Schloss oder Schlüssel? Wie KI die Cyber-Sicherheit von Finanzdienstleistern revolutioniert
Schloss oder Schlüssel?
Wie KI die Cyber-Sicherheit von Finanzdienstleistern revolutioniert
Ob Prozesse automatisieren, große Datenmengen auswerten oder Inhalte für Kunden erstellen: Banken und Versicherer setzen immer mehr auf Künstliche Intelligenz (KI). Das Potenzial der Technologie haben längst auch Cyber-Kriminelle erkannt – und nutzen es für ihre Angriffe auf die Finanzbranche. KI kann jedoch auch ein Schutzschild sein.
Studien belegen, dass Finanzdienstleister in Deutschland eine Verschärfung der Bedrohungslage durch Cyber-Angriffe im Vergleich zu 2023 wahrnehmen – und KI erleichtert es Angreifern zusätzlich, die IT-Landschaft von Banken und Versicherungen zu infiltrieren. Ein Einfallstor stellen Chatbots dar, die auf sogenannte Penetrationstests spezialisiert sind. Penetrationstests sind simulierte Angriffe auf IT-Systeme, um Schwachstellen zu finden.
KI hilft auch Kriminellen
Ursprünglich zur Abwehr gedacht, werden sie von Kriminellen genutzt, um damit einen schadhaften Code für bekannte Sicherheitslücken in verbreiteten Programmen zu generieren. Mit diesem Code können Hacker dann in Computersysteme eindringen und sie manipulieren. Brauchten Angreifer früher sehr spezielles Wissen, um diese Sicherheitslücken für sich zu nutzen, macht es die KI ihnen heute deutlich einfacher. Ein weiteres Beispiel ist die gezielte Manipulation von KI-Trainingsdaten: In der Software-Entwicklung wird KI oft verwendet, um einzelne Programmcodes zu generieren.
Hacker können hier ansetzen und die Trainingsdaten der Entwickler-KI so manipulieren, dass sie in den Quellcode eine verborgene Hintertür für einen Angriff einfügt. Der Entwickler, der einen Code generieren lässt, baut so nichts ahnend eine Sicherheitslücke in das System ein. Wird der manipulierte Code in einer Cloud zur Verfügung gestellt, potenziert sich das Risiko. Dann ist nicht nur ein einzelnes System betroffen, sondern eine Vielzahl von IT-Umgebungen.
KI als Werkzeugkasten gegen Bedrohungen
KI kann allerdings auch ein vielseitiges Werkzeug im Wettlauf gegen Kriminelle sein. Abgesehen von der eingangs erwähnten Identifikation von Schwachstellen mittels KI-gestützter Penetrationstests unterstützt sie in SIEM-Tools bei der automatisierten Anomalie-Erkennung. SIEM steht für „Security Information and Event Management“. Es ermöglicht ein ganzheitliches Monitoring der IT-Sicherheit, indem es alle dafür relevanten Daten an einer zentralen Stelle sammelt und durch Analysen Muster und Trends erkennt, die auf gefährliche Aktivitäten schließen lassen.
KI-unterstützte SIEM-Systeme erzielen deutlich höhere Erkennungsraten als herkömmliche SIEM-Tools und bieten die Möglichkeit, modellbasierte Regeln zu erstellen. Dabei lernt das SIEM-Tool zum Beispiel, wann sich die Mitarbeiter einer Bank mit ihren Zugangsdaten in der Regel im Netzwerk anmelden. Loggt sich dann der Mitarbeiter einer Bank nicht wie für diesen bestimmten Mitarbeiter gewöhnlich zwischen 9 Uhr und 17 Uhr, sondern um 2 Uhr morgens im System ein, stellt dies eine auf den Nutzer bezogene Anomalie dar. Mit konventionellen SIEM-Tools lässt sich das nur schwer erkennen.
Ein weiteres Einsatzgebiet für KI ist die automatisierte Reaktion zur Unterstützung der Incident-Response-Prozesse. Zwar gab es bereits früher sogenannte Playbooks, welche zum Teil auch toolgestützt Maßnahmen einleiteten, wenn das System zum Beispiel durch einen Virus infiziert wurde. Aber KI kann hier zukünftig noch einen Schritt weitergehen, indem sie nicht nur ein manuell aufgesetztes Playbook abarbeitet, sondern auf Basis früherer Vorfälle ein eigenes Playbook erstellt und die Reaktionen so optimiert.
KI hilft zudem bei der Modellierung von Bedrohungen: Threat Modeling Chatbots sind ein Instrument, um während oder nach einer Software-Entwicklung zu analysieren, welche Bedrohungen auf die IT-Systeme einwirken können. Dazu werden Dokumentationen über bestehende Systeme wie beispielsweise Architekturdiagramme in spezielle Chatbots hochgeladen.
Anschließend erhält der Chatbot den Auftrag, die Dokumente zu analysieren und auf dieser Basis ein Bedrohungsmodell zu erstellen. Beides sind sehr zeitaufwändige Arbeitsschritte, für die eine Person sehr lange brauchen würde – die KI erledigt die Aufgabe in einem Bruchteil der Zeit. Das Ergebnis kann dann zum Beispiel dazu verwendet werden, um ein neues Detektionsszenario (Use Case) für das KI-gestützte SIEM-Tool zu entwickeln.
Eine Frage des Wie, nicht des Ob
Während Banken und Versicherer in vielen Unternehmensbereichen den KI-Einsatz bereits stark vorantreiben, sollten sie ihm in der Cyber Security mehr Beachtung schenken – in zweierlei Hinsicht. Zum einen sollten Finanzdienstleister trotz der Begeisterung und des mutigen Ausprobierens im Arbeitsalltag die zuvor erwähnten Risiken durch KI im Blick behalten. Wie jede neue Technologie muss auch KI zwingend in die eigenen Cyber-Sicherheitsprozesse eingebunden werden.
Dafür braucht es unter anderem einen sogenannten Secure Software Development Lifecycle: Bei diesem Ansatz werden Sicherheitsmaßnahmen über alle Phasen des Entwicklungsprozesses – von der Konzeption über Design, Implementierung, Testen bis hin zur Bereitstellung und Wartung – systematisch umgesetzt. Zum anderen sollte die Finanzbranche KI gezielt in der Cyber Security einsetzen, um so die Resilienz der eigenen IT-Umgebung zu erhöhen. Es erscheint zunächst naheliegend, auf die KI-Funktionalitäten der auf dem Markt verfügbaren Anwendungen wie etwa eines SIEM-Tools zu setzen. Allerdings schöpfen Unternehmen dann das volle Potenzial nicht aus.
Wer die Cyber Security wirklich auf ein neues Level heben will, sollte bewusst den Status quo hinterfragen: In welchen Bereichen besteht der größte Handlungsbedarf? Wo und wie kann KI die IT-Sicherheit verbessern? Was lässt sich automatisieren?
KI-Einführung: Von der Regulatorik zur Technik
Finanzdienstleister, die planen mit KI ihre Cyber-Sicherheit neu aufzusetzen, sollten sich zuerst mit den regulatorischen Anforderungen auseinandersetzen. Beispielhaft zu nennen sind hier etwa der Digital Operational Resilience Act (DORA) und der Artificial Intelligence Act. Vor diesem Hintergrund sollten die Institute dann eine eigene Secure-AI-Handling-Richtlinie erstellen, die den regulatorischen Rahmen für den KI-Einsatz im Unternehmen definiert.
Anschließend sind die internen Prozesse auf den Prüfstand zu stellen. Ein Beispiel dafür ist der zuvor erwähnte Secure Software Development Lifecycle: Will das Unternehmen künftig selbst KI-Anwendungen schreiben, so ist dieser zwingend anzupassen. In einem weiteren Schritt gilt es dann, die Technik in den Fokus zu nehmen: Welche Tools sind vom KI-Einsatz betroffen? Gibt es bestehende Anwendungen, die zu optimieren sind? Müssen sie spezifische Logs, also Protokolldateien, erzeugen und wenn ja, welche? Sind neue Use Cases im SIEM-Tool zu erstellen? Nur wer Antworten auf diese Fragen findet, dem wird KI als wirksamer Schild und nicht als neues Einfallstor für Risiken dienen.
Künstliche Intelligenz ist für die IT-Sicherheit Fluch und Segen zugleich. Cyber-Kriminelle haben ihr Potenzial erkannt und werden die Technologie künftig noch stärker für ihre Attacken nutzen. Wollen Banken und Versicherer ihnen etwas entgegensetzen und die Resilienz der eigenen IT-Landschaften stärken, sollten sie nun die neue Technologie systematisch in ihre Cyber-Sicherheitsstrategie einbinden.
Über die Autoren:
Christian Nern ist Partner und Head of Security bei KPMG im Bereich Financial Services in München. Vor seiner Tätigkeit bei KPMG hat der Diplom-Kaufmann 25 Jahre lang in exponierten Leadership-Positionen verschiedener Bereiche in der IT-Industrie gearbeitet.
Julian Krautwald ist Senior Manager bei KPMG im Bereich Financial Services und verfügt über langjährige Berufserfahrung in Beratungs- und Implementierungsprojekten rund um das Thema Informationssicherheit.
