Thought Leadership
Wie geht ein Cybersecurity-Unternehmen intern mit den Chancen und Risiken der künstlichen Intelligenz um? Während KI die Möglichkeiten in der Cybersicherheit erheblich erweitert, steigt gleichzeitig die Gefahr, Opfer von KI-gesteuerten Angriffen zu werden.
Check Point Software Technologies gibt gegenüber IT Security Einblicke in den Umgang mit dieser komplexen Herausforderung.
Wie KI bei Check Point integriert wird
Nataly Kremer ist Chief Product Officer und Head of R&D bei Check Point. Sie ist für den kompletten Produktlebenszyklus verantwortlich und entscheidet welche Produkte und Features entwickelt und wie sie gestaltet werden. Sie erläutert den Ansatz des Unternehmens: „Wir nutzen KI in unserem Backend-Intelligenzsystem, um zu entscheiden, welche potenziellen Bedrohungen bösartig sind und welche nicht, indem wir Tausende von Indikatoren analysieren und eine Entscheidung treffen. Das nennt sich bei uns ThreatCloud AI, das Gehirn all unserer Produkte.“
Als Teil der Infinity Core Services sammelt und analysiert ThreatCloud AI täglich Big Data-Telemetrie und Millionen von Kompromittierungsindikatoren, sogenannte Indicators of Compromise (IoCs). Die Bedrohungsdatenbank wird von 150.000 angeschlossenen Netzwerken und Millionen von Endgeräten sowie von Check Point Research und Dutzenden von externen Feeds gespeist. Über 50 Engines sind vollgepackt mit KI-basierten Funktionen und Fähigkeiten.
Die Infinity-Plattform wurde mit einigen neuen Funktionen ausgestattet. Dazu gehören „Policy Insights“ für KI-gestützte Richtliniendurchsetzung, „Policy Auditor“ für die Übereinstimmung mit Unternehmensrichtlinien, und „Infinity Identity“ für einheitliche Identitäten. Ein Cloud-Service verwaltet zentralisierte Identitäten, während „Infinity AIOps“ Gateway-Überwachung mit proaktiver Fehlervermeidung bietet.
Kremer führt weiter aus: „In den letzten zwei Jahren haben wir begonnen, mehr und mehr generative KI und agentenbasierte KI einzusetzen, die wir in jedes unserer Produkte einbetten, um die Produktivität unserer Admin-Benutzer zu verbessern. Denn sie müssen proaktiver sein und haben mehr Warnmeldungen und Angriffe zu bewältigen.“
Wenn Nataly Kremer über Produktentwicklungen redet, spricht sie immer wieder die Themen „Einfachheit“ und „Schlichtheit“ an. Das sei bei den Produkteinführungen von hoher Bedeutung. Sie sieht in KI einen Weg zu dieser Vereinfachung: „Ich denke, KI ist ein großartiger Weg, um Einfachheit zu erreichen. Es ist eine richtige Abkürzung.“
Die kritische Herausforderung bestehe darin, die Verlässlichkeit dieser KI-Systeme ohne Halluzinationen zu gewährleisten, was es von anderen Technologie-Entwicklungen unterscheidet. Das ist gerade bei einem so sensiblen Thema wie der Cybersecurity unabdingbar.
Ich denke, KI ist ein großartiger Weg, um Einfachheit zu erreichen. Es ist eine richtige Abkürzung.
Nataly Kremer, Check Point Software
Fokus auf Hybrid-Mesh-Network-Architektur
Ein wesentlicher Entwicklungsschwerpunkt liegt bei Check Point zudem auf der Hybrid-Mesh-Network-Architektur. Diese Technologie vereint verschiedene Netzwerktypen, um maximale Flexibilität und Leistungsfähigkeit zu erzielen. Diese Architektur wird für ein einheitliches Management über On-Premises, Cloud und SASE (Secure Access Service Edge) genutzt. Die integrierte GenAI Productivity ersetzt komplexe manuelle Verwaltungsaufgaben durch Natural Language und autonome KI-Systeme.
Schutz vor den dunklen Seiten der KI
Auf der anderen Seite arbeitet Check Point daran, Unternehmen vor den Risiken der eigens verwendeten KIs zu schützen. Kremer erklärt: „Wir haben ein Tool, das sicherstellt, dass man keine Anwendung benutzt, die man nicht unterstützen möchte. Es stoppt die Kommunikation sofort, was meiner Meinung nach wichtig ist, da es viele betrügerischen KI-Lösungen gibt. Sie sehen aus wie ChatGPT, sind es aber in Wirklichkeit nicht.
Sie sieht hier eine große Nachfrage: „Ich denke, das ist eine der häufigsten Anfragen von Kunden, die sich vor Gen AI schützen wollen. Ich glaube, CISOs haben das Gefühl, dass sie generative KI einführen müssen, da sie nicht als letzte Organisation ohne diese Technologie dastehen und die damit verbundenen Produktivitätssteigerungen verpassen wollen.“ Eine automatische Erkennungsfunktion ist notwendig, um präzise zu identifizieren, welche LLM-Modelle wie eingesetzt werden, damit angemessene Schutzmaßnahmen gegen die damit verbundenen vielfältigen Risiken implementiert werden können.
Die realen Gefahren KI-gestützter Cyberangriffe
Während Nataly Kremer und ihr Team die Schutzmaßnahmen und Produktentwicklungen bei Check Point voranbringen, sieht die Threat-Intelligence-Abteilung des Unternehmens bereits die konkreten Bedrohungen, gegen die diese Sicherheitsmechanismen entwickelt werden. Sergey Shykevich, Threat Intelligence Group Manager bei Check Point, bestätigt die Dringlichkeit der von Kremer beschriebenen Maßnahmen anhand realer Bedrohungsdaten.
„Wir sehen mehrere Bereiche, in denen Cyberkriminelle KI einsetzen, um ihre Operationen zu verbessern“, erklärt Shykevich. Besonders in der Identitätsfälschung sei KI bereits weit verbreitet.
Ein Beispiel: Während russischsprachige Bedrohungsakteure früher auf menschliche Übersetzer angewiesen waren, nutzen sie heute fortschrittliche KI-Übersetzungstools. „Dadurch wurden all diese Operationen viel effizienter und persönlicher“, so Shykevich.
Der Fall FuncSec: Wenn KI Ransomware schreibt
Ein besonders alarmierendes Beispiel entdeckte Check Point mit der Ransomware-Gruppe FuncSec. „Im Dezember war sie die Nummer eins unter den Top-Ransomware-Gruppen, gemessen an der Anzahl der Opfer, die sie auf ihrer Dark-Web-Seite veröffentlichten“, erläutert Shykevich.
Bei der Code-Analyse stellten die Experten ungewöhnliche Muster fest: Der Code wirkte ´zu sauber für einen Menschen`. Der Verdacht auf KI-generierte Malware bestätigte sich im direkten Kontakt mit dem Akteur. „Er betrachtete sich nicht als Programmierer“, berichtet Shykevich. „Als Entwickler muss er nur die richtigen Tools nutzen – entweder durch andere Personen, die mit der Entwicklung vertraut sind, oder eben generative KI.“
Das Beunruhigende: Trotz technisch einfacher Konzeption ist die Ransomware effektiv. „Sie verschlüsselt die Daten, stört Dienste auf Maschinen, sie funktioniert. Dabei sind die Cyberkriminellen dahinter technisch auf einem ziemlich niedrigen Niveau“, betont Shykevich. „Trotzdem konnten sie mithilfe generativer KI eine erfolgreiche, funktionsfähige Ransomware erstellen.“ Shykevich nennt diese technisch weniger versierten Hacker ´Script Kiddies`. Damit bezeichnet man in der Szene Personen, die nicht über die notwendigen Kenntnisse verfügt, um selbst Programme zu entwickeln, und daher vorgefertigte Skripte und Tools von anderen verwendet, um Computer- und Netzwerke zu hacken oder zu kompromittieren.
Es gibt leider noch keine perfekten Tools, um zu erkennen, ob ein Video oder eine Audionachricht mit KI erstellt wurde.
Sergey Shykevich, Check Point Software
Die wachsende Deepfake-Gefahr
Die Identifikation von Deepfakes stellt eine zunehmende Herausforderung dar. Auf die Frage nach Erkennungsmöglichkeiten antwortet Shykevich ehrlich: „Das ist eine schwierige Frage. Es gibt leider noch keine perfekten Tools, um zu erkennen, ob ein Video oder eine Audionachricht mit KI erstellt wurde. Es gibt nichts auf dem Markt, was mit 100-prozentiger Sicherheit feststellen kann, ob es sich um einen Deepfake handelt oder nicht.“
Bilaterale Bewegungen
Lotem Finkelstein, Head of Threat Intelligence bei Check Point Software, identifiziert Ransomware weiterhin als eine der größten Bedrohungen. Zwei zentrale Risiken bereiten ihm besonders Sorgen: die Sicherheitsrisiken der Remote-Arbeit und die komplexe Verbindung von Cloud- und On-Premises-Umgebungen. „Wir sehen immer mehr Fälle, in denen es eine bilaterale Bewegung zwischen diesen beiden Umgebungen gibt“, erklärt Finkelstein. „Das ist besorgniserregend, denn meistens sind diejenigen, die dies tun, auf einem hohen technischen Level.“
Für eine effektivere Bedrohungsabwehr fordert Finkelstein daher eine verstärkte internationale Zusammenarbeit. „Hier steht jeder auf derselben Seite. Dieselbe Ransomware greift viele Länder in Europa, den USA, im asiatisch-pazifischen Raum an.“
Beim Thema Bedrohungsabwehr stehen wir alle auf derselben Seite. Dieselbe Ransomware greift viele Länder in Europa, den USA, um asiatisch-pazifischen Raum an.
Lotem Finkelstein, Check Point Software
Fazit
Eins ist mittlerweile klar: KI nimmt eine Schlüsselrolle ein, sowohl als Angriffs- als auch als Verteidigungswerkzeug. Sie verändert die Spielregeln der Cybersicherheit auf beiden Seiten fundamental. Die wahre Stärke auf der Seite der Verteidiger liegt aber nicht allein in der Technologie, sondern in der strategischen Verbindung von Entwicklung, Forschung und praktischer Anwendung. Check Point will mit dem ganzheitlichen Ansatz demonstrieren, dass effektive Cybersicherheit im KI-Zeitalter möglich ist.
