Strategie statt Glücksspiel Macht KI Security zum Roulettespiel?

Anbieter zum Thema

GoTo Technologies Germany GmbH

sysob IT-Distribution GmbH & Co. KG

Vogel IT-Akademie

Fsas Technologies GmbH

Phishing-Mails werden durch KI glaubwürdiger, Deepfakes imitieren Führungskräfte und selbst simple Jailbreaks liefern komplette Angriffsketten. Sicherheit wird dadurch nicht zum Zufall, verlangt aber KI-Kompetenz in den Teams, identitätsbasierten Zero-Trust-Schutz und Trainings, die Mitarbeitenden das Warum hinter Regeln erklären.

Ein Klick auf einen scheinbar harmlosen Link und plötzlich steht das gesamte Unternehmen still. Was wie ein Worst-Case-Szenario klingt, ist für viele kleine und mittlere Unternehmen (KMU) längst Realität geworden. Dennoch wiegen sich viele Mitarbeitende in trügerischer Sicherheit. Laut einer aktuellen Studie von G Data Cyber Defense, Statista und Brand eins zur Cybersicherheit in Deutschland, schätzt mehr als die Hälfte der Beschäftigten das Risiko eines Angriffs auf ihr Unternehmen als gering ein. Der Grund dafür: Die Mitarbeitenden sehen weder sich selbst noch ihr Unternehmen als interessante Ziele, selbst wenn ihre Konkurrenten bereits Opfer einer Cyberattacke geworden sind.

Gleichzeitig häufen sich aber die Angriffe auf Unternehmen – nicht zuletzt durch den Einsatz von künstlicher Intelligenz. Der aktuelle Crowdstrike-Report zeigt, dass Cyberangreifer KI längst kompetent für die eigenen Zwecke einspannen. Wie müssen Chief Information Security Officer mit dieser Entwicklung umgehen? Wie lässt sich etwas kontrollieren, das auf eine eigene Art und Weise funktioniert und für das es keine Anleitung gibt? Macht KI IT-Security zum Roulettespiel?

Wie Cyberkriminelle KI für Ihre Zwecke nutzen

Drei KI-basierte Angriffsvarianten, die Sie kennen müssen

Wie KI die Regeln für IT-Sicherheit verändert

KI-Anwendungen entwickeln sich ständig weiter. Daher ist es unumgänglich ein Regelwerk zu entwickeln, das beschreibt, wie die Nutzung von KI im eigenen Unternehmen umzusetzen und zu kontrollieren ist. Außerdem nutzen Angreifer ebenfalls zunehmend das Potential von KI für ihre eigenen Zwecke: Zum Beispiel sind Phishing-Versuche auf Grundlage generativer KI deutlich schwerer zu durchschauen. Auch Deep-Fake-Software ermöglicht täuschend echt wirkende Social-Engineering-Angriffe. Nicht zuletzt sind KI-Anwendungen anfällig für Jailbreaking-Techniken wie Prompt Injection oder Immersive World, sodass sie zu einer Anleitung für Hacker-Angriffe werden können.

Während IT-Abteilungen jeden einzelnen dieser potenziellen Angriffe abwehren müssen, brauchen Hacker nur ein einziges Mal erfolgreich zu sein. Das wird durch künstliche Intelligenz deutlich erleichtert. IT-Sicherheitsverantwortliche können also nur antizipieren, was als nächstes kommen könnte, und versuchen das zu verhindern. In diesem Aspekt erinnert IT-Security etwas an ein Roulettespiel.

KI-basierte Angriffe

So schützen sich Unternehmen mit KI gegen KI

Strategie statt Glücksspiel

Das bedeutet aber nicht, dass Cybersecurity aufgrund von KI zur reinen Glückssache wird. Künstliche Intelligenz revolutioniert Angriffe nicht, sondern vereinfacht qualitativ hochwertige Attacken in großer Quantität. Das bedeutet für CISOs und Security-Experten, dass sie ihre Aufmerksamkeit breiter fächern und KI als Teil der Sicherheitsstrategie mitdenken müssen.

Konkret sind hier drei Aspekte zu beachten: Erstens braucht es KI-Affinität und ein spezifisches Verständnis für KI als Sicherheitsproblem in den IT-Abteilungen. Das fängt schon beim Recruiting an. Das Know-how rund um den Einsatz von KI ist laut einer Untersuchung von GoTo in Unternehmen noch lange nicht voll ausgeschöpft. Das bestätigen 90 Prozent der Befragten in Deutschland. Daher ist es ratsam nach spezifischen KI-Experten zu suchen, um die eigenen Reihen zu verstärken.

Zweitens werden Identitäten zum neuen Sicherheitsperimeter für Cybersecurity, da KI das Verhalten von Mitarbeitenden überzeugend nachahmen kann. Das bedeutet, dass IT-Sicherheitsverantwortliche nicht länger auf Passwordless- und Zero-Trust-Lösungen verzichten können, um die Zugriffe auf die Unternehmens-IT vor Fremdzugriffen abzusichern.

Datenschutz bei LLMs

ChatGPT, Gemini und Co. unter der Lupe: Welche KI schnüffelt am meisten?

Drittens sollten CISOs ihre Mitarbeitenden in die Sicherheitsstrategie mit einbinden. Letztere müssen zum einen verstehen, dass heute jeder ein interessantes Ziel für Cyberkriminelle darstellt. Zum anderen sollten IT-Trainings nicht nur die Richtlinien, sondern vor allem auch das Warum dahinter erklären. Denn nur mit dem Hintergrundwissen lässt sich die Akzeptanz erhöhen, und die Mitarbeitenden binden diese Richtlinien in ihren Alltag bereitwilliger ein.

Fazit

KI birgt klare Herausforderungen für CISOs und ihre Sicherheitsstrategien. Es macht potenzielle Angriffe aber nicht so unberechenbar, dass IT-Security komplett zum Glücksspiel wird. CISOs müssen sich bewusst sein, dass KI nur eine weitere neue Perspektive ist, die mitgedacht werden muss. Daher sollte sie von Anfang an fest in die Sicherheits-DNA eines Unternehmens eingebaut sein.

Über den Autor: Attila Török ist Chief Information Security Officer bei GoTo.

(ID:50663035)