Cybersicherheit: Ohne KI und Schwarmintelligenz geht nichts mehr

Doch KI ist nicht gleich KI: Worauf Unternehmen bei der Auswahl ihrer Sicherheitslösung achten müssen

Bild: KI

Seit 2009 treffen sich im Herbst Cybersicherheitsexperten aus ganz Deutschland in Nürnberg. In der ständig wachsenden Ausstellung buhlen Hersteller um die Gunst der Kunden. Computing war vor Ort, um sich einen Überblick zu verschaffen. Das war gar nicht so einfach. Branchenweit wurde mit ähnlichen Attributen geworben. Es gab kaum ein Angebot, das nicht behauptet, KI-gestützt, Next-Gen oder integriert zu sein. Doch es gibt erhebliche Unterschiede, insbesondere, wenn Unternehmen einen strategischen und ganzheitlichen Ansatz suchen, um ihre Widerstandsfähigkeit zu stärken.

Angesichts der aktuellen Bedrohungslage und erfolgreicher Angriffe auf Unternehmen ist Cybersicherheit kein reines IT-Thema mehr, sondern eine das gesamte Unternehmen betreffende strategische Architekturfrage. Laut einer Sophos-Umfrage unter Führungskräften ist Cyberschutz in Deutschland erst für 56% der Befragten als zentraler Bestandteil der Unternehmensstrategie etabliert.

Plattformdenken statt Features und Funktionen

Moderne IT-Sicherheit geht weit über die bloße Abwehr einzelner Bedrohungen hinaus. Entscheidende Differenzierungsmerkmale liegen der Architektur, den Fähigkeiten und der Integrationsfähigkeit der Sicherheitsplattform.

„Die Zeiten, in denen einzelne Sicherheitsprodukte ausgereicht haben, sind vorbei. Cyber-Resilienz entsteht heute durch eine ganzheitliche, lernfähige Plattformarchitektur, die Prävention, Erkennung und Reaktion intelligent verbindet“, sagte uns Michael Veit, Security-Experte bei Sophos, in einem Interview.

Eine ganzheitliche Sicherheitsarchitektur berücksichtigt nicht nur das Netzwerk und daran angeschlossene Geräte wie Router, Server oder Clients, sondern auch Cloud- und SaaS-Dienste, Schnittstellen, mobile Geräte sowie Identitäten

“Ich brauche Telemetrie aus allen Bereichen des Unternehmens, nicht nur von Netzsicherheitslösung, Endpoint, Netzwerk, Cloud, sondern auch von Anmeldesystemen, von Microsoft 365, von Backup-System.” bestätigt Veit und führt weiter aus „Tatsächlich sammeln wir in unserem Ökosystem oder haben wir Schnittstellen zu etwa 350 weiteren Systemen. Dazu zählen Microsoft 365, dazu zählen Backup-Systeme, die Sicherheitslösungen anderer Hersteller, Authentifizierungsdienste, IoT-, OT-Sicherheitslösungen, und und und...“

Diese einheitliche Sicht auf die gesamte IT-Infrastruktur ist kritisch. Ein Cyberangriff besteht immer aus mehreren Phasen. Aufgabe der Verteidigung ist es, eine solche Kill Chain möglichst früh zu erkennen und zu unterbrechen. Dazu müssen Telemetrie- und Logdaten sowie Ereignisse aus der gesamten Infrastruktur zentral gesammelt, ausgewertet, angereichert und korreliert werden. Zwei Dinge sind entscheiden über den Erfolg der Verteidigung:

  1. Die Anreicherung der gesammelten Daten mit weiterführenden Informationen wie z. B. Angriffsindikatoren (Indicators of Threat, IoT) oder Anzeichen einer Manipulation (Indicators of Compromise, IoC).
  2. Die Korrelation verschiedener Ereignisse, auch über einen längeren Zeitraum hinweg.

Nur eine solche durchgängige Detection-&-Response-Strategie kann die Ausbreitung verhindern und kritische Systeme schützen.

KI ist nicht gleich KI

Kaum eine Sicherheitsplattform kommt noch ohne KI aus. Aber es gibt gravierende Unterschiede.

Klassische KI basiert auf sogenannten Großen Sprachmodellen (Large Language Model, LLM). Deren Stärke ist die Textverarbeitung. Allerdings werden in Angriffsszenarien zunehmend Bilder und Audio oder Video eingesetzt. Wirkungsvolle Plattformen setzen daher auf Vision Language Models (VLM) und Multimodale Sprachmodelle (MLM). VLMs können neben Text auch Bilder analysieren. Besser sind jedoch MLM, die mehrere Datenformate wie Text, Bilder, Audio und Video verstehen und verarbeiten können und so eine ganzheitliche und noch tiefere Analyse ermöglichen.

Hersteller wie Sophos setzen bereits auf MLM. Dazu kombinieren sie über 70 verschiedene KI-Modelle. “Wir nutzen etwa 70 bis 75 Deep Learning Modelle, die wir mit den letzten 40 Jahren Erfahrung trainiert haben, die wir als Sophos haben, wie Angreifer vorgehen”, erklärt Michael Veit.

Aber auch für die Benutzer einer solchen Plattform ist KI wichtig. Statt sich durch endlose Reports und Analysen zu quälen, können Verantwortliche mit ihrer Firewall sprechen wie mit einem Menschen: “Als Interface haben wir unter anderem auch Large Language Models. Das heißt, unsere Analysten oder Kunden können das Modell fragen: Was habe ich in den letzten 24 Stunden in diesem Netzwerk an verdächtiger Kommunikation gehabt?” Veit hat weitere Beispiele: “Von welchem Rechner ging das aus? Wer war angemeldet zu dem Zeitpunkt? Welche Dinge wurden ausgeführt? Was für verdächtige Aktionen gingen da noch raus?”

Compliance und Vertrauen

Einer der ersten und auch einer der bekanntesten Plattformanbieter ist Palo Alto Networks. Mit seinem fundamental neuen Ansatz der Single Pass Engine hat das Unternehmen vor 20 Jahren IT-Sicherheitsprodukte maßgeblich geprägt. Inzwischen gibt es weltweit Anbieter mit ähnlichen Konzepten.

Unternehmen mit einem Fokus auf Datenschutz und digitale Souveränität finden ausreichend europäische und sogar deutsche Anbieter mit vergleichbaren Lösungen. Als Beispiel seien an dieser Stelle die britischen Sophos oder aus Deutschland die zur Schwarz-Gruppe gehörende XM Cyber sowie die Rohde-&-Schwarz-Tochter Lancom genannt.

Warum ist es wichtig, wo der Anbieter seinen Firmensitz hat?

Alle diese Plattformen sind Clouddienste. Die Daten werden zentral gesammelt, analysiert und angereichert. Verwaltet werden die Dienste und Daten vom Kunden, einem beauftragten Partner oder als Managed Service vom Hersteller selbst.

Zwar verarbeiten auch amerikanische Hersteller die Daten ihrer Kunden in europäischen bzw. deutschen Rechenzentren. Aber: US-Unternehmen unterliegen nach wie vor dem US Cloud Act. US-Behörden können US-Unternehmen unter bestimmten Bedingungen zwingen, ihnen Zugriff auf die Daten ihrer Kunden zu geben – egal, wo auf der Welt diese gespeichert sind.

Selbstverständlich lassen sich viele der Plattformen auch isoliert betreiben. Damit verlieren sie aber einen wesentlichen Vorteil:

Von Schwarmintelligenz profitieren

Die Implementierung von Schwarmintelligenz in der IT-Sicherheit bietet Unternehmen signifikante Vorteile bei der Abwehr dynamischer Cyberbedrohungen. Ein zentraler Nutzen liegt im permanenten Training der KI-Modelle durch die umfangreiche und ständig wachsende Datenbasis vieler Kunden, was eine kontinuierliche Verbesserung der Erkennungsgenauigkeit ermöglicht. Taucht bei einem Kunden ein neues Angriffsszenario auf, kann dieses sofort auf andere Kunden umgelegt werden, um eine Ausnutzung frühzeitig zu verhindern. Dies führt zu einer proaktiven Abwehr, bei der Schutzmaßnahmen gegen aktuelle Bedrohungen schnell und automatisiert ausgerollt werden. Da Plattformen mit Schwarmintelligenz die besten und aktuellsten Bedrohungsinformationen aggregieren, müssen Organisationen ihre eigenen KI-Modelle nicht selbst pflegen oder trainieren. Darüber hinaus erschließt die Cloud-basierte Schwarmintelligenz völlig neue Skalierungsmöglichkeiten für den Einsatz hochentwickelter Sicherheitstechnologien.

Michael Veit von Sophos erklärte es Computing während des Interviews auf der IT-SA: “Wenn irgendeiner [unserer Kunden] erstmalig ein neues Angriffsszenario hat, können wir das sofort replizieren und bei allen Sophos Kunden nachschauen, ob dieses neue Szenario da auch vielleicht schon ausgenutzt wird.” Als Beispiel nennt er den Patch Tuesday von Microsoft: “Da gibt es ein paar Sicherheitslücken, und dann sehen wir halt, welche in der Praxis draußen ausgenutzt werden und können proaktiv auch suchen, ob Kunden verwundbar sind.”

Schwarmintelligenz oder kollektive Intelligenz ist in einer zunehmend von KI geprägten und sich permanent rasant verändernden Bedrohungslandschaft unternehmenskritisch. Auf die Frage von Computing nach dem aktuell größten Sicherheitsrisiko antwortet Veit dann auch: “Das größte Sicherheitsrisiko ist einfach, dass viele Unternehmen nicht die Entwicklung der letzten 10 Jahre mitgemacht haben, dass man von den rein technischen Schutzlösungen heute nicht mehr sicher geschützt ist vor Cyberangriffen.”

Ohne Menschen geht es trotzdem nicht

Automatisierung ist wichtig, um Angriffe schnell und zuverlässig abzuwehren. Das geht aber nur bei eindeutigen Anzeichen, bestätigt Veit: “Wenn wir eine eindeutig böse Sequenz an Ereignissen feststellen, dann stoppen wir das auch. Dann wird der User abgemeldet. Wenn wir merken, der Account wurde gekapert, dann wird der abgemeldet und wenn wir merken, da hat jemand, um in die E-Mail-Kommunikation reinzukommen, verdächtige Microsoft 365 E-Mail-Regeln angelegt, dann werden die deaktiviert.”

Doch nicht alles lässt sich automatisieren. “Im Endeffekt habe ich hier einen digitalen Heuhaufen von extrem vielen Informationen, der von der KI durchgesiebt wird. Die KI legt die spitzesten Nadeln des Heuhaufens einem menschlichen Analysten vor”, erklärt der Sophos-Experte. “Eine komplett autonome Reaktion durch KI ist heute nicht sinnvoll, weil es viel zu viele False Positives gäbe. Die Grauzone ist doch sehr hoch.” Als Beispiel nennt er die Ausführung von Systemwerkzeugen, die man gut oder böse verwenden kann. “PowerShell oder auch andere Werkzeuge sind da. Dann sehe ich Netzwerkkommunikation, die ungewöhnlich ist für diesen Benutzer, für diesen Rechner zu dieser Zeit. Dann wird das Ganze einem menschlichen Analysten vorgelegt.” Diese menschlichen Analysten können entweder von Sophos oder von einem Kunden-SOC oder einem Partner-SOC sein.

Ein solches SOC (Security Operations Center) ist ein fundamentaler Baustein moderner Sicherheitsarchitekturen. Neben modernen Werkzeugen wie Extended Detection & Response (XDR) oder Schwachstellen- und Angriffsflächen-Management-Systemen gehören auch echte Menschen dazu. Die Sicherheitsexperten im SOC unterscheiden sich von den Betriebsteams (IT Operation & Management, ITOM) durch spezielle Kenntnisse in der IT-Sicherheit. Ein SOC ist zudem immer rund um die Uhr besetzt. Veit weiß, warum das notwendig ist: “Ich brauche neben den Schutztechnologien auch die Menschen, die diese Technologie rund um die Uhr bedienen und die auch schon auf schwache Signale und Anzeichen achten und das dann umgehend untersuchen. 90% der Angriffe starten außerhalb der Bürozeiten des jeweiligen Unternehmens und wenn die IT-Sicherheit von der IT mitgemacht wird und nicht von einem dedizierten Team rund um die Uhr, haben die Angreifer im schlimmsten Fall die langen Weihnachtsferien und von Freitagabend bis Montagmorgen Zeit, ohne dass auch irgendeiner nur auf die blinkenden Lämpchen schaut, die schon auf einen Angriff hindeuten können.”

Unternehmen, denen die Expertise oder das Personal für ein eigenes SOC fehlt, sollten Managed Detection and Response Services (MDR) oder Managed SoC in Betracht ziehen. Moderne Sicherheitsplattformen wie die von Sophos, Palo Alto Networks oder XM Cyber bieten diese Möglichkeit teils mit eigenen Experten oder über zertifizierte Partner an.

Und falls doch mal was passiert?

Das oberste Gebot ist Ruhe bewahren und einen Experten hinzuziehen. Bei einem Sicherheitsvorfall oder selbst bei einem Verdacht helfen Emergency Incident Response Services (EIRS). Hersteller wie Sophos betreiben eigene EIRS-Teams. Es gibt aber auch darauf spezialisierte Anbieter wie die Q-Group 24 GmbH oder die HiSolutons AG. Im Fall einer Erpressung – sei es durch Verschlüsselung oder Diebstahl – raten Experten davon ab, Lösegeld zu bezahlen. Betroffene sollten auch auf keinen Fall selbst mit den Erpressern verhandeln, sondern darauf spezialisierte Verhandlungsführer in Anspruch nehmen.

Image
Description
Im Notfall ist das erste Gebot: Ruhe bewahren. (Bild KI)