Gigamon-CEO Shane Buckley: “Ohne vollständige Sichtbarkeit im Netzwerk wird KI zur Einladung für Angreifer.”

Warum fehlende Netzwerk‑Sichtbarkeit zur größten Gefahr für Ihre KI‑Strategie wird

Gigamon-CEO Shane Buckley weiß: “Will man etwas in Echtzeit umsetzen, muss die Telemetrie in Echtzeit verarbeitet werden.” (Foto: CRN Asia)

Künstliche Intelligenz gilt als Produktivitätsmotor – doch aus Sicht der Cybersicherheit entsteht mit ihr vor allem eines: eine neue Generation von Blind Spots. Während sich viele Unternehmen auf die „Intelligenz“ von KI konzentrieren, rückt ein zentraler Aspekt in den Hintergrund: die Sicherheit der zugrunde liegenden Infrastruktur.

Shane Buckley, Präsident und CEO von Gigamon, betont zu Beginn des Interviews mit Computing Deutschland: Klassische Sicherheitsarchitekturen sind auf sogenannte North‑South‑Verbindungen ausgelegt – also auf den Datenverkehr, der durch Firewalls in Rechenzentren hinein- und hinausfließt. Dieses Modell stammt aus einer Zeit physischer Server und klar abgegrenzter Perimeter. In hybriden Multi‑Cloud‑Umgebungen mit virtualisierten, containerisierten und KI‑getriebenen Workloads verlagert sich der Schwerpunkt jedoch deutlich.

Laut Buckley finden heute rund 96 Prozent aller Angriffe im East‑West‑Traffic statt – also innerhalb des Netzes, dort, wo Workloads, Container und KI‑Services miteinander kommunizieren. Genau dieser interne Verkehr bleibt in vielen Unternehmen weitgehend unbeobachtet. Security‑Blind‑Spots entstehen dort, wo klassische Tools nicht hinschauen – und laut Buckley ist genau das der bevorzugte Aufenthaltsort moderner Angreifer.

KI‑Infrastruktur als Black Box

Besonders problematisch ist aus Buckleys Sicht, dass KI‑Infrastrukturen oft wie eine Black Box betrieben werden. Ob in Hyperscaler‑Umgebungen, in „Neo‑Clouds“ oder in künftig entstehenden unternehmenseigenen KI‑Rechenzentren: Die zugrunde liegenden Traffic‑Muster sind komplex, hochdynamisch und für viele bestehende Security‑Stacks nicht mehr beherrschbar.

Hinzu kommt der wirtschaftliche Druck. Steigende Token‑Kosten, neue Compliance‑Anforderungen und zahlreiche dokumentierte Sicherheitsvorfälle rund um LLMs zwingen CIOs und CISOs dazu, KI‑Workloads zunehmend selbst zu betreiben – was die Verantwortung für Sicherheit und Transparenz weiter verschiebt.

Warum Logs und SIEMs nicht mehr ausreichen

Ein zentrales Problem moderner Security Operations ist aus Sicht von Gigamon die extreme Abhängigkeit von Logs. Großunternehmen erzeugen heute laut Buckley mehrere Millionen Logeinträge pro Tag. Security‑Teams stehen vor der unmöglichen Aufgabe, aus dieser Datenflut relevante Signale herauszufiltern – oft mit Verzögerungen von Minuten bis Stunden.

Das Ergebnis: Security‑Monitoring dient eher der Forensik als der Prävention. Wer Angriffe erst erkennt, nachdem die Logs ausgewertet wurden, agiert zu spät. Für KI‑Infrastrukturen, in denen Angriffe in Millisekunden ablaufen können, ist dieses Modell nicht mehr tragfähig.

Buckley setzt deshalb konsequent auf netzwerkbasierte Telemetrie. Im Gegensatz zu Logs, die manipuliert, überschrieben oder gezielt deaktiviert werden können, ist Netzwerkverkehr unveränderbar. Jeder Datenfluss muss das Netzwerk passieren – und kann dort analysiert werden.

Das ermöglicht unter anderem:

die Erkennung unbekannter oder nicht autorisierter KI‑Cluster („Shadow AI“),
das Aufdecken neuer oder verdächtiger Zertifikate,
die Identifikation von Protokoll‑Missbrauch (etwa DNS‑Tunneling),
sowie die Erkennung verschlüsselter Command‑and‑Control‑Kanäle.

Gerade Shadow AI wird laut Buckley zu einem massiven Risiko: Fachabteilungen setzen eigenständig LLMs oder KI-Anwendungen ein, ohne dass der CIO oder der CISO davon Kenntnis hat. Klassische Tools sehen diese Systeme nicht – das Netzwerk hingegen schon.

Vom Monitoring zur Orchestrierung

Mit Blick auf die nächsten Jahre sieht Buckley eine Verschiebung der Rolle von Visibility‑Plattformen: weg vom reinen Monitoring, hin zu intelligenten Orchestrations‑Schichten. Bei erwarteten Traffic‑Steigerungen um das Drei‑ bis Zehnfache stoßen rein softwarebasierte Lösungen an physikalische Grenzen.

Kritiker führen häufig an, dass Deep Packet Inspection bei künftig explodierenden Datenmengen zum Flaschenhals werden könnte. Buckley widerspricht: Entscheidend sei nicht, alles immer vollständig zu inspizieren, sondern selektiv vorzugehen. Unkritischer Traffic – etwa Streaming‑ oder SaaS‑Verbindungen – kann frühzeitig ausgeschlossen werden, während sicherheitsrelevante KI‑, ERP‑ oder Datenbank‑Verkehre vollständig analysiert werden.

Für besonders sensible Sessions werde jedes einzelne Paket geprüft, um genau jene Angriffsformen abzuwehren, bei denen Schadcode nicht im ersten, sondern in späteren Paketen injiziert wird – ein bekanntes Problem früherer Firewall‑Generationen.

„Hardware ist wieder cool“, sagt Buckley – mit Blick auf Hochgeschwindigkeits‑Fabrics, die 400 oder 800 Gbit/s in Echtzeit verarbeiten können. Nur so lasse sich KI‑Traffic anreichern, priorisieren und zielgerichtet an Security‑, Observability‑ oder KI‑Analyse‑Systeme weiterleiten, ohne Latenz oder Kontrollverlust.

Tool‑Sprawl vor dem Aus?

Langfristig erwartet Buckley eine massive Konsolidierung der Security‑ und Observability‑Landschaft. Klassische Tool‑Stacks aus SIEM, NPM, APM und Einzelanalysen könnten durch KI‑gestützte „Next Generation SIEMs“ ersetzt werden, die Datenhaltung, Analyse und Abfrage vereinen.

Für viele spezialisierte Tools bedeutet das einen Überlebenskampf. Nur Anwendungen mit klar abgegrenztem Mehrwert werden bleiben – der Rest könnte in einer KI‑gestützten Plattformlogik aufgehen.

Die gefährlichste Fehleinschätzung auf Vorstandsebene

Die größte Bedrohung für sichere KI‑Einführungen sieht Buckley jedoch nicht in der Technik, sondern im Management. Viele CEOs unterschätzten die Sicherheitsrisiken von KI dramatisch und trieben Implementierungen mit maximalem Tempo voran – aus Angst, den Anschluss zu verlieren.

Dabei seien KI und Sicherheit in vielen Punkten grundlegend widersprüchlich: KI will Wissen teilen, Sicherheit will es begrenzen. Wer diese Spannung ignoriert, riskiert massive Datenabflüsse, Compliance‑Verstöße und Vertrauensverluste.

Buckleys Rat an CIOs und CISOs fällt ungewöhnlich klar aus: Lieber Widerstand leisten und schrittweise vorgehen, als übereilt handeln. „It’s easier to say yes – but most times it’s safer to say no.“