Vortragsbeteiligung an der Online-Veranstaltung „Innovation und Absicherung“ von der Hochschule Hannover

Am 01. März fand die Online-Veranstaltung „Innovation und Absicherung: die Rolle von KI und Regulierung in der Cyber-Security“ von der Hochschule Hannover statt. Experten gaben hier Auskunft wie KI-basierte Lösungen Unternehmen vor Cyberangriffen schützen können und was die aktuelle Entwicklung in der Regulierung für sie bedeutet. Die DECOIT® war ebenfalls eingeladen und berichtete über KI-basierte Angriffserkennung. Die Veranstaltung war mit ca. 70 Teilnehmern gut besucht und wurde von Dr. Axel Ebers ausgerichtet

Eingeführt wurde die Veranstaltung von Prof. Dr. Karl-Heinz Niemann von der Hochschule Hannover, der alle Teilnehmer und Referenten begrüßte und betonte, dass Regularien immer wichtiger und strenger geahndet werden, als in der Vergangenheit. Der Begriff „Künstliche Intelligenz“ taucht in unserem Alltag immer häufiger auf bzw. ist allgegenwärtig, weshalb die Veranstaltung sich diesem Thema angenommen hat.

Den Vortragsanfang machte Markus Böger vom Niedersächsischen Ministerium für Inneres und Sport. Nach seiner Erfahrung legt derzeit der Verfassungsschutz seinen Schwerpunkt auf den Schutz von KRITIS-Unternehmen. Der Gesetzesgeber hat vor Jahren bereits erkannt, dass in diesem Bereich nachgebessert werden muss. Allerdings sind noch viele Vorgaben noch zu schwammig verfasst. Cyberattacken bedrohen heute die geschäftliche Existenz und werden immer bedrohlicher. Die Bundesrepublik Deutschland muss hingegen sicherstellen, dass die Versorgungssicherheit gewährleistet werden kann. Die Regularien starteten im Jahr 2008 mit der CER-Richtlinie über die Resilienz kritischer Einrichtungen. Im Jahr 2018 kam die NIS-Richtlinie zur Netzwerk- und Informationssicherheit dazu. Seit 2015 ist zudem das IT-Sicherheitsgesetz (IT-SiG) bindend. Kritische Unternehmen (wie z.B. Energieversorger) haben nun eine Meldepflicht von IT-Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die NIS-Richtlinie gibt dem BSI dabei die Aufsichts- und Durchsetzungsbefugnis. Die CER-Richtlinie wird gerade erneuert und wird zukünftig die Regulierung der physischen Resilienz von KRITIS beinhalten, basierend auf einer Risikoanalyse. Als Frist wird der 17. Juni 2026 genannt. In Deutschland wird die CER-Richtlinie durch das KRITIS-Dachgesetz umgesetzt. Diese soll bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden und enthält dann klare Richtlinien für die Mindestvorgabe für Resilienz-Maßnahmen sowie verpflichtende Schutzstandards für die physische Sicherheit. Bußgelder bei Nichteinhaltung sind vorgesehen, wenn auch die Vorschriften erst in 2027 erwartet werden können. NIS2 enthält hingegen die signifikante Erweiterung von Mindestanforderungen von Cybersicherheitsmaßnahmen und Meldepflichten. Es wird eine sog. „Size-Cap“-Regel eingeführt. Das heißt, NIS2 betrifft dann mittlere Unternehmen von 50-250 Mitarbeitern und/oder einem Jahresumsatz von 10-50 Mio. Euro. Bisher waren durch das IT-SiG ca. 4.500 Unternehmen betroffen. Durch NIS2 werden dann ca. 30.000 Unternehmen neue Absicherungspflichten erfüllen müssen. Eine große Herausforderung für alle Beteiligten.

Über die sichere Entwicklung als Erfolgsfaktor zur Cyber-Resilience-Act-Konformität berichtete im Anschluss Boris Waldeck von der Phoenix Contact Electronics GmbH. Seine Firma setzt auf Security-by-Design, d.h. alle relevanten Sicherheitsanforderungen werden bereits bei der Entwicklung berücksichtigt und nicht nachträglich einem Produkt hinzugefügt. Der Lebensproduktzyklus wird sichergestellt bzw. abgesichert. Dadurch lassen sich auch Zertifizierungen wesentlich leichter erreichen. Sieben Produkte hat Phoenix Contact Electronics bereits nach IEC 62443 zertifizieren lassen. Man ist davon überzeugt, dass ohne einen sicheren Entwicklungsprozess kein sicheres Produkt entwickelt werden kann. Die vorgegebenen Sicherheitsmerkmale werden auditiert und immer wieder in Frage gestellt. Aus eigener Sicht befindet man sich daher auf einem guten Weg, was die Entwicklung sicherer Produkte angeht.

KI -und IT-Sicherheit wurde im Vortrag von Matthias Börsig gegenübergestellt. Die Fragestellung dabei war, ob KI-Systeme durch Cyberangriffe gefährdet werden können. KI-Tools wie ChatGPT können nicht nur menschenähnliche Kommunikation führen, sondern auch Quellcode programmieren. Dementsprechend lässt sich darüber auch Angriffscode schreiben. Der Einsatz von KI führt dementsprechend zu neuen Verwundbarkeiten: Verfahren zum Machine-Learning (ML) können manipuliert werden sowie Data-Poisoning-, Evasion- und Model-Extraction-Attacken können ausgeführt werden. Als Beispiel wurde der Chatbot Tay von Microsoft angeführt, der so manipuliert wurde, dass er rechtsextremes Gedankengut von sich gab. Auch ein Chatbot des Paketdienstleisters DPD wurde manipuliert und aufgrund neuer Datenlage zu Flüchen und Schlechtreden der eigenen Firma überredet. Neue Technologien wie KI bieten daher Chancen, aber schaffen auch neue Risiken, denen man sich bewusst sein sollte.

Die IT-Sicherheitsanforderungen, die durch europäische Produktregulierung auf die Industrie zukommt, behandelte danach Franziska Wirths vom ZVEI e.V. Sie gab einen Überblick über die etwas unüberschaubaren Regulierungen. Demnach wird der Cyber Resilience Act (CRA) noch in diesem Jahr veröffentlicht. Gleiches gilt für den Artifizielle Intelligenz (AI) Act. Die Produkthaftungsrichtlinie ist hingegen noch ausstehend und wird wahrscheinlich nicht mehr dieses Jahr kommen. Der CRA muss nach 36 Monaten angewendet werden. Das heißt, die relevanten Unternehmen benötigen eine Risikobewertung für Cybersicherheit und müssen die Ergebnisse in den Produktionsphasen berücksichtigen. Der Umgang mit erkannten Schwachstellen wird relevanter und die Erstellung einer technischen Dokumentation. Leider sind die Gesetzesvorgaben alles andere als übersichtlich.

Abschließend berichtete Prof. Dr. Kai-Oliver Detken über Möglichkeiten der KI-Angriffserkennung. Monitoring-Systeme, die die Verfügbarkeit überwachen, und Network Access Control (NAC) Systeme zum Zugangsschutz sind heute Stand der Technik und für die Angriffserkennung nicht mehr ausreichend. Gefordert werden eher Security-Monitoringsysteme wie Security Information and Event Management (SIEM) oder Endpoint Detection and Response (EDR). Ziel ist es langfristig ausgelegte Bedrohungen, sog. Advanced Persistent Threat (APT), zu erkennen, die über einen längeren Zeitraum hinweg unbemerkt in das Zielsystem kommen wollen, um Schwachstellen auszukundschaften. APTs sind schwer zu erkennen, da sie keinen unmittelbaren Alarm auslösen. Hierbei könnten KI-Systeme helfen. Hierzu gab es vom Referenten einen kleinen Exkurs, was KI eigentlich beinhaltet. Diese ist nämlich nur so gut, wie der Datensatz auf dem sie lernt es hergibt. Die genutzten KI-Algorithmen sind mitunter dieselben und basieren bei SIEM-Systemen meist auf TensorFlow, einer Open-Source-Plattform für maschinelles Lernen und Deep-Learning von Google. Kann das Normalverhalten optimal trainiert werden, können KI-Algorithmen durchaus bei der Verhaltensanalyse, Bedrohungsdatenanalyse, Automatisierung von Reaktionen und vor allem beim Erkennen unbekannter Bedrohungen verwendet werden. Um die Genauigkeit der Anomalie-Erkennung noch zu Erhöhen lässt sich zusätzlich Cyber Threat Intelligence (CTI) einsetzen. CTI beinhaltet die kontinuierliche Sammlung von Informationen über potenzielle Cyberbedrohungen aus verschiedenen Quellen. CTI-Plattformen erstellen Bedrohungsmeldungen (sog. Threat-Feeds), die von SIEM-Systemen eingelesen werden können. Die CTI-Datenbank dient daher dazu, bereits bekannte Bedrohungsindikatoren von außen zu erhalten, um neue interne Angriffe besser identifizieren zu können. Insgesamt ließ sich feststellen, dass die Nutzung von KI in SIEM-Systemen stark von der Qualität der Datenbasis abhängt und weniger von den verwendeten KI-Algorithmen. KI-Verfahren können dabei zwar helfen die Datenmassen zu beherrschen, aber am Ende muss ein Sicherheitsexperte noch einmal über den Vorfall gehen, um sicherstellen zu können, dass es sich nicht um eine Falschmeldung handelt.

Insgesamt war die Veranstaltung gut besucht und hat reges Interesse hervorgerufen. Die Teilnehmer blieben trotz zwischenzeitlicher Pausen bei allen Vorträgen und es gelang ebenfalls kleinere Diskussionen zu entfachen. Den Vortrag der DECOIT® finden sie wie immer in unserem Download-Bereich unter Konferenzbeiträge. Wenn Sie Fragen zum Thema Anomalie-Erkennung, SIEM oder Unternehmensabsicherung haben sollten, können wir ihnen gerne weiterhelfen.

Zurück