Security-Upskilling: Wie Ihr Team fit für die KI-Ära wird

Foto: SvetaZi – shutterstock.com

Da künstliche Intelligenz und Machine-Learning-Modelle immer stärker in die Unternehmens-IT wie die Infrastruktur für Cyberangriffe integriert werden, müssen Security-Teams ihre Kompetenzen gezielt ausbauen, um einer neuen Generation von KI-basierten Cyberrisiken begegnen zu können. Dazu gehören etwa Phishing-Angriffe auf Generative-AI-Basis oder Versuche, die Datenbestände von KI-Modellen zu “vergiften”, um deren Output zu beeinflussen.

Vorbereitung aufs KI-Security-Zeitalter

Noch haben CISOs und ihre Teams die Zeit, sich auf viele dieser Gefahren vorzubereiten. Die meisten Beispiele für schadhafte KI sind weitgehend theoretisch. Das wird jedoch nicht so bleiben – jetzt ist also der beste Zeitpunkt, um damit zu beginnnen, Fachwissen über KI-Risiken aufzubauen. Schließlich wird es auch einige Anlaufzeit benötigen, bis Sicherheitspersonal geschult, KI-Profis gefunden und eingestellt sowie KI-Systeme gehärtet sind.

Dabei müssen sich Sicherheitsentscheider mit zwei “Seiten” eines wachsenden KI-Risikos auseinandersetzen:

• für interne KI-Systeme und

• KI-gestützte Cyberangriffe.

Beide Bereiche überschneiden sich dabei in gewissem Maße: ML-Skills werden beispielsweise in beiderlei Hinsicht an Bedeutung gewinnen. Weitere Skill-Überschneidungen gibt es auch in den Bereichen:

• Penetrationstests,

• Threat Modeling,

• Threat Hunting,

• Security Engineering und

• Security Awareness.

Die Techniken, die zur Verteidigung gegen KI-Angriffe und zum Schutz vor Angriffen auf künstliche Intellligenz erforderlich sind, weisen jedoch auch ihre jeweils eigenen Nuancen auf, die wiederum die Zusammensetzung der Teams beeinflussen, die die Strategien umsetzen sollen.

Einen Anhaltspunkt darüber, wie stark Generative AI bei Cyberkiminellen im Kommen ist, zeigt ein Blick auf eine aktuelle Studie des Sicherheitsanbieters Darktrace. Dieser hat im Zeitraum von Januar bis Februar 2023 eine 135-prozentige Steigerung neuartiger Social-Engineering-Attacken beobachtet. Laut den Security-Profis ist dies ein Anzeichen dafür, dass die Angreifer (generative) KI seit der ersten Stunde nutzen, um den Umfang und die Raffinesse ihrer Angriffe zu erhöhen.

“Es ist zwar noch sehr früh, um in Bezug auf die Daten etwas zu interpretieren – und wir wissen, dass Korrelation nicht gleichbedeutend mit Kausalität ist. Aber unsere Daten weisen in diese Richtung”, kommentiert Max Heinemeyer, Chief Product Officer bei Darktrace, die Zahlen. Er fährt fort: “Qualitativ gesehen wäre es dumm anzunehmen, dass sie keine generative KI einsetzen. Die Technologie bringt massive ROI-Benefits und ermöglicht es ihnen, ihre Attacken zu skalieren, zu beschleunigen und zu vervielfachen. Das bedeutet auch, dass die Cyberkriminellen mehr maßgeschneiderte Angriffe fahren können, die diffiziler zu erkennen und zu stoppen sind.”

Skills, um KI-Angriffe abzuwehren

Was bedeutet das nun aus Skill-Sicht für Security Operations Center (SOC) und darüber hinaus? Die Automatisierung von Angriffen ist nicht wirklich neu – aber KI wird dieses Problem sehr wahrscheinlich noch verschärfen. Das könnte eine passende Gelegenheit sein, um mehr Rockstar-Analysten und Threat Hunter mit entsprechenden Kompetenzen an Bord zu holen.

Weil die Bösewichte verstärkt KI- und ML-basierte Tools einsetzen, werden IT-Sicherheitsteams ihre eigene Suite von KI-Automatisierungen benötigen, um Muster zu identifizieren, die auf diese Art des Angriffs hindeuten. “Das bedeutet allerdings auch, dass das gesamte Security-Team zumindest ansatzweises KI- und ML-Knowhow braucht, um den Anbietern die richtigen Fragen zu stellen und zu verstehen, wie ihre Systeme unter der Haube funktionieren”, ergänzt Heinemeyer.

Für größere und reifere Unternehmen kann es durchaus auch ratsam sein, damit zu beginnen, solide, interne Data-Science- und Machine-Learning-Kompetenzen aufzubauen. Laut Petko Stoyanov, CTO von Forcepoint, gebe es viele globale SOCs, die schon lange vor ChatGPT damit begonnen hätten, in Datenwissenschaftler zu investieren. Der Technologieentscheider geht davon aus, dass sich dieser Trend noch beschleunigen wird – und IT-Sicherheitsverantwortliche an dieser Front wahrscheinlich den IT-Fachkräftemangel zu spüren bekommen: “Versuchen Sie mal, jemanden zu finden, der sich mit Cybersecurity und Data Science auskennt. Wenn Sie von der Nadel im Heuhaufen sprechen wollen – das wäre die Nadel.”

Mit kreativer Personalplanung und Teambildung ließe sich jedoch auch dieses Problem lösen, meint der CTO und empfiehlt – basierend auf seinen eigenen Erfahrungswerten – ein Team mit dreifacher Expertise zu bilden: “Ihr Team sollte über einen erfahrenen Threat Hunter, einen Datenwissenschaftler mit Analyse- und ML-Knowhow sowie einen Developer verfügen, der Sie dabei unterstützt, ihre Entdeckungen zu skalieren und produktiv zu setzen.” Einen Threat Hunter parallel mit Data-Science- und Entwicklungsressourcen auszustatten, könne dessen Produktivität erheblich steigern. Zudem verhindere das Enttäuschungen bei der Suche nach Spezialisten, die alle drei Bereiche in sich vereinten, wie Stoyanov unterstreicht.

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

Ein weiteres Risiko, dass sich ergibt, wenn Cyberkriminelle generative KI in die Finger bekommen: Automatische Schadcodeerstellung, die es ermöglicht, eine breite Palette bekannter Vulnerabilities auszunutzen. Andy Patel, Security-Experte bei WithSecure, hat kürzlich zusammen mit seinem Team für die finnische Transportsicherheitsbehörde einige der Möglichkeiten für KI-gestützte Cyberangriffe aufgezeigt. Dabei entdeckten die Security-Forscher auch ein neues Tool auf ChatGPT-Basis, das es ermöglicht, zahlreiche Schwachstellen in einer Reihe von Open-Source-Repositories aufzudecken. “Diese Modelle senken die Einstiegshürden für Cybercrime enorm”, konstatiert Patel und fügt hinzu: “In welche Richtung sich das Ganze entwickeln wird, ist aber noch nicht abzusehen. Entweder könnte es dazu führen, dass mehr Schwachstellen entstehen oder dazu, dass mehr Schwachstellen behoben werden.”

Auf der Seite des Schwachstellen-Managements könnte es dabei ebenfalls zu einem KI-Wettrüsten kommen, wie der WithSecure-Experte erklärt: “Die Mitarbeiter in Unternehmen könnten solche Tools selbst zu nutzen, um ihre eigenen Schwachstellen zu schließen – insbesondere, wenn sie ihre eigene Software schreiben. In der Welt der Anbieter erwarte ich, dass sich eine ganze Reihe von Startups damit beschäftigen wird, LLMs einzusetzen, um Schwachstellen zu identifizieren.”

Darüber hinaus könnte diese Dynamik auch Raum für neue Rollen und Jobs im Bereich der Cybersecurity schaffen – meint zumindest Bart Schou, Security Evangelist bei der Software AG: “Unternehmen müssen ihre Teams möglicherweise mit neuen Funktionen wie Prompt Engineers verstärken. Das könnte für Unternehmen von großem Nutzen sein, wenn es darum geht, Schwachstellen zu identifizieren und zu klassifizieren.”

Skills, um Enterprise KI zu schützen

Neben den genannten Bedrohungen müssen Unternehmen an einer weiteren Security-Front kämpfen. Dabei geht es um die potenziellen Gefahren in Zusammengang mit den eigenen, möglicherweise gefährdeten, KI-Systemen (beziehungsweise deren Trainingsdaten).

“Während die letzten fünf bis zehn Jahre davon geprägt waren, dass Sicherheitsexperten den Gedanken verinnerlichen mussten, KI zunehmend in ihre Prozesse einzubinden, werden die nächsten fünf bis zehn wahrscheinlich davon geprägt sein, dass csoKI/ML-Experten ein Mindset erarbeiten müssen, bei dem Sicherheitsbelange in ihren Prozessen an erster Stelle stehen”, hält Sohrob Kazerounian, KI-Forscher bei Vectra, fest.

Unternehmen, die in Sachen Security Thought Leadership an den Tag legen (wollen) sind bereits bestrebt mit Blick auf künftige KI-Systeme auch ihre Red-Teaming– und Threat-Modeling-Initiativen mit KI zu infusionieren. Dazu werden sie auch neue Talente beziehungsweise Skills in den Bereichen künstliche Intelligenz und Datenwissenschaft benötigen, wie Diana Kelley, CSO und Mitbegründerin beim Plattformanbieter Cybrize, erläutert: “Red Teams werden sich ein gewisses Knowhow darüber aneignen müssen, wie man KI- und ML-Systeme knackt. Und die Führungskräfte werden aufgerufen sein, Leute aus der Datenwissenschaft heranzuziehen, die sich für die Sicherheitsseite interessieren – und umgekehrt.”

Das sei auch eine gute Übung, um ein “Security by Design“-Mindset zu stärken, meint die Sicherheitsentscheiderin: Die Experten, die KI-Modelle entwickeln und zum Einsatz bringen, müssten mit Security-Teams zusammenarbeiten und von diesen geschult werden, um die Risiken zu verstehen und Systeme künftig absichern zu können.

Laut Steve Benton, Vice President und General Manager of Threat Intelligence bei Anomali, sollten solche Teams gemeinsam potenzielle Risikoszenarien entwerfen, testen und entsprechend umgestalten: “Die Antwort lautet an dieser Stelle: Purple Teaming – nicht nur Red Teaming.” (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.