AI Cybersecurity

Mehr Cybersicherheit mit KI - und für KI

Definition: KI in der Cybersicherheit

Künstliche Intelligenz (KI) versetzt Computer und Maschinen in die Lage, menschliche Fähigkeiten wie Lernen, Problemlösung, Entscheidungsfindung, und Kreativität nachzuahmen. Ein Teilbereich ist das Maschinelle Lernen (ML):  Es fokussiert auf die Entwicklung von Algorithmen, die dazulernen und sich eigenständig verbessern können. Deep Learning, eine spezielle ML-Disziplin, versucht inspiriert durch die Funktionsweise des menschlichen Gehirns mit künstlichen neuronalen Netzen große Datenmengen zu verarbeiten und komplexe Muster zu erkennen.

Nahezu alle Cybersicherheits-Lösungen nutzen heute in irgendeiner Form KI. Bei Trend Micro kommt die Technologie zum Beispiel seit vielen Jahren im Bereich der Angriffserkennung und Risikobewertung zum Einsatz. Auf praktischer Ebene kann man zwischen zwei Arten von KI-Modellen unterscheiden:

  1. Traditionelle, kategorisierende KI hat ihre Stärke in der Datenanalyse und Mustererkennung. Solche KI-Modelle werden in der Cybersicherheit überall dort eingesetzt, wo es um die Auswertung von Security-Informationen geht.

  2. Generative KI kann aus bestehenden Daten etwas Neues gestalten. In diese Kategorie fallen Large Language Models (LLMs) wie GPT. Solche KI-Modelle eignen sich in der Security zum Beispiel dafür, technische Informationen in natürliche Sprache und verständliche Anweisungen zu übersetzen.

Warum ist KI in der Cybersicherheit unverzichtbar?

Cyberangriffe sind heute das größte Geschäftsrisiko. Gleichzeitig wird die Bedrohungslandschaft immer komplexer und unübersichtlicher. Im cyberkriminellen Untergrund hat sich eine Schattenwirtschaft etabliert, die arbeitsteilig aufgestellt ist und hochprofessionell agiert. Die meisten Hackergruppen verfolgen das Ziel, möglichst einfach Geld zu verdienen. Durch Künstliche Intelligenz können sie ihre Effizienz jetzt noch steigern.

Durch die geopolitische Lage verschwimmen außerdem die Grenzen zwischen finanziell und politisch motivierten Akteuren. Wir sehen zunehmend Cybercrime-Gruppierungen, die staatlich unterstützt werden, um Disruption bei politischen Gegnern zu verursachen. Solche Akteure verfügen über modernste Technologie, spezialisiertes Know-how und ausreichend Ressourcen, um fortschrittliche Angriffe durchzuführen.

Dem gegenüber stehen kleine IT- und Security-Teams oder Einzelpersonen, die mit einer wachsenden Zahl an Warnmeldungen und immer komplexeren, vielschichtigen Bedrohungen konfrontiert sind. Ohne KI-Unterstützung sind die Herausforderungen in der Cybersicherheit nicht mehr zu meistern.

Neuigkeiten aus der KI-Forschung

Detaillierte Analysen, Erkenntnisse und Prognosen

Symbol
Wie Cyberkriminelle GenAI nutzen
Symbol
5 Erkenntnisse zur KI-Sicherheit
Symbol
Überwältigender Hype

Ein Update zum zunehmenden Missbrauch von GenAI

Symbol
KI-Survival-Guide

Strategien für Menschen, Prozesse und Technologie

Symbol
Zurück zum Hype

Ein Update zur Nutzung von GenAI durch Cyberkriminelle

Symbol
Navigation in der Bedrohungslandschaft für Cloud-basierte GPUs
Symbol
Entlarven Sie Pig-Butchering-Betrug und schützen Sie Ihre finanzielle Zukunft
Symbol
Virtuelles Kidnapping

Wie KI-Tools zum Klonen von Stimmen und ChatGPT zur Unterstützung von Cyberkriminalität und Erpressungen eingesetzt werden

Symbol
Halbjahresbericht 2024

Wie unterstützt KI die Cybersicherheit?

Künstliche Intelligenz hilft Security-Teams dabei, Cyberangriffe schneller zu erkennen, Cyberrisiken besser zu managen und Security-Prozesse zu automatisieren. So können Unternehmen insgesamt die Effizienz und Qualität der Cybersicherheit steigern und Kosten reduzieren. Konkrete Use Cases sind zum Beispiel:

  • Malware analysieren: KI kann in Sekundenschnelle riesige Datenmengen analysieren und Malware anhand von Verhaltensmustern und Wahrscheinlichkeitsberechnungen erkennen.
  • Anomalien aufdecken: KI kann Aktivitäten in der gesamten IT-Umgebung überwachen und feststellen, ob es zu verdächtigem Verhalten kommt. Werden zum Beispiel ungewöhnlich große Datenmengen heruntergeladen? Loggt sich ein Anwender von einem ungewöhnlichen Standort aus ein?
  • Phishing erkennen: Maschinelles Lernen kombiniert mit Bildanalyse ist in der Lage, Phishing-Websites zu erkennen. Außerdem kann KI den Schreibstil einer Person analysieren und so das Risiko für Business-E-Mail-Compromise (BEC)-Angriffe reduzieren.
  • Deepfakes identifizieren: Anhand visueller Indikatoren und Verhaltensmuster können Videokonferenzen vor Täuschungsmanövern geschützt und analysiert werden, ob es sich bei einem Teilnehmer um eine echte Person oder eine KI-generierte Identität handelt.
  • Cyberrisiken erkennen, bewerten und priorisieren: Eine moderne Technologie wie Attack Surface Risk Management (ASRM) nutzt KI, um interne und externe Security-Informationen zu analysieren und zu korrelieren. So können Mitarbeiter auf einen Blick die größten Bedrohungen identifizieren und Maßnahmen ergreifen, um diese zu mindern.
  • Warnmeldungen filtern und korrelieren: XDR (Extended Detection and Repsonse) korreliert KI-gestützt Warnmeldungen und reduziert die Zahl der False Positives. So können Security-Mitarbeiter schneller Angriffszusammenhänge erkennen und gezielt auf die Alerts reagieren, die wirklich wichtig sind
  • Daten verstehen und Handlungsempfehlungen ableiten: KI-Assistenten helfen Security-Mitarbeitern dabei, Warnmeldungen zu verstehen. Sie übersetzen technische Security-Informationen in verständliche Sprache, beantworten Fragen und können Handlungsempfehlungen geben.
  • IT-Forensik und Incident Response beschleunigen: Im Falle eines Cybervorfalls müssen Incident Response-Teams den Angriff untersuchen und eindämmen. Mit KI-Unterstützung finden sie relevante Informationen schneller. Außerdem kann die Technologie analysieren, für welche Cybercrime-Gruppe das identifizierte Vorgehen typisch ist.

KI-gestützte Cybersecurity-Plattformen

Künstliche Intelligenz kann Security-Prozesse erheblich beschleunigen und Komplexität reduzieren. Voraussetzung ist ein Plattform-Ansatz, der die verschiedenen Security-Funktionen unter einer einheitlichen Oberfläche bündelt und Daten aus der gesamten IT-Umgebung zentral zusammenführt. Viele verschiedene Insellösungen erhöhen dagegen die Komplexität. 

Trend Vision One

Eine umfassende Cyber-Defense-Plattform vereint XDR (Extended Detection and Response), CREM (Cyber Risk Exposure Management), einen KI-Assistenten und einen Deepfake Inspector in einer nutzerfreundlichen, KI-gestützten Schaltzentrale. 




Wie nutzen Cyberkriminelle KI?

Auch Cyberkriminelle nutzen bereits KI. Derzeit setzen sie die neue Technologie vor allem als Hilfsmittel ein, um ihre Effizienz zu steigern und Angriffe zu optimieren. Komplett KI-automatisierte Attacken sehen wir bisher noch nicht. Offensichtlich lohnt sich der initiale Aufwand noch nicht, solange die Angreifer mit einfacheren Mitteln gutes Geld verdienen können. Die häufigsten Szenarien, in denen Cyberkriminelle KI nutzen, KI sind:

Phishing

remove add

LLMs erleichtern die Content-Erstellung für Phishing-Kampagnen erheblich. Mit KI-Unterstützung können die Angreifer hochqualitative Betrugs-E-Mails generieren, die für die Empfänger nur schwer als solche erkennbar sind. Seit ChatGPT auf den Markt gekommen ist, haben wir einen massiven Anstieg an Phishing gesehen. Die sprachliche Qualität der Betrugs-Mails hat sich dagegen weniger stark verbessert als erwartet. 

Exploits

remove add

Mithilfe von LLMs können Cyberkriminelle Malware entwickeln. Allerdings braucht die KI dafür Beispielcode und detaillierten Input. Um etwa einen Exploit für eine neu entdeckte Schwachstelle zu erstellen, müssen die Hacker dem LLM einen Proof of Concept mitgeben, wie sich eine Schwachstelle ausnutzen lässt.

Selektive Datenexfiltration

remove add

Ransomware-Akteure nutzen LLMs, um die wertvollsten Daten in der Opfer-Umgebung zu identifizieren. So können sie gezielt die Kronjuwelen exfiltrieren. Die Selektion findet bereits während des Angriffs statt: Innerhalb von wenigen Minuten ist ein kleines LLM im Opfer-Netzwerk aufgesetzt. Dieses Vorgehen hat für die Angreifer den Vorteil, dass sie länger unbemerkt bleiben, weil Security-Systeme keinen auffällig großen Datenabfluss verzeichnen.

Deepfakes

remove add

Mithilfe von generativer KI können Cyberkriminelle glaubhaft Identitäten vortäuschen, um Opfer auszutricksen. Eine große Bedrohung sind außerdem Deepfakes, die etwa Nacktfotos oder pornographische Darstellungen fingieren. Cyberkriminelle könnten damit Anwender erpressen, sensible Daten oder Passwörter preiszugeben.

Dank KI-Unterstützung können Cyberkriminelle ihre Kampagnen besser skalieren und mit wenig Aufwand die Angriffszahl und Frequenz steigern. Sie gewinnen mehr Möglichkeiten, Menschen und Security-Systeme zu täuschen. Für Mitarbeiter wird es zum Beispiel immer schwieriger, Phishing-Mails zu erkennen. Denn LLMs können sprachliche Merkmale wie Rechtschreib- und Grammatikfehler ganz leicht vermeiden.

Die Wahrscheinlichkeit steigt, dass es Cyberkriminellen gelingt, den ersten Verteidigungswall zu überwinden und in Unternehmensnetzwerke einzudringen. Umso wichtiger wird eine gute, vektorübergreifende Angriffserkennung, ein proaktives Cyberrisikomanagement und eine schnelle Incident Response. Unternehmen brauchen daher ein ganzheitliches Security-Konzept. Am besten lässt sich dies mit einem Plattform-Ansatz und unterstützenden Managed Security Services umsetzen.

EBook

When AI Goes Rouge: Strengthening the Bars of the Cage

VIDEO

COMPUTEX Deepfake
 
 

KI-Risiken: Wie greifen Cyberkriminelle LLMs an?

KI ist nicht nur Hilfsmittel für Cyberkriminelle, sondern auch Angriffsvektor. Indem Unternehmen die neue Technologie einführen, vergrößern sie ihre Angriffsfläche. Daher ist es wichtig, die Risiken zu kennen. Das OWASP (Open Worldwide Application Security Projekt) hat die Top-Ten-Schwachstellen von LLMs veröffentlicht. Grundsätzlich lassen sich die identifizierten Risiken in drei Gruppen einteilen:

1.    Zugriffs-Risiken

Unsichere oder fehlende Zugriffskontrollen machen LLMs anfällig für böswillige Anfragen oder die Ausführung von nicht autorisiertem Remote-Code. Erhebliche Risiken entstehen auch, wenn Output von LLMs ungeprüft in andere Systeme wie Webanwendungen oder Datenbanken einfließt. Auf diese Weise können Cyberkriminelle Backend-Systeme angreifen. Mögliche Angriffs-Szenarien sind Cross-Site Scripting, Cross-Site Request Forgery, Server-Side Request Forgery, Privilegienerweiterung oder Remote Code Execution.

2.    Daten-Risiken

In diese Kategorie fallen unter anderem die Schwachstellen Prompt Injection und Data Poisioning. Mit gezielten Eingaben (Prompts) können Cyberkriminelle das LLM zum Beispiel dazu bringen, schädliche Inhalte zu generieren, sensible Daten preiszugeben oder sein Verhalten zu ändern. Wenn Angreifer die KI so manipulieren, dass sie gegen integrierte Sicherheitsregeln verstößt, spricht man von Jailbreaking. Beim Data Poisoning werden die Trainingsdaten eines LLMs verändert oder manipuliert, um das KI-Modell zu beeinflussen. Ein bekanntes Beispiel ist der Fall des Microsoft-Chatbots Tay aus dem Jahr 2016. Tay lernte aus Interaktionen auf Twitter und wurde innerhalb von 16 Stunden durch gezielte Eingabe rassistischer und beleidigender Kommentare „vergiftet“, sodass er selbst solche Inhalte produzierte.

3.    Reputations- und Business-Risiken

LLMs neigen zum Halluzinieren, wenn sie nicht genügend Informationen haben, um eine Frage richtig zu beantworten. Das birgt die Gefahr für falschen oder diskriminierenden Output. KI-generierten Content ungeprüft zu veröffentlichen, kann daher zu erheblichen Reputationsschäden führen. In die Kategorie Business-Risiken fällt außerdem die Diebstahlgefahr des eigenen KI-Modells. Angreifer hätten dann die Möglichkeit, sensible Daten zu exfiltrieren oder das LLM zu manipulieren, um dem Unternehmen zu schaden.

Die komplette OWASP-Top-Ten-Liste finden Sie in unserem Whitepaper „Security for AI“

Wie kann ich meine KI-Anwendungen schützen?

Schwachstellen können überall entlang der KI-Lieferkette und auf jeder Ebene der KI-Architektur auftreten. Dazu gehört neben der Frontend-Applikation auch das KI-Modell, auf dem die Anwendung basiert, sowie die Hardware- oder Cloud-Umgebung, auf/in der das KI-Modell läuft und trainiert wird. Kritische Angriffspunkte sind außerdem die Daten- und Nutzer-Ebene. Um KI-Anwendungen richtig abzusichern, muss man daher immer das Gesamtbild betrachten. Folgende Maßnahmen sind für die Cybersecurity von Künstlicher Intelligenz  empfehlenswert:

  • Zero-Trust-Strategie: Um zugriffsbasierte KI-Risiken zu mindern, ist ein Zero-Trust-Ansatz wichtig. Separieren Sie Systeme durch Sandboxing und führen Sie strenge Zugangskontrollen ein. Etablieren Sie Prompt-Filter, die bösartige Eingaben erkennen, und Output-Filter, die sicherstellen, dass keine gefährlichen Ausgaben weitergegeben werden. Ein Secure KI Gateway zwischen KI-Service und Anwender stellt diese Sicherheitsfunktionen bereit und führt eine zusätzliche Schutzschicht ein.
  • Data Security Posture Management: Um Daten zu schützen, ist eine gute Datenhygiene eine wichtige Voraussetzung. Klassifizieren Sie Ihre Daten systematisch, um sensible Daten zu identifizieren, und trennen Sie diese sauber von gemeinschaftlich zugänglichen Daten. Ein sorgfältiges Rechtemanagement, strenge Zugriffskontrollen und kontinuierliches Monitoring tragen maßgeblich dazu bei, Datenrisiken zu minimieren.
  • XDR (Extended Detection and Response): Transparenz über Aktivitäten in der KI- und IT-Umgebung zu schaffen ist entscheidend, um verdächtiges Verhalten schnell aufzudecken und zu stoppen. XDR ermöglicht ein kontinuierliches Monitoring sowie eine schnelle Bedrohungserkennung und Reaktion.
  • KI Security Policy: Stellen Sie klare Richtlinien für den sicheren, Compliance-konformen KI-Einsatz auf und kommunizieren Sie diese an die Belegschaft. Schulen Sie die Mitarbeitenden, um Awareness für KI-Risiken zu schaffen. KI-Anwendungen zu verbieten ist keine gute Idee – das führt nur zu gefährlicher Schatten-IT.

Compliance - Was bedeuten DSGVO und EU AI Act für den KI-Einsatz?

Viele der KI-basierten Cyberrisiken sind Datenschutzrisiken. Security-Verantwortliche sollten daher eng mit den Datenschutzbeauftragten zusammenarbeiten. Sobald eine KI-Anwendung personenbezogene Daten verarbeitet, fällt sie unter die DSGVO. Um Aufwand zu reduzieren, empfiehlt es sich, personenbezogene Daten nach Möglichkeit zu anonymisieren und nur dort einzuspeisen, wo es unbedingt erforderlich ist. Security-Systeme, die zum Beispiel E-Mail-Adressen oder Bewegungsdaten verarbeiten, unterliegen ohnehin der DSGVO. Hier ändert sich durch die KI-Integration also nichts.

Der EU AI Act soll einen rechtlichen und ethischen Rahmen für die Entwicklung und Nutzung von Künstlicher Intelligenz in der EU schaffen. Er ist seit August 2024 in Kraft und teilt KI-Anwendungen in vier Risikoklassen ein. Anwendungen mit einem inakzeptablen Risiko sind verboten. Dazu zählt zum Beispiel Social Scoring. Security-Systeme, die KI-Technologie einsetzen und keine personenbezogenen Daten verarbeiten, fallen in die niedrigste Risikoklasse. Gemäß AI Act unterliegen sie daher keinen Einschränkungen und erfordern keine Maßnahmen, um Risken zu mindern.

Trend Trust Center

Datenschutz und Compliance sind von zentraler Bedeutung für die verantwortungsvolle Einführung und Nutzung von KI. Trend hält sich an das EU-Gesetz zur künstlichen Intelligenz (EU AI Act) und den Tech Accord zur Cybersicherheit und erfüllt gleichzeitig strenge Datenschutzvorgaben, Produktsicherheit und robuste Governance-Frameworks.




Was sollte ich bei meiner KI-Strategie beachten?

Integrieren Sie Cybersecurity und Cyberrisikomanagement von Anfang an in Ihre KI-Strategie. In der Vergangenheit haben wir am Beispiel der Container-Technologie gesehen, wie gefährlich es sein kann, erst nachträglich an die Sicherheit zu denken. Naturgemäß überwiegen zunächst die Experimentierfreude und die Begeisterung für die neue Technologie. Dazu kommt, dass die Bedrohungen noch abstrakt sind. Niemand kann heute abschätzen, wie sich Cyberangriffe auf KI-Architekturen entwickeln werden, wie gefährlich sie in der Praxis tatsächlich sind und welche Auswirkungen sie haben werden. Umso wichtiger ist es, Risiken frühzeitig zu erkennen, zu monitoren, zu priorisieren und zu entscheiden, welche Minderungsmaßnahmen gegebenenfalls nötig sind. KI-gestützte Security-Technologien wie XDR und CREM (Cyber Risk Exposure Management), was mehr kann als ASRM, helfen Ihnen dabei.

Welche Voraussetzungen müssen erfüllt sein?

Trend Micro Security-Lösungen mit integrierter KI und zur Absicherung von KI lassen sich schnell und einfach einführen. Als zentrale Cyber-Defense-Plattform dient Trend Vision One. Hier laufen die Security-Informationen aus der gesamten IT-Umgebung zusammen, werden korreliert und analysiert. Der KI-Assistent Companion übersetzt die Ergebnisse in verständliche Sprache, beantwortet Fragen und unterstützt mit Handlungsempfehlungen. Je mehr Datenquellen an die Vision One-Plattform angebunden sind und je höher die Datenqualität, desto aussagekräftiger die Security- und Risiko-Analysen. Trend Vision One kann nicht nur mit Trend Micro Security-Lösungen zusammenarbeiten, sondern auch mit den Produkten anderer Hersteller. SIEM- und Firewall-Daten sowie SIEM-Monitoring-Regeln, -Filter und Policies lassen sich über Konnektoren in die Plattform integrieren. Dadurch haben Sie freie Wahl, welche Lösungen Sie einsetzen möchten, und können Ihre bestehende Security-Infrastruktur problemlos um KI-Sicherheit erweitern.

SCHLIESSEN SIE SICH ÜBER 500.000 KUNDEN WELTWEIT AN

Kreativ mit KI. Sicher mit Trend.