Schwerpunkte

Zeitgemäße Cyber-Security-Strategien

Die KI denkt, der Mensch lenkt?

02. September 2019, 10:13 Uhr   |  Andreas Knoll


Fortsetzung des Artikels von Teil 1 .

Die Herausforderungen von morgen

Infodas
© Infodas

Der Mensch und seine Intelligenz spielen in ISMS auch in Zukunft eine nicht wegzudenkende Rolle.

Selbstverständlich können KI-Funktionen bei ISMS-Aufgaben ebenfalls eine große Hilfe sein. Die derzeit am Markt befindlichen Informationssicherheits-Management-System-Tools werden noch weitgehend ohne Berücksichtigung von KI-Konzepten entwickelt. Der Schritt zum Expertensystem ist aber nicht mehr weit. Die Implementierung von KI-Funktionen in den ISMS-Prozess bei Strukturanalyse, Schutzbedarfsfeststellung, Modellierung, Maßnahmen-Check und Risikoanalyse rückt in greifbare Nähe. Ein ISMS beruht auf einem ständig sich wiederholenden und damit nie endenden Prozess, bei dem sich Teilaufgaben auf allen Stufen und die Auswertung durch maschinelles Lernen und andere KI-Methoden ergänzen lassen.

KI spielt immer dann ihre Potenziale aus, wenn es um die Analyse großer Datenbestände geht und diese segmentiert, gruppiert und bewertet werden müssen. Bei der Analyse von Netzplänen und Dokumentationen können sie via Bildauswertung, Text und Data-Mining die Strukturanalyse beschleunigen und absichern. Bei der Feststellung des Schutzbedarfs können sie kontextbezogen Vererbungsregeln überprüfen sowie Optimierungsvorschläge durch inkrementelles Vorgehen bei IT-Systemen erarbeiten, die sich ständig verändern. Auch bei der Modellierung, Maßnahmen-Checks und der eigentlichen Risikoanalyse können sie die Sicherheitsexperten bei zahlreichen Routinen unterstützen.

Nicht nur Technik, sondern auch menschliche Intelligenz

Sinnvoll sind dabei integrierte Konzepte, die mehrere Schichten von Sicherheit kombinieren und einzelne technische Lösungen gegenseitig absichern. Angesichts immer neuer Bedrohungslagen kann eine wirksame Cyber-Security-Strategie aber nicht nur auf technischen Lösungen beruhen. Vielmehr bleibt IT-Sicherheit eine Management-Aufgabe für CIOs und CISOs, die mit einem ISMS eine ganzheitliche Strategie verfolgen sollten. Techniken auf KI-Basis und menschliche Intelligenz müssen dabei sinnvoll und gegenseitig ergänzend arbeiten. Und dies geht nur mit „Security by ISMS-Design“. Das beginnt bei der Architektur der IT-Infrastruktur, setzt sich bei der Anwendungsentwicklung fort und muss zwangsläufig in einer kontinuierlichen Überprüfung der gesamten IT mit einem ISMS münden.

KI ja, aber mit gelenkter Sicherheit

Der Einsatz von KI im Rahmen einer ganzheitlichen Cyber-Sicherheitsstrategie ist aus der modernen Cyber-Abwehr nicht mehr wegzudenken und sollte Stand der Technik werden. Dies darf aber niemand dazu verleiten, sich zurückzulehnen und die IT-Sicherheit strategisch wie operativ zu vernachlässigen. Vielmehr müssen Organisationen ihre Systeme weiterhin auf dem Stand der technischen Entwicklung halten und mit geeigneten Maßnahmen wiederkehrend auf neue Schwachstellen oder mögliche Angriffsvektoren im Rahmen eines ISMS überprüfen. Dies gilt besonders für neue Techniken wie KI. Die Implementierung umfassender Cyber-Security-Maßnahmen, die aktuelle Gefährdungen adressieren, muss die Regel werden, nicht die Ausnahme bleiben. Hierzu sind allerdings Anpassungen der einschlägigen Industrienormen und BSI-Standards wünschenswert: Der IT-Grundschutz würde beispielsweise von entsprechenden Bausteinen und Anforderungen mit KI-Bezug profitieren, um den KI-Einsatz sicherer zu lenken. Für ISO 27001 wäre es Zeit, zu prüfen, welche Controls sich wie auf KI-Systeme und -Verfahren anwenden lassen oder ob es erforderlich wäre, neue Controls zu erarbeiten. Ähnliches gilt für andere Best Practises und Frameworks.

Heute die Herausforderungen von morgen vor Augen haben

Voraussetzung für die professionelle Steuerung der Informationssicherheit über Techniken, Prozesse und ISMS hinaus ist die richtige Einstellung der Geschäftsführung. Nur wenn Cyber-Security eine angemessen hohe oder sogar sehr hohe Priorität eingeräumt wird, lassen sich geschäftskritische IT-Prozesse und Assets im Zuge der fortschreitenden Digitalisierung wirklich schützen. Darüber hinaus liegt der Erfolg einer wirksamen Umsetzung von Cyber-Security und ISMS heutzutage auch in interdisziplinären Teams aus IT-Sicherheits-Experten, die fachlich auf der Höhe der Zeit sind und die Herausforderungen von morgen vor Augen haben.

Dafür braucht es Experten für KI, die programmieren und steuern können, und IT-Forensiker, die in der Lage sind, wie Cyber-Kriminelle zu agieren, um offene Flanken zu ermitteln. Ist fachkundiges Personal nicht verfügbar, sollten Unternehmen auf Managed Services, kompetente Dienstleister oder auf interne Weiterbildung setzen – oder am besten gleich auf eine geeignete Kombination. Darüber hinaus bleiben – trotz oder vielleicht gerade wegen innovativer Techniken – „analoge“ Faktoren wie eine Sicherheitskultur, die alle Ebenen der Organisation umfasst, und eine hohe Mitarbeiter-Awareness nach wie vor ein wichtiges Fundament für ein erfolgreiches, nachhaltiges ISMS.

Seite 2 von 3

1. Die KI denkt, der Mensch lenkt?
2. Die Herausforderungen von morgen
3. Personenzertifizierung des BSI

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Verwandte Artikel

elektroniknet