Cyberkriminelle sind äußerst findig darin, ihre Angriffsstrategien anzupassen, um an die Daten der Unternehmen zu kommen. Traditionelle Sicherheitslösungen erreichen schnell ihre Grenzen, wenn es darum geht, Bedrohungen zu erkennen und abzuwehren – zumal sich die zu schützenden Daten inzwischen nicht mehr nur innerhalb des Unternehmensnetzwerks, sondern auch in der Cloud und auf den Rechnern von remote tätigen Mitarbeitern befinden können.
Mit KI steht jedoch eine vielseitige und leistungsfähige Technologie zur Verfügung, die den Schutz sensibler Daten effektiver macht. Hier sind einige Beispiele:
1. Datenklassifizierung
Unternehmen können nur Daten schützen, die sie auch kennen. Allerdings ist es in großen und verteilten Datenbeständen nahezu unmöglich, die schützenswerten Daten ohne technische Hilfsmittel zuverlässig aufzuspüren – ein Problem, das dadurch verschärft wird, dass Daten ständig neu generiert, bearbeitet, kopiert und über verschiedene Kanäle geteilt werden. Moderne Lösungen für Data Discovery scannen daher sämtliche Speicherorte und klassifizieren die Daten mit Hilfe von KI automatisch. Was schützenswert ist, wissen sie durch vorheriges Training, lernen anhand von unternehmensspezifischen Beispielen aber noch dazu und werden immer präziser.
2. Threat Detection
Da KI Muster und Anomalien in großen Datenmengen schnell und zuverlässig findet, ist sie ideal für die Erkennung von Bedrohungen geeignet. In Lösungen für Threat Detection integriert, kann sie den Netzwerkverkehr in Echtzeit überwachen und bei verdächtigen Aktivitäten umgehend das Sicherheitsteam benachrichtigen. Dabei ist sie nicht auf vordefinierte Bedrohungsmuster angewiesen, sondern lernt im Laufe der Zeit, was im Netzwerk des jeweiligen Unternehmens normal ist, und erkennt davon abweichende und möglicherweise gefährliche Aktivitäten. Zudem registriert die KI, wie die Sicherheitsexperten mit den gemeldeten Bedrohungen umgehen, um verdächtigen Netzwerkverkehr künftig noch besser bewerten zu können.
3. Security Information and Event Management (SIEM)
Eine KI-basierte Anomalie-Erkennung verbessert auch SIEM-Systeme deutlich. In diesen werden die Alarme von Sicherheitslösungen sowie die Logfiles von Netzwerkkomponenten und verschiedenen Anwendungen zusammengeführt. KI kann diese Daten aus unzähligen Quellen korrelieren und eine ganzheitliche Sicht bieten, die bei der Identifizierung komplexer Attacken hilft. Ein einziges Ereignis mag für sich genommen unverdächtig erscheinen, doch im Zusammenhang mit anderen Ereignissen durchaus auf eine Bedrohung hindeuten. SIEM-Systeme bewerten zudem deren Schweregrad, sodass das Sicherheitsteam priorisieren und kritische Bedrohungen als erstes bearbeiten kann.
4. Identity and Access Management (IAM)
Auch beim Zugriff auf Anwendungen und Systeme spielt KI eine immer wichtigere Rolle. Die smarten Algorithmen können das Benutzerverhalten analysieren und Risikoindikatoren entdecken, etwa unübliche Login-Zeiten, Zugriffe von ungewöhnlichen Orten oder auffällige Datenzugriffsmuster. In solchen Fällen ergreifen sie vordefinierte Maßnahmen und fragen beispielsweise einen weiteren Authentifizierungsfaktor ab, fordern eine Freigabe bei einem Vorgesetzten an oder sperren den Zugang.
5. Phishing-Schutz
Phishing ist eine immerwährende Bedrohung, und die betrügerischen Mails sind mittlerweile oft so gut gemacht, dass selbst erfahrene Nutzer sich schwertun, sie sofort zu erkennen – gerade in hektischen Arbeitsphasen. KI hilft, indem sie die Metadaten und mittels Natural Language Processing (NLP) auch die Sprache der Mails auswertet, um Anzeichen für Phishing zu entdecken, etwa gefälschte Absenderadressen, den Versand über verdächtige Mail-Server oder subtile Sprachanomalien.
6. Patch-Management
Das schnelle Einspielen von Sicherheitsupdates und Patches zählt zu den wichtigsten Aufgaben von Sicherheitsteams, aber auch zu den aufwändigsten. Das liegt vor allem an der wachsenden Anwendungsvielfalt in Unternehmen: Teilweise müssen Sicherheitsteams hunderte Anwendungen im Blick haben, deren Hersteller unregelmäßig sicherheitsrelevante Aktualisierungen veröffentlichen. Diese müssen sie finden, in Abhängigkeit vom Schweregrad der Schwachstellen und den betroffenen Systemen priorisieren, auf Kompatibilität testen und verteilen. KI kann viele dieser Schritte automatisieren und beispielsweise kritische Patches identifizieren, eigenständig auf Testsystemen installieren und, wenn keine Probleme auftreten, alles für den Roll-out vorbereiten.
7. Awareness-Trainings
KI ermöglicht personalisierte Lernerfahrungen, auch im Security-Bereich. Die Algorithmen können das Vorwissen von Mitarbeitern analysieren und passgenaue Lerninhalte zusammenstellen. Sie überwachen den Lernfortschritt und setzen Tests und Wiederholungen an, um das erworbene Wissen zu vertiefen. Bei Bedarf passen sie das Lernniveau und die Lerngeschwindigkeit an, damit die Schulungen nie langweilig oder überfordernd werden. Darüber hinaus lassen sich mit KI auch Bedrohungsszenarien simulieren, sodass normale Mitarbeiter, aber auch Sicherheitsexperten ihre Fähigkeiten unter realistischen Bedingungen – und ohne Risiko – anwenden und testen können.
„Cyberkriminelle haben keine Scheu, KI für ihre Zwecke einzusetzen, also sollten Unternehmen das ebenfalls tun – sonst beschränken sie sich beim Schutz ihrer Daten nur selbst“, sagt Frank Limberger, Data & Insider Threat Security Specialist bei Forcepoint. „KI ist äußerst vielseitig, sodass sie Sicherheitsteams in vielen Bereichen entlasten kann, etwa bei der Klassifizierung von Daten oder der Erkennung und Abwehr von Bedrohungen. Da die Algorithmen kontinuierlich weiterentwickelt werden und stetig hinzulernen, liefern sie immer bessere Ergebnisse und heben die Datensicherheit auf ein ganz neues Level.“