Vernetzen Sie sich mit uns

Mark Nicholson, US-Leiter für Cybermodernisierung bei Deloitte – Interviewreihe: Ein Rückgespräch

Interviews

Mark Nicholson, US-Leiter für Cybermodernisierung bei Deloitte – Interviewreihe: Ein Rückgespräch

mm
Veröffentlicht

Markus Nicholson[Name], Leiter der Abteilung Cybermodernisierung bei Deloitte in den USA, ist Principal bei Deloitte und verfügt über mehr als 20 Jahre Erfahrung an der Schnittstelle von Cybersicherheit, künstlicher Intelligenz und Unternehmensrisikomanagement. Er leitet Initiativen im Bereich Cyber-KI und verantwortet die Geschäftsstrategie der Cyber-Sparte von Deloitte. Dabei unterstützt er große Unternehmen bei der Modernisierung ihrer Sicherheitsinfrastruktur und der Anpassung ihrer Cyber-Investitionen an die sich wandelnde Risikolandschaft. Vor seiner Zeit bei Deloitte war er Mitgründer und COO von Vigilant, Inc., einem Beratungsunternehmen für Informationssicherheit mit Schwerpunkt auf Bedrohungsanalyse und Überwachung schädlicher Ereignisse. Seine früheren Positionen im Vertrieb und in der Geschäftsentwicklung verschiedener Technologieunternehmen legten ein solides Fundament sowohl für die technischen als auch für die kommerziellen Aspekte der Cybersicherheit.

Deloitte ist eines der weltweit größten Beratungsunternehmen und bietet Wirtschaftsprüfung, Unternehmensberatung, Steuerberatung und Beratungsleistungen für Organisationen nahezu aller Branchen an. Der Schwerpunkt des Unternehmens im Bereich Cybersicherheit liegt darauf, Unternehmen bei der Bewältigung zunehmend komplexer Bedrohungslagen zu unterstützen und gleichzeitig die digitale Transformation durch Technologien wie künstliche Intelligenz zu ermöglichen. Das Unternehmen bietet Dienstleistungen in den Bereichen Cyberstrategie, Resilienz, Risikomanagement und Unternehmenssicherheit an und positioniert Cybersicherheit sowohl als Schutzfunktion als auch als strategischen Motor für Innovation und Wachstum.

Dies folgt a vorheriges Interview das im Jahr 2025 veröffentlicht wurde.

Sie sind seit den Anfängen der modernen Bedrohungsüberwachung im Bereich Cybersicherheit tätig, unter anderem als Mitbegründer von Vigilant und als Mitwirkender an der Markteinführung früher SIEM-Systeme (Security Information and Event Management) und Threat-Intelligence-Lösungen. Wie hat die Entwicklung von diesen frühen Überwachungssystemen hin zu den heutigen KI-gestützten Cyberabwehrplattformen die Art und Weise verändert, wie Unternehmen Bedrohungen erkennen und darauf reagieren?

Als wir in den Anfängen von SIEM mit dem Aufbau von Überwachungsplattformen begannen, bestand die größte Herausforderung darin, die Daten an einem Ort zu sammeln und auszuwerten. Ich erinnere mich noch gut daran, wie Analysten jeden Morgen Firewall-Protokolle ausdruckten und manuell überprüften, um Anomalien zu finden. Selbst mit zunehmender Reife von SIEM gab es ein Skalierungsproblem. Die menschliche Geschwindigkeit reichte nicht aus, um die enorme Anzahl erkannter Ereignisse zu bewältigen. Trotz des Einsatzes von Automatisierung hatten Cyberverteidiger weiterhin Probleme mit der Datenkorrelation und -analyse und mussten ständig neue Regeln entwerfen, oft als Reaktion auf Überwachungsfehler.

Eine der Hoffnungen besteht darin, dass KI diese Dynamik grundlegend verändern wird. Neben dem Einsatz agentenbasierter Funktionen zur Automatisierung von Sicherheitsmaßnahmen der Stufe 1 verspricht KI, die Erkennung und Reaktion von einem reaktiven „im Nachhinein“ hin zu einem deutlich proaktiveren „in Echtzeit“ zu verlagern, indem sie die Überwachungsalgorithmen dynamisch anpasst. In manchen Fällen werden sich Cybersicherheitsorganisationen auch daran gewöhnen, KI-gesteuerte Gegenmaßnahmen einleiten zu lassen.

Doch die größte Herausforderung bleibt bestehen, sie verlagert sich nur. Mit zunehmender Autonomie und Komplexität der Systeme werden Vertrauen und Nachvollziehbarkeit zum Schlachtfeld: Was tut das System, warum tut es das, und wie können wir sicher sein, dass es nicht manipuliert wurde? Die Möglichkeiten der KI sind enorm, doch die Risiken steigen, wenn die Umgebung in Maschinengeschwindigkeit agiert.

Sie haben darauf hingewiesen, dass KI es Angreifern ermöglicht, Aufklärung zu automatisieren, Exploits zu generieren und Angriffszyklen zu beschleunigen. Wie stark hat KI in der Praxis die Zeitspanne zwischen der Entdeckung von Schwachstellen und deren Ausnutzung verkürzt?

Früher gab es oft ein Zeitfenster zwischen der Entdeckung einer Sicherheitslücke und ihrer Ausnutzung. Zwar war die Lage dringlich, aber in der Regel – außer bei Zero-Day-Exploits – blieb genügend Zeit, die Bedrohung zu verstehen, die Sicherheitslücke zu schließen und die Schwachstelle abzumildern, bevor ein Angreifer Exploits in großem Umfang einsetzen konnte. Künstliche Intelligenz hat dieses Zeitfenster nahezu vollständig geschlossen.

Angreifer können die Aufklärung automatisieren, kontinuierlich nach Sicherheitslücken suchen und KI-gestützte Tools einsetzen, um Teile der Exploit-Entwicklung und des Targetings zu beschleunigen. Was früher Wochen dauerte, lässt sich nun oft in Stunden abwickeln, und in hochautomatisierten Szenarien kann es sogar schneller gehen, als die meisten Sicherheitsprogramme bewältigen können.

Die wichtigste Erkenntnis ist einfach: Sicherheitsteams benötigen Automatisierung und KI auf der Verteidigungsseite, gepaart mit starken Kontrollmechanismen, wenn sie mithalten wollen.

Sicherheitsteams wechseln zunehmend von „Human-in-the-Loop“- zu „Human-on-the-Loop“-Überwachungsmodellen. Wie sieht dieser Wandel in der Praxis innerhalb eines modernen Security Operations Center (SOC) aus, und wie sollten Unternehmen die Rolle von Analysten überdenken, wenn KI immer mehr autonome Aufgaben übernimmt?

In einem traditionellen Security Operations Center (SOC) stehen Analysten im Zentrum jeder Entscheidung. Alarme gehen ein, Analysten priorisieren sie, untersuchen sie und legen die erforderlichen Maßnahmen fest. Dieser Ansatz funktionierte, solange das Alarmaufkommen und die Angriffsgeschwindigkeit überschaubar waren. Doch im heutigen Umfeld ist das Ausmaß der Aktivitäten schlichtweg zu groß, als dass Menschen jede Entscheidung allein treffen könnten.

Die Umstellung auf die Einbindung des Menschen in den Analyseprozess bedeutet, dass KI-Systeme viele Routineaufgaben übernehmen können, die zuvor von Analysten erledigt wurden, wie beispielsweise die Priorisierung von Warnmeldungen, die Kontextanalyse, die Datenkorrelation und die Durchführung bestimmter Korrekturmaßnahmen. Die Rolle des Menschen beschränkt sich somit auf die Überwachung und Validierung anstatt auf die manuelle Ausführung.

Operativ bedeutet dies, dass Analysten weniger Zeit mit der Bearbeitung von Alarmmeldungen verbringen und sich höherwertigen Aufgaben wie der Bedrohungsanalyse, der Entwicklung von Erkennungssystemen, der Simulation von Angreiferangriffen und der Verbesserung der Verteidigungsarchitektur widmen können. Der Mensch bleibt unverzichtbar, seine Rolle wandelt sich jedoch hin zu Aufsicht, Beurteilung und Strategieentwicklung, anstatt primär Sicherheitsdaten zu verarbeiten.

Wir hören viel über „Sichere KI von Anfang an“. Warum muss dieses Konzept Ihrer Meinung nach über die Modellsicherheit hinaus auf Identitätssysteme, Berechtigungsarchitektur und Orchestrierungsschichten ausgeweitet werden?

Viele Diskussionen über sichere KI konzentrieren sich stark auf das Modell selbst, etwa auf den Schutz von Trainingsdaten, die Verhinderung von Modellmanipulationen oder die Abwehr von Prompt-Injection-Angriffen. Das sind zwar wichtige Themen, aber sie stellen nur einen Teil des Risikos dar.

In der Praxis agieren KI-Systeme als Teil wesentlich größerer digitaler Ökosysteme. Sie greifen auf Daten zu, interagieren mit APIs, lösen Arbeitsabläufe aus und arbeiten zunehmend über Agenten, die mit einem gewissen Grad an Autonomie agieren können.

In solchen Fällen werden Identität und Berechtigungen zur zentralen Steuerungsebene. KI-Agenten stellen faktisch neue digitale Identitäten innerhalb des Unternehmens dar. Werden diese Identitäten nicht ordnungsgemäß verwaltet, können sie erhebliche Risiken bergen.

Sichere KI von Grund auf muss daher auch Identitätsmanagement, Zugriffskontrollen, Orchestrierungsebenen und Überwachungssysteme umfassen, die die Aktivitäten dieser Agenten nachverfolgen. Unternehmen müssen KI-Agenten ähnlich wie menschliche Benutzer behandeln – mit definierten Berechtigungen, Auditierung und Aufsicht –, da sich die Angriffsfläche sonst rasant vergrößert.

Viele Unternehmen integrieren KI-Tools in ihre bestehenden Sicherheitsprozesse, die auf menschliche Arbeitsgeschwindigkeit ausgelegt sind. Welche architektonischen Veränderungen müssen Organisationen vornehmen, um KI in der Cyberabwehr tatsächlich optimal zu nutzen?

Ein gängiges Vorgehen besteht darin, KI in bestehende Prozesse und Arbeitsabläufe zu integrieren, die ursprünglich für manuelle Eingriffe konzipiert wurden. Dies ist ein durchaus sinnvoller erster Ansatz, insbesondere da Computer Vision mittlerweile Realität geworden ist. Deloitte hat beispielsweise einen Agenten entwickelt, der so trainiert werden kann, dass er den Menschen im Identitätsmanagement und in der -verwaltung ersetzt, ohne dass bestehende, speziell entwickelte Softwarelösungen, deren Ablösung schwierig wäre, ersetzt werden müssen. Dadurch lassen sich erhebliche Kosteneinsparungen erzielen.

Der zukünftige Vorteil besteht jedoch darin, dass Unternehmen wahrscheinlich damit beginnen werden, Sicherheits-Workflows von Grund auf neu zu überdenken: Modernisierung der Datengrundlage, damit Sicherheitstools zuverlässig auf hochwertige, gut strukturierte Telemetriedaten zugreifen können; Aufbau einer Orchestrierung, damit Erkennungs-, Reaktions- und Identitätsfunktionen als koordiniertes System und nicht als voneinander getrennte Tools funktionieren.

Identität erweist sich als eines der wichtigsten Kontrollinstrumente. Mit zunehmender Automatisierung und dem Einsatz von KI-Systemen steigt die Zahl nicht-menschlicher Identitäten signifikant an. Der effektive Umgang mit diesen Identitäten ist daher unerlässlich, um die Kontrolle zu behalten.

KI-native Sicherheit ist letztendlich eine Mischung aus besseren Daten, besserer Orchestrierung und Governance, die sowohl menschliche als auch maschinelle Akteure berücksichtigt.

Mit zunehmender Autonomie von KI-Systemen erweitert sich die Angriffsfläche auf Bereiche wie Agentensteuerung, API-Ketten und automatisierte Entscheidungsprozesse. Welche dieser neuen Angriffsflächen bereitet Ihnen die größten Sorgen?

Wenn ich einen Bereich nennen müsste, der sofortige Aufmerksamkeit verdient, dann wären es die Identitäts- und Datenzugriffsberechtigungen in agentengesteuerten Systemen.

Mit dem zunehmenden Einsatz von KI-Agenten in Unternehmen entsteht eine wachsende Anzahl autonomer Akteure innerhalb des Unternehmens. Diese Agenten verfügen möglicherweise über Zugriff auf äußerst leistungsstarke Daten, APIs und Workflows. Werden Berechtigungen nicht sorgfältig definiert, überwacht und geprüft, stellen sie ein attraktives Einfallstor für Angreifer dar. Daher ist es wichtig, jeden Agenten wie einen neuen Mitarbeiter zu behandeln: Benennen Sie ihn, legen Sie seinen Verantwortungsbereich fest, überwachen Sie ihn und ermöglichen Sie bei Bedarf eine schnelle Trennung.

API-Ketten und automatisierte Entscheidungsprozesse bergen ebenfalls Risiken, doch die Identitätsverwaltung bildet oft die Grundlage für die Kontrolle. Wenn nicht klar geklärt werden kann, wer ein Agent ist, worauf er zugreifen kann und was er getan hat, ist er nicht wirklich unter Kontrolle.

Wie denken Führungskräfte und Aufsichtsräte aktuell über KI-bedingte Cyberrisiken aus Sicht der Vorstandsetage, und wo sehen Sie die größte Diskrepanz zwischen der technischen Realität und dem Verständnis auf Vorstandsebene?

Vorstände sind sich zunehmend bewusst, dass KI zwar enorme Chancen bietet, aber auch erhebliche Risiken birgt. Die meisten Aufsichtsräte verstehen, dass KI den Wandel von Unternehmen prägen wird, und stellen sich Fragen zu Governance, Sicherheit und Resilienz.

Die größte Lücke zeigt sich oft in der Geschwindigkeit und Komplexität. Viele Vorstandssitzungen greifen immer noch auf traditionelle Cybersicherheits-Frameworks zurück – die nach wie vor wichtig sind –, doch diese spiegeln nicht immer wider, wie schnell sich KI-gesteuerte Bedrohungen entwickeln und ausweiten können.

Die zweite Diskrepanz besteht darin, dass die Frage „Ist unsere KI sicher?“ zwar einfach klingt, die Antwort aber Datengovernance, Modellintegrität, Identitätsmanagement und die Orchestrierung über verschiedene Systeme hinweg umfasst. Die Aufsichtsräte, die diese Lücke schließen wollen, drängen auf kontrollbasierte Berichterstattung, die diese komplexen Prozesse transparent und überprüfbar macht, und investieren Zeit in die Weiterbildung ihrer Führungskräfte, damit die Aufsicht mit dem technologischen Fortschritt Schritt hält.

Künstliche Intelligenz (KI) wird zunehmend auf beiden Seiten des Schlachtfelds eingesetzt. Stehen wir vor einem permanenten Wettrüsten im Bereich der Cybersicherheit zwischen KI-Systemen? Und wenn ja, welche Vorteile haben die Verteidiger, die Angreifer nur schwer nachahmen können?

Wir befinden uns eindeutig in einer Ära, in der KI sowohl von Angreifern als auch von Verteidigern eingesetzt wird. Angreifer nutzen KI bereits, um die Aufklärung zu beschleunigen, Schwachstellen zu identifizieren und Teile des Angriffszyklus zu automatisieren. Doch auch Verteidiger haben nach wie vor deutliche Vorteile, wenn sie KI gezielt einsetzen.

Verteidiger haben Einblick in ihre eigene Umgebung, Zugriff auf interne Telemetriedaten und die Möglichkeit, mehrschichtige Architekturen aufzubauen, die Angreifer überwinden müssen. Künstliche Intelligenz kann Verteidigern helfen, enorme Datenmengen über Netzwerke, Endpunkte und Identitäten hinweg zu analysieren und ihnen so das Potenzial geben, anomales Verhalten deutlich früher zu erkennen.

Der Haken liegt in der Akzeptanz. Wenn Verteidiger an manuellen Arbeitsabläufen festhalten, während Angreifer automatisieren, wird die Asymmetrie gnadenlos. Das Wettrüsten ist real, und die Gewinner werden diejenigen sein, die KI mit starker Steuerung einsetzen, nicht diejenigen, die sie nur steuern.

Welche Fehler begehen Unternehmen Ihrer Erfahrung nach in Ihrer Beratungstätigkeit bei der Integration von KI in ihre Cybersicherheitsstrategie am häufigsten?

Einer der häufigsten Fehler, den wir beobachten, ist die Behandlung von KI als eigenständiges Werkzeug anstatt als architektonischen Wandel. Teams führen isolierte Experimente durch, ohne die Datengrundlage, das Governance-Modell oder die Betriebsprozesse zu aktualisieren, die für eine nachhaltige Wirkung notwendig sind, was zu einem Stillstand der Ergebnisse führt.

Ein weiterer Fehler besteht darin, KI-Funktionen einzusetzen, ohne die neuen Risiken vollständig zu berücksichtigen: neue Identitäten, neue Datenflüsse und automatisierte Entscheidungsprozesse vergrößern die Angriffsfläche. Werden diese ohne geeignete Kontrollmechanismen implementiert, kann KI die Anfälligkeit anstatt die Resilienz erhöhen.

Schließlich unterschätzen viele Organisationen die Bedeutung des Mitarbeiterengagements. Diejenigen, die täglich für den Sicherheitsbetrieb verantwortlich sind, wissen, wo die Probleme liegen und was ein optimales Ergebnis ausmacht. Die wirkungsvollsten Transformationen binden diese Teams frühzeitig ein, sodass die Technologie ihr Urteilsvermögen unterstützt, anstatt es zu beeinträchtigen.

Wie wird das KI-basierte Security Operations Center in drei bis fünf Jahren im Vergleich zu den heutigen SOC-Umgebungen aussehen?

Nun, es wird wahrscheinlich ganz anders aussehen, in vielerlei Hinsicht kann ich es nicht vorhersagen. Aller Wahrscheinlichkeit nach wird das SOC der Zukunft als hybrides System aus menschlichen und digitalen Mitarbeitern arbeiten. KI-Systeme werden einen Großteil der Datenverarbeitung, Korrelation und ersten Reaktion übernehmen. Agentensysteme werden dazu beitragen, Arbeitsabläufe in den Bereichen Schwachstellenmanagement, Identitätsmanagement, Reaktion auf Sicherheitsvorfälle und kontinuierliche Überwachung zu automatisieren.

Menschliche Analysten bleiben unerlässlich, aber der Schwerpunkt verlagert sich: Überwachung von KI-Systemen, Validierung von Erkennungsanwendungsfällen (anstatt sie zu schreiben), Untersuchung komplexer Bedrohungen und Verbesserung der Verteidigungsarchitektur.
Ziel ist es nicht, den Menschen zu ersetzen, sondern seine Rolle aufzuwerten. Anstatt Zeit mit der Priorisierung von Warnmeldungen und der manuellen Datenerfassung zu verbringen, werden sich Analysten auf die strategischen Aspekte der Cybersicherheit konzentrieren. Die Frage wird lauten: „Wie bilden wir die nächste Generation von Sicherheitsexperten aus, wenn die Sicherheitsstufen 1 und 2 vollständig automatisiert sind?“ Die Antwort liegt möglicherweise in den enormen Verbesserungen der Simulations- und Trainingstechnologie, die KI uns ermöglichen kann.

Die Organisationen, die erfolgreich eine erfolgreiche hybride Belegschaft aufbauen, welche menschliches Fachwissen mit KI-gesteuerter Automatisierung kombiniert, werden voraussichtlich am besten aufgestellt sein, um in der modernen Bedrohungslandschaft mit der erforderlichen Geschwindigkeit agieren zu können.

Vielen Dank für das tolle Interview, Leser, die mehr erfahren möchten, sollten vorbeischauen Deloitte oder lesen Sie unseren vorheriges Interview.

Verwandte Themen:
mm

Antoine ist ein visionärer Leiter und Gründungspartner von Unite.AI, angetrieben von einer unerschütterlichen Leidenschaft für die Gestaltung und Förderung der Zukunft von KI und Robotik. Als Serienunternehmer glaubt er, dass KI für die Gesellschaft ebenso umwälzend sein wird wie Elektrizität, und schwärmt oft vom Potenzial disruptiver Technologien und AGI.

Als Futuristwidmet er sich der Erforschung, wie diese Innovationen unsere Welt prägen werden. Darüber hinaus ist er der Gründer von Wertpapiere.io, eine Plattform, deren Schwerpunkt auf Investitionen in Spitzentechnologien liegt, die die Zukunft neu definieren und ganze Branchen umgestalten.