Der Ein­fluss von KI auf All­tags­le­ben und immer mehr auch auf die Wirt­schaft ist enorm. Mar­tin Krum­pöck, CTO für Cyber Secu­rity bei T‑Systems Inter­na­tio­nal, erläu­tert Fra­gen zur betrieb­li­chen Sicher­heit beim Ein­satz von KI.

Eine neue Gene­ra­tion von KI-Anwen­dun­gen erwei­tert für Unter­neh­men die Ein­satz­mög­lich­kei­ten und das betrifft auch das Thema Cyber-Sicher­heit. KI ist bereits in vie­len Secu­rity-Tools ver­baut und erleich­tert das Iden­ti­fi­zie­ren von Angrif­fen und das Fin­den von Schwach­stel­len glei­cher­ma­ßen. Das ist aber erst der Anfang : IT-Mana­ger und letzt­lich Unter­neh­men müs­sen sich bewusst sein, dass der Ein­fluss von KI auf die Cyber-Secu­rity viel­fäl­ti­ger und tief­ge­hen­der ist. 

Eco­nomy : Wie sehen Sie die aktu­elle Ent­wick­lung von KI im unter­neh­me­ri­schen Bereich ?
Mar­tin Krum­böck : Durch ChatGPT ist das Thema jetzt in der Öffent­lich­keit weit­aus prä­sen­ter. Jede/​r hat eine Mei­nung dazu, KI ist prak­tisch greif­bar gewor­den. Immer mehr Unter­neh­men beken­nen sich zum Ein­satz und erwar­ten dadurch Wett­be­werbs­vor­teile am Markt. 

Wo beginnt die Schnitt­stelle zum Bereich Security ?
Intern läuft die Dis­kus­sion ent­lang von Com­pli­ance-Regu­la­rien, also etwa wel­che unter­neh­mens­ei­ge­nen Infor­ma­tio­nen und Daten soll und darf ich ver­wen­den, weil ich ein­fach nicht weiß, was damit in Folge pas­sie­ren wird. Damit sind wir schon bei klas­si­schen Sicher­heits­fra­gen, beim Thema Awa­re­ness und bei der Abwä­gung zwi­schen Chan­cen und Risiken.

Wo sehen Sie aktu­ell den größ­ten Impact von KI auf Cyber-Security ?
Bei­spiels­weise im Bereich Früh­erken­nung und Reak­tion. Das wird heute schon durch Machine Lear­ning und KI unter­stützt, um die Detek­ti­ons­ra­ten zu erhö­hen. Dann die Aus­wir­kun­gen im Risi­ko­ma­nage­ment und final auf die benö­tig­ten Skills der Secu­rity Expert:innen.

Kön­nen Sie Bei­spiele nennen ?
Angriffe wer­den bei­spiels­weise KI-gestützt mit­tels Mal­ware oder über trick­rei­che eMails im Phis­hing Kon­text ein­ge­setzt. Ein wei­te­res Sze­na­rio hat uns kürz­lich selbst betrof­fen : Hier wurde ver­sucht die Stimme eines hoch­ran­gi­gen Mana­gers nach­zu­bauen, mit der dann einem ande­ren Mana­ger eine Mes­sage geschickt wurde. Der Scha­den konnte nur abge­wen­det wer­den, weil sich die Per­so­nen gut ken­nen. Die­ses Bei­spiel zeigt, wel­che Vari­an­ten mit wel­cher Qua­li­tät mitt­ler­weile im Umlauf sind.

Gibt es noch wei­tere Ansätze ?
Ja, direkt bei der Ein­gabe am User-Inter­face über die Inter­ak­tion mit den Daten­quel­len. Vie­len fehlt es an Erfah­rung, um Skripte in ange­mes­se­ner Zeit und Qua­li­tät selbst zu schrei­ben und so wird dann auch die Hemm­schwelle nied­ri­ger KI umfang­rei­cher zu nut­zen bzw. umge­kehrt in Rich­tung Sicher­heit dann die KI auch pro­ak­tiv für die Aus­wahl einzusetzen. 

Was kann bei KI und Sicher­heit noch rele­vant sein ?
Ver­trauen und Image. Wenn es etwa eine nam­hafte Firma wie Micro­soft betrifft, wo viele User mit den Pro­duk­ten arbei­ten, der ganze eMail-Ver­kehr vor­han­den ist, viele Daten auf Share-Point. Und sich da dann durch­zu­wüh­len, ist für mich ein legi­ti­mer Usecase, auch mit Risi­ken ver­bun­den, aber da kenne ich das Umfeld.

Und wenn nicht ?
Wenn es aber irgend­wel­che Start-Ups sind, wo ich eben nicht weiß, wo sit­zen die, wer steht dahin­ter, dann wird es schon kri­ti­scher. Es gibt bekannte Fälle, wo Ava­tare von Per­so­nen erstellt wur­den und im Hin­ter­grund diese Daten­sätze dann ver­kauft wurden.

Wo ist hier der Kon­text zur betrieb­li­chen Security ?
Das wird abge­bil­det im soge­nann­ten Third Party Risk Manage­ment. Hier braucht es eine fun­dierte Ana­lyse, da es auch große nam­hafte Unter­neh­men gibt, die eher lasche Pri­vacy Poli­cies haben und gerne Daten an Dritte wei­ter­ge­ben. Es muss also klar sein, was gebe ich da für Daten rein, sind mir die egal oder geht es gar um Ana­ly­sen noch nicht ver­öf­fent­lich­ter GF-Zahlen.

Was emp­feh­len Sie ?
Es braucht eine Stra­te­gie, was und wie kann ich KI gezielt im Unter­neh­men erlau­ben und ein­set­zen – und auf Basis die­ser Policy dann auch die Mit­ar­bei­ten­den infor­mie­ren und schu­len. Es gibt auch Unter­neh­men, die ihre Mit­ar­bei­ten­den zu eige­nen Erfah­run­gen ermutigen. 

Das kann dann aber eine sicher­heits­tech­ni­sche Her­aus­for­de­rung sein…
… und erfor­dert vom Secu­rity Ope­ra­tion Cen­ter ein Moni­to­ring, wel­che Abfra­gen pas­sie­ren da, wel­che wer­den rein­ge­stellt. Und wenn dann Dinge kom­men, wie „Hey, kannst Du mir von unse­rem Source­code bitte eine Ana­lyse machen, warum die­ser Bug ent­steht“, dann ist das natür­lich blöd. Das sind genau die lear­ning les­sons, wo auch die Secu­rity Seite mit­ler­nen muss.

Das heißt, es braucht klare Regeln ?
Die­ses Moni­to­ring ist eine feine Grat­wan­de­rung, auch im Kon­text mit der jewei­li­gen Unter­neh­mens­kul­tur und Geset­zes­lage. Inno­va­tion sollte nicht durch zu restrik­tive Regu­la­rien ver­hin­dert wer­den. Unterm Strich braucht es die Kom­bi­na­tion zwi­schen sinn­vol­ler Restrik­tion und ent­spre­chen­der Schu­lung und dar­aus kann dann eine eigene KI-Kul­tur ent­ste­hen, wo die Mit­ar­bei­ten­den das Thema Sicher­heit immer mitdenken.

Was ist etwaig noch zu beachten ?
Rele­vant ist auch der Unter­neh­mens­ge­gen­stand. Geht es um for­schungs­in­ten­sive Berei­che mit umfang­rei­chen Rese­arch & Deve­lo­p­ment Umge­bun­gen, dann kann die hier zugrunde lie­gende Intellec­tual Pro­perty schnell einen mil­lio­nen­schwe­ren Wert darstellen.

Also doch eher flie­ßende Grenzen ?
Am Ende geht es immer um die Abwä­gung, und hier bin ich auch als Secu­rity-Mensch grund­sätz­lich lie­ber weni­ger restrik­tiv. Es ist immer ein Geben und Neh­men und am Ende des Tages ist es unsere Auf­gabe das Busi­ness zu schüt­zen. Wenn ich aber nur schütze und kein Busi­ness mehr erlaube, dann habe ich irgend­wann nichts mehr, was ich schüt­zen kann.

Was wäre dann die ideale Rolle der Secu­rity im KI-Kontext ?
Die Secu­rity-Rolle sollte auch die eines Ermög­li­chers sein, Busi­ness und Inno­va­tion ver­bun­den mit den The­men Com­pli­ance und Rechts­si­cher­heit. Die Mit­ar­bei­ten­den wol­len doch auch auf der siche­ren Seite sein. Com­pli­ance ist hier immer auch ein gutes Regu­la­tiv, ein Steue­rungs­in­stru­ment, solange es nicht über­trie­ben wird.

Las­sen sich hier auch Wirt­schafts­räume vergleichen ?
Europa über­treibt hier manch­mal ver­gleichs­weise. Das ist natür­lich auch eine Frage der Anwend­bar­keit. In man­chen Fäl­len gibt es ein paar schwarze Schafe, wo man eben genau über sol­che Wege die Dau­men­schrau­ben anzie­hen kann. Die Zeche zah­len dann aber oft­mals die, die ohne­hin mit viel Bedacht und ziel­füh­rend agieren.