Thought Leadership
Amazon nutzt künstliche Intelligenz, um die Sicherheit seiner Cloud-Dienste und Produkte zu überprüfen, und erzielt damit nach eigenen Angaben beachtliche Ergebnisse.
CJ Moses, Chief Information Security Officer bei Amazon Integrated Security, bezifferte den Effizienzgewinn im Gespräch mit The Register auf der RSA Conference auf über 40 Prozent. „Und ich glaube nicht, dass wir den Wendepunkt der Effizienz schon erreicht haben”, so Moses.
Das Skalierungsproblem im Pentesting
Mit jedem neuen AWS-Dienst und jedem neuen Feature wuchs auch der Bedarf an Sicherheitstests. Die dafür nötigen Teams mussten immer größer werden, doch der Arbeitsmarkt für Pentester gab das schlicht nicht her. Die Kosten für interne und externe Fachkräfte beliefen sich auf Millionenbeträge.
Statt nun Personal abzubauen, hält Amazon die Teamgröße laut Moses konstant und lässt die KI die zusätzliche Last tragen. Das Ergebnis: Mehr Code und mehr Dienste werden bei gleichbleibendem Personalaufwand abgesichert.
Wenn Sie bereit sind, einen Siebenjährigen entscheiden zu lassen, ob die nächste Pentesting-Stufe in Ihrem Unternehmen aktiviert wird, bitte. Aber vielleicht sollte das jemand mit mehr Erfahrung tun
CJ Moses, Chief Information Security Officer bei Amazon
Vom einmaligen Test zur Dauerüberwachung
Besonders relevant ist der Wandel im Testrhythmus. Während klassische Pentests zu einem bestimmten Zeitpunkt stattfinden, arbeiten die KI-Systeme fortlaufend. Sie identifizieren Schwachstellen, erkennen mögliche Verkettungen von Sicherheitslücken und melden ihre Funde an menschliche Analysten.
Trotz aller Automatisierung bleibt der Mensch bei Amazon die letzte Instanz. Findet die KI etwa eine Schwachstelle, die weiteren Zugang ermöglichen würde, muss ein Mensch entscheiden, ob dieser Weg weiterverfolgt wird. Moses verglich die Urteilsfähigkeit heutiger KI mit der eines Siebenjährigen: „Wenn Sie bereit sind, einen Siebenjährigen entscheiden zu lassen, ob die nächste Pentesting-Stufe in Ihrem Unternehmen aktiviert wird, bitte. Aber vielleicht sollte das jemand mit mehr Erfahrung tun.”
Agentenidentitäten brauchen klare Grenzen
Das beherrschende Thema der RSA Conference war laut Moses die Frage, wie KI-Systeme und KI-Agenten abgesichert werden können. Sein Ansatz: KI sollte denselben Prinzipien unterliegen wie menschliche Mitarbeiter. Das bedeutet Training, klar definierte Identitäten und vor allem strikte Zugangsbeschränkungen.
„Man sagt ihnen nur das, was sie wissen müssen”, erklärte Moses gegenüber The Register. „Denn wenn man ihnen etwas sagt, das sie nicht brauchen, werden sie es nutzen, darauf reagieren und es mit ihren Freunden teilen, und KI hat Freunde.”
