Cybersecurity: Sicherheitsfaktor Mensch trotz KI unersetzlich

Mensch und KI sollten einander sinnvoll ergänzen

[datensicherheit.de, 07.10.2023] Im Kontext der IT-Sicherheit nehmen Künstliche Intelligenz (KI) und Machine-Learning-Technologien seit einigen Jahren offensichtlich immer mehr Raum ein. „Mit der breiten Verfügbarkeit von generativer KI erhält diese Entwicklung nun einen weiteren starken Schub“, kommentiert Dane Sherrets, „Senior Solutions Architect“ bei HackerOne, in seiner aktuellen Stellungnahme. Die intelligente Automatisierung von IT-Security-Prozessen scheine angesichts des anhaltenden Mangels an IT-Fachkräften eine attraktive Zukunftsperspektive zu bieten. Sherrets wirft in diesem Zusammenhang die Fragen auf: „Doch inwieweit können Unternehmen ihre IT-Security KI-Technologien überlassen? Welche Rolle können – oder sollten – Menschen in diesem Bereich noch spielen? Und können Mensch und KI einander sinnvoll ergänzen?“

Foto: HackerOne

Dane Sherrets: Der Bedarf an Sicherheitsexperten wird auch in Zukunft bestehen bleiben…

Wachsende Professionalisierung Cyber-Krimineller inkl. Einsatz KI-gestützter Tools

Sherrets betont: „Für eine Vielzahl von Unternehmen ist ein Angriff auf ihre Infrastruktur längst eine Frage von ,wann’ anstelle von ,ob’.“ Laut einer aktuellen Statistik hätten Attacken in Deutschland 2022 im Vergleich zum Vorjahr um 27 Prozent zugenommen.

84 Prozent der Unternehmen in Deutschland seien bereits Opfer einer Cyber-Attacke geworden, so eine Bitkom-Studie, und knapp die Hälfte rechnet demnach mit einem Anstieg in den nächsten zwölf Monaten. Diese Zunahme an Angriffen lasse sich unter anderem auf die wachsende Professionalisierung Cyber-Krimineller sowie deren Einsatz von KI-gestützten Tools, die breit angelegte Attacken ermöglichten, zurückführen.

Restrisiko für undokumentierte Schwachstellen, welche durch KI-Tools nicht entdeckt werden

Unternehmen wüssten um die Gefahr, potenzielles Ziel zu sein, hätten sich auf diese Umstände eingestellt und nutzten ebenfalls automatisierte Test- und Monitoring-Tools. Diese könnten unmittelbar Alarm schlagen, ein schnelles Eingreifen ermöglichen und das Entstehen von Schäden besser verhindern. Allerdings blieben die Fähigkeiten automatisierter Test-Tools eng auf ihren Anwendungsbereich beschränkt und eigneten sich vornehmlich für das Entdecken bekannter Schwachstellen und häufiger Codierungsfehler. „Es bleibt ein Restrisiko für undokumentierte Schwachstellen, die durch derartige Tools nicht abgedeckt sind“, erläutert Sherrets. Einige von ihnen könnten nur durch die anhaltende Wachsamkeit eines erfahrenen Menschen entdeckt werden – „der den gesamten Kontext, in dem ein System arbeitet, versteht“.

Dies sei ein Ansatz, den auch Cyber-Kriminelle für sich nutzten: „Sie kombinieren die Fähigkeiten automatisierter Tools mit von Menschen entwickelten Taktiken, um wirksame Angriffe oder Betrugsmethoden in einem Umfang anzuwenden, der früher nicht möglich war.“ Außerdem sei zu beachten, dass in Unternehmen eingesetzte KI-Anwendungen auch Schwachstellen aufweisen könnten. Diese könnten Cyber-Kriminelle ausnutzen, um die Geschäftslogik zu verfälschen, Kundenbeziehungen böswillig zu stören oder sensible Daten zu exfiltrieren.

Vielschichtiger Sicherheitsansatz: Der Mensch bleibt unverzichtbar!

Für Unternehmen werde es immer wichtiger, „ihre Angriffsfläche auf granularer Ebene zu verstehen und zu wissen, wie sie diese schützen können“. Dazu benötigten sie dringend menschliche Experten, „die ihre Infrastrukturen umfassenden Sicherheitstests unterziehen – und nicht nur verschiedene Varianten desselben Scans“. Sherrets führt aus: „Menschen sind in der Lage, kontextbezogene Analysen durchzuführen, die spezifischen Anforderungen und Feinheiten des Sicherheitsprofils einer Organisation zu verstehen und ihren Testansatz entsprechend anzupassen.“ Sie könnten Einblicke in potenzielle für die Software, die Umgebung oder die Branche spezifische Schwachstellen gewähren, und Organisationen dabei helfen, besondere Sicherheitsherausforderungen effektiv anzugehen.

Dies ermögliche einen vielschichtigeren Sicherheitsansatz, „indem automatisches Scannen mit anderen proaktiven Sicherheitsmaßnahmen wie manuellen Penetrationstests, Bedrohungsmodellierungen, Code-Reviews und Sicherheitsaudits kombiniert werden, um potenzielle unbekannte Schwachstellen aufzudecken“. Untersuchungen zeigten, dass dies menschlichen Sicherheitsexperten deutlich schneller und präziser gelinge als automatisierten Lösungen: „Fast 85 Prozent der Bug-Bounty-Programme decken eine oder mehrere hochgradige oder kritische Schwachstellen auf, während 92 Prozent der ethischen Hacker versichern, dass sie Schwachstellen aufdecken können, die Scanner nicht finden.“ Während Cyber-Kriminelle nach Möglichkeiten suchten, um sich ohne Erlaubnis Zugang zu einem Unternehmenssystem zu verschaffen, könnten ethische Hacker sicherstellen, „dass Schwachstellen und Sicherheitslücken schnellstmöglich behoben werden und die Angreifer somit keinen Ansatzpunkt mehr haben“.

Fähigkeiten der KI von Intelligenz der Anwender abhängig

Die KI-gestützte Automatisierung könne also den Menschen zwar bei der Cyber-Sicherheit unterstützen, mache menschliche Expertise jedoch noch nicht unentbehrlich. Cyber-Bedrohungen entwickelten sich ständig weiter – damit tauchten auch neue Schwachstellen auf. Unternehmen sollten daher ihre Sicherheitspraktiken kontinuierlich bewerten und verbessern, sich über die neuesten Bedrohungsdaten auf dem Laufenden halten und in regelmäßige Sicherheitsbewertungen durch qualifizierte Sicherheitsexperten, Tester und Hacker investieren.

Sherrets’ Fazit: „Der Bedarf an Sicherheitsexperten wird auch in Zukunft bestehen bleiben, jedoch kann KI-Technologie Unternehmen in die Lage versetzen, diese effizienter und besser ihren individuellen Sicherheitsanforderungen entsprechend zu nutzen.“

Weitere Informationen zum Thema:

bitkom, 31.08.2023
203 Milliarden Euro Schaden pro Jahr durch Angriffe auf deutsche Unternehmen

hackerone, 12.12.2022
Hackers Discover Over 65,000 Software Flaws In 2022 According to HackerOne Report

hackerone, 09.12.2022
How Human Testers Improve Application Security