MSPs und KI: "Hüten Sie sich vor Schattenleitlinien"
ConnectWise-CISO Patrick Beggs ist überzeugt, dass künftig "ein großer Prozentsatz der Angriffe KI-gestützt sein wird". Zugleich könne auch die wachsende Zahl an KI-Tools selbst gefährlich werden. Um sich darauf einzustellen, sollten MSPs aus seiner Sicht die Risiken durch Drittanbieter neu bewerten und sich entsprechend aufstellen.
Angesichts der rasanten Verbreitung von KI-Tools müssen MSPs laut Patrick Beggs sowohl das Risikomanagement für Dritte als auch ihre internen Entwicklungsstandards überdenken. "Hier rückt etwas in den Vordergrund, worauf ich seit Jahren hinweise, nämlich das Risikomanagement bei Drittanbietern", so der CISO des in Tampa, Florida, ansässigen Anbieters ConnectWise, gegenüber CRN. "Viele Unternehmen führen immer noch keine angemessene Sorgfaltsprüfung für die Anwendungen durch, die sie in ihre Umgebung einführen. Nun kommt etwas hinzu, das unglaublich intelligent und leistungsstark ist, und das in den falschen Händen zu einem potenziellen Multiplikator für böse Kräfte werden kann. Man darf deshalb niemals die Grundlagen außer Acht lassen."
Beggs sagte, ConnectWise verschärfe seine eigenen Überwachungsprozesse und beobachte täglich die Entwicklung neuer Standards. "Wir warten auch auf die US-Richtlinien, wie die Rahmenwerke des NIST (National Institute of Standards and Technology) und des CIS (Center for Internet Security) für KI. Das wird auf jeden Fall Teil unserer Bewertung von Anwendungen von Drittanbietern und unserer internen Entwicklung sein", sagte er. Der CISO erklärte, dass die Software von ConnectWise die bestehenden sicheren Entwicklungsverfahren trotz der Weiterentwicklung der KI nicht umgehen werde. Sie müsse weiterhin dieselben "Sicherheitskontrollen" im Entwicklungszyklus durchlaufen.
Lehren aus dem AWS-Ausfall
Sein Unternehmen betrachtet öffentliche Sicherheitsverletzungen und Ausfälle als Echtzeit-Schulungsmöglichkeiten, unabhängig davon, ob ConnectWise davon betroffen ist oder nicht. Als AWS kürzlich einen Ausfall erlebte, führte ConnectWise laut Beggs sofort eine interne Folgenabschätzung durch. "Wir nutzen Ausfälle seit Jahren als kostenlose Übungen", erklärte er. "Ich habe das Team gefragt: ‚Woher wisst ihr, dass es sich nur um einen IT-Ausfall handelt?‘ Wir nutzen solche Ereignisse für Schulungen zum Umgang mit Vorfällen und zur Redundanz im Geschäftsbetrieb. Und während dieses jüngsten Ausfalls haben unsere Intelligence-Teams ihre Kontakte genutzt, um sicherzustellen, dass es sich nicht um etwas Schwerwiegenderes handelte."
Auf die Frage nach den Lehren, die aus der Anfang des Jahres bekannt gewordenen Sicherheitslücke in ConnectWise ScreenConnect gezogen wurden, sagte er, dass der Vorfall mehrere interne Prozessverbesserungen aufgezeigt habe. "Software hat Schwachstellen", konstatierte er. "Unser Produkt-Sicherheitsteam ist ständig auf der Suche nach Möglichkeiten, die Schrauben anzuziehen, und wir haben einige Schrauben gefunden, die angezogen werden müssen. Wir arbeiten ständig mit externen Forschern zusammen. Diese Offenheit wollen wir beibehalten. Das war eine gute Lektion, die wir gelernt haben."
Bessere Überwachung der KI-Agenten gefordert
Da KI-Agenten nun auch in IT-Management-Plattformen zum Einsatz kommen, müssen Unternehmen sie mit derselben Sorgfalt und Disziplin behandeln wie menschliche Identitäten. Er forderte IT-Teams dazu auf, sie wie jeden anderen Benutzer zu behandeln: Null Vertrauen, eingeschränkte Berechtigungen und Zugriff nur auf die Daten, auf die sie Zugriff haben sollten. "Sie arbeiten viel schneller, daher muss man Geschwindigkeit und Umfang verstehen."
Das Training von KI-Agenten befindet sich jedoch noch in einem frühen Stadium. Dennoch drehe sich schon jetzt alles um die Datenintegrität: "Wenn man ihnen schlechte Daten gibt, entwickeln sie schlechte Gewohnheiten. Das ist genau wie bei Menschen." Zugleich warnte er davor, dass die größte unmittelbarere Gefahr von Angreifern ausgehen könnte, die KI zur Verstärkung ihrer Angriffe einsetzen, und erklärte, dass die Kommerzialisierung von Malware "weiter zunehmen" werde. "KI wird diese Seite des Phänomens noch viel stärker und in viel größerem Umfang ermöglichen", sagte er.
Ferner geht er davon aus, dass sich die US-Politik im Bereich KI beschleunigen wird, und beobachtet aufmerksam die Entwicklung von KI-Sicherheitsrahmenwerken in Echtzeit, insbesondere den Leitlinienentwurf des NIST. "Die Entwicklung schreitet so schnell voran, dass die Leitlinien agil sein müssen", fordert er. "Es muss Flexibilität geben. Aber die Grundlagen sind nach wie vor Zero Trust, angemessene Berechtigungen und das Verständnis dafür, auf welche Daten diese KI-Systeme zugreifen können."
Um Schritt zu halten, vertieft ConnectWise laut ihm die Zusammenarbeit mit Branchenkollegen und sogar mit Wettbewerbern. "Wenn es um Sicherheit geht, setzen wir den Wettbewerb außer Kraft", sagte er. "Ihre Kunden könnten unsere Kunden sein, und unsere Kunden könnten ihre Kunden sein. Wir teilen, was wichtig ist."
Der erste Schritt für Partner
Intern bereitet Beggs seine eigenen Teams auf die kommenden Veränderungen vor, indem er Compliance-Aufgaben und die Arbeitsabläufe im Security Operations Center automatisiert. Für Partner besteht der erste Schritt aus seiner Sicht darin, die bereits verfügbaren Leitlinien zu verstehen. Er forderte die Partner deshalb auf, sich eingehend mit den vorhandenen Optionen auseinanderzusetzen, dabei aber auch unbedingt auf die Quellen zu achten. "Hüten Sie sich vor Schattenleitlinien. Halten Sie sich an ISO, NIST und vertrauenswürdige Kollegen."
Mit Blick auf die Zukunft sagte er, seine größte Sorge sei es, sicherzustellen, dass Verteidigungsinstrumente auch dann noch wirksam sind, wenn Gegner KI in großem Umfang einsetzen, was er als Cyber-Wettrüsten bezeichnete. "Qualitätssicherung wird eine große Rolle spielen. Woher wissen Sie, dass Ihre Tools wirksam sind?", fragte er. "Wir müssen davon ausgehen, dass in zwei Jahren ein großer Prozentsatz der Angriffe KI-gestützt sein wird. Wir müssen unsere Anbieter dazu auffordern, uns zu erklären, wie sie KI im E-Mail-Schutz, in SIEM-Tools (Security Information and Event Management) und überall sonst einsetzen."
Dieser Artikel erschien zuerst bei unserer Schwesterpublikation crn.com
CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden