„Es braucht die Kombination zwischen Restriktion und Schulung“
Neue KI-Anwendungen erweitern für Unternehmen die Einsatzmöglichkeiten und das betrifft auch Cyber-Security. Martin Krumpöck, CTO für Cyber Security bei T‑Systems International, zu Sicherheitfragen beim praktischen KI-Einsatz.
Economy : Herr Krumböck, wie sehen Sie die aktuelle Entwicklung von KI im unternehmerischen Bereich ?
Martin Krumböck : Durch ChatGPT ist das Thema jetzt in der Öffentlichkeit weitaus präsenter. Jede/r hat eine Meinung dazu, KI ist praktisch greifbar geworden. Immer mehr Unternehmen bekennen sich zum Einsatz und erwarten dadurch Wettbewerbsvorteile am Markt.
Wo beginnt die Schnittstelle zum Bereich Security ?
Intern läuft die Diskussion entlang von Compliance-Regularien, also etwa welche unternehmenseigenen Informationen und Daten soll und darf ich verwenden, weil ich einfach nicht weiß, was damit in Folge passieren wird. Damit sind wir schon bei klassischen Sicherheitsfragen, beim Thema Awareness und bei der Abwägung zwischen Chancen und Risiken.
Wo sehen Sie aktuell den größten Impact von KI auf Cyber-Security ?
Beispielsweise im Bereich Früherkennung und Reaktion. Das wird heute schon durch Machine Learning und KI unterstützt, um die Detektionsraten zu erhöhen. Dann die Auswirkungen im Risikomanagement und final auf die benötigten Skills der Security Expert:innen.
Können Sie Beispiele nennen ?
Angriffe werden beispielsweise KI-gestützt mittels Malware oder über trickreiche eMails im Phishing Kontext eingesetzt. Ein weiteres Szenario hat uns kürzlich selbst betroffen : Hier wurde versucht die Stimme eines hochrangigen Managers nachzubauen, mit der dann einem anderen Manager eine Message geschickt wurde. Der Schaden konnte nur abgewendet werden, weil sich die Personen gut kennen. Dieses Beispiel zeigt, welche Varianten mit welcher Qualität mittlerweile im Umlauf sind.
Gibt es noch weitere Ansätze ?
Ja, direkt bei der Eingabe am User-Interface über die Interaktion mit den Datenquellen. Vielen fehlt es an Erfahrung, um Skripte in angemessener Zeit und Qualität selbst zu schreiben und so wird dann auch die Hemmschwelle niedriger KI umfangreicher zu nutzen bzw. umgekehrt in Richtung Sicherheit dann die KI auch proaktiv für die Auswahl einzusetzen.
Was kann bei KI und Sicherheit noch relevant sein ?
Vertrauen und Image. Wenn es etwa eine namhafte Firma wie Microsoft betrifft, wo viele User mit den Produkten arbeiten, der ganze eMail-Verkehr vorhanden ist, viele Daten auf Share-Point. Und sich da dann durchzuwühlen, ist für mich ein legitimer Usecase, auch mit Risiken verbunden, aber da kenne ich das Umfeld.
Und wenn nicht ?
Wenn es aber irgendwelche Start-Ups sind, wo ich eben nicht weiß, wo sitzen die, wer steht dahinter, dann wird es schon kritischer. Es gibt bekannte Fälle, wo Avatare von Personen erstellt wurden und im Hintergrund diese Datensätze dann verkauft wurden.
Wo ist hier der Kontext zur betrieblichen Security ?
Das wird abgebildet im sogenannten Third Party Risk Management. Hier braucht es eine fundierte Analyse, da es auch große namhafte Unternehmen gibt, die eher lasche Privacy Policies haben und gerne Daten an Dritte weitergeben. Es muss also klar sein, was gebe ich da für Daten rein, sind mir die egal oder geht es gar um Analysen noch nicht veröffentlichter GF-Zahlen.
Was empfehlen Sie ?
Es braucht eine Strategie, was und wie kann ich KI gezielt im Unternehmen erlauben und einsetzen – und auf Basis dieser Policy dann auch die Mitarbeitenden informieren und schulen. Es gibt auch Unternehmen, die ihre Mitarbeitenden zu eigenen Erfahrungen ermutigen.
Das kann dann aber eine sicherheitstechnische Herausforderung sein…
… und erfordert vom Security Operation Center ein Monitoring, welche Abfragen passieren da, welche werden reingestellt. Und wenn dann Dinge kommen, wie „Hey, kannst Du mir von unserem Sourcecode bitte eine Analyse machen, warum dieser Bug entsteht, dann ist das natürlich blöd. Das sind genau die learning lessons, wo auch die Security Seite mitlernen muss.
Das heißt, es braucht klare Regeln ?
Dieses Monitoring ist eine feine Gratwanderung, auch im Kontext mit der jeweiligen Unternehmenskultur und Gesetzeslage. Innovation sollte nicht durch zu restriktive Regularien verhindert werden. Unterm Strich braucht es die Kombination zwischen sinnvoller Restriktion und entsprechender Schulung und daraus kann dann eine eigene KI-Kultur entstehen, wo die Mitarbeitenden das Thema Sicherheit immer mitdenken.
Was ist etwaig noch zu beachten ?
Relevant ist auch der Unternehmensgegenstand. Geht es um forschungsintensive Bereiche mit umfangreichen Research & Development Umgebungen, dann kann die hier zugrunde liegende Intellectual Property schnell einen millionenschweren Wert darstellen.
Also doch eher fließende Grenzen ?
Am Ende geht es immer um die Abwägung, und hier bin ich auch als Security-Mensch grundsätzlich lieber weniger restriktiv. Es ist immer ein Geben und Nehmen und am Ende des Tages ist es unsere Aufgabe das Business zu schützen. Wenn ich aber nur schütze und kein Business mehr erlaube, dann habe ich irgendwann nichts mehr, was ich schützen kann.
Was wäre dann die ideale Rolle der Security im KI-Kontext ?
Die Security-Rolle sollte auch die eines Ermöglichers sein, Business und Innovation verbunden mit den Themen Compliance und Rechtssicherheit. Die Mitarbeitenden wollen doch auch auf der sicheren Seite sein. Compliance ist hier immer auch ein gutes Regulativ, ein Steuerungsinstrument, solange es nicht übertrieben wird.
Lassen sich hier auch Wirtschaftsräume vergleichen ?
Martin Krumböck : Europa übertreibt hier manchmal vergleichsweise. Das ist natürlich auch eine Frage der Anwendbarkeit. In manchen Fällen gibt es ein paar schwarze Schafe, wo man eben genau über solche Wege die Daumenschrauben anziehen kann. Die Zeche zahlen dann aber oftmals die, die ohnehin mit viel Bedacht und zielführend agieren.