Connect with us

Mark Nicholson, Deloittes US-Cyber-Modernisierungsleiter – Interview-Serie: Eine Rückkehr-Konversation

Interviews

Mark Nicholson, Deloittes US-Cyber-Modernisierungsleiter – Interview-Serie: Eine Rückkehr-Konversation

mm
Published
Updated

Mark Nicholson, Deloittes US-Cyber-Modernisierungsleiter, ist ein Principal bei Deloitte mit mehr als zwei Jahrzehnten Erfahrung an der Schnittstelle zwischen Cybersicherheit, künstlicher Intelligenz und Unternehmensrisiko. Er leitet Cyber-AI-Initiativen und die kommerzielle Strategie für Deloittes Cyber-Praxis, hilft großen Organisationen dabei, ihre Sicherheitsframeworks zu modernisieren und ihre Cybinvestitionen an die sich entwickelnden Risikolandschaften anzupassen. Vor Deloitte war er Mitbegründer und COO von Vigilant, Inc., einem Informationssicherheitsberatungsunternehmen, das sich auf Bedrohungsintelligenz und Überwachung von bösartigen Ereignissen konzentrierte. Seine frühere Karriere in Vertriebs- und Geschäftsentwicklungsrollen bei mehreren Technologieunternehmen bot eine solide Grundlage in beiden technischen und kommerziellen Aspekten der Cybersicherheit.

Deloitte ist eines der größten professionellen Dienstleistungsunternehmen der Welt und bietet Audit-, Beratungs-, Steuer- und Advisory-Dienstleistungen für Organisationen in fast allen Branchen an. Seine Cybersicherheitspraxis konzentriert sich darauf, Unternehmen dabei zu helfen, komplexe Bedrohungslandschaften zu navigieren, während sie gleichzeitig die digitale Transformation durch Technologien wie künstliche Intelligenz ermöglichen. Das Unternehmen bietet Dienstleistungen in den Bereichen Cyberstrategie, Resilienz, Risikomanagement und Unternehmenssicherheit an, um die Cybersicherheit als sowohl schützende Funktion als auch strategischen Treiber von Innovation und Wachstum zu positionieren.

Dies folgt einem vorherigen Interview, das 2025 veröffentlicht wurde.

Sie waren seit den frühen Tagen der modernen Bedrohungsüberwachung in der Cybersicherheit involviert, einschließlich der Mitbegründung von Vigilant und der Einführung früher Security-Information- und Event-Management- (SIEM-) und Bedrohungsintelligenz-Fähigkeiten auf den Markt. Wie hat sich die Entwicklung von diesen frühen Überwachungssystemen zu den heutigen AI-getriebenen Cyber-Verteidigungsplattformen verändert, um die Art und Weise, wie Organisationen Bedrohungen erkennen und darauf reagieren?

Als wir zum ersten Mal Überwachungsplattformen in den frühen Tagen von SIEM aufbauten, bestand die Kernherausforderung darin, die Daten an einem Ort zu sammeln und sie zu verstehen. Ich erinnere mich, als Analysten jeden Morgen Firewall-Logs ausdruckten und sie manuell überprüften, um Anomalien zu finden. Selbst als SIEM ausgereift war, gab es ein Skalierungsproblem. Die Geschwindigkeit des Menschen war kein Match für die enorme Anzahl der erkannten Ereignisse. Trotz der Verwendung von Automation hatten Cyber-Verteidiger immer noch ein Datenkorrelations- und Analyseproblem, bei dem sie ständig neue Regeln erstellten, oft als Reaktion auf Überwachungsfehler.

Eine der Hoffnungen ist, dass AI diese Dynamik auf fundamentale Weise verändern wird. Durch die Bereitstellung von agentischen Fähigkeiten zur Automatisierung von Level-1-Sicherheitsoperationen verspricht AI, die Erkennung und Reaktion von Bedrohungen von “nach dem Ereignis” zu “während es passiert” zu verändern, indem dynamische Maschinenanpassung von Überwachungsalgorithmen genutzt wird. In einigen Fällen werden Cyber-Organisationen auch damit komfortabel, AI-Initiativen zur Auslösung von Korrekturmaßnahmen zu lassen.

Aber der harte Teil verschwindet nicht, er verlagert sich. Wenn Systeme autonomer und komplexer werden, werden Vertrauen und Beobachtbarkeit zu einem Schlachtfeld: Was tut das System, warum tut es das und wie wissen wir, dass es nicht manipuliert wurde? Die Chance mit AI ist enorm, aber sie erhöht auch die Einsätze, wenn die Umgebung mit Maschinengeschwindigkeit operiert.

Sie haben festgestellt, dass AI es Angreifern ermöglicht, Reconnaissance zu automatisieren, Exploits zu generieren und Angriffzyklen zu beschleunigen. In praktischen Begriffen, um wie viel hat AI den Zeitraum zwischen der Entdeckung von Schwachstellen und der Ausnutzung komprimiert?

Historisch gab es oft ein Zeitfenster zwischen der Entdeckung von Schwachstellen und der Ausnutzung. Es gab sicherlich Dringlichkeit, aber im Allgemeinen gab es Zeit, um die Bedrohung zu verstehen, Patches anzubringen und zu mildern, bevor ein Angreifer Exploits im großen Maßstab einsetzen konnte. AI hat dieses Zeitfenster fast eliminiert.

Angreifer können Reconnaissance automatisieren, ständig nach Exposition scannen und AI-aktivierte Werkzeuge verwenden, um Teile der Exploit-Entwicklung und -Zielerfassung zu beschleunigen. In vielen Fällen kann das, was früher über Wochen ablief, sich in Stunden komprimieren, und in hochautomatisierten Szenarien kann es schneller sein als die meisten Sicherheitsprogramme, die darauf ausgelegt sind, es zu bewältigen.

Die Quintessenz ist einfach: Sicherheitsteams benötigen Automation und AI auf der Verteidigungsseite, gepaart mit starken Kontrollen, wenn sie mitzuhalten wollen.

Sicherheitsteams gehen immer mehr von “Mensch-im-Loop” zu “Mensch-am-Loop”-Überwachungsmodellen über. Was sieht diese Verlagerung innerhalb eines modernen Sicherheitsoperationszentrums (SOC) aus, und wie sollten Organisationen die Rolle der Analysten neu denken, wenn AI mehr autonome Aufgaben übernimmt?

In einem traditionellen SOC sitzen Analysten im Zentrum jedes Entscheidungspunkts. Alarme werden ausgelöst, Analysten triagieren sie, untersuchen sie und bestimmen, welche Maßnahmen ergriffen werden sollen. Dieser Ansatz funktionierte, als das Volumen der Alarme und das Tempo der Angriffe handhabbar waren. Aber in der heutigen Umgebung ist das Maß der Aktivität einfach zu groß für Menschen, um als Gatekeeper für jede Entscheidung zu fungieren.

Die Verlagerung zu “Mensch-am-Loop” bedeutet, dass AI-Systeme viele der Routineaufgaben ausführen können, die Analysten zuvor bearbeitet haben, wie z.B. die Triage von Alarmen, die Erfassung von Kontext, die Korrelation von Daten und die Ausführung bestimmter Korrekturmaßnahmen. Die Rolle des Menschen wird zu einer der Aufsicht und Validierung anstelle der manuellen Ausführung.

Operativ verlagert sich die Zeit der Analysten von “Alarm-Grinding” zu höherwertiger Arbeit wie Bedrohungsjagd, Erkennungs-Engineering, Adversary-Simulation und Verbesserung der Verteidigungsarchitektur. Menschen bleiben unerlässlich, aber ihre Rolle entwickelt sich in Richtung Aufsicht, Urteil und Strategie anstelle der primären Verarbeitung von Sicherheitsdaten.

Wir hören viel über “Sichere AI durch Design”. Warum muss dieses Konzept über die Modellsicherheit hinausgehen und sich auf Identitätssysteme, Berechtigungsarchitektur und Orchestrierungsebenen erstrecken?

Viele Diskussionen über sichere AI konzentrieren sich stark auf das Modell selbst, wie z.B. den Schutz der Trainingsdaten, die Verhinderung von Modell-Vergiftung oder die Verteidigung gegen Prompt-Injektionsangriffe. Das sind reale Probleme, aber sie sind nur ein Teil des Risikos.

In der Praxis operieren AI-Systeme als Teil viel größerer digitaler Ökosysteme. Sie greifen auf Daten zu, interagieren mit APIs, lösen Workflows aus und operieren zunehmend durch Agenten, die mit einem bestimmten Grad an Autonomie handeln.

Wenn dies geschieht, werden Identität und Berechtigung zur Kontrollfläche. AI-Agents sind effektiv neue digitale Identitäten innerhalb des Unternehmens. Wenn diese Identitäten nicht ordnungsgemäß geregelt werden, können sie erhebliche Risiken einführen.

Sichere AI durch Design muss daher in die Identitätsverwaltung, Zugriffskontrollen, Orchestrierungsebenen und Überwachungssysteme ausgedehnt werden, die die Aktivitäten dieser Agenten verfolgen. Organisationen müssen AI-Agents behandeln, als ob sie menschliche Benutzer wären, mit definierten Berechtigungen, Auditing und Aufsicht, andernfalls erweitert sich die Angriffsfläche schnell.

Viele Unternehmen legen AI-Tools auf Legacy-Sicherheitsworkflows, die für menschliche Geschwindigkeit konzipiert wurden. Welche sind die größten architektonischen Änderungen, die Organisationen vornehmen müssen, um tatsächlich von AI in der Cyber-Verteidigung zu profitieren?

Ein häufiges Muster ist, AI auf Legacy-Prozesse und -Workflows zu montieren, die für menschliche Operationen konzipiert wurden. Es ist nicht schlecht, besonders, da Computer-Vision zur Realität geworden ist. Zum Beispiel hat Deloitte einen Agenten erstellt, der trainiert werden kann, um den Menschen in der Identitätsverwaltung und -administration zu ersetzen, ohne bestehende speziell entwickelte Softwarelösungen aufzugeben, die schwierig zu ersetzen wären. Dies kann dramatische Kosteneinsparungen bringen.

Der zukünftige Nutzen ist jedoch, dass Unternehmen wahrscheinlich beginnen werden, Sicherheitsworkflows von Anfang bis Ende neu zu denken: Modernisierung der Datenbasis, damit Sicherheitswerkzeuge zuverlässig auf hochwertige, gut strukturierte Telemetrie zugreifen können; Aufbau von Orchestrierung, damit Erkennung, Reaktion und Identitätsfunktionen als koordiniertes System und nicht als getrennte Werkzeuge operieren.

Identität bleibt eine der kritischsten Kontrollen. Wenn mehr Automation und AI-Agents eingeführt werden, wächst die Anzahl der nicht-menschlichen Identitäten erheblich. Die effektive Verwaltung dieser Identitäten wird unerlässlich, um die Kontrolle aufrechtzuerhalten.

AI-native Sicherheit ist letztendlich eine Mischung aus besserer Datenverwaltung, besserer Orchestrierung und Governance, die sowohl menschliche als auch maschinelle Akteure berücksichtigt.

Wenn AI-Systeme autonomer werden, erweitert sich die Angriffsfläche in Bereiche wie Agenten-Orchestrierung, API-Ketten und automatisierte Entscheidungspipelines. Welche dieser aufkommenden Flächen bereitet Ihnen die meisten Sorgen?

Wenn ich eine Bereich auswählen müsste, der sofortige Aufmerksamkeit verdient, dann ist es Identität und Datenzugriffsberechtigungen innerhalb von agentengetriebenen Systemen.

Wenn Organisationen mehr agentenbasierte AI einführen, schaffen sie eine wachsende Population autonomer Akteure innerhalb des Unternehmens. Diese Agenten können Zugriff auf Daten, APIs und Workflows haben, die sehr mächtig sind, und das macht sie zu einem attraktiven Pfad für einen Angreifer, wenn die Berechtigungen nicht sorgfältig entworfen, überwacht und auditiert werden. Es ist wichtig, jeden Agenten wie einen neuen Mitarbeiter zu behandeln: ihn zu benennen, seinen Umfang zu definieren, ihn zu überwachen und ihn schnell zu trennen, wenn nötig.

API-Ketten und automatisierte Entscheidungspipelines introduzieren auch Risiken, aber Identitätsverwaltung ist oft die grundlegende Kontrolle. Wenn Sie nicht klar sagen können, wer ein Agent ist, was er berühren kann und was er getan hat, kontrollieren Sie ihn nicht wirklich.

Aus der Sicht des Vorstandes: Wie denken Vorstände und Direktoren derzeit über AI-getriebene Cyberrisiken, und wo sehen Sie die größte Lücke zwischen technischer Realität und Vorstandsverständnis?

Vorstände sind zunehmend bewusst, dass AI zwar enorme Chancen bringt, aber auch bedeutende Risiken mit sich bringt. Die meisten Direktoren verstehen, dass AI die Geschäftstransformation prägen wird, und sie beginnen, Fragen zu Governance, Sicherheit und Resilienz zu stellen.

Die Lücke zeigt sich oft in Geschwindigkeit und Komplexität. Viele Vorstandsdiskussionen konzentrieren sich immer noch auf traditionelle Cyber-Rahmenwerke – die immer noch wichtig sind – aber sie spiegeln nicht immer wider, wie schnell AI-getriebene Bedrohungen sich entwickeln und skalieren können.

Die andere Diskrepanz ist, dass “Ist unsere AI sicher?” wie eine einzelne Frage klingt, aber die Antwort in Datenverwaltung, Modellintegrität, Identitätsmanagement und Orchestrierung über mehrere Systeme hinweg lebt. Die Vorstände, die die Lücke schließen, drängen auf kontrollbasierte Berichterstattung, die diese beweglichen Teile sichtbar macht und testbar macht, und investieren Zeit, um die Kenntnisse der Direktoren aufzubauen, damit die Aufsicht mit der Technologie Schritt hält.

AI wird zunehmend auf beiden Seiten des Schlachtfeldes eingesetzt. Betreten wir eine permanente AI-gegen-AI-Cybersicherheits-Rüstungsspirale, und wenn ja, welche Vorteile haben Verteidiger, die Angreifer möglicherweise nicht replizieren können?

Wir befinden uns offensichtlich in einer Ära, in der AI sowohl von Angreifern als auch von Verteidigern eingesetzt wird. Angreifer wenden AI an, um Reconnaissance zu beschleunigen, Schwachstellen zu identifizieren und Teile des Angriffszyklus zu automatisieren. Aber Verteidiger haben immer noch reale Vorteile, wenn sie diese nutzen.

Verteidiger haben Einblick in ihre eigene Umgebung, Zugriff auf interne Telemetrie und die Fähigkeit, geschichtete Architekturen zu bauen, die Angreifer durchqueren müssen. AI kann Verteidigern helfen, enorme Datenmengen über Netzwerke, Endpunkte und Identitäten hinweg zu analysieren, ihnen das Potenzial gebend, anomales Verhalten viel früher zu erkennen.

Der Haken ist die Adoption. Wenn Verteidiger in manuellen Workflows stecken bleiben, während Angreifer automatisieren, wird die Asymmetrie brutal. Der Wettlauf ist real, und die Gewinner werden diejenigen sein, die AI mit starker Governance einsetzen, nicht diejenigen, die sie nur testen.

In Ihrer Arbeit als Berater für große Unternehmen: Welche sind die häufigsten Fehler, die Organisationen machen, wenn sie versuchen, AI in ihre Cybersicherheitsstrategie zu integrieren?

Einer der häufigsten Fehler, die wir sehen, ist, AI als eigenständiges Werkzeug zu behandeln, anstatt als architektonische Veränderung. Teams führen isolierte Experimente durch, ohne die Datenbasis, die Governance-Modelle oder die Betriebsprozesse zu aktualisieren, die erforderlich sind, um den Einfluss aufrechtzuerhalten, was zu einem Plateau in den Ergebnissen führt.

Ein weiterer Fehler ist die Bereitstellung von AI-Fähigkeiten, ohne die neuen Risiken vollständig zu berücksichtigen: neue Identitäten, neue Datenflüsse und automatisierte Entscheidungspipelines, die die Angriffsfläche erweitern. Wenn diese ohne die richtigen Kontrollen bereitgestellt werden, kann AI anstelle von Resilienz Fragilität hinzufügen.

Schließlich unterschätzen viele Organisationen die Bedeutung der Einbindung der Belegschaft. Die Praktiker, die Sicherheitsoperationen jeden Tag durchführen, wissen, wo die Reibung ist und was “gut” aussieht. Die stärksten Transformationen bringen diese Teams von Anfang an mit, damit die Technologie ihre Urteilsfähigkeit verstärkt, anstatt sie zu stören.

Wenn wir in drei bis fünf Jahren vorausblicken, wie sieht das AI-native Sicherheitsoperationszentrum im Vergleich zu den heutigen SOC-Umgebungen aus?

Nun, es wird wahrscheinlich sehr anders aussehen, in vielen Aspekten, die ich nicht vorhersagen kann. Wahrscheinlich wird das SOC der Zukunft als hybride menschliche und digitale Arbeitskraft operieren. AI-Systeme werden viel der Datenverarbeitung, -korrelation und -reaktion übernehmen. Agentenbasierte Systeme werden helfen, Workflows in Bereichen wie Schwachstellenmanagement, Identitätsverwaltung, Reaktionsmanagement und kontinuierliche Kontrollüberwachung zu automatisieren.

Menschliche Analysten bleiben unerlässlich, aber der Schwerpunkt verlagert sich: AI-Systeme überwachen, Erkennungsanwendungsfälle validieren (anstatt sie zu schreiben), komplexe Bedrohungen untersuchen und die Verteidigungsarchitektur verbessern.
Das Ziel ist nicht, Menschen zu entfernen, sondern ihre Rollen zu erhöhen. Anstatt Zeit mit der Triage von Alarmen und der manuellen Zusammenstellung von Daten zu verbringen, werden Analysten sich auf die strategischen Aspekte der Cybersicherheit konzentrieren. Die Frage wird lauten: “Wie werden wir die nächste Generation von Sicherheitsfachleuten ausbilden, wenn Level 1 und Level 2 vollständig automatisiert sind?” Vielleicht liegt die Antwort in der dramatischen Verbesserung der Simulations- und TrainingsTechnologie, die AI uns helfen kann zu entwickeln.

Die Organisationen, die erfolgreich eine erfolgreiche hybride Arbeitskraft aufbauen, indem sie menschliche Expertise mit AI-getriebener Automation kombinieren, werden wahrscheinlich am besten positioniert sein, um in der modernen Bedrohungslandschaft zu operieren.

Vielen Dank für das großartige Interview. Leser, die mehr erfahren möchten, sollten Deloitte besuchen oder unser vorheriges Interview lesen.

mm

Antoine ist ein visionärer Führer und Gründungspartner von Unite.AI, getrieben von einer unerschütterlichen Leidenschaft für die Gestaltung und Förderung der Zukunft von KI und Robotik. Ein Serienunternehmer, glaubt er, dass KI so disruptiv für die Gesellschaft sein wird wie Elektrizität, und wird oft dabei ertappt, wie er über das Potenzial disruptiver Technologien und AGI schwärmt.

Als futurist ist er darauf fokussiert, zu erforschen, wie diese Innovationen unsere Welt formen werden. Zusätzlich ist er der Gründer von Securities.io, einer Plattform, die sich auf Investitionen in hochmoderne Technologien konzentriert, die die Zukunft neu definieren und ganze Branchen umgestalten.