Vernetzen Sie sich mit uns

Vordenker

Die Sicherheit von KI ist nicht defekt, wir verteidigen nur die falschen Dinge.

mm
Veröffentlicht

Die Cybersicherheitsbranche hat ein bekanntes Muster: Sobald eine neue Technologie aufkommt, beginnen wir sofort, sie abzuschotten. Das haben wir mit der Cloud getan, mit Containern und jetzt mit KI – nur dass wir diesmal die Abschottung an völlig falschen Stellen errichten.

Wenn Sie heute an einer Sicherheitsüberprüfung in einem Unternehmen teilnehmen, werden Sie immer wieder dieselben Prioritäten hören: die Absicherung von KI-Modellen. Schutz von TrainingsdatenValidierung von Ergebnissen und Einsatz KI-gestützter Copiloten. Anbieter überbieten sich mit dem Verkauf von „KI-Sicherheits“-Tools, die sich ausschließlich auf Kontrollen auf Modellebene konzentrieren, wie z. B. Schutzmechanismen, Abwehrmechanismen gegen unerwünschte Aktionen und Modellüberwachungsplattformen.

Angreifer nutzen Ihre KI-Integrationen jedoch als Einfallstor zu allem anderen.

Die eigentliche Angriffsfläche, die niemand beobachtet.

Ein Muster, das wir in Unternehmensumgebungen immer wieder beobachten, zeugt von Besorgnis: Sicherheitsteams investieren massiv in die Absicherung ihrer KI-Entwicklungsumgebungen – Zugriffskontrollen für Modelle, Frameworks für die Datenverwaltung und Sicherheitstools für MLOps. Dies vermittelt ein trügerisches Gefühl der Sicherheit, dass ihre KI „abgesichert“ sei.

Doch bei genauerer Betrachtung der tatsächlichen Angriffsfläche zeigt sich, dass KI-Chatbots häufig OAuth-Token für Dutzende von SaaS-Plattformen, API-Schlüssel mit weitreichenden Cloud-Berechtigungen und Identitätsvertrauensbeziehungen besitzen, die direkte Wege von einer einfachen Eingabeaufforderung bis zur Produktionsinfrastruktur ermöglichen. Die Modelle selbst mögen sicher sein, aber die Ökosysteme, in denen sie agieren, sind oft sehr offen – und das ist kein Einzelfall.

Unternehmen nutzen heute durchschnittlich über 130 SaaS-Anwendungen mit KI-Integrationen, die Identitätsanbieter, Cloud-Infrastruktur, Datenbanken und geschäftskritische Systeme umfassen. Jede Integration stellt ein potenzielles Angriffsziel dar, und jede API-Verbindung ist eine Vertrauensgrenze, die Angreifer aktiv ausloten.

Das Problem ist nicht, dass unsere KI-Sicherheitstools fehlerhaft sind. Es ist vielmehr, dass wir einzelne Komponenten sichern, während Angreifer die Verbindungen zwischen ihnen ausnutzen.

Warum modellzentrierte Sicherheit am Ziel vorbeigeht

Der aktuelle Ansatz zur KI-Sicherheit beruht auf einem grundlegenden Missverständnis der Funktionsweise moderner Angriffe. Wir behandeln KI als eigenständiges Gut, das Schutz benötigt, ähnlich wie wir eine Datenbank oder Webanwendung absichern würden. Doch KI im Produktiveinsatz existiert nicht isoliert. Sie ist ein Knotenpunkt in einem komplexen Netzwerk aus Identitäten, Berechtigungen, APIs und Datenflüssen.

Betrachten wir eine typische KI-Implementierung in einem Unternehmen. Ein KI-Agent hat Zugriff auf Ihren Google Workspace. Er ist über APIs mit Salesforce verbunden, in Slack für Benachrichtigungen integriert, ruft Daten aus AWS S3-Buckets ab und authentifiziert sich über Okta oder Azure AD. Außerdem löst er Workflows in ServiceNow aus.

Traditionelle KI-Sicherheit konzentriert sich auf das Modell selbst: seine Sicherheitslage, die umgehende Validierung und die Ausgabesicherheit. Angreifer hingegen fokussieren sich auf die Integrationen: Was sie durch kompromittierte Dienstkonten erreichen können, wohin sie sich durch API-Manipulationen bewegen können und welche Vertrauensgrenzen sie durch ausgenutzte Integrationen überschreiten können.

Der Angriff beginnt und endet nicht mit dem KI-Modell. Das Modell ist lediglich der Einstiegspunkt.

Angriffspfade respektieren keine Produktgrenzen

Hier scheitern die meisten Organisationen. Sie haben Sicherheitstools implementiert, die jeweils nur einen einzelnen Bereich abdecken. Ein Tool überwacht Cloud-Berechtigungen, ein anderes verfolgt SaaS-Konfigurationen, ein drittes verwaltet Identitätsmanagement und ein viertes kümmert sich um das Schwachstellenmanagement.

Jedes Werkzeug zeigt Ihnen sein Puzzleteil. Keines zeigt Ihnen jedoch, wie die Teile zusammenpassen.

Laut GartnerUnternehmen nutzen heute durchschnittlich mehr als 45 Sicherheitstools. Trotz dieser massiven Investitionen gelingt es Angreifern jedoch immer wieder, Fehlkonfigurationen in diesen Bereichen zu verknüpfen, da kein einzelnes Tool den gesamten Angriffspfad aufdecken kann.

Ein Angreifer muss keine kritische Schwachstelle in Ihrem KI-Modell finden. Es genügt, eine Kette von Angriffen aufzudecken. Beispielsweise könnte es sich um eine falsch konfigurierte IAM-Rolle handeln, die Ihrem KI-Dienst zugeordnet ist und Berechtigungen für einen S3-Bucket besitzt. Dieser Bucket enthält wiederum Anmeldeinformationen für eine SaaS-Anwendung, die Administratorzugriff auf Ihre Produktionsumgebung hat.

Einzelne Fehlkonfigurationen mögen in Ihren Sicherheitstools als „mittel“ oder „niedrig“ eingestuft werden. Doch in Kombination stellen sie eine kritische Sicherheitslücke dar. Und diese bleibt völlig unbemerkt, wenn Sie die einzelnen Sicherheitsbereiche isoliert betrachten.

Das Gebot des Expositionsmanagements

Deshalb muss sich das Gespräch von „KI-Sicherheit“ hin zu einem kontinuierlichen Bedrohungsmanagement für KI-integrierte Umgebungen verlagern.

Es genügt nicht, sich nur zu fragen, ob unsere KI-Modelle sicher sind. Sicherheitsteams müssen verstehen, welche Daten ein Angreifer tatsächlich erreichen kann, wenn er ein KI-Dienstkonto kompromittiert. Sie benötigen Einblick in die Verkettung von Fehlkonfigurationen in Cloud-, SaaS- und Identitätssystemen. Sie müssen wissen, wie KI-Integrationen ihre Angriffsfläche in Echtzeit verändern. Und sie müssen Risiken anhand der tatsächlichen Angriffswahrscheinlichkeit priorisieren, nicht nur anhand von Schweregradbewertungen.

Die meisten Sicherheitsprogramme priorisieren Risiken immer noch isoliert und verwenden CVSS-Bewertungen und Compliance-Checklisten, die völlig außer Acht lassen, ob eine Schwachstelle in Ihrer spezifischen Umgebung tatsächlich ausnutzbar ist.

Diese Diskrepanz ist bei KI-Systemen noch deutlicher ausgeprägt, da sie sich ständig weiterentwickeln. Wöchentlich kommen neue Integrationen hinzu. Berechtigungen ändern sich. API-Verbindungen verschieben sich. Ihre Angriffsfläche vom letzten Monat ist nicht mehr Ihre heutige, Ihre Sicherheitsbewertung hingegen wahrscheinlich schon.

Wie angriffspfadbewusste Sicherheit tatsächlich aussieht

Die sichere Integration von KI in die Produktion erfordert einen grundlegend anderen Ansatz, der sich im Wesentlichen auf vier wichtige Umdenkweisen beschränkt.

Zunächst benötigen Sie eine einheitliche Transparenz über alle Sicherheitsbereiche hinweg. Hören Sie auf, jedes Sicherheitstool isoliert arbeiten zu lassen. Ihre Tools für Cloud-Sicherheit, Identitätsmanagement, SaaS-Management und Schwachstellenscans liefern allesamt Puzzleteile des Angriffspfads. Sie müssen Daten in Echtzeit austauschen, damit Sie erkennen können, wie Fehlkonfigurationen sich gegenseitig verstärken.

Zweitens: Setzen Sie auf kontinuierliche Angriffssimulation. Warten Sie nicht auf Penetrationstests oder Red-Team-Übungen, um Schwachstellen aufzudecken. Testen Sie fortlaufend, wie sich ein Angreifer in Ihrer Umgebung bewegen könnte, und konzentrieren Sie sich dabei auf die tatsächliche Ausnutzbarkeit, anstatt sich auf theoretische Schweregrade zu verlassen.

Drittens, priorisieren Sie kontextbezogen. Ein falsch konfigurierter S3-Bucket ist nicht allein deshalb kritisch, weil er öffentlich zugänglich ist. Kritisch wird er jedoch, wenn er öffentlich ist, Zugangsdaten enthält, diese Zugangsdaten privilegierten Zugriff gewähren und von einem im Internet exponierten System aus erreichbar sind. Der Kontext ist wichtiger als jede einzelne Bewertung.

Viertens: Setzen Sie auf präventive Maßnahmen. Bis Ihr SOC-Team eine Warnmeldung untersucht, ist bereits wertvolle Reaktionszeit verloren. Moderne Verteidigung erfordert die Fähigkeit, Sicherheitslücken zu schließen, bevor sie ausgenutzt werden können, nicht erst nach einem Vorfall.

Die Warnung, die wir nicht ignorieren können

Da KI in alle Ebenen der Unternehmenssysteme integriert wird, wächst die Angriffsfläche schneller, als Sicherheitsteams sie manuell analysieren können. Wir integrieren KI-Systeme zehnmal schneller, als wir sie absichern.

Wer KI isoliert betrachtet und das Modell schützt, ohne das Ökosystem zu berücksichtigen, in dem sie operiert, ist bereits im Nachteil. Angreifer denken nicht in einzelnen Werkzeugen, sondern in Pfaden. Sie nutzen nicht einzelne Schwachstellen aus, sondern verknüpfen Fehlkonfigurationen in der gesamten Umgebung.

Die Unternehmen, die KI erfolgreich absichern werden, sind nicht diejenigen mit den meisten KI-Sicherheitstools. Sie sind diejenigen, die verstehen, dass KI-Sicherheit untrennbar mit dem Management von Sicherheitslücken entlang ihrer gesamten Angriffsfläche verbunden ist.

Die Sicherheit von KI-Modellen ist eine Grundvoraussetzung. Entscheidend ist, zu verstehen, welche Möglichkeiten ein Angreifer hat, wenn er eine KI-Integration kompromittiert. Solange Sicherheitsteams diese Frage nicht kontinuierlich, in Echtzeit und über ihre gesamte Umgebung hinweg beantworten können, schützen sie die KI nicht ausreichend. Sie hoffen lediglich, dass ihre Schutzmaßnahmen ausreichend sind.

Verwandte Themen:
mm

Piyush Sharma, Mitbegründer und CEO von TuskiraPiyush verfügt über mehr als zwei Jahrzehnte Erfahrung im Bereich Cybersicherheit, untermauert durch einen Bachelor-Abschluss in Informatik und einen MBA. Als erfahrener Unternehmer mit zwei erfolgreichen Unternehmensverkäufen bekleidete er leitende Positionen im Produkt- und Unternehmensmanagement, unter anderem bei Symantec und Tenable. Er war außerdem CEO und Mitgründer von Accurics, das später von Tenable Inc. übernommen wurde. Piyush ist ein versierter Erfinder und hält ein Dutzend Patente im Bereich Cybersicherheit, die seine innovativen Beiträge zu diesem Gebiet belegen.