Fünf KI-Use-Cases für CISOs

Security-Verantwortliche haben zwei Hauptaufgaben, wenn es um KI geht: Sie sollen zum einen sicherstellen, dass die Technologie möglichst sicher im Unternehmen eingeführt und angewendet wird. Zum anderen gilt es, Wege zu finden, wie KI den Security-Betrieb verbessern kann.

Dabei zögern viele CISOs. Laut einer Umfrage von ISC2, Anbieter von Zertifizierungen im Cybersecurity-Umfeld, integriert knapp ein Drittel (30 Prozent) der 436 befragten Security-Experten KI bereits in ihren Betrieb. 43 Prozent befinden sich noch in der Evaluierungs- und Testphase potenzieller Tools.

Die folgenden fünf Use Cases halten Security-Entscheider für vielversprechend.

Individuelle KI-Anwendungen mit MCP

Das Model Context Protocol (MCP) ist ein offener Standard von Anthropic, um KI-Systeme wie Large Language Models (LLMs) mit Datenquellen zu verbinden.

George Gerchow, CSO beim Security-Anbieter Bedrock Data, experimentiert mit Anthropics KI-Assistent Claude mit MCP. „Die Desktop-App verfügt über eine integrierte native MCP-Unterstützung, wodurch es einfach ist, sie mit internen Tools und Datenquellen zu verbinden“, erklärt er. MCP biete eine strukturierte Schnittstelle zwischen KI- und Sicherheitstools, die den Datenzugriff standardisiert und störungsanfällige KI-Integrationen reduziert.

Gerchow hat einen MCP-Server und diverse Tools entwickelt, darunter ein maßgeschneidertes KI-gestütztes Data-Loss-Prevention-(DLP-)System, das Daten im Kontext versteht und sensible Interaktionen in Echtzeit protokolliert. Er verwendet diese Protokolle, um sensible Daten automatisiert zu klassifizieren, Richtlinien besser durchzusetzen und eine Grundlage für sichere, agentenbasierte KI-Workflows zu schaffen.

MCP lässt laut dem CSO Kontextinformationen wie die Sensibilität von Assets und regulatorische Auswirkungen direkt in Sicherheits-Workflows einfließen. So helfe es dabei, Maßnahmen zu priorisieren und risikobewusste Entscheidungen zu treffen. Zudem erleichtere es MCP, Security-Vorfällen per natürlicher Sprache auf den Grund zu gehen. Mit dem Protokoll können KI-Agenten komplexe Fragen schnell beantworten, da es strukturierte Daten in Echtzeit bereitstellt.

Mit Googles KI-Assistent Gemini experimentiert Bob Sullivan, CIO und CISO beim IT-Dienstleister Agero. Sein Team hat einen individuellen Agenten gebaut, um Bedrohungsmodelle zu erstellen.

Mithilfe dieses Agenten identifiziert die IT eine neue Technologie, die eingesetzt werden soll, das dazugehörige Sicherheitstool und alles andere, was relevant ist. Das KI-Tool kann laut Sullivan ein Bedrohungsmodell erstellen, das zu etwa 95 Prozent fertig ist. So sparten sich die Architekten und Engineers rund zwölf Stunden Arbeit und mindestens 75 Prozent des bisherigen Aufwands. Er räumt allerdings auch ein, dass das Tool starke Leitplanken braucht.

Security-Kennzahlen übersetzen

CISOs haben die Aufgabe, technische Security-Themen in Business-Sprache verständlich zu machen. KI kann dabei unterstützen, indem sie Datenquellen, Risikotrends, Kontrolllücken und Bedrohungsmodelle anzapft und in Reports und geschäftsrelevante Narrative für CEOs, CFOs und den Vorstand übersetzt. Weitere Beispiele sind Management Summaries von technischen SOC-Ereignissen oder Zusammenfassungen der wichtigsten Diskussionspunkte eines Meetings, ohne dass die gesamte Aufzeichnung zu benötigen.

Jameeka Aaron, CISO von Headspace, einem auf mentale Gesundheit spezialisierten Unternehmen, verwendet für ihre Quartalsberichte Notebook LM von Google. Sie reichert ihren Report mit Daten-Feeds aus verschiedenen Bereichen der Organisation, relevanten Medienberichten und anderen Informationen an. Anschließend erstellt sie daraus einen Bericht im Podcast-Stil. „Aus 100 Folien sind sechs Minuten Storytelling geworden“, schwärmt sie.

Das Feedback aus dem restlichen Unternehmen war laut Aaron positiv. Es habe geholfen, Dinge wie Schwachstellenmanagement und die nötige Zusammenarbeit mit anderen Geschäftsbereichen verständlich zu erklären. So konnte die technische Arbeit mit den geschäftlichen Anforderungen verknüpft und der Belegschaft vermittelt werden, wie die Security-Maßnahmen mit ihrer täglichen Arbeit zusammenhängen.

Lavy Stokhamer, Global Head of Cybersecurity Operations beim Finanzkonzern Standard Chartered, nutzt KI, um aus der Flut an externen Informationen die für das Unternehmen relevanten herauszufiltern. Sie helfe seinem Team, Cybersicherheits-News und Mediensignale in validierte, umsetzbare Informationen umzuwandeln, um ohne Verzögerungen die richtigen Entscheidungen treffen zu können.

„Führungskräfte sind ständig Schlagzeilen über neue Schwachstellen, Sicherheitsverletzungen bei anderen Unternehmen oder neuartige Angriffstechniken ausgesetzt, und die unmittelbare Frage lautet immer: ‚Könnte uns das betreffen?‘“, fasst er zusammen.

Sein Team hat ein Tool entwickelt, das diese externen Signale erfasst und automatisch mit der internen Bedrohungslandschaft und Telemetrie abgleicht. Das Ergebnis liefert eine klare Risikobewertung und, falls erforderlich, Empfehlungen für Gegenmaßnahmen. Dadurch werde der Kreis von der strategischen Wahrnehmung bis zur taktischen Umsetzung geschlossen.

KI-gestützte Bedrohungsjagd

Die Fähigkeit generativer KI komplexe Informationen in einfache Sprache zu übersetzen, kann es auch erleichtern, Bedrohungen zu erkennen.

Conal Gallagher, CIO und CISO beim Softwareanbieter Flexera, experimentiert gerade damit, wie sein Team mithilfe von KI potenzielle Bedrohungen effizienter identifizieren kann. Sie könnte nicht nur die Untersuchung von Vorfällen beschleunigen, sondern auch die Ermüdung der Analysten eindämmen, vor allem in Situationen mit hoher Alarmstufe.

Gallagher verwendete Microsoft Copilot Studio, um einen Agenten mit dem GPT-4o-Modell zu bauen. Der KI-Agent nutzt einen MCP-Server, um auf Sicherheitsdaten zuzugreifen und einfache Sprachbefehle von Analysten in komplexe Erkennungsabfragen zu übersetzen.

Die KI übersetzt die Sprache in Queries, interagiert mit den zugrunde liegenden Systemen, ruft die relevanten Daten ab und liefert zügig die Ergebnisse. Das funktioniert laut Gallagher in einigen Bereichen besser als in anderen. „Bislang war sie am nützlichsten, um neu auftretende Bedrohungen schnell einzustufen, während eines Vorfalls gezielt zu suchen oder bei zeitkritischen Ad-hoc-Untersuchungen“, so der IT-Chef. Weniger hilfreich sei die KI bei sehr speziellen Suchvorgängen gewesen, die tiefgreifende toolspezifische Kenntnisse oder fortgeschrittene Korrelationen erfordern, die darüber hinausgehen, worauf das KI-Modell trainiert wurde.

Gallagher ist jedoch zuversichtlich, dass die KI durch weitere Tests und verbesserte Funktionalitäten noch breiter eingesetzt werden kann. Er sieht Potenzial in

der Automatisierung der kontinuierlichen Bedrohungssuche mit Live-Feeds zu Bedrohungsinformationen,

der Integration mit mehreren Plattformen über Microsoft-Sicherheitstools hinaus und

der Verknüpfung von Bedrohungserkennung mit automatisierten Reaktionsmaßnahmen.

Zuvor müsste KI allerdings lernen, sich besser an die sich entwickelnde Bedrohungslandschaft anzupassen sowie genauer und zuverlässiger in ihren automatisierten Reaktionen werden. „Außerdem müssen robuste Test- und Validierungsrahmen entwickelt werden, um sicherzustellen, dass die Entscheidungen der KI vertrauenswürdig und umsetzbar sind“, urteilt er.

Das Cybersicherheitsteam der Softwareschmiede Cribl nutzt agentenbasierte KI, um gemeldete Phishing-E-Mails zu untersuchen und darauf aufbauend eine autonome Bedrohungssuche zu entwickeln. „Wenn Mitarbeitende eine E-Mail als verdächtig markieren, führt das System eine tiefergehende Analyse durch und untersucht Header, Inhalte und Anhänge wie PDFs und QR-Codes“, erklärt CISO Myke Lyons.

Wenn die KI einen Phishing-Versuch bestätigt, sucht sie selbstständig nach ähnlichen Mails im gesamten Nachrichtenspeicher. „Dieser Prozess ahmt das Vorgehen eines menschlichen Analysten nach, ist jedoch viel schneller“, sagt Lyons. Die KI arbeite bei Phishing-Fällen fast so gut wie ein Tier-1-Analyst, so dass sich menschliche Analysten auf komplexere Aufgaben konzentrieren könnten.

Lesetipp: KI als Cybercrime-Copilot

Interne und Lieferanten-Risikobewertung

Brandyn Fisher, Director of Security Services beim Beratungshaus Centric Consulting, setzt auf KI, um Risiken zu priorisieren. Er will damit über die beiden üblichen Parameter für Risikobewertungen, Wahrscheinlichkeit und Auswirkungen, hinausgehen. „Ich wollte tiefer graben und nach Projekten suchen, die nicht nur unser Gesamtrisiko reduzieren, sondern auch so viele einzelne Risikopunkte wie möglich ausschalten würden”, erklärt er.

Er gibt das Risikoregister in die KI ein und fragt sie nach den fünf Projekten, die das Geschäftsrisiko am stärksten reduzieren und gleichzeitig die meisten Punkte auf dieser Liste abdecken würden. „Das Ergebnis waren fünf Initiativen, die letztlich etwa 20 Prozent aller von uns identifizierten Risiken in irgendeiner Weise betrafen, was uns eine solide Grundlage bot, um Projektpläne zu erarbeiten und Finanzierungsanträge zusammenzustellen“, sagt er.

In einem anderen Fall hat Fisher KI eingesetzt, um zu messen, wie das Cybersicherheitsprogramm performt. Er gab das Framework ein und forderte Metriken auf der Grundlage der Kontrollen in jeder Kategorie an. Das Ergebnis war ein umfassender Satz von Metriken für ein Cyberprogramm.

Der Sicherheitsexperte wollte noch weiter gehen und bat die KI um Rat, welche der Metriken bei Führungskräften und Vorstandsmitgliedern Anklang finden würden – also solche, die die Geschichte erzählen, ohne sich in technischen Details zu verlieren. Die Ergebnisse bestätigten seine Auswahl und identifizierten sogar zusätzliche Kennzahlen, die zu berücksichtigen waren. Dazu zählten etwa

die Zeit, um Konfigurationsabweichungen zu beheben,

die Zeit, um Protokolle eines neuen Assets in das SIEM-System einzubinden,

der Prozentsatz der Dienstleister mit einem unterzeichneten Sicherheitszusatz und

die Zeit, um den Incident-Response-Plans nach einer Übung oder einem realen Vorfall zu aktualisieren.

„Ich bin zwar immer noch derjenige, der täglich alle detaillierten KPIs überwacht, aber jetzt habe ich diesen verfeinerten Satz von Kennzahlen, mit denen ich denjenigen, die einen Überblick benötigen, vermitteln kann, wo wir stehen und wie wir vorankommen“, resümiert Fisher.

Beim zweitaufwändigen Risikomanagement für Lieferanten kann KI ebenfalls unterstützen. Lyons von Cribl nutzt die Technologie etwa, um Prozesse zu verbessern.

Cribl muss jährlich viele Fragebögen mit Tausenden von Fragen bearbeiten. Also hat das Team um den CISO KI Zugriff auf ihre eigene Wissensdatenbank gegeben, um sie auszufüllen. Sie erzielt laut Lyons eine recht hohe Genauigkeit bei den Antworten. Sie haben eine Feedbackschleife eingerichtet, um sicherzustellen, dass die Antworten korrekt und aktuell sind.

Lyons ist überzeugt, dass der Bot das Team um das Äquivalent von ein oder zwei Personen erweitert hat. So können sich die Mitarbeitenden nun leichter auf eine höhere Qualität der Dokumentation und des Wissensmanagements konzentrieren.

Lesetipp: So verwundbar sind KI-Agenten

Tier-1-Untersuchungen im SOC

Lyons und sein Team loten auch die Möglichkeiten von KI bei Tier-1-SOC-Untersuchungen aus. Dort erproben sie eine Kombination aus KI-SOC-Tools und intern entwickelten Funktionen.

Normalerweise muss das Analystenteam hochtechnische Informationen wie IP-Adressen und Hash-Werte in eine Sprache übersetzen, die eher der „technischen Sprache der Menschen” ähnelt. KI hilft bei der zugrunde liegenden Korrelation von Ereignissen wie Anmeldeversuchen, VPN-Nutzung, Standort, IP-Adresse und User-Agent und stellt diese Informationen in einfacher, natürlicher Sprache dar. (jd)