Ohne künstliche Intelligenz (KI) kommen Unternehmen in der Abwehr von Cyberangriffen und der Erfüllung der Anforderungen des IT-Sicherheitsgesetzes künftig nicht mehr aus. Aber KI allein ist kein Allheilmittel. Erforderlich ist ein Informationssicherheits-Management-System (ISMS), bei dem Algorithmen und menschliche Gehirnzellen ein und dasselbe Ziel verfolgen: eine höhere IT-Sicherheit der Organisation auf allen Ebenen.

Das Interesse an den Einsatzmöglichkeiten von KI ist groß. Ein Grund dafür ist die exponentiell steigende Datenmenge, die sich nur noch automatisiert auswerten lässt. Ein naheliegender Schluss ist, KI-Tools auch in der Cybersecurity einzusetzen. Denn die Security-Teams werden heute mit Ereignismeldungen überflutet. Ein durchschnittliches SOC (Security Operations Center) kann laut Studien bis zu 174.000 Angriffe pro Woche erhalten. Zugleich dauert es durchschnittlich bis zu 197 Tage, bis ein Unternehmen den Angriff erkennt und weitere 69 Tage, bis die Reaktion darauf erfolgt. Alle eingehenden Bedrohungen sorgsam zu untersuchen und die entsprechenden Maßnahmen daraus abzuleiten, ist für Menschen inzwischen schier unmöglich: Zu hoch ist die Komplexität, zu gering die Transparenz.

Die Annahme, KI könnte künftig im Alleingang für sichere IT-Landschaften sorgen, ist jedoch ein Irrtum (siehe [1]). KI-basierte Systeme können zwar wertvolle Unterstützung leisten, insbesondere in Bereichen wie Incident-Management, Request Creation, bei der Automation von Backend-Prozessen, ebenso im Bereich Echtzeitanalyse und bei der schnellen kontextbasierten Informationsauswertung. Dennoch müssen Menschen auch diese Maßnahmen managen und überwachen. Hier kommt das ISMS ins Spiel: Es schafft Handlungsoptionen und eröffnet Spielräume, steigert die Resilienz gegenüber Cyberangriffen, senkt Kosten und schafft Vertrauen gegenüber Stakeholdern ebenso wie Differenzierung gegenüber Marktbegleitern.

Risikoerfassung und -bewertung

Um möglichen Schäden an IT-Infrastrukturen sowie dem Diebstahl von Daten und geistigem Eigentum zu begegnen, sollte jedes Unternehmen seine Security professionell managen. Betreiber kritischer Infrastrukturen (Kritis) sind sogar dazu verpflichtet, ihre Systeme, Komponenten und Prozesse auf dem „Stand der Technik“ zu steuern und Risiken gemäß anerkannter Standards zu behandeln. Das bedeutet, ein ISMS zu implementieren, konsequent anzuwenden, regelmäßig fortzuschreiben, zu überprüfen und die Einhaltung geeigneter IT-Sicherheitsmaßnahmen regelmäßig gegenüber dem BSI nachzuweisen. Sofern Sicherheitsmängel aufgedeckt werden, darf das BSI im Einvernehmen mit den Aufsichtsbehörden deren Beseitigung anordnen.

Die 2018 modernisierten BSI-Standards bilden mit dem IT-Grundschutz-Kompendium für herkömmliche Unternehmen wie für den Kritis-Sektor ein zeitgemäßes Rahmenwerk für IT-Sicherheit. Der IT-Grundschutz ist zudem offiziell zur Erfüllung der international etablierten Norm ISO/IEC 27001 anerkannt und eignet sich somit auch für international aufgestellte Player als Nachweis einer Zertifizierung. Die Industrienorm ISO/IEC 27001 beschreibt sehr detailliert die Sicherheitsanforderungen an die Nutzung und Einrichtung von IT-Hardware- und Softwaresystemen, Betriebssteuerung, Wartung und die fortlaufende Verbesserung eines ISMS. Auch fordert sie eine lückenlose Dokumentation aller Maßnahmen und regelmäßige Überprüfungen. Unternehmen müssen zudem Sicherheitsrisiken sowie angemessene Maßnahmen erfassen und beurteilen, mit denen sie diese Risiken zu behandeln gedenken.

Spätestens hier sind menschlicher Sachverstand und Expertise erforderlich, um fortlaufend Risiken sauber zu erfassen, zu analysieren und zu bewerten. KI kann nicht helfen, wenn das Unternehmen Risiken per Loseblattsammlung oder per Excel-Tabelle „verwaltet“ – und ebenso wenig, wenn Daten aus den Bereichen IT-Risiko-Management, Business Continuity oder auch Netzwerk-Logdaten aus unterschiedlichsten Quellen und fachlichen Verantwortungsbereichen stammen und nur dezentral vorliegen. Eine zentral verantwortliche Funktion, die diese Daten zusammenführt und regelmäßig nachverfolgt, um eine solide Basis für Entscheidungen und Aktivitäten in den Bereichen Informationssicherheit und IT-Compliance zu erstellen, ist allerdings noch längst nicht in allen Unternehmen konsistent etabliert. Zudem scheitert es im Tagesgeschäft oft am Silodenken.

KI-basierte Technologie, die Cyberangriffe erkennen und abwehren kann, muss flächendeckend implementiert sein. Auch muss man sie so konfigurieren, dass sie ausreichende Informationen über die Geschäftskritikalität des Vorfalls liefern kann. Geschieht dies nur halbherzig, haben die Ergebnisse trotz KI keinen Wert für die Integration in die Sicherheitsrichtlinien und das IT-Risiko-Management. Auch der große Vorteil der selbstlernenden Systeme ist dann vergeben.

Schwächen wie ein punktuelles Management nicht oder nur unzureichend integrierter ISMS-Prozesse können Menschen flexibler und mit mehr Augenmaß ausgleichen als eine KI. Denn solche Prozesse verursachen durch redundante Tätigkeiten erhebliche Mehraufwände und vor allem sich teils widersprechende Informationen im Management-Reporting. Auch gehört nach wie vor zu den informierten menschlichen Management-Entscheidungen, Risiken mit Blick auf den Unternehmenskontext zu klassifizieren und zu priorisieren. Geschieht dies nicht, drohen im Schadensfall nicht nur empfindliche Strafen bei Verstößen gegen regulatorische Auflagen: Nicht erkannte sowie falsch eingeschätzte oder behandelte Risiken aus Cyberangriffen können schwerwiegende Folgen wie Imageschäden oder gar den Betriebsausfall mit unkalkulierbaren Auswirkungen nach sich ziehen. Im schlimmsten Fall gefährden sie den Fortbestand des Unternehmens.

Die heute am Markt befindlichen ISMS-Tools sind noch weitgehend ohne Berücksichtigung von KI-Konzepten entwickelt. Der Schritt zum Expertensystem ist aber nicht mehr weit. In greifbare Nähe rückt die Implementierung von KI-Funktionen in den ISMS-Prozess – bei Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, Maßnahmencheck und Risikobewertung. Ein ISMS basiert auf einem sich ständig wiederholenden und damit nie endenden Prozess. Bei diesem lassen sich Teilaufgaben auf allen Stufen und die Auswertung durch maschinelles Lernen und andere KI-Methoden ergänzen.

KI spielt immer dann ihre Potenziale aus, wenn es um die Analyse großer Datenbestände geht und man diese segmentieren, gruppieren und bewerten will. Bei der Analyse von Netzplänen und Dokumentationen zum Beispiel kann sie via Bildauswertung, Text- und Data Mining die Strukturanalyse beschleunigen und absichern. Bei der Feststellung des Schutzbedarfs kann eine KI kontextbezogen Vererbungsregeln überprüfen und Optimierungsvorschläge durch inkrementelles Vorgehen bei IT-Systemen erarbeiten, die sich ständig verändern. Auch bei der Modellierung, Maßnahmenchecks und der eigentlichen Risikoanalyse kann sie die Sicherheitsexperten bei zahlreichen Routinen unterstützen.

IT-Sicherheitsgesetz 2.0

Der aktuelle Referentenentwurf zum IT-Sicherheitsgesetz 2.0 sieht deutlich erweiterte Befugnisse des BSI und drastischere Strafen für Kritis-Betreiber bei Defiziten in der Steuerung der IT-Sicherheit vor. Deshalb müssen Kritis-Betrieber – darunter zum Beispiel auch der deutsche Finanzsektor – Cybersecurity immer wieder neu nach aktuellen Anforderungen und Standards bewerten. Sie müssen regelmäßig prüfen, mit welchen Cybersecurity-Maßnahmen er aktuelle Gefährdungen umfassend adressieren können. KI-basierte Technik und menschliche Intelligenz müssen sich dabei sinnvoll ergänzen. Dies geht nur mit „Security by Design“. Das beginnt bei der Architektur der IT-Infrastruktur, setzt sich bei der Anwendungsentwicklung fort und muss zwangsläufig in einer kontinuierlichen Überprüfung der gesamten IT mit einem ISMS münden.

Daneben sind Anpassungen der einschlägigen Industrienormen und BSI-Standards erstrebenswert: Der IT-Grundschutz etwa würde von Bausteinen und Anforderungen mit KI-Bezug profitieren, um den KI-Einsatz sicherer zu managen. Für die ISO 27001 wäre es Zeit, zu prüfen, welche Steuerungsmechanismen (Controls) sich wie auf KI-Systeme und -Verfahren anwenden lassen oder ob es erforderlich wäre, neue Controls zu erarbeiten. Ähnliches gilt für andere Best Practises und Frameworks.

Angesichts immer neuer Bedrohungslagen kann eine wirksame Cybersecurity-Strategie aber nicht nur auf technischen Lösungen basieren. Vielmehr bleibt IT-Sicherheit eine Management-Aufgabe für CIOs und CISOs, die mit einem ISMS eine ganzheitliche Strategie verfolgen sollten. Auch hier ist der Faktor Mensch nicht zu vernachlässigen.
Ein Erfolgsfaktor für ein wirksames ISMS liegt heute in interdisziplinären Teams, idealerweise zusammengesetzt aus IT-Sicherheitsexperten, die über das Wissen von heute verfügen und die Herausforderungen von morgen im Fokus haben, KI-Experten, die programmieren und steuern können, sowie IT-Forensikern, die wie Cyberkriminelle denken und agieren können. Die Weiterbildung dieser Teams sollte ein iterativer Prozess sein, flankiert von Managed Services durch kompetente Dienstleister. Scheinbar weiche Faktoren wie eine Sicherheitskultur auf allen Ebenen der Organisation, eine hohe Mitarbeiter-Awareness und ein Management, das die IT-Sicherheitskultur auch wirklich vorlebt, bleiben ein wichtiges Fundament für ein erfolgreiches und nachhaltiges ISMS.

 

Weitere Informationen

[1] Crisp Research, „Security by Design – Die Rolle von IT-Sicherheitsstrategien in der Digitalisierung“, www.crisp-research.com/publication/security-design-die-rolle-von-it-sicherheitsstrategien-der-digitalisierung/

Severin Rast ist Business-Unit-Leiter IT-Security Consulting beim Software- und Beratungsunternehmen Infodas mit Hauptsitz in Köln, www.infodas.com.