Thought Leadership
Für die Sicherheit von Unternehmensnetzwerken und Anwendungen ist KI nicht nur Fluch, sondern auch Segen.
Spezialisierte KI-Tools können Security-Teams dabei helfen, schneller Anomalien zu analysieren und zu bewerten, Angriffspfade zu simulieren und Code zu prüfen. Doch nur mit einer natürlichsprachlichen Schnittstelle bieten sie im Alltag breite Unterstützung.
Bei den Diskussionen rund um KI stehen häufig die Gefahren im Vordergrund: vom Verlust von Arbeitplätzen bis zu immer ausgefeilteren und heftigeren Attacken. Doch gleichzeitig kann sie auch für neue Jobs sorgen und vor KI-basierten Angriffen schützen. Dazu gibt es spezialisierte Tools, die genau auf die Bedürfnisse von IT- und Security-Teams zugeschnitten sind.
Zum Beispiel hat Cisco im April dieses Jahres ein Open-Source-Modell für die Cybersecurity entwickelt. Das Foundation-sec-8b genannte Large Language Model (LLM) umfasst acht Milliarden Parameter. Es kombiniert fundiertes Security-Fachwissen mit der Flexibilität und Kontrolle, die für eine sichere, praxisnahe Bereitstellung erforderlich sind. So können Teams KI-native Workflows über den gesamten Security-Lifecycle hinweg erstellen, optimieren und bereitstellen.
Intuitive Prompts notwendig
Bei Cybersecurity-Benchmarks hat das Modell deutlich besser abgeschnitten als allgemeine LLMs, die um ein Vielfaches größer sind – spezialisierte Modelle haben immer einen Vorteil gegenüber allgemeinen in ihrem Fachgebiet. Experten sind entsprechend von den Ergebnissen überzeugt, stellen aber immer wieder die gleiche Frage: „Kann ich damit wie bei ChatGPT arbeiten, also einfach nur eingeben und loslegen?“
Die Antwort: „Jetzt schon.“ Das fehlende Bindeglied ist in diesem Fall die Zusatzlösung Foundation-sec-8B-Instruct. Sie ergänzt das domänenorientierte Basismodell um eine Feinabstimmung der Anweisungen. Mit solchen Extra-Modulen können Security-Teams damit einen chat-nativen Copiloten nutzen, der den Sicherheitskontext versteht und Anweisungen in natürlicher Sprache sofort umsetzt.
Allein der IT-Fachkräftemangel zeigt, wie wichtig inzwischen natürlichsprachliche Schnittstellen sind, damit KI-Tools auch in der Breite Anwendung finden. Denn IT- und Security-Experten haben meist nicht die Zeit, sich mit Programmierung oder individuellen Eingaberegeln zu beschäftigen. Sie möchten möglichst intuitiv und in natürlicher Sprache Prompts erstellen, die automatisch alle Vorgaben in Bezug auf Sicherheit und Datenschutz erfüllen.
Wichtige Eigenschaften
Eine sicherheitszentrierte KI-Lösung sollte dabei folgende Eigenschaften aufweisen:
- Genaue Ausführung von Befehlen – Im Security-Kontext ist eine exakte Ausführung der Prompts unter Beachtung aller relevanten Compliance-Anforderungen entscheidend. Nur dann profitieren Security-Teams zuverlässig von KI-generierten Zusammenfassungen, Antworten auf Fragen, Analysen und Texten – ohne zusätzliche Feinabstimmung.
- Rollenbewusstsein – Die strikte Einhaltung von System-, User- und Assistenzrollen ermöglicht mehrstufige Chats, Retrieval-Augmented Generation und agentenartige Anwendungen.
- Geringer Speicherbedarf – Kompakte KI-Lösungen mit einem 4K-Token-Kontextfenster laufen auf einer einzigen High-Memory-GPU. Damit sind sie klein genug für On-Prem-, Air-Gapped- oder Edge-Bereitstellungen.
- Open Source – Offene oder standardisierte Schnittstellen bilden eine wichtige Voraussetzung für den breiten Einsatz in verschiedenen Infrastrukturen. Dies ist für die heutigen hybriden Multi-Clouds entscheidend.
- Hohe allgemeine Sprachleistung – Nur damit kann KI das Verhalten von Bedrohungen flüssig erklären, lange Analyseberichte unterstützen und in Chat-Workflows auf natürliche Weise reagieren. Dabei darf sie die Sicherheit niemals aus den Augen verlieren.
Konkrete Einsatzszenarien
Bereits heute kommt Foundation-sec-8B-Instruct in verschiedenen KI-Pilotprojekten bei Ciscos eigenem Unternehmensnetzwerke und der Cloud zum Einsatz. Zum Beispiel klassifizieren die Teams damit Warnmeldungen, ordnen Beobachtungen den MITRE-Taktiken zu, rekonstruieren Zeitachsen und erstellen Untersuchungsberichte. Dies reduziert Fehlalarme und beschleunigt die Triage, sodass sich Analysten auf echte Bedrohungen konzentrieren können.
Zur Absicherung von Anwendungen lassen sich damit Angriffspfade simulieren, Bedrohungsmodell-Diagramme erzeugen, Code anhand der OWASP-Richtlinien überprüfen und benutzerdefinierte Payloads erstellen. Damit verlagern sich die Aufgaben der Teams von reaktiven Korrekturen zu proaktivem Design. Denn die meisten Workflows benötigen nur einen gut vorbereiteten Prompt oder eine Abrufvorlage – ohne weitere Trainingsschleife.
Ein Blick in die Zukunft
Die Entwicklung von KI ist ein nie endender Prozess. Daher werden ständig der Kontext erweitert und die Struktur verschlankt. Mit breiteren Datenmodalitäten kann das Modell alle nötigen Artefakte verarbeiten – ohne zusätzliche Infrastruktur. Entsprechend werden Modelle der nächsten Generation in naher Zukunft bereits rund siebzig Milliarden Parameter umfassen – eine Erweiterung um den Faktor 10. Diese bieten weiter optimierte Schlussfolgerungen, noch einfachere Prompts und erweiterte Anwendungsmöglichkeiten. Das Ziel: „Einfache“ Cybersicherheitsaufgaben können dann immer mehr von allgemeinen IT-Mitarbeitern erledigt werden, sodass die Cyber-Experten sich den komplexen Analysen und Problemen widmen können. Gerade für den deutschen Mittelstand mit seiner chronischen Cybersecurity-Unterbesetzung kann diese Entwicklung nicht früh genug kommen.
