Deutschland
 

Generative AI

Eine neue Herausforderung für den CISO

Die Analysten von Gartner gehen davon aus, dass Generative AI (GenAI) die Arbeit von CISOs massiv beeinflussen wird. Wichtig sei es, sich mit dem Thema jetzt auseinanderzusetzen.
Von 
CSO | 24. Juli 2023 11:20 Uhr
  • Mit Generative AI nehmen die Risiken für Datenschutz und geistiges Eigentum zu
  • Die Angreifer arbeiten längst mit Generative AI, die IT-Sicherheitsanbeiter ebenfalls
  • Für CISOs ist eine gute Zusammenarbeit mit der Software-Entwicklung und der Recht-/Compliance-Abteilung wichtig

Chief Information Security Officers (CISOs) und ihre Teams können sich im besten Fall auf eine erhebliche Unterstützung ihrer Arbeit durch intelligenten KI-Einsatz freuen. Andererseits ist es wahrscheinlich, dass neue Angriffsflächen entstehen, wenn Anwender weiter wahllos mit GenAI und Large Language Models (LLMs) experimentieren. Die Risiken für Datenschutz und geistiges Eigentum nehmen zu, so das Fazit des Gartner-Reports 4 Ways Generative AI Will Impact CISOs and Their Teams.

Phishing-Angriffe, Deepfakes und Social-Engineering-Attacken laufen oft schon KI-gestützt. Dennoch rät Gartner dazu, cool zu bleiben.
Phishing-Angriffe, Deepfakes und Social-Engineering-Attacken laufen oft schon KI-gestützt. Dennoch rät Gartner dazu, cool zu bleiben.
Foto: Alena Ivochkina - shutterstock.com

Die Marktauguren glauben, dass viele Angreifer GenAI schon für sich entdeckt haben (siehe auch: Hacker bauen sich eigene KI-Modelle). Die Technik helfe ihnen beispielsweise dabei, mit scheinbar authentischem Content das Vertrauen von Anwendern zu gewinnen und diese mit Phishing- und Social-Engineering-Angriffen auf einem höheren Qualitätslevel in die Irre zu führen.

CISOs sollten "Generative Cybersecurity AI" kennenlernen

Um zu kontern, empfiehlt Gartner den CISOs, mit "Generative Cybersecurity AI" zu experimentieren. Gemeint sind vor allem GenAI-Unterstützung im Bereich der Applikationssicherheit und intelligente Konversations-Bots für Security Operations Centers (SOCs). Außerdem sollten sich IT-Sicherheitsverantwortliche im eigenen Unternehmen mit denen zusammensetzen, die sich aus unterschiedlichen Perspektiven für GenAI interessieren: manche Fachbereiche also, aber auch Rechts- und Compliance-Abteilungen. Gemeinsam sollten Verhaltensrichtlinien definiert und Trainings arrangiert werden. Es gilt, die unerlaubte Nutzung von GenAI einzudämmen und so die Risiken für Datenschutz- und Copyright-Verletzungen zu senken.

Werden neue Anwendungen entwickelt oder gekauft, die auf GenAI aufsetzen, empfiehlt Gartner den Einsatz eines Frameworks für das Vertrauens-, Risiko- und Sicherheitsmanagement rund um KI (AI Trust, Risk and Security Management = AI TRiSM). Es könne helfen, die Risiken von Anfang an zu minimieren. Auch sollten CISOs ihre Methoden zum Bewerten der Gefährdungslage verfeinern und herausfinden, ob ihre vorhandenen Kontrollen noch angemessen funktionieren.

Die Analysten prophezeien, dass der Einsatz von GenAI bis 2027 zu einer 30-prozentigen Reduzierung der Falsch-Positiv-Raten bei der Erkennung von Bedrohungen und bei Tests rund um Anwendungssicherheit führen wird. Die KI werde gängige Techniken erweitern und optimieren, so dass gut- und bösartige Ereignisse besser unterschieden werden könnten.

Auf Seiten der Angreifer dürfte der massenweise GenAI-Einsatz Unternehmen dazu zwingen, ihre Schwellwerte für das Erkennen verdächtiger Aktivitäten herabzusetzen. Das wird laut Gartner in den nächsten beiden Jahren zu deutlich mehr Fehlalarmen führen und häufiger menschliches Eingreifen erfordern.

Ansatzpunkte bei Softwareentwicklung und Sicherheitsbetrieb

In ihrem Bericht gehen die Analysten zunächst darauf ein, wie "generative Cyber-KI" die Arbeit von CISOs und ihren Teams erleichtern kann. Sie dürften die Technik dazu nutzen, das Sicherheitsniveau anzuheben und das Risikomanagement insgesamt zu verbessern, Ressourcen zu optimieren, neue Angriffsmethoden abzuwehren und die Kosten zu senken. Nach der Analyse von 30 GenAI-Updates von Lösungen großer IT-Sicherheitsanbieter kommt Gartner zu dem Schluss, dass CISOs zunächst vor allem intelligente Assistenten für eine sicherere Anwendungsentwicklung sowie Chatbots für den Sicherheitsbetrieb ausrollen werden.

Im Bereich der Anwendungssicherheit müssen Sicherheits- und Entwicklungsteams gemeinsam entscheiden. Hier wird es darum gehen, dass die Devs beispielsweise Codebestandteile automatisiert scannen werden, um Schwachstellen aufzuspüren. Auch können sie Fehlalarme reduzieren, indem die KI ihnen im Dialog anzeigt, wann es sich bei einer Warnung um einen Falsch-Positiv-Alert handeln könnte. Und schließlich kann ein schlauer Assistent auch Softwarecode autonom aktualisieren und identifizierte Schwachstellen selbsttätig beseitigen.

KI ist laut Gartner auch imstande anzuzeigen, ob ein generierter Code Bestandteile aus einem Open-Source-Projekt enthält und ob er den Sicherheitsstandards des Unternehmens entspricht. Ebenso sollte sie helfen, einheitliche Testverfahren für bestimmte Funktionen durchzusetzen, so dass Tests auf einem immer gleich hohen Niveau erfolgen und den höchsten Branchenmaßstäben genügen. Auch die Dokumentation lässt sich einfacher herstellen, indem Erklärungen zur Funktion eines Codebausteins automatisch erzeugt und die Auswirkungen von Änderungen beschrieben werden.

Einfacher Dialog mit SOC-Tools

Was Chatbots für den Sicherheitsbetrieb angeht, kann Conversational AI am Frontend den Dialog mit SOC-Tools vereinfachen. Das verkürzt die Lernkurve und ermöglicht es, dass mehr Nutzer als bislang von solchen Tools profitieren können. Gartner glaubt deshalb aber noch lange nicht, dass Unternehmen auf erfahrene Analysten verzichten können. Sie würden weiter gebraucht, um die Qualität der Ergebnisse zu bewerten und Täuschungen zu erkennen.

Die Analysten erwarten, dass GenAI-Funktionen in die bestehenden Sicherheitstools eingebettet werden. Erste Implementierungen gibt es schon, sie unterstützen meist Eingaben rund um die Bedrohungsanalyse. Beispielsweise verschaffen sie Kunden einen einfachen Zugang zu den Bedrohungsdaten eines Sicherheitsanbieters oder zu sonstigen Quellen. Sie helfen beim Prompt Engineering oder ermöglichen die einfache Anfrage eines Large Language Model (LLM) über eine API.

Zudem kann die KI Alarm-Informationen anreichern, indem bestimmten Warnungen automatisiert kontextbezogene Erklärungen hinzugefügt werden - etwa zu aktuellen Bedrohungen. KI kann bestehende Scoring-Mechanismen verfeinern, um Falschmeldungen genauer zu erkennen, und sie kann Warnmeldungen und verfügbare Telemetriedaten zusammenfassen, um den Security-Teams die Arbeit zu erleichtern. Denkbar sind auch Assistenten zur Schadensbegrenzung, so dass Sicherheitskontrollen verändert oder Erkennungsregeln verbessert werden.

Heinrich Vaske ist Editorial Director von COMPUTERWOCHE, CIO und CSO sowie Chefredakteur der europäischen B2B-Marken von IDG. Er kümmert sich um die inhaltliche Ausrichtung der Medienmarken.
Folgen: