KI zum Management der Informationssicherheit?
Jedes Unternehmen braucht ein Informationssicherheitsmanagementsystem (ISMS). Aber anders als die Bezeichnung suggeriert, handelt es sich zunächst gar nicht um eine Software, sondern um ein System aus Regeln, Prozessen und Dokumentation. Auch wenn der wichtigste Teil eines ISMS durch menschliche Intelligenz zu leisten ist, kann KI wichtige Leistungspotenziale einbringen. Dieser Artikel skizziert ein Modell für ISMS, bei dem menschliche und künstliche Intelligenz in interdisziplinären Teams Hand in Hand gehen.
Der Fachkräftemangel in der IT ist groß. So ist es auch kein Wunder, wenn KI-Tools in der Cybersecurity aktuell so hoch gehandelt werden. Natürlich bietet eine Cybersecurity-Strategie mit KI-basierten DLP und Netzwerküberwachung in Echtzeit Sicherheit für den Moment. Alle diese Maßnahmen müssen jedoch effektiv und effizient eingesetzt und gemanagt werden. Dafür sorgt ein ISMS.
Frameworks für den Aufbau und Betrieb eines ISMS
Nach Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sollte jedes datenverarbeitende Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) implementieren, konsequent anwenden, regelmäßig fortschreiben und überprüfen. Ein ISMS beschreibt Regeln und Verfahren, wie unter Einsatz von infrastrukturellen, technischen und organisatorischen Maßnahmen die IT-Sicherheit auf allen Ebenen nach dem Stand der Technik gewährleistet und aufrechterhalten wird. Die BSI-Standards wurden 2018 modernisiert und bilden mit dem IT-Grundschutz-Kompendium ein zeitgemäßes Framework für IT-Sicherheit. Bereits 2006 wurde der IT-Grundschutz offiziell zur Erfüllung der ISO/IEC-27001-Norm anerkannt. Diese internationale Industrienorm beschreibt sehr detailliert und für verschiedene Branchen Sicherheitsanforderungen an die Nutzung und Einrichtung von IT-Hard- und -Software-Systemen, Betriebssteuerung, Wartung und die fortlaufende Verbesserung eines ISMS und fordert eine lückenlose Dokumentation aller Maßnahmen und Checks. Darin müssen auch Sicherheitsrisiken erfasst und beurteilt werden sowie die den Risiken und dem Unternehmen entsprechenden Maßnahmen zu deren Behandlung definiert sein. Hier wird dann auch deutlich, dass es auf Sachverstand und Expertise ankommt, fortlaufend Risiken zu identifizieren und zu bewerten.
KI unterstützt IT-Sicherheitsexperten bereits
Hierbei können KI-basierte Systeme unterstützend zum Einsatz kommen. Das beschreibt auch der Begriff "Augmented Cybersecurity". KI-basierte Sicherheitssoftware entlastet die Cybersecurity-Teams bei Routineaufgaben und ermöglicht, dass sich diese auf ihre Kernaufgaben konzentrieren können. KI-Lösungen identifizieren Anomalien und liefern schnellere und vielleicht auch höherwertige Erkenntnisse über die Sicherheit von IT-Infrastrukturen. Sie ermöglichen Echtzeitanalysen und schnelle kontextbasierte Informationsauswertung. Aber KI in DLP-Systemen und IDS ist derzeit lediglich eine Funktion, die IT-Fachkräfte bei Musterkennung und Auswertung großer Datenströme im Netzwerk unterstützt und Alarm auslöst, wenn ein Angriff stattfindet. Es gibt Studien, denen zufolge bereits über 60 Prozent der Unternehmen sicher sind, dass KI, Big Data und Analytics in der Absicherung von IT-Infrastrukturen zukünftig eine tragende Rolle spielen [1]. Mehr als ein Viertel der Unternehmen wollen sie in Ergänzung zu bestehenden Systemen einsetzen, 36 Prozent wollen damit eine voll-automatisierte IT-Sicherheitsarchitektur aufbauen, um den Risikofaktor "Mensch" zu minimieren und KI-basierten Angriffen von Cyber-Kriminellen zu begegnen. Die Vorstellung, KI könnte künftig im Alleingang für sichere IT-Landschaften sorgen, ist allerdings ein Trugschluss.
KI Security Audit und Verification-Tool als Hilfsinstanz für ISMS
Ohne die Überwachung durch menschliche Intelligenz und gezielte Absicherungen der KI selbst können solche DLPs oder IDS auch neue Bedrohungslagen eröffnen. Denn auch Cyber-Kriminelle beschaffen sich die frei am Markt verfügbaren DLPs und IDS und trainieren eigene KI-basierte Malware. So lernen diese Schadprogramme, wie sie normalen Netzwerkverkehr simulieren können, während sie die Unternehmens-KI austricksen. DLPs und IDS ersetzen also eben nicht ein ISMS sowie die notwendige menschliche Intelligenz derer, die mit den Systemen arbeiten und sie überwachen. Stattdessen müssen KI-gestützte (Sicherheits-)Systeme und -Anwendungen zwingend im ISMS berücksichtigt werden, um ebenfalls angemessen abgesichert werden zu können. Selbstverständlich können KI-Funktionen bei ISMS-Aufgaben ebenfalls eine große Hilfe sein. Die heute am Markt befindlichen ISMS-Tools werden noch weitgehend ohne Berücksichtigung von Konzepten der KI entwickelt. Der Schritt zum Expertensystem ist aber nicht mehr weit. Die Implementierung von KI-Funktionen in den ISMS-Prozess bei Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, Maßnahmen-Check und der Risikoanalyse rückt in greifbare Nähe. Bei einem ISMS handelt es sich um einen sich ständig wiederholenden und damit nie endenden Prozess, bei dem sich Teilaufgaben auf allen Stufen und der Auswertung von KI und selbstlernenden Maschinen ergänzen lassen. KI spielt immer dann ihre Potenziale aus, wenn es um die Analyse großer Datenbestände geht und diese segmentiert, gruppiert und bewertet werden müssen. Bei der Analyse von Netzplänen und Dokumentationen können sie via Bildauswertung, Text und Data Mining die Strukturanalyse beschleunigen und absichern. Bei der Schutzbedarfsfeststellung können sie kontextbezogen Vererbungsregeln überprüfen sowie Optimierungsvorschläge durch inkrementelles Vorgehen bei IT-Systemen erarbeiten, die sich ständig verändern. Auch bei der Modellierung, Maßnahmen-Checks und der eigentlichen Risikoanalyse können sie die Sicherheitsexperten bei zahlreichen Routinen unterstützen.
Security by ISMS-Design
Das bedeutet, auch wenn Technologie zum Einsatz kommt, ist Informationssicherheits-Management im Kern eine Top-Management-Aufgabe: Sie nicht professionell über ein Managementsystem zu steuern, ist daher auch eines der kritischsten Unternehmensrisiken. Firmennetzwerke sind auch heute häufig viel zu schlecht abgesichert, die wachsende Vernetzung von Industrie und Gesellschaft und die steigende Verwundbarkeit von Legacy-Systemen kritischer Infrastrukturen durch immer mehr Schnittstellen ins Internet sind beste Voraussetzungen dafür, dass uns richtig große Cyberattacken erst noch bevorstehen. Unter anderem auch dadurch, dass auch Cyber-Kriminelle KI einsetzen, automatisierte oder gar autonome Prozesse die Effizienz der Angreifer erhöhen, was eine mögliche Schadenswirkung vervielfacht. Abhilfe schaffen nur integrierte Konzepte, die mehrere Schichten von Sicherheit kombinieren und einzelne technologische Lösungen gegenseitig absichern. Aber angesichts immer neuer Bedrohungslagen kann eine wirksame Cybersecurity-Strategie nicht nur auf technischen Lösungen basieren. Vielmehr bleibt IT-Sicherheit eine Managementaufgabe für CIOs und CISOs, die mit ISMS eine ganzheitliche Strategie verfolgen sollten. KI-basierte Technologien und menschliche Intelligenz müssen dabei sinnvoll und sich ergänzend Hand in Hand arbeiten. Und dies geht nur mit "Security by ISMS-Design". Das beginnt bei der Architektur der IT-Infrastruktur, setzt sich bei der Anwendungsentwicklung fort und muss zwangsläufig in einer kontinuierlichen Überprüfung der gesamten IT mit einem ISMS münden.
KI ja – aber mit gemanagter Sicherheit
Der Einsatz von KI im Rahmen einer ganzheitlichen Cyber-Sicherheitsstrategie ist aus der modernen Cyber-Abwehr nicht mehr wegzudenken und sollte State of the Art werden. Dies darf aber niemanden dazu verleiten, sich in Sicherheit zu wiegen und die IT-Sicherheit strategisch wie operativ zu vernachlässigen. Vielmehr müssen Organisationen ihre Systeme weiterhin auf dem Stand der technischen Entwicklung halten und mit geeigneten Maßnahmen auf neue Schwachstellen beziehungsweise mögliche Angriffsvektoren im Rahmen eines ISMS analysieren. Dies gilt insbesondere für neue Technologien wie KI. Die Implementierung von umfassenden, aktuellen Gefährdungen adressierenden Cybersecurity-Maßnahmen muss die Regel werden, nicht die Ausnahme bleiben. Hierzu sind allerdings Anpassungen der einschlägigen Industrienormen und BSI-Standards wünschenswert: Der IT-Grundschutz würde beispielsweise von entsprechenden Bausteinen oder Anforderungen mit KI-Bezug in den Schichten ISMS (Sicherheitsmanagement), CON (Konzeption und Vorgehensweise), DER (Detektion und Reaktion) und APP (Anwendungen) profitieren, um den KI-Einsatz sicherer zu managen. Für die ISO 27001 wäre es Zeit zu prüfen, welche Controls sich wie auf KI-Systeme und -Verfahren anwenden lassen oder ob es erforderlich wäre, neue Controls zu erarbeiten. Ähnliches gilt für andere Best Practises und Frameworks.
Fazit: ISMS ist eine interdisziplinäre Aufgabe von Menschen und KI
Voraussetzung für die professionelle Steuerung der Informationssicherheit über Technologien, Prozesse und ISMS hinaus ist das richtige Mindset der Geschäftsführung. Nur wenn Cybersecurity eine angemessen hohe oder sogar sehr hohe Priorität eingeräumt wird, lassen sich geschäftskritische IT-Prozesse und Assets im Zuge der fortschreitenden Digitalisierung wirklich schützen. Darüber hinaus liegt der Erfolg einer wirksamen Umsetzung von Cybersecurity und ISMS heute auch in interdisziplinären Teams aus IT-Sicherheitsexperten, die fachlich auf der Höhe der Zeit sind und die Herausforderungen von morgen vor Augen haben. Dafür braucht es auch Experten für KI, die programmieren und steuern können und IT-Forensiker, die in der Lage sind, wie Cyber-Kriminelle zu denken und zu handeln. Ist fachkundiges Personal am Markt nicht zu haben, sollten Unternehmen auf Managed Services, kompetente Dienstleister oder auf interne Weiterbildung setzen – oder am besten gleich auf eine geeignete Kombination. Erfahrungsgemäß erwerben Mitarbeiter in Zusammenarbeit mit externen Dritten, die branchenübergreifende Erfahrung im Bereich Cybersecurity im Gepäck haben, wertvolles Wissen "on the job". Und nicht zuletzt kann nur eine zeitgemäße Sicherheitskultur im Unternehmen, die alle Ebenen der Organisation umfasst und auch mit Blick auf Mitarbeiter-Awareness so wenig offene Flanken wie möglich zulässt, die Grundlage für erfolgreiches, nachhaltiges ISMS sein.
