Der Stellenwert von KI in der Cybersicherheit

Seit Jahren werden Cyberbedrohungen durch künstliche Intelligenz (KI) aufgedeckt, wobei maschinelles Lernen die wichtigste Technik zur Implementierung künstlicher Intelligenz ist. Die meisten Sicherheitsanbieter, von kleinen Startups bis hin zu großen Unternehmen, nutzen KI in ihren Produkten, um bösartige Aktivitäten zu erkennen.

KI liefert einen Mehrwert, indem sie bösartige Dateien, E-Mails oder Websites findet oder ungewöhnliches Benutzer- oder Systemverhalten erkennt. Vor allem Microsoft setzt KI in seinem Defender, Sentinel und anderen Sicherheitstools ein, um Angriffe erfolgreich zu erkennen.

Doch während es zahlreiche Erfolgsgeschichten gibt und KI im öffentlichen Bewusstsein einen wichtigen Stellenwert erreicht zu haben scheint, gibt es auch Beispiele, in denen KI die Versprechungen und hochgesteckten Erwartungen nicht erfüllt hat. KI-Systeme haben oft den Ruf, eine übermäßige Anzahl von Fehlalarmen zu erzeugen, und die Blackbox-Natur vieler KI-Systeme ruft bei vielen Experten Bedenken hervor. Angesichts übertriebener Erwartungen, die sich in der Realität nicht bewahrheitet haben, sind viele Sicherheitsexperten skeptisch gegenüber KI im Bereich der Cybersicherheit.

Doch die jüngsten Entwicklungen, die vor allem durch den Hype um ChatGPT ausgelöst wurden, haben die KI in den Mittelpunkt des Interesses gerückt. Und so fragen sich viele, wie diese neuen Technologien im Bereich der Cybersecurity zukünftig zum Einsatz kommen. Werden die Visionen und Prototypen vollautomatischer, intelligenter Sicherheitssysteme dieses Mal realistisch umgesetzt? Wird KI der Schlüssel sein, um Cyberkriminelle aus dem Geschäft zu drängen? Oder wird sie eine düstere Wendung nehmen und sich für die Angreifer als wertvoller erweisen als für die Verteidiger?

Mit diesen Fragen im Hinterkopf diskutieren wir drei spannende Themen rund um KI in der Cybersicherheit:

• Die Auswirkungen von generativer KI wie GPT auf Sicherheitsabläufe
• Innovative Anwendungsfälle jenseits der Erkennung von bösartigen Aktivitäten
• Die unvermeidliche Aussicht, dass Angreifer KI nutzen

Generative KI: Was hat sich mit dem Aufkommen von GPT geändert?
Mit der Einführung von ChatGPT hatte die KI ihren "iPhone-Moment". GPT steht für "generative pre-trained transformer" (generativer vorgebildeter Transformator), und seine Fähigkeit, nicht nur Text zu produzieren, sondern auch Gedankenketten und scheinbar menschenähnliche Schlussfolgerungen zu einem Thema zu ziehen, war eine augenöffnende Erkenntnis. Diese Erkenntnis hat neue Hoffnungen auf das Potenzial der Technologie geweckt - aber auch die Angst vor neuen Risiken. Nicht zuletzt im Bereich der Sicherheit.

Große Sprachmodelle (LLMs) als Kraftmultiplikatoren
Zu diesem Zweck hat Microsoft eine private Testphase des Security Copilot angekündigt, der GPT mit Sicherheitstools wie Defender, Sentinel, InTune und anderen verbindet. Andere Anbieter wie Google und CrowdStrike ziehen schnell nach. Das Versprechen solcher "Copilot"- und Assistenten-Tools besteht darin, die menschlichen Sicherheitsanalysten zu unterstützen, indem ihnen eine natürlichsprachliche Schnittstelle zu den Daten zur Verfügung gestellt wird, die sie benötigen, um bei der Bedrohungsjagd, der Untersuchung von Vorfällen, der Malware-Analyse und anderen Sicherheitsaktivitäten effizienter zu sein.
Während sie derzeit vor allem als Multiplikatoren für menschliche Analysten wertvoll sind, inspirieren die Denk- und Planungsfähigkeiten von großen Sprachmodellen (LLMs) zu Szenarien, die einen Schritt weiter gehen und den Menschen vollständig aus diesen Aufgaben herausnehmen: LLMs werden zu automatisierten Sicherheitsanalysten. Auch wenn solche Anwendungsfälle in der Zukunft möglich sein werden, muss beim derzeitigen Stand der Technik der Mensch auf dem Fahrersitz verbleiben und die letzte Entscheidung über wichtige Sicherheitsentscheidungen treffen.

Generierung von Trainingsdaten für Erkennungssysteme
Neben der Unterstützung menschlicher Sicherheitsanalysten werden wir bald auch andere Anwendungen generativer KI sehen. So können LLMs beispielsweise künstliche Phishing-Angriffe generieren, um Phishing-Detektoren besser zu trainieren oder für Awareness-Schulungen zu verwenden. In ähnlicher Weise können die Codegenerierungsfähigkeiten von LLMs zur Erstellung von Malware-Varianten genutzt werden, um die Malware-Erkennung besser zu trainieren. Das Produzieren künstlicher Netzwerkdaten für Network Detection and Response (NDR) oder Anomalie-Detektoren, künstliches Nutzerverhalten für User and Entity Behavioral Analytics (UEBA) Systeme - die Möglichkeiten sind nahezu endlos.

Verbesserung von Kommunikation
Eine weitere Klasse von Anwendungen wird sich auf die Kommunikation zwischen Sicherheitsmitarbeitern und Kunden und anderen Beteiligten konzentrieren. Die Fähigkeit, schnell Berichte zu erstellen, komplexe Ereignisse prägnant zusammenzufassen und sogar Folien für die Präsentation vor dem Management zu erstellen, wird Sicherheitsexperten bei der effizienten und effektiven Kommunikation unterstützen.
Dies sind nur einige Beispiele für das immense Potenzial der generativen KI im Bereich der Cybersecurity. Bei all dem Hype um das Thema ist es jedoch wichtig, zwei wichtige Punkte im Auge zu behalten:
Das LLM muss mit kontextbezogenen Daten über die spezifische Umgebung verknüpft werden.
Um die für LLMs typischen Konfabulationen und Halluzinationen abzuschwächen (bei denen das LLM eine Reaktion generiert, die nicht auf Tatsachen beruht), muss der Mensch auf dem Fahrersitz bleiben - wobei KI als Kraftmultiplikator fungiert.

Schlussfolgerung
Auch wenn KI manchmal ihrem Hype nicht gerecht wird, hat sie doch die Art und Weise verändert, wie Cybersecurity auf Bedrohungen reagieren und Daten schützen kann. Wir befinden uns jedoch an einem Wendepunkt, und die bestehenden Anwendungsfälle sind nur die Spitze des Eisbergs.