Der Hype nimmt seinen Lauf

Die Geschwindigkeit der Weiterentwicklung und Ausbreitung von KI-Technologie ist inzwischen enorm gestiegen. Allein in den wenigen Wochen seit dem letzten Blog zu diesem Thema:

• • erschienen weitere Ableger und Verbesserungen von ChatGPT sowie von KI-gestützter Software für die Bild- und Videobearbeitung
  • brachte das Satiremagazin „Der Postillon“ DeppGPT – eine unerzogene Version von ChatGPT – heraus
  • hat eine KI-gesteuerte Drohne der USAF (angeblich?!) in einer Simulation seinen Operator „eliminiert“, um ein besseres Abschussergebnis zu erzielen
  • wurden im Mai allein in den USA fast 4000 Arbeitsplätze durch KI ersetzt (Quelle)

Und dies sind nur Beispiele. Fakt ist: Die KI-Technologie gewinnt zunehmend an Aufmerksamkeit und Relevanz.

Dass der Einsatz von KI auch neue Gefahren für die IT-Sicherheit bringt, haben wir bereits im letzten Blog zum Thema KI festgestellt. Denn schließlich ist die KI nicht nur ein Spiegel des menschlichen Wissens, sondern zunehmend auch des menschlichen Verhaltens und den damit verbundenen Stärken und Schwächen. Und genauso wie die Menschheit sich mehr oder weniger stark ethischen Grundregeln unterwirft, sind auch für den Einsatz von KI global geltende Regeln dringend notwendig.

Da dies aber außerhalb unseres Einflussbereichs liegt, wollen wir uns lieber dem Potenzial der KI widmen, das der IT-Sicherheit zuträglich ist.

Die Vision

In diesem Kontext gehen wir von den folgenden Vorzügen der KI-Technologie aus:

• • Permanenter Zugriff auf das gesamte Wissen hinsichtlich:
    • Methoden und Tools zur Erkennung und Behebung von Sicherheitslücken
    • Methoden und Tools zur Bewertung und Nachverfolgung von Sicherheitsrisiken
    • Strategien und Maßnahmen zur Reduzierung von Sicherheitsrisiken
    • Sicherheitsarchitekturen
  • Anwendung des gesamten Wissens nahezu in Echtzeit
  • Verfügbarkeit und Skalierbarkeit

Wem das jetzt zu wissenschaftlich wird, dem hilft vielleicht folgendes simples Bild:

KI ist wie ein riesiges Team von Spezialisten, das autonom, rund um die Uhr und überall in einer IT-Umgebung Schwachstellen erkennt, bewertet und behebt. Also ein selbstheilendes System.

Das klingt doch traumhaft, oder?

Leider handelt es sich hierbei (noch) um eine Vision, fern der Realität. Denn die KI kann – ebenso wie der Mensch – nur dann ihr volles Potenzial entfalten, wenn alle notwendigen Mechanismen im vollen Funktionsumfang zur Verfügung stehen und nahtlos ineinander greifen. Und dieses Ideal ist uns bisher noch nicht mal im Ansatz begegnet.

Die vermeintliche Intelligenz resultiert aus der Verfügbarkeit von Wissen. Erkenntnis wird in Form von Regelsätzen einprogrammiert und ist damit in ihrer Kreativität begrenzt (und letztlich wieder fehlerhaft wie der Mensch). Damit KI intelligent agiert, braucht sie also Wissen. Und zwar am besten unbegrenzt.

Das erforderliche Wissen ist grundsätzlich vorhanden und dank des Internets auch zentral und schnell abrufbar. Jedoch braucht die KI das Wissen in Form einer strukturierten und unmittelbar verwertbaren Datenbank.

ChatGPT kann zum Beispiel das Wetter vorhersagen, weil es die Schnittstelle zur Datenbank eines Wetterdienstes nutzt. Es leitet nicht selbst aus den Millionen von Wetterdaten eine Prognose ab, sondern bedient sich der gespeicherten Ergebnisse eines anderen Rechners. Denn die für die Prognose erforderlichen Rechenformeln stehen ChatGPT nicht zur Verfügung und kosten auch zu viel Rechenzeit. ChatGPT verlässt sich insofern auf das sofort verfügbare Wissen/Rechenergebnis einer als vertrauenswürdig geltenden Quelle und gibt dieses Wissen wieder.

Das ist in etwa so, als wenn ein Mensch mit einem niedrigen IQ Goethe oder Einstein zitiert. Seine Mitmenschen halten diese Person nur so lange für intelligent, bis das Zitat als solches wiedererkannt wird. Übrigens sollte der Mensch auch aus diesem Grund trotz aller KI nicht aufhören, sich selbst Wissen anzueignen. 😉

Überwachung/Monitoring

Das Monitoring gehört sicherlich zu den Grunddisziplinen eines jeden IT-Betriebs. Es existieren zahlreiche bewährte und ausgeklügelte Tools um regelbasiert sicherheitsrelevante Informationen zu überwachen und Abweichungen zu detektieren (siehe nächster Abschnitt). Über Schnittstellen lassen sich diese Tools mit den hierfür erforderlichen Regelsätzen befüllen. Relevante/bewährte Regelsätze sind als Wissen (mit den oben gemachten Einschränkungen) vorhanden.

Die langjährige Beratererfahrung zeigt, dass sich auch gestandenes IT-Personal mit dieser Disziplin sehr schwertut. Denn die Regeln müssen ständig aktualisiert werden, um ihren Nutzen zu bringen.

Für KI bedeutet es also, diese Regelsätze sowohl aufgrund von Erfahrung (sprich: konkreten Vorfällen) als auch initiativ (sprich: auf Verdacht) permanent zu optimieren. Moderne Endpoint Protection and Response (EDR) Tools setzen KI bereits erfolgreich ein. Auch unser Partner SpecterOps tüftelt bereits daran, wie KI in Bloodhound Enterprise eingesetzt werden kann, um das Active Directory intelligenter und letztlich effektiver zu überwachen.

Als Grundlage für die permanente Optimierung nutzen KI-basierte Tools sowohl Erfahrung (eigene und die der Kunden) als auch die Erkenntnisse aus der Auswertung der „Crowd“, also der auf den überwachten Systemen gesammelten Daten und Verhaltensmuster.

Qualifikation und Detektion

Die Detektion (das Feststellen einer Regelabweichung) ist eigentlicher Bestandteil jedes Monitoring Tools. Sofern der die Detektion auslösende Regelsatz vertrauenswürdig und relevant ist, kann von einer qualifizierten Detektion ausgegangen werden.

IT-Personal verlässt sich hier in der Regel blind auf das im Monitoring implementierte Regelwerk. Eine Hinterfragung/Neuqualifikation würde zu viel Zeit benötigen, die dann für die Behebung der Abweichung fehlt. Und sicher stand jeder Administrator schon einmal vor der Entscheidung, einen vermeintlichen Fehlalarm des Monitoring Tools aus Zeitgründen zu ignorieren, anstatt die zugrunde liegende Regel mühsam zu korrigieren.

KI sollte es insofern besser machen. Dies erfordert:

• • jedem Alarm nachzugehen à Durchsatz ist kein Problem für KI
  • die dem Alarm zugrundeliegenden Daten zu validieren (Qualifikation) à letztlich muss die KI den auslösenden Regelsatz reproduzieren
  • im Fall eines Fehlalarms: den Regelsatz zu korrigieren à sofern die vorangegangenen Punkte umgesetzt sind, ist das für KI eine Kleinigkeit

Auditierung

Eine Sonderform des Monitorings ist die Auditierung. Während das Monitoring einzelne Parameter eines IT-Systems kontinuierlich überwacht, wird ein Audit spontan und in einem übergeordneten Kontext durchgeführt. Ein komplexes Konzept oder ein daraus abgeleiteter Fragenkatalog wird als Soll-Zustand herangezogen und im Zuge des Audits mit dem Ist-Zustand abgeglichen. Aus den festgestellten Abweichungen vom Soll-Zustand werden korrektive Maßnahmen abgeleitet, die Logik und Kreativität erfordern.

Genau aus diesem Grund werden für Audits externe Dienstleister herangezogen, die den Soll-Zustand in einen Fragenkatalog (sprich: Regelwerk) übertragen und dann – je nach Kontext – mit dem Systemverantwortlichen durchsprechen und/oder durch geeignete Tools automatisiert überprüfen.

Teal setzt zur Auditierung der Sicherheit im Active Directory gleich einen ganzen Satz an ausgewählten und bewährten Tools ein, um ein möglichst vollständiges Bild der Ist-Situation zu erhalten. Anschließend erfolgt die kundenindividuelle Auswertung der Ergebnisse samt Ableitung der Handlungsempfehlungen.

Die KI könnte Audits spontan, jederzeit und mit unterschiedlichen Schwerpunkten durchführen. Sie müsste hierfür:

1. 1. 1. aus einem vorgelegten komplexen Konzept konkrete „Fragen“/Messpunkte ableiten
      2. die für die effektive Messung erforderlichen Tools auswählen und ausführen
      3. den zurückgemeldeten Ist-Zustand bewerten
      4. geeignete Reaktionen empfehlen (siehe weiter unten)

Von einer solchen KI sind wir noch weit entfernt, aber immerhin beschäftigen wir uns schon gedanklich damit. 😉

Reaktion

Wird eine Abweichung festgestellt, muss angemessen reagiert werden. Da Angemessenheit relativ ist, müssen auch für die Reaktion Regeln gelten.

Viele Unternehmen haben – ob aus eigener Leiderfahrung oder aufgrund von Druck – solche Regeln für verschiedene Bedrohungsszenarien ausgearbeitet und kommuniziert. Diese Regeln decken neben der reinen Vorgehensweise auch Aspekte wie Kommunikationsketten und Verantwortlichkeiten ab.

Schell werden die Regelwerke/Prozessbeschreibungen deshalb zu praxisfernen „Papiermonstern“ und deshalb selten exakt eingehalten. Und falls keine Regeln gelten sollten, reagiert das IT-Personal erfahrungsgemäß menschlich, sprich: impulsiv, unstrukturiert und damit ineffizient.

Der KI sind solche Eigenschaften fremd, deshalb liegt in einer effizienten Reaktion das vielleicht größte Potenzial dieser Technologie. Gleichzeitig ist die Reaktion einer KI aber auch die größte Gefahr, wenn sie zwar „logisch“, aber eben am Ende doch nicht sinnvoll oder sogar destruktiv ist.

Damit die KI ihren Effizienzvorteil voll ausspielen kann, muss ihre Reaktion sowohl unverzüglich als auch fehlerfrei erfolgen. Doch in jedem QA-Lehrbuch wird erklärt, was wir längst auch schon praktisch erfahren haben: Es gibt kein 100% fehlerfreies System. Und das kann schon daran liegen, dass nicht jeder Fehler als solcher auch klar definiert und erkannt wird.

So kommt es in der Praxis oft vor, dass die KI nur bei harmlosen Vorfällen vollständig autonom reagieren darf, während bei einer unverzüglich notwendigen Abschaltung eines geschäftskritischen Services das IT-Personal lieber selbst entscheiden will. Und dieses (sicher auch zurecht) fehlende Vertrauen in die gesetzten Regeln kostet am Ende die wichtige Reaktionszeit.

Fazit

Folgende Schlussfolgerungen lassen sich aus den oben genannten Ausführungen ableiten:

1. 1. 1. KI ist für den Einsatz im Bereich IT Security nicht nur hilfreich, sondern dringend notwendig. Sie wird deshalb in kurzer Zeit eine tragende Rolle bei der Absicherung von IT-Umgebungen einnehmen.
      2. Damit KI zum Vorteil wird, braucht sie klare, umfangreiche und möglichst fehlerfreie Regeln. Die Regeln entstehen aufgrund menschlicher Arbeit und Erfahrung.
      3. Da Regeln nie zu 100% fehlerfrei sind bzw. Lücken aufweisen, muss der KI erlaubt sein, den Regelsatz zu optimieren. Sonst ist KI nicht intelligent, sondern lediglich ein Automat. Erst die „Entscheidungsfreiheit“ macht eine KI „intelligent“, aber damit auch unvorhersehbar und unter Umständen wird sie so selbst zum Risiko.

Abschließend, möchten wir noch eine Empfehlung mitgeben. KI hat ähnlich wie Cloud-Dienste ein enormes Potential, das Unternehmen nutzen könnten. Mit beiden Technologien lassen sich komplexe, moderne und nahezu vollständig automatisierte Projekte kosteneffizient realisieren. Unsere Erfahrung zeigt aber auch, dass viele Unternehmen „Altlasten“ abbauen müssen, um diese Potentiale zu heben.

Ein konkretes Beispiel ist die teure Produktionsmaschine, die vor Jahren angeschafft wurde, grundsätzlich noch funktioniert, aber moderner und sicherer sein könnte. Wir sehen immer wieder Szenarien, in denen Kunden aus Kostengründen den Status Quo erhalten. Die Konsequenzen sind z.B., dass unsichere Protokolle dadurch nicht abgeschaltet werden können, oder veraltete Betriebssysteme im Einsatz bleiben, für die es keine Sicherheitsupdates mehr geben wird. In letzter Konsequenz wird der Status Quo nicht nur riskant, sondern auch noch teurer. Würde sich die KI in einem solchen Fall auch für den Status Quo entscheiden?

Ein weiteres Beispiel wurde bereits weiter oben genannt: Eine geeignete Reaktion auf eine Anomalie muss definiert werden. Wer entscheidet am Ende, ob ein kritisches System vom Netz genommen werden kann, oder ob dadurch ggf. ein weit größerer Schaden angerichtet werden würde? Die IT hat dieses Wissen oft nicht vollumfassend und ist auf zusätzliche Informationen von Applikationsverantwortlichen und dem Management angewiesen.

Wir empfehlen grundsätzlich darüber nachzudenken, wie ein moderner IT-Betrieb aussehen sollte. Inventarisierung, Systemhärtung, Aktualisierung von veralteten Systemen aber vor allem auch Berechtigungsmodelle, stabile Betriebsprozesse und klare Verantwortlichkeiten müssen ebenso modernisiert und überprüft werden.

Wenn wir dabei beraten sollen, melden Sie sich gerne bei uns 😊.