falschen Daten. Ist das jetzt schon eine aktuelle Gefährdung oder wird es erst kommen?
Wir sehen diese Gefährdung noch nicht in größerem Ausmaß, aber sie wird kommen, sobald sich die Technologien stabilisieren bzw. es klare Marktführer gibt. Es war auch in der Vergangenheit so: Immer, wenn sich eine Technologie als marktführend etabliert hatte, wurde sie zu einem beliebten Ziel für Angreifer. Wir erwarten, dass das analog auch bei LLMs passiert. Aber der Markt ist doch noch einigermaßen fragmentiert, was es gegenwärtig für Angreifer kostspielig und nicht so effizient macht, ein bestimmtes System anzugreifen. Doch man muss sich darüber schon jetzt Gedanken machen.
Was aber aus meiner Sicht noch wesentlich gefährlicher ist: Wenn Unternehmen in LLMs investieren, dann trainieren sie diese ja mit eigenen Daten, die dem LLM zur Verfügung gestellt werden. Das ist ein sehr schöner Angriffspunkt, da hier die Daten aus ihrem gesicherten Bereich, an dem sie sich normalerweise befinden, heraus bewegt werden, um das Modell zu trainieren. Hier muss man sich darüber im Klaren sein: Wer greift jetzt auf die Daten zu? Was hat derjenige für Berechtigungen? Ist es entsprechend abgesichert, dass diese Daten an dieser Stelle nicht von dem Angreifer abgegriffen werden? Ist es möglich, dass Daten gestohlen werden oder dass sich dort auch falsche Daten zum Trainieren einschleusen lassen, um das Modell in eine falsche Richtung zu führen?
Wobei doch gerade das Trainieren mit den eigenen Daten eines Unternehmens das Modell „groundet“, also dadurch die Halluzinationen stark verringert werden können. Die eigenen Daten zu nehmen, ist doch besser für das Training der KI oder nicht?
Egal, mit welchen Daten ich das Modell trainiere, es besteht immer die Gefahr des Halluzinierens. Im Prinzip ist es eine Wahrscheinlichkeitsrechnung, wo es falsche Ergebnisse geben kann. Das haben einige Kollegen von uns schon ausprobiert, indem sie sich von der KI einen eigenen Lebenslauf schreiben haben lassen. Die Ergebnisse waren teilweise erfundene Lebensläufe. Darum ist es so wichtig, und das propagieren wir bei IBM sehr stark, dass im Regelfall ausgewiesen wird, wenn AI-generierte Ergebnisse zur Verfügung gestellt werden, damit eine kritische Betrachtung ermöglicht wird.
Glauben Sie, dass wir jemals der Technologie voll und ganz vertrauen können?
Es kommt darauf an, wie ich auf einen Angriff reagiere. Wenn etwa eine Fabrik angegriffen wird, muss wahrscheinlich ein Mensch die Entscheidung treffen, ob jetzt etwas abgeschaltet wird oder nicht. Das hat große Konsequenzen, auch kommerzielle Konsequenzen, die man im Regelfall nicht der Maschine überlassen möchte. Ich glaube nicht, dass man das in absehbare Zeit einer Maschine überlassen wird.
Es ist doch interessant sich anzusehen, was passiert wenn man zum Beispiel der KI zu viel Möglichkeiten gibt oder zu sehr automatisiert, wie das Air Canada gemacht hat. Dort hat die KI Preisauskünfte gegeben, die waren falsch. Air Canada wurde geklagt und musste zahlen. Ist das damit auch eine Haftungsfrage beziehungsweise kann Compliance helfen, besser auf die möglichen Gefährdungen zu reagieren?
Bereits NIS1 war nicht sehr erfolgreich. Jetzt kommen mit NIS2 verschärfte Regelungen. Zusätzlich umfasst NIS2 wesentlich mehr Unternehmen und ich erwarte mir schon, dass das auch eine Verbesserung bringt. Wir haben uns zum Beispiel Unternehmen der kritischen Infrastruktur angesehen, die angegriffen wurden: In 85 Prozent der Fälle hätte der Angriff mit den Security-Basics, wie Multi-Faktor-Authentifizierung und dergleichen adressiert werden können. Hier glaube ich schon, dass durch diese Richtlinie mehr Druck kommt, so etwas zügiger umzusetzen und sich besser aufzustellen.
Das ist wie bei der Standardisierung. Wer neue Technologie standardisieren will, muss auch die Zukunft mitbedenken und somit eine mögliche Änderung des Standards quasi mitentwickeln…
Das ist eines der meistdiskutierten Themen im Darknet: Wie geht man mit den Large Language Models um? Wie kann man LLMs am besten angreifen? Und wenn sich hier ein Mechanismus etabliert, der gut funktioniert, dann haben wir eine kritische Bedrohungslage. Denn was wir bei den Kunden sehen: Jeder geht in die Richtung KI und die Unternehmen machen sich noch nicht wirklich viele Gedanken, wie sie das auch entsprechend absichern. Da gibt es noch einigen Nachholbedarf.
Wie sehr ist eigentlich die Bedrohungslage bei unseren Unternehmen angekommen?
Im Moment ist die Stimmung geprägt von der Angst, etwas zu verpassen. Man möchte dabei sein, mit diesen Technologien einmal spielen und Security wird erst im Nachhinein betrachtet. Im Moment ist der Fokus: wie bringe ich diese Lösungen möglichst rasch an die Kunden, damit ich dort zum Beispiel das Kundenservice verbessern kann. Natürlich gibt es im Unternehmen schon eine entsprechend abgesicherte Infrastruktur, die man bis zu einem gewissen Grad auch zum Schutz der LLMs verwenden kann. Aber auf die Spezifika der Large Language Models wird noch viel stärker eingegangen werden müssen. Das heißt, wie schütze ich dort meine Daten? Wer hat darauf wirklich Zugriff? Wie stelle ich fest, ob sich das Modell zum Beispiel über die Zeit verändert? Wann muss ich Alarm schlagen? Das sind alles Themen, die noch in weiterer Folge betrachtet werden müssten.
Bei NIS2 wird die Geschäftsführung persönlich für Versagen oder für Gefahren haftbar gemacht. Ist das clever hier mit Haftung zu agieren? Es gibt eine Umfrage von G Data vom vorigen Jahr, nach der jeder zweite Deutsche eigene Fehler im Bereich der Sicherheit verschweigt. Was ist besser: Haftung oder Strafen?
Es kommt dadurch sicher auf die Agenda der Vorstände. Man muss die entsprechende Risikoabschätzung machen und dann Vorsorge treffen. Einen Angriff wirklich zu verhindern, ist sehr schwer – daraus kann man niemanden einen Strick drehen. Aber wenn sich jemand nicht mit dem Thema auseinandergesetzt hat, das Risiko nicht betrachtet hat, dann gibt es natürlich ein Problem. Das heißt, es landet dann schon auf Vorstandsebene und die müssen sich dann auch aktiv damit auseinandersetzen.
Viele Unternehmen kämpfen für sich und versuchen Angriffe vorher zu erkennen oder – falls das nicht gelungen ist – nachher, entweder Strafen zu zahlen oder den Vorfall zu verheimlichen. Wäre es nicht ratsam, wenn mehr Transparenz herrschte, sprich dass Unternehmen sich gegenseitig austauschten und so die anderen vor der laufenden Angriffswelle warnen?
Wir unterstützen das sehr, motivieren auch unsere Kunden, dass die entsprechenden Informationen ausgetauscht werden. Die Angreifer tauschen die Informationen auch aus. Genauso sollten die Unternehmen die Informationen austauschen. Es gibt Meldestellen, wo Information entsprechend ausgetauscht werden. Das hilft, Angriffe zu erkennen. Wenn es eine Angriffskampagne gibt, dann fokussiert diese zum Beispiel auf bestimmte Arten von Unternehmen, bestimmte Branchen. Durch den Austausch kann man sich besser vorbereiten bzw. ist man zumindest vorgewarnt, dass sich in diesem Bereich etwas tut und hat ein besonderes Augenmerk auf dieses Thema.
Sollte man mittlerweile nicht langsam von diesem „Wir sind so gut, wir können alles abwehren“ wegkommen, zu einem „Mit der Zeit wird es jeden erwischen“?
Beim Veröffentlichen einer Schwachstelle wäre sicher eine Voraussetzung, dass es bereits eine vernünftige Lösung gibt, wie man das Problem behebt. Ist diese noch nicht vorhanden, würde ich eine Veröffentlichung auch sehr kritisch sehen. Der andere Aspekt ist, selbst wenn ich es unmittelbar nicht beheben kann, dann kann ich es zumindest gut beobachten und darauf achten, ob sich etwas an dieser Schwachstelle tut. Habe ich hier einen Angriff? Verhält sich etwas nicht normal? Dann kann ich darauf reagieren bzw. fällt es mir zumindest früher auf und ich kann etwas tun. Das ist deutlich besser, als wenn ich blind unterwegs bin und nicht einmal weiß, dass ich da überhaupt ein Problem habe.
Die IT-Security ist ein sehr komplexes Thema. Kann man mit KI die Komplexität verringern oder ist KI ein Faktor mehr, der die Komplexität erhöht?
Wichtig ist aus meiner Sicht: Das Unternehmen sollte sich nicht mit dem Thema KI für Security auseinandersetzen müssen. Dies ist tatsächlich sehr komplex. Vielmehr sollte KI in die Security-Lösung hineinwandern und dann im Hintergrund das Leben der Analysten einfacher machen. Sie kann die Daten nach Auffälligkeiten durchsuchen, mögliche Gegenmaßnahmen empfehlen und am Ende die Informationen über einen Security Vorfall in einem Bericht zusammenstellen.
Es gibt einen Fachkräftemangel. Wir brauchen für eine gute IT-Security auch gutes Personal, Experten, Leute, die sich auskennen und diese sind oft nicht verfügbar. Kann hier KI helfen, diese Leute zumindest teilweise zu ersetzen?
Es gibt viele Analyse-/Routine-Tätigkeiten, die heutzutage schon von künstlicher Intelligenz erledigt werden, wo früher Mitarbeiter daran gearbeitet und viel Zeit investiert haben. Wir sehen das auch bei unserer internen Security im Monitoring: Level eins ist dort schon vollkommen automatisiert. Da brauchen wir keine Mitarbeiter mehr. Die können sich dann auf die Analyse von komplexeren Security-Vorfällen, die von der KI identifiziert werden, konzentrieren. Dies war ja die Idee der künstliche Intelligenz: Wir helfen den Menschen produktiver zu werden und sich besser auf die wesentlichen Aufgaben zu konzentrieren.
Wobei es ja mittlerweile auch schon Lösungen gibt, wo ja eine KI die andere KI kontrolliert. Und als übergeordnete Instanz agiert der Mensch.
Selbst bei großen Firmen, die viele Mitarbeiter haben, die sich um Security-Vorfälle kümmern, habe ich mit KI die Möglichkeit, eine gewisse Konsistenz in der Qualität hineinzubringen. Die KI hilft dem Analysten, dass ich wirklich alle Aspekte eines Security-Vorfalls betrachte. Damit kann auch ein neuer Mitarbeiter ähnlich gut werden, wie ein langjähriger erfahrener Mitarbeiter. In Summe wird dadurch die Qualität deutlich höher.
Das heißt, es braucht immer wieder Mitarbeiterschulung und Awareness. Bieten Sie das an im Rahmen Ihrer IT-Security-Dienstleistung?
Wir machen es intern und wir bieten es auch an. Wir haben die Erfahrung gemacht: Auf 100 Prozent Awareness kommt man nie. Irgendjemand klickt immer noch auf einen Link, egal wie viel Schulungen man anbietet. Aber es wird natürlich besser und daher muss man laufend daran arbeiten.
Dass Kunden und Kundinnen Vertrauen haben in die Technik, in das Unternehmen ist sehr wichtig. Wie erreichen Sie das?
Ein Punkt, der von Kunden immer wieder kommt, gerade wenn es um den Einsatz von Cloudlösungen geht, ist die Frage: Wo erfolgt die Datenhaltung? Innerhalb der EU? Innerhalb Österreich, Schweiz oder in Amerika? Wie wird mit den Daten umgegangen? Das ist ein kritisches Thema, mit dem man dann auch entsprechendes Vertrauen aufbauen kann.
Wohin entwickelt sich die IT-Security im Zeichen der künstlichen Intelligenz? Welche neuen Gefahren, welche Möglichkeiten sehen Sie auf uns zukommen?
Wir diskutieren schon lange, wie KI sowohl die Angreifer als auch die Unternehmen unterstützt.
Security ist im Moment ein sehr komplexes Thema und die Unternehmen setzen im Regelfall relativ viele Werkzeuge ein, die wenig integriert sind. Nicht umsonst haben die Security-Analysten eine ganze Reihe von Bildschirmen vor sich, wo sie die Informationen zusammensuchen. Das ist jetzt nicht die effizienteste Art und Weise, wie man das tun kann.
Ich glaube, wenn wir Security effizient betreiben und künstliche Intelligenz nutzen wollen, dann müssen wir diese Werkzeuge zusammenbringen. Darum geht es immer stärker in Richtung von Plattformen, wo man vereinheitlicht und die verschiedenen Werkzeuge integriert, um dort konsistent auch künstliche Intelligenz einsetzen zu können und dadurch das Arbeiten effizienter zu machen.
Wir sehen auch Fortschritte beim Thema Quantencomputer und quantensichere Verschlüsselung. Ein aktuelles Thema ist hier der Datendiebstahl zum Teil auf Vorrat mit der Erwartung, dass sich die Daten später mit Quantencomputern wieder entschlüsseln lassen. Gerade wenn es um besonders kritische Daten geht, wie etwa im Spitalswesen, im öffentlichen Bereich, muss man überlegen, welche Daten möchte ich in Zukunft quantensicher abspeichern. In diesem Bereich müssen wir darauf achten, vorausschauend sicher zu werden, da Quantencomputer zunehmend verfügbar werden und sicher auch von Angreifern eingesetzt werden.
Wann glauben Sie, ist es so weit, dass Quantencomputer die Verschlüsselung knacken können?
Es wird nicht mehr allzu lange dauern, bis eine heutige kommerzielle Standard-Verschlüsselung geknackt wird. Bei Quantencomputern wird sehr stark daran gearbeitet, wie man skaliert, um mehr Rechenleistung zu bekommen und wie man die Fehlerkorrektur in den Griff bekommt. In beiden Bereichen gibt es sehr große Fortschritte, die es ermöglichen werden, dass man bald auch die Daten entschlüsseln kann.
Der ITWelt.at-Roundtable zum Thema IT-Security in Zeiten der Künstlichen Intelligenz kann hier nachgesehen werden.
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
Sehen Sie auch folgenden Beitrag auf LinkedIn
Be the first to comment