Hallo zusammen,<\/p>\n\n\n\n
und herzlich willkommen zum CyberCompare Marktkommentar.AI<\/strong>, Dotcom Vibes inklusive + frei Haus.<\/p>\n\n\n\n Gab es je eine spannendere Zeit als jetzt f\u00fcr unsere Branche? Handelsblatt<\/a><\/strong>, Financial Times<\/a><\/strong> und Wall Street Journal<\/a><\/strong> \u2013 Mainstream-Medien von Management und BWL-Justus, konsequent geschm\u00e4ht von Hardcore IT Nerds \u2013 warten inzwischen t\u00e4glich mit einer Schlagzeile zu Cyberrisiken durch KI auf. Das ist reichweitenstarke Lobbyarbeit f\u00fcr uns alle, besser als jedes Marketingteam. Danke!<\/p>\n\n\n\n Egal ob gr\u00f6\u00dfte Bank der Welt (J.P. Morgan) oder gr\u00f6\u00dfter Buchwert der Welt (Berkshire Hathaway): Respektierte CEOs weisen Ihre Aktion\u00e4re reihenweise publikumswirksam auf gestiegene Cyber-Risiken hin<\/strong>. Aus meiner Sicht eine Riesenchance f\u00fcr CISOs<\/strong>, sich mit Zeitungsschnipseln + Zitaten aufzumunitionieren, um dieses Momentum f\u00fcr eine Budget- und Personalaufstockung<\/strong> zu nutzen. Ohne Panikmache, aber mit Plan.<\/p>\n\n\n\n Die ausgewogenste Berichterstattung <\/strong>speziell zu Mythos<\/strong> kommt m.E. bisher vom UK AI Security Institute<\/a><\/strong>, und zwar nach ausgiebigen Tests:<\/p>\n\n\n\n Wer sich mit hochgezogenen Augenbrauen und skeptischem Kennerblick in Sicherheit wiegen will, findet bei The Boy That Cried Mythos<\/a><\/strong> die derzeit besten Argumente daf\u00fcr, dass der ganze Aufruhr \u00fcberzogen ist. Kernpunkte: Zuviel Text-Fluff und triviale Findings, zuwenig Substanz und reproduzierbare Ergebnisse.<\/p>\n\n\n\n Komischerweise wird der Zugang zu Mythos f\u00fcr weitere Unternehmen allerdings von der US Regierung verhindert<\/a>, w\u00e4hrend das DoD<\/a> es flei\u00dfig nutzt. Ganz so schlecht scheint es also nicht zu sein. Aber selbst wenn das Modell weniger h\u00e4lt, als das Marketing verspricht: Glaubt irgendjemand ernsthaft, dass wir ab jetzt keinen technischen Fortschritt mehr sehen? Ich bin immer noch im Lager \u201cNotfall\u00fcbung jetzt<\/strong>\u201d.<\/p>\n\n\n\n Zu den praktischen Handlungsempfehlungen passt die erhellende Beschreibung von Github<\/strong> zu ihrem Bedrohungsmodell<\/a> f\u00fcr die Nutzung von KI Agenten<\/strong> und den Implikationen<\/strong> daraus. Grunds\u00e4tzlich wird in der Sicherheitsarchitektur davon ausgegangen, dass der Agent kompromittiert ist (M\u00f6glichkeit von Arbitrary Code Execution), weil Prompt Injection ein bisher unl\u00f6sbares Problem darstellt. Daraus folgen eine Vielzahl von technischen Ma\u00dfnahmen, z.B.:<\/p>\n\n\n\n Wir alle k\u00e4mpfen (nicht nur seit Gen AI) mit der Priorisierung<\/strong> von l\u00e4nger werdenden Schwachstellenlisten<\/strong>. CTEM, Attack Path Management, RBVM, Adversarial Exposure Management, BAS, Automatisierte Pen Test und Validation Tools etc. sollen uns dabei helfen, unsere begrenzten Ressourcen auf die Problemstellen zu fokussieren, die es in sich haben (\u201eExploitability + Blast Radius\u201c).<\/p>\n\n\n\n Dazu ein spannendes Experiment auf der FIRST VulnCon<\/strong>, kurz zusammengefasst von Maggie Morganti<\/a> (Head of Product Security bei WorldPay):<\/p>\n\n\n\n Hypothese, bei der ich mir noch nicht ganz sicher bin – gerne challengen: Mit generativer KI auf beiden Seiten nimmt der Nutzen von Deception Technologie<\/strong> (Honey \/ Canary Tokens etc.)<\/strong> zu, weil damit False Positives reduziert werden k\u00f6nnen. Das wird also ein Enabler f\u00fcr AI Assisted SOC<\/strong>, bei denen ein hoher Anteil der Analysen durch KI Agenten durchgef\u00fchrt wird. Ich vermute, wir werden bald L\u00f6sungen sehen, in denen die KI auch in Nahe-Echtzeit K\u00f6der auslegt, ver\u00e4ndert und l\u00f6scht \u2013 auf Basis wahrscheinlicher Angriffspfade. Im Forschungsstadium<\/a> und Tests funktioniert das wohl schon.<\/p>\n\n\n\n\n
\n
\n