Interview mit Trend Micro
www.sysbus.eu hat mit Udo Schneider, Governance, Risk & Compliance Lead Europe bei Trend Micro, gesprochen.
sysbus: „Welche Entwicklungen oder Trends sehen Sie im IT-Security-Markt?“
Udo Schneider: „Es gibt zwei große Trends im Markt. Das eine ist Künstliche Intelligenz, also KI, das andere ist Compliance im Zusammenhang mit NIS2, DORA und anderen regulatorischen Vorgaben, die noch kommen werden.
Ich glaube bei KI muss man zwischen „IT-Security für KI“ und „KI für IT-Security“ unterscheiden. Bei Letzterem ist KI in Cybersecurity-Lösungen integriert – früher hat man das Machine Learning genannt. Wenn Vorfälle forensisch auswertet werden, wird KI beispielsweise als Abfrage-Interface für komplexe Datenmengen eingesetzt. Da kommen auch Large Language Models (LLMs) zum Einsatz, die dabei helfen, im Dialog mit der Cybersecurity-Plattform Vorfälle aufzuklären oder weitere Erkenntnisse zu bekommen.
Zum zweiten Bereich, „IT-Security für KI“, gab es vor kurzem eine NVIDIA-Ankündigung. NVIDIA hat angekündigt, dass sie jetzt die Möglichkeit bieten, auf deren Clustern, also lokalen Rechenzentren, selbst KI-Modelle zu betreiben und auch selbst KI-Modelle zu trainieren. Da stellt sich natürlich die Frage, wie ich das Training und den Betrieb von eigenen KI-Modellen absichere. Und letztendlich ist es auch eine Kostenfrage: Kann ich mir das überhaupt leisten? Das ist ein Aspekt, der in diesem Hype etwas untergeht.
Wenn wir über das Training von KI-Modellen sprechen, reden wir nicht über zwei oder drei PCs mit Grafikkarten, sondern über Rack-weise spezialisierte Hardware, die gekauft, betrieben und auch entsprechend gesourced werden muss. Eine weitere wichtige Frage ist, wie sichergestellt werden kann, dass beim Training der Modelle keine Manipulationenpassieren. Im schlimmsten Fall habe ich ein Modell, das aufgrund manipulierter Firmware, etwa eines kompromittierten BIOS, zu einem narzisstischen Modell wird – ein Modell das falsche Aussagen trifft. Aber letztendlich besteht auch die Möglichkeit, dass bei der Kompromittierung einer Plattform, auf der die Modelle trainiert werden, Ressourcen verschwendet werden.
Das zweite wichtige Thema ist immer noch Compliance. Im Nachgang von NIS2 und im Vorfeld von DORA, CRA und Co. herrscht immer noch die Meinung vor, dass wir nur NIS2 schaffen müssen und dann alles gut ist. Ich glaube, hier fehlt der Einblick in den Compliance-Fahrplan der EU. Denn da kommt noch eine ganze Menge mehr auf uns zu. Der AI Act und Compliance, das sind die beiden großen Buzz-Words. Denn es stellt sich die Frage, wie KI-Modelle und der Betrieb von KI-Modellen absichert werden kann.
Auch das Risikomanagement spielt in den Bereich Compliance hinein. Die Verantwortlichen müssen in der Lage sein, das Risiko einzuschätzen, welches durch ungepatchte Systeme, durch Sicherheitslücken oder bewusst geschaffene Kommunikations-Einstellungen entsteht. Sie müssen vergleichen können, wie das eigene Cyberrisiko im Vergleich zu anderen Firmen in der gleichen Branche ausfällt – so wird es bei DORA und NIS2 gefordert. Das Cyberrisiko muss für nicht-technisches Personal qualifizierbar und verständlich werden. Dafür gibt es Kennzahlen, die IT-Sicherheitsverantwortliche an die Geschäftsleitung kommunizieren können und die es wiederum ermöglichen, fundierte Entscheidungen zu treffen.“
Sysbus: „Wie stehen Sie Ihren Kunden dabei zur Seite?“
Udo Schneider: „Viele Lösungen sind nicht unbedingt technischer Natur. Insbesondere für den sicheren Betrieb von KI-Modellen gibt es bisher auf dem Markt keine ausgereiften Lösungen. Wir stehen in Gesprächen mit anderen Herstellern, um mögliche Ansätze zu entwickeln, aber eine schlüsselfertige Lösung ist aktuell noch nicht verfügbar.
Bei der Nutzung von KI-Systemen sieht es anders aus, wie man zum Beispiel bei Microsoft oder OpenAI sieht. Da werden klassische Web-Filter und Inhaltsanalysen angewendet. Beim Thema Compliance sind wir als Sicherheitshersteller dafür zuständig, Risiken zu quantifizieren und qualifizieren und somit Daten bereitzustellen, die es einem CISO erlauben, mit seiner Geschäftsführung auf Augenhöhe zu sprechen. Als Security-Hersteller neigen wir dazu, alles immer nur als technische Lösung zu sehen. Vieles betrifft jedoch Prozesse oderMitarbeiterschulungen. Um auf C-Level Entscheidungen treffen zu können, gehören auch dedizierte Geschäftsführungs-Trainings dazu. Viele Vorgaben aus NIS2 und DORA sind technisch umsetzbar, aber das Monitoring und die Bewertung ist ein Prozess. Da kann man als IT-Hersteller zuliefern, in dem man Kennwerte und Informationen gibt.
Meiner Meinung nach haben wir uns da in den letzten Jahren zu sehr auf die Technik konzentriert und haben demjenigen, der entscheiden muss, also der Geschäftsführung, nicht die richtigen Grundlagen an die Hand gegeben, um diese Entscheidungen zu treffen. Fragen, die an den CISO gestellt werden, sind zum Beispiel „Wie steht es um die Sicherheit im Unternehmen?“. Was soll er darauf antworten?
Auch für den Channel stellt das eine wichtige Herausforderung dar. Denn immer mehr kleinere Unternehmen, können diese Anforderungen nicht alleinelösen. Um unsere Partner in die Lage zu versetzen, Kunden jeder Größenordnung zu unterstützen, haben wir unser Angebot rund um das Thema Risikomanagement ausgebaut. In unserem überarbeiteten Partnerprogramm tragen wir dieser Entwicklung Rechnung und schaffen mehr Anreize für Managed Services Provider und Consulting-Partner.“
