Der ITWelt.at-Roundtable zum Thema „IT-Sicherheit in Zeiten Künstlicher Intelligenz“ thematisierte das Spannungsfeld zwischen Security, KI und dem Menschen als letzte Instanz der Kontrolle. Nachfolgend die gesammelten Statements Markus Gröller, Senior Sales Engineer bei Sophos. [...]
Welchen Aufgabenbereich verantworten Sie bei Sophos?
Ich arbeite als Senior Sales Engineer bei Sophos. Wir unterstützen Partner bei Aus- und Weiterbildungen, bei Projektimplementierungen, aber auch auf Kundenseite bei technischen Fragen, bei Teststellungen bis hin zur vollwertigen Implementation. Sophos ist seit vielen Jahren als Security-Hersteller tätig und hat sich in Bezug auf Künstliche Intelligenz in den letzten Jahren sehr stark weiterentwickelt. Natürlich bieten wir auch „klassische“ Technologien an, wie Sicherheit für Endpunkte, für Mobilgeräte, Netzwerk, Perimeterschutztechnologien etc. sowie in den letzten Jahren auch das Konzept Cybersecurity-as-a-Service und hier allem voran Managed Detection and Response, Compromise Assessment, Managed Risk und Incident Response.
Vor 18 Monaten veröffentlichte OpenAI den auf Machine Learning und Large Language Models (LLMs) basierenden Chatbot ChatGPT. Andere Hersteller folgten mit ihren LLMs. Wie hat sich die aktuelle Gefährdungslage durch das Aufkommen von KI und Large Language Models verändert?
Wir sind im fast täglichen Austausch mit unseren Analysten und Forensikern aus dem Bereich Managed Detection and Response, ein ausgelagertes Cybersecurity-Service. Das Thema KI-Funktionalitäten und Technologie wird in den nächsten Jahren – und damit meine ich nicht in langfristig, sondern eher kurzfristig – sehr interessant werden, sowohl aus Sicht der Angreifer als auch der Verteidiger. Diese Technologien, die ja stetig weiterentwickelt werden, darf man nicht unterschätzen, erleichtern sie doch einer Angreifer- bzw. einer Hackergruppierung die Arbeit: Die Angriffe werden automatisierter, zielgerichteter und vor allem schneller. Dauert das Erstellen einer Phishing-Mai aktuell zwei Tage, geht das künftig noch schneller. Aus Verteidigersicht muss man mithalten und ebenfalls KI-Technologien einsetzen, was punktuell schon geschieht. Das wird in den nächsten Jahren sehr spannend werden.
Laut zahlreicher Studien nimmt das Gefährdungspotential stetig zu, aber sind durch die KI die Angriffe erfolgreicher?
Ja und nein. Gerade in den ersten Versionen vor 18 Monaten hat man beispielsweise Angriffsskripte bzw. Malware mit ChatGPT per se ja nicht schreiben können, also dass ich etwa prompte: „ChatGPT schreibe mir eine Randsomware.“ Das wurde auch aus ethischen Gründen von OpenAI untersagt. Aber wenn ich als Softwareentwickler weiß, wie ich eine Malware schreibe, dann konnte ich mir sehr wohl wiederholt von ChatGPT Malware-Fragmente schreiben lassen, die ich dann selber durch mein persönliches Wissen zusammenfügte. Das hat schon von Stunde null an funktioniert. Wennjemand eine Ahnung hat, wie man das ausnutzt, ist heute schon KI ein wesentlicher Bestandteil, um erfolgreich einen Angriff durchführen zu können – Tendenz steigend.
Da der Mensch immer die größte Schwachstelle im System ist, ist es sinnvoll die ganze Verteidigung zu automatisieren?
Es gibt 10.000 Alarme in der Sekunde. Verteilen wir diese über einen Arbeitstag von 8 bis 10 Stunden, dann verarbeitet man doch Milliarden von Events oder noch mehr. Da müssen definitiv verschiedene Erkennungsmodelle ineinandergreifen, damit ich das vorsortieren kann. Der Analyst, sei er extern oder intern, bekommt dann nur das Relevante zugespielt, damit er im Anschluss die Information mit unterstützender Technologie bewerten kann. Das kann jetzt ein normales Grundrauschen des Unternehmens sein, wobei dieses Grundrauschen bei jedem Unternehmen natürlich unterschiedlich ist, oder es ist tatsächlich ein möglicher Angriffsindikator, den man sich genauer anschauen muss. Gegenwärtig sind wir, Gott sei Dank, noch nicht so weit, dass man der Technologie voll und ganz vertrauen kann, sondern wir müssen unseren Menschenverstand noch mit einfließen lassen.
Glauben Sie, dass wir jemals der Technologie voll und ganz vertrauen können?
Das ist schwer zu sagen. Ich glaube, wir befinden uns aktuell in einem kleinen Umbruch, speziell im Bereich der KI.Nach persönlicher Erfahrung mit einigen Spezialisten in diesem Umfeld, meinen die einen, dass dieser Zeitraum irgendwann hundertprozentig eintreten wird, andere wiederum, dass man es nicht so weit kommen lassen soll. Ich glaube, dass wir die menschliche Komponente sicher in den nächsten Jahren, damit meine ich einen Zeitraum von drei bis fünf Jahren, noch benötigen werden. Was darüber hinaus passiert, wird wahrscheinlich keiner von uns wissen.
Es ist doch interessant sich anzusehen, was passiert, wenn man zum Beispiel der KI zu viel Möglichkeiten gibt oder zu sehr automatisiert, wie das die Air Canada gemacht hat. Dort hat die KI falsche Preisauskünfte gegeben. Die Air Canada wurde geklagt und musste zahlen. Kann damit auch eine Haftung im Rahmen der Compliance helfen, besser auf die möglichen Gefährdungen zu reagieren?
Ja, mit NIS2 werden jetzt die Verantwortlichen, also die Geschäftsführung noch mehr in die Pflicht genommen. Jetzt muss umgesetzt werden, etwa so Grundlegendes wie die Multi-Faktor-Authentication, die ja ein Bestandteil des NIS2-Richtlinie ist. Dann sind Angriffe durch gestohlene Zugangsdaten oder andere Malware einfach viel schwieriger zu bewerkstelligen.
Wie sehr ist eigentlich die Bedrohungslage bei unseren Unternehmen angekommen?
Aus Kundensicht hat sich das Bedrohungsszenario und dementsprechend auch das Thema IT-Security, in den letzten 24 bis maximal 36 Monaten meiner Meinung nach doch sehr stark geändert. Vielleicht auch aufgrund von NIS2-Thematiken oder anderen Regulatorien beschäftigen sich viele Verantwortliche mehr mit Informationssicherheit und verstehen, dass sie hier mehr machen müssen. Ein weiteres Licht auf die Thematik wirft die mediale Verbreitung von diversen Schwachstellen, Angriffen, betroffenen Unternehmen, öffentlichen Institutionen die in den Medien auftreten. Man erkennt, wenn es dieses oder jenes große Unternehmen trifft, dann kann es einen vielleicht auch treffen, denn Großkonzerne kümmern sich üblicherweise etwas mehr um Security als Kleinere. Dann folgt die Beratungsphase, die mit der Erhebung des Ist-Zustands der eigenen Infrastruktur beginnt und genau schaut, was man verbessern kann, damit man hoffentlich nie Opfer eines erfolgreichen Angriffs wird.
Bei NIS2 wird die Geschäftsführung persönlich für Versagen oder für Gefahren haftbar gemacht. Ist das clever hier mit Haftung zu agieren? Es gibt eine Umfrage von G Data vom vorigen Jahr, nach der jeder zweite Deutsche eigene Fehler im Bereich der Sicherheit verschweigt. Was ist besser: Haftung oder Strafen?
Bei vielen Gesprächen, die wir führen, wollen Sicherheitsverantwortliche sich das nationale Gesetz, die nationale Umsetzung genauer anzusehen, denn bei der DSGVO ist ja auch nicht wirklich etwas herausgekommen. Da gab es ein paar Präzedenzfälle, bei denen ein paar Strafen ausgesprochen wurden, die letztlich doch sehr human waren. Aber ich sehe das auch als einen guten Motivator, dass sich die richtigen Personen zumindest mit gewissen Vorgaben beschäftigen müssen, die man zu implementieren hat. Es besteht weiterhin die Dokumentationspflicht, die mir bescheinigt, dass ich mich nachweislich mit der Materie beschäftigt und laut meiner Risikoanalyse in einem Zeitraum abgeschätzt habe, dass ich diese und jene Technologien und Maßnahmen setze. Wenn dann wirklich etwas passiert und man kann diese Dokumentation vorlegen, und belegen, dass danach gehandelt wurde, dann wird man wohl keine grobe Fahrlässigkeit nachweisen können.
Man müsste schneller werden…
Ich glaube, dass Angriffsszenarien, wie 2017 mit WannaCry schon medial so aufgepusht sind, dass die Unternehmer, vor allem die Sicherheitsverantwortlichen spätestens hier gerade in Richtung Patch Management hellhörig wurden. Es ist ja eigentlich eine sehr einfache und schnelle Maßnahme, um die Sicherheit nach oben zu schrauben. Doch wie heißt es so schön: Nach dem Patch Tuesday gibt es immer den Hacking Wednesday. Das Patchen geht in der Praxis oft nicht sofort, weil ich eine hochkritische Infrastruktur vorher testen muss. In einem Testzeitraum von ein, zwei Wochen oder punktuell sogar länger, muss man das Verhalten beobachten, damit ich die neuen Updates in der Produktionsumgebung einsetzen kann. Das heißt, ich habe ein gewisses Gap, aber lieber zwei bis vier Wochen Gap, als ein halbes Jahr oder gar noch länger. Das muss man in diesem Kontext sehen.
Viele Unternehmen kämpfen für sich und versuchen Angriffe vorher zu erkennen oder nachher, entweder Strafen zu zahlen oder den Vorfall zu verheimlichen. Wäre es nicht ratsam, wenn mehr Transparenz herrschte, sprich dass Unternehmen sich gegenseitig austauschten und so die anderen vor der laufenden Angriffswelle warnen?
Ja, der Informationsaustausch ist ein essenziell wichtiger Punkt heutzutage, den wir von öffentlichen Einrichtungen sowieso kennen, aber auch im Krankenhausbereich, medizinische Einrichtungen oder gewissen Industriezweigen. Da gibt es diesen Austausch bereits. Bei Sophos verknüpfen wir schon seit längerem industrieübergreifend IT-Sicherheitsverantwortliche, Vorstände, Geschäftsführer bei einem gemütlichen Cybersecurity-Roundtable miteinander.So bekommt man 15 bis 20 Sicherheitsverantwortliche an einen Tisch, stellt den persönlichen Kontakt her und ermöglicht einen Austausch, der hoffentlich in der Zukunft auch ausgebaut wird. Auf diese Art kann relevante Informationen effizient in seiner persönlichen Community weitergeben und teilen.
Die IT-Security ist ein sehr komplexes Thema. Kann man mit KI die Komplexität verringern oder ist KI ein Faktor mehr, der die Komplexität erhöht?
Man muss nur die letzten Jahre betrachten: Machine Learning oder Deep Learning gibt es schon seit mehr als zehn Jahren, und ist langsam und schleichend in die Herstellerlösungen eingeflossen. Stellen wir uns eine Welt vor, in der es von heute auf morgen keine KI gäbe: ich kann auf die neuesten, modernsten Bedrohung gar nicht so effektiv reagieren, wie wir es heute kennen und können. Es hätte sich vielleicht auch das Bedrohungsszenario ganz anders entwickelt, wenn auch bei Hackergruppierungen diese Technologie nicht zur Verfügung steht. Aber ich sehe, dass Kunden heutzutage mit dem Mangel an klassischen IT- und IT-Security-Fachkräften zu kämpfen haben. Somit ergibt sich, dass einfach zu wenig Ressourcen oder Zeit vorhanden ist, um sich auch mit der Thematik zu beschäftigen. Es bringt ja nichts, wenn ich eine Securitylösung einsetze und einmal die Woche draufschaue und darauf achte, wo und ob ein rotes Lämpchen leuchtet. So gesehen müssen sich Unternehmen – auch abhängig ob es sich um ein Kleinstunternehmen oder ein Großkonzern handelt, u.a. auf KI-Lösungen, die sie einsetzen, verlassen.
Wie sie sagen, wir brauchen für eine gute IT-Security auch gutes Personal, Experten, Leute, die sich auskennen und diese sind oft nicht verfügbar. Kann hier die KI helfen, diese Leute zumindest teilweise zu ersetzen?
Unterstützend ja, ich kann mich in gewissen Bereichen – nennen wir es Level-1 oder Low-Severity-Indikatoren – schon auf die KI verlassen, um einfach einen gewissen Automatismus zu schaffen, damit ich Ressourcen für andere, wichtigere Themen frei habe. Ich kann mich jedoch nicht zu 100 Prozent auf diese Technologien, Modelle und Lösungen verlassen, wenn ich nicht die Möglichkeit habe, mir IT-Security-Fachkräfte quasi ins Haus zu holen. Dann lieber zu einem externen Dienstleister, zu Herstellern gehen und gewisse Themenbereiche outsourcen, Stichwort Managed SOC und Managed Detection and Response, weil einfach viele gar nicht die technischen, organisatorischen und finanziellen Mittel zur Verfügung haben. Das heißt, ich muss gewisse Services outsourcen, damit ich erstens die Kosten kalkulieren kann und zweitens externe Fachkräfte und Spezialisten für das Unternehmen zur Verfügung stehen.
Für die IT-Security ist nicht nur der IT-Leiter oder CIO zuständig, sondern das ist Teamwork der gesamten Geschäftsführung. Sehen Sie das auch so?
Absolut. Also es ist nicht so, dass sich von vier, fünf oder sechs Mitgliedern in der Geschäftsführung jetzt einer den entsprechenden Hut aufsetzt und sagt, das ist jetzt mein Thema, darum kümmere ich mich. Da geht es um die komplette Konzernsicherheit. Da ist meiner Meinung nach jeder, der eine Geschäftsführung oder eine höhere leitende Position innehat, mit einzuweihen und muss an der Umsetzung mitarbeiten.
Das heißt, es braucht immer wieder Mitarbeiterschulung und Awareness. Bieten Sie das an im Rahmen Ihrer IT-Security-Dienstleistung?
Mein eigenes Team beschäftigt sich sehr genau mit Awareness. Wir als Mitarbeiter werden auch vom Sophos-Konzern regelmäßig geprüft und wir bieten diese Lösung genauso für Kunden an. Unternehmen haben oft Tools, mit denen sie regelmäßig alle paar Wochen die Mitarbeiter prüfen. Ich finde aber, dass man Onsite-Workshops nicht vernachlässigen sollte, weil ich da sehr individuell und abteilungsspezifisch vorgehen kann – eine Buchhaltungssabteilung muss vielleicht mit ganz anderen Angriffen (z.B. Phishing) umgehen, als jemand, der im Lager arbeitet und auch Zugriff auf interne Systeme oder E-Mails hat.
Dass Kunden und Kundinnen Vertrauen haben in die Technik, in das Unternehmen ist sehr wichtig. Wie erreichen Sie das?
Durch das Reden kommen die Menschen zusammen. Das war schon immer so und das hat jetzt nicht zwangsläufig mit IT oder IT-Security zu tun. Wer mit Banken oder Versicherungswesen zu tun hat, vertraut seinem Bankberater oder Versicherungsmakler. Das ist in der Security ähnlich, wo man eine beratende Leistung und Consulting betreibt und dann einem Sicherheitsverantwortlichen gegenübersitzt. Wichtig ist hier sowohl das Zwischenmenschliche wie auch die gebotene Information. Zwischenmenschlichkeit und Beratungswissen ist eine gute Kombination, um Vertrauen zu etablieren, das sich dann auch auf die angebotene Lösung erstreckt.
Kann man auch über durch Zertifizierungen Vertrauen zu fördern?
Wenn man einen gewissen Compliance-Status erreichen muss und dadurch auf Lösungen setzen muss, die gewisse Zertifikate haben, hat man eine Vielzahl an Lösungen am Markt. Und dass jemand sagt, ich vertraue Dir jetzt mehr, weil Du einen Stempel hast, glaube ich persönlich eher weniger. Ich glaube vielmehr, dass der Fokus eher im menschlichen Bereich ist. Was auch Vertrauen schafft, sind Referenzgespräche mit bestehenden Kunden oder mit Mitarbeitern, die die Lösung schon längerfristig einsetzen. Das ist auch ein wesentlicher Punkt, wo man sehr effizient und schnell Vertrauen schaffen kann.
Wohin entwickelt sich die IT-Security im Zeichen der künstlichen Intelligenz? Welche neuen Gefahren, welche Möglichkeiten sehen Sie auf uns zukommen?
Der wichtigste Punkt ist auf jeden Fall, dass die die Daten zentralisiert sind. Also die Zeit, wo man für fünf Lösungen neun Dashboards benötigte und die Lösung dann auch noch auf drei Abteilungen aufsplittete, lassen wir langsam hinter uns. Das hat keine Effizienz. Das heißt ich muss die Daten zentralisieren, damit ich das große Ganze betrachten kann und die Möglichkeit habe, dass Analysten, Forensiker oder SOC-Analysten alles zentral einsehen und bewerten können: Wie hoch ist das Risiko, was gerade ausgeübt wird? Ist das ein möglicher Angriffsindikator? Ist das ein Grundrauschen? Und ganz wichtig, die Managementplattform zu vereinheitlichen. Wir von Sophos haben das schon seit fast zehn Jahren und nennt sich bei uns Sophos Central, wo sämtliche Lösungen, die wir anbieten, in einer Plattform verwaltet werden. Je nachdem, was man nutzen möchte, wird es freigeschalten oder nicht. Das ist ein sehr wichtiger Punkt, den auch unsere Kunden schätzen, weil es in der Verwaltbarkeit einfach ist. Aber trotzdem brauche ich die menschliche Komponente, die zentral diese Daten einsehen kann. Entweder habe Ich diese intern, aber in den meisten Fällen muss ich sie einfach outsourcen, weil die Unternehmensressourcen nicht ausreichen. Ich glaube, das wird in den nächsten Jahren noch viel stärker kommen.
Be the first to comment