KI-Update Deep-Dive: Künstliche Intelligenz als Security-Albtraum

00:00:02: Das KI Update, ein heise Podcast mit redaktioneller Unterstützung von The Decoder.

00:00:13: Hallo ich bin Isabel Grünewald und dies ist unser Deep Dive zum Wochenende!

00:00:20: In den vergangenen Wochen schlug Anthropics Mythos hohe Wellen in der Flut aus KI Nachrichten.

00:00:27: Dieses KI-Modell soll so mächtig sein dass es Sicherheitslücken ins Software nicht nur

00:00:32: finden

00:00:33: sondern direkt auch ausnutzen kann.

00:00:36: Dabei warnen Sicherheitsexpertinnen nicht erst seit Mythos vor einer verschärften Bedrohungslage durch

00:00:42: KI.

00:00:44: Darum habe ich vergangene Woche mit meinem Kollegen Dr.

00:00:46: Christopher Kunz von Heises Security gesprochen, ich wollte wissen was sich durch KI konkret verändert hat

00:00:53: und

00:00:54: wie sich Unternehmen besser auf Angriffe mithilfe von künstlicher Intelligenz vorbereiten können.

00:01:01: Hallo Christopher!

00:01:05: Vielleicht einmal um so eine Baseline aufzubauen, welche Angriffsmethoden haben sich denn durch KI wie verändert?

00:01:16: Ja ich tue mich ein bisschen schwer.

00:01:19: Die Frage ist vielleicht eher, welche haben sich nicht verändert?

00:01:21: also KI verändert schon bei IT Security ziemlich viel manches eher Evolutionär, also da werden Sachen einfach noch ausgefeilter und raffinierter.

00:01:32: Manche ist schon sehr nah an revolutionär wenn sich einfach grundlegende Abläufe jetzt ändern müssen.

00:01:36: und so Angriffe die wir sehr viel immer noch sehen und jeder sicherlich aus der eigenen inbox kennt sind diese Fishing-Angriffe oder diese Fischen Nachrichten.

00:01:46: ihr Paket kann wegen bezahlter Zollgebühren nicht zugestellt werden oder irgendwie.

00:01:52: sie müssen ihr Microsoft Konto aktualisieren.

00:01:54: Die werden durch KI auch für Akteure, die die jeweiligen Sprachen nicht sprechen und die jeweilligen Ziele nicht kennen viel einfacher realistisch zu bauen.

00:02:05: Also da kann man dann sehr genau und sehr gut aussehende Fishing Mails bauen und auf welche die zum Beispiel die Sprache einer bekannten Person sehr gut nachahmen.

00:02:15: Und das wird alles so Stück für Stück besser.

00:02:18: ich glaube aber gar nicht dass es dadurch viel, viel effektiver wird.

00:02:22: Denn man kriegt zwar vielleicht ein paar schlaue Leute dabei aber das bei Fishing Nachrichten ist auch immer so'n bisschen die Idee dahinter, auch bei diesen Betrugs-Nachrichten wo es um irgendwelche Überweisungen geht dass man seine Zielgruppe ein bisschen aussucht, dass mal die Leute, die vielleicht dazu tendieren ein bisschen leichtgläubiger zu sein schon in den Fishing nachrichten so ein bisschen vorsortiert.

00:02:42: also das ist eher so evolutionär.

00:02:44: Aber technische Sicherheitslücken da wird's richtig spannend Da passiert unheimlich viele Momente

00:02:49: Und da sind wir ja direkt schon bei Mythos, davon habe ich in der Anmoderation schon gesprochen.

00:02:55: Mozilla sagt sie haben zweihundertseinundsiebzig Sicherheitslücken in Firefox damit schließen können.

00:03:01: Das klingt für den Line wie eine irrsinnige Zahl.

00:03:04: Also man denkt sich so als jemand der selbst keine Software entwickelt.

00:03:08: Wie kann denn überhaupt eine Software auf die Menschheit losgelassen werden?

00:03:11: In der zweihundertsiebsig Sicherheits lücken sind und das sind hier auch nicht die ersten jährlich-merzdriege gefunden wurden.

00:03:17: Wie läuft es eigentlich ab?

00:03:19: Ja, also das muss man so ein kleines bisschen einordnen.

00:03:22: Ich habe am Freitag mit jemandem aus dem Mozilla Security Team gesprochen und ich war auf der Ponto owner einer Security Veranstaltung in Berlin Und die haben erst mal mit Mythos nicht die Sicherheitslücken behoben sondern es haben sich schön noch von Hand gemacht natürlich schon teilweise KI assistiert.

00:03:39: aber Es ist nicht so dass die KI die Sicherheizlücken findet und dann auch gleich alle super fix.

00:03:43: Das ist schon noch zu großen teilen handarbeit und auch teil des problemes dadurch.

00:03:48: Und firefox ist einfach eine riesen software.

00:03:50: firefox alleine hat zwanzig millionen zahlen code, und isst eine eine software die sich unheimlich viel verändert aber gleichzeitig unheimliche viel alte sachen mitschleppen muss.

00:04:06: also der das firefox team verspricht dass wenn du nineteen neunzehne webseite gebaut hast, dass du die in einem aktuellen Firefox immer noch anschauen kannst.

00:04:13: Obwohl sich das Web vier fünf sechs sieben mal seitdem komplett verändert hat und trotzdem will Firefox diese alten Sachen immer noch mit anzeigen.

00:04:22: Das ist Teil des Versprechens.

00:04:23: Und dann hast du viel Code, viel Programmteile, die lange schlummern und die vielleicht lange niemand sich genau angeschaut hat?

00:04:34: Wenn du eine KI die nicht unterscheidet zwischen den Sachen, die häufig genutzt und häufig verändert werden.

00:04:40: Und denen die selten benutzen, selten verändert werden auf sowas loslässt dann findet die erstmal einen ganzen Stapel Sicherheitsslücken und das kennen wir von praktisch jeder anderen Software auch.

00:04:51: Jetzt ist es ja so also wir sehen das ja schon länger dass KI eine Entwicklung benutzt wird und eben Probleme findet oder Fehler im Code.

00:05:02: Warum ist Mythos jetzt noch mal besser da drin?

00:05:07: Also warum das so ist, weiß ich ehrlich gesagt nicht so genau.

00:05:10: Das scheint so zu sein dass er einfach besser darauf trainiert ist Sicherheitslücken zu finden und auch die also sehr nachvollziehbar mit sehr wenigen falschen oder viel weniger falsch positiven.

00:05:26: aber Mythos ist auch keine Wundermaschine, die jetzt in einer jeden Software-Sicherheitslücken finden kann.

00:05:35: Das haben wir an einem Gegenbeispiel in den vergangenen Tagen auch gesehen und zwar bei der total unbekannten Software Curl, vor allem für Leute, die eben nicht mit Software oder IT Sicherheit zu tun haben.

00:05:48: Das ist eine Bibliothek, die praktisch in jedem Gerät das in irgendeiner Weise mit dem Internet interagiert enthalten ist, die sorgt nämlich dafür diese geräte internetseiten abrufen können.

00:06:00: also zum beispiel wenn mein router automatisiert jede nacht überprüft ob update vorhanden ist und ein update installieren muss dann prüfte er mit dieser bibliothek curl ob die update url von vom ruder hersteller neues update fehlen hat eine milliardengeräte weltweit nutzen.

00:06:18: Dieses curl das ist also eine unheimlich wichtige software wo sie so vergleichsweise unbekannt ist, Entwickler von Köln, das ist Open Source.

00:06:26: Die haben auch Zugang zu Mifos gekriegt und mit was hat eine Sicherheitslücke gefunden?

00:06:31: Das ist einmal komplett durch die... ...durch den Code von Körl gepflügt hat da eine Sicherheizlücke gefunden weil... ...Mifos nicht unheimlich gut darin ist neuerartige Sachen zu entdecken.

00:06:42: Das ist ja ein LLMI.

00:06:44: LLMs bilden ja wesentliche Durchschnitte Und können jetzt keine... ...keine Innovation in dem Sinne erzeugern, dass sie sich komplett neue Arten von Sicherheitslücken ausdenken und die dann abtesten, sondern die gucken eben schon nach vorhandenen Sachen.

00:06:58: Nach den Sachen, die in ihren Trainingsdaten sind variieren das ein bisschen.

00:07:02: Und mit.

00:07:02: was ist sehr gut darin?

00:07:03: Die Variation eben so auszudehnen dass Sicherheits Lücken gefunden werden.

00:07:07: wenige falsch positive.

00:07:08: aber es ist jetzt nicht so dass Mufflers jetzt im schnell durchlauf IT Sicherheit durchspielt.

00:07:14: ich glaube

00:07:17: Das heißt Es sind Am Ende auch immer noch Menschen gefragt, die da drüber gucken.

00:07:22: Ich glaube der Betreiber von Köln meinte ja auch das ist ein Hilfsmittel.

00:07:25: aber am Ende müssen die Menschen entscheiden weil Mythos da auch irgendwie falsch positive gefunden hat oder sowas?

00:07:32: Ja also auch Mythos findet immer noch falsch positive und bei Kölr ist die Spezialsituation die dass jede einzelne Zeile Code also eigentlich alles an diesen zweihunderttausendzeilen Programmquellecode die Kölner ungefähr hat oder sechshundert tausend ich verwechsel das immer ist ungefähr viermal Geschrieben neu geschrieben überprüft worden und da gibt's ein Statistik vom auch vom Hauptentwickler von Köln.

00:07:54: Und das ist unheimlich gut dokumentierter, gut überprüfter Quellcode.

00:08:01: deswegen kann mit was da nicht mehr viel finden und neigt natürlich dann auch dazu vielleicht noch ein bisschen was herbeizuhaluzinieren und Da muss immer noch einen Mensch drüber gucken.

00:08:11: und dass es auch der das Thema bei Firefox gewesen.

00:08:14: auch bei Firefox also den diesen diesen massenhaften Sicherheitslücken, die da gefunden wurden muss immer noch ein Mensch drüber schauen und schauen ob das wirklich eine Sicherheitslücke ist oder ob das einfach nur in Anführungszeichen gewöhnlicher Programmfeder ist.

00:08:28: Ob das ausnutzbar ist um mal so wirklich auch einen Angriff darauf zu starten.

00:08:31: und dass da ganze dann beheben und diese Asymetrie zwischen viele Sicherheits lücken werden gefunden massenhaft Und wir müssen das immer noch händisch alles angucken, ist momentan für viele Software-Entwickler gerade im Open Source Bereich ein Riesenproblem.

00:08:48: Das kann ich mir gut vorstellen!

00:08:50: Jetzt ist ja auch das Problem weswegen Mythos, glaube ich solche Wellen geschlagen hat... dass Antropik gesagt hat, das ist so mächtig, dass nutzt auch aktiv also das entwickelt quasi die Angriffsszenarien für diese Sicherheitslöcken, die es findet und deswegen darf es nicht auf die Öffentlichkeit losgelassen werden.

00:09:10: Ähm, und das hat Regierung auf der ganzen Welt nervös gemacht.

00:09:14: Was ist da dran?

00:09:15: Ist es mehr Hype oder ist das eine Realität die wir schon beobachten können?

00:09:21: Also Angriffsszenarien müssen wir in dieser... Wir werden ein bisschen kontextualisieren.

00:09:26: In diesem Fall sind zum Beispiel bei Software-Sicherheitslücken in der Regel die sogenannten Exploits gemeint also die Ausnutzung dieser Sicherheitslücke in einem Programm um beispielsweise Daten auszulesen, die man nicht auslesen dürfte oder Programmcode auszuführen der nicht vorgesehen war.

00:09:43: und diese exploids zu bauen ist eine schwierige aber doch erst mal lösbare programmieraufgabe.

00:09:52: Da gibt es Spezialisten und die waren letzte Woche am freitag auch auf der Poundhorn auf der ich war Die den ganzen tag nichts machen als diese sicherheitslücken zu suchen Und daraus dann exploits zu bauen und dieser exploits dann entweder an die hersteller der software zu melden und dann gegebenenfalls eine Belohnung dafür zu kassieren oder auf dem freien Markt zu verkaufen, zum Beispiel an Geheimdienste.

00:10:15: Oder an Autoren von Malware die dann entsprechend irgendwelche Schadsoftwerbrenzen wäre das was damit machen?

00:10:21: und Mythos kann diese Exploits bauen.

00:10:24: Das ist aber jetzt das finde ich nicht so super spannend also dass es jetzt kein kein Riesenwunder und dieser Einschränkung die Anthropik da draufgegeben hat das nur bestimmten Unternehmen in die Hand gegeben wird.

00:10:39: Das ist natürlich viel Marketing und ich glaube, dass sie da auch ein gutes Marketing betreiben aber es wirklich auch so, dass es natürlich momentan noch sehr stark eingeschränkt ist und viele Unternehmen, die sich das auch gerne angucken würden, da keinen Zugriff drauf haben und ich glaub auch viele Regierungen was die natürlich auch nicht besonders freut.

00:10:58: denn das Problem also Mythos könnte ja dann eine ein Teil der Lösung sein, wenn es solche Schwachstellen findet.

00:11:05: Bevor eben Leute die Schadsoftware schreiben sie finden für Unternehmen ist das ja wahnsinnig wichtig.

00:11:12: also nicht nur wegen Mythos sondern auch wegen der anderen KI da draußen, die sowas kann sich darauf irgendwie vorzubereiten und den Angreifern einen Schritt voraus zu sein.

00:11:22: und es fühlt sich so an als würde durch KI dieser Schritt varaus immer kleiner und kürzer werden.

00:11:29: diesen Schritt veraus hat's nie gegeben.

00:11:33: Also da muss man glaube ich so ein bisschen ehrlich sein, es gibt immer Flickschusterei.

00:11:38: Man baut hier noch eine Firewall und noch eine sogenannte Security Appliance davor und hält sich noch ein Gerät hin, das dann dafür sorgen soll dass die Angreifer nicht ins Netz kommen.

00:11:47: aber im Grunde ist es in der IT-Security immer so gewesen, dass angreifer vor allem gut ausgerüstete Angreifern den Verteidigern immer ein Schritt voraus waren, weil sie die Sicherheitslücken in aller Regel gefunden haben bevor die Verteidinger sie gefunden haben und sie dann entsprechend auch ausnutzen konnten.

00:12:03: Bevor die Varteidiger sie ausnützen können.

00:12:06: was sich sehr stark verändert gerade ist der Zeitraum in dem sicherheitslückung zwischen ihrer Behebung und also bei der soft im dem erscheinen auf den Märkten für exploits oder eben bei bei ransomware angriffen Auftauchen.

00:12:25: das ist ein.

00:12:27: Das ist unheimlich, dass es unheimliche eng geworden.

00:12:29: also ein Beispiel.

00:12:31: Mitte Mai gab es eine Sicherheitslücke in Linux im Linux kernel also in dem Kern des Linux Betriebssystems.

00:12:38: diese Sicherheitslücke wurde gemeldet von einem Unternehmen das eben IT-Sicherheitsforschung betreibt und wurde dann von den Betreibern, also der Entwickler des Linux Kernels behoben.

00:12:51: Linux ist Open Source wie wir alle wissen und dementsprechend war diese Fehlerbehebung auch öffentlich.

00:12:56: da gab es dann in dem Quellcode eine entsprechend kommentierte Änderung.

00:13:01: das waren ungefähr vierundzwanzig Zeilen und wer den Linux Kernel Quellcodes sich mal angeschaut hat Na, ich sag mal es ist jetzt nicht unbedingt menschenlesbar jemanden der das nicht den ganzen tag macht.

00:13:14: also da muss man schon relativ genau Wissen Was da abgeht.

00:13:19: und denn entsprechend gibt's ein paar beobachter die sich diese sachen sehr genau anschauen.

00:13:23: einer von denen meinte oh Das klingt irgendwie interessant.

00:13:25: Ich könnte mir vorstellen dass das ein sicherheitsproblem ist.

00:13:28: Innerhalb von zwei stunden nach dem der das geschrieben hatte und innerhalb von ich weiß nur fünf stunden Nachdem dieser fehler behoben war gab es funktionierende Exploits für diese Sicherheitslücke, die dazu führen dass ein beliebiger Nutzer oder einen Nutzer beliebige Daten auf dem System lesen konnte.

00:13:43: Die eigentlich nicht hätte lesen sollen.

00:13:44: und diese diese zwei Stunden das ist schon der extreme Endlich extrem kurze Zeitdauer Das heißt nämlich dass du im Grunde als als verteidiger genau auch nur diese zwei stundenzeit hast.

00:13:54: Du guckst hat sich was in blinux kernel verändert Da ist eine fehlerbehebung gemacht worden Und dann hast du zwei stunde zeitig auf die ersten Angriffe vorzubereiten.

00:14:02: das ist praktisch mit den aktuellen Gegebenheiten unmöglich für Verteidiger da immer adäquat vorbereitet zu sein.

00:14:09: Unmöglich klingt sehr deprimierend, was macht man denn dann als Unternehmen wenn man zum Beispiel Linux benutzt?

00:14:17: Darüber habe ich in der vergangenen Woche auch mit ein paar Experten gesprochen also Security Forschern und Leuten die eben ihr ganzes Leben mit IT-Sicherheit und mit Sicherheitslücken verbringen und die sagen dass sich auf der Verteidiger-Seite, also bei den Unternehmen die müssen einfach unheimlich viel schneller werden.

00:14:38: Es wird nicht darum gehen dass ich einmal im Monat meinen Patch Day habe und dann sage ich all meinen Mitarbeitern passt mal auf am Mittwoch morgen könnte es sein das ist ein bisschen knirscht und dass euer PC nicht so funktioniert wie gewohnt und dass die Server Umgebung nicht so funktioniert wie gewöhnt sondern... Das wird sich im Grunde verkürzen auf nahezu Echtzeit auf wenige Stunden.

00:14:58: Einmal am Tag so eine Petschstunde passiert, denn mit diesem einmal monatlich kommen wir längst nicht mehr hin.

00:15:05: Und wenn Softwarehersteller einmal im Monat einen Patchday ausrufen und sagen jetzt beheben wir Sicherheitslücken dann bedeutet das dass möglicherweise schwere Sicherheitslücken neunundzwanzig oder dreißig Tage vorher in den Betriebssystemen in der Software bekannt waren und nicht beruhen war.

00:15:19: und diese dreizig Tage das kann sich einfach es kann man sich nicht mehr leisten Denn die Angreifer kennen diese Sicherheits lücken in aller Regel gleichzeitig mit dem Verteidigen an.

00:15:27: Das

00:15:32: ist... wie schafft man das denn?

00:15:34: Also ich meine, da ist man ja sehr angewiesen darauf dass die Software-Unternehmen da schneller werden.

00:15:41: Angenommen!

00:15:42: Ich bin jetzt ein kleines mittelständisches Unternehmen und habe gar nicht so die IT-Manpower wie zum Beispiel Google.

00:15:51: Wie kann ich denn da noch irgendetwas erreichen, dass meine Daten meines Unternehmens trotzdem noch sicher sind?

00:16:01: Wenn ich das, wenn ich das wüsste dann würde ich vermutlich viel Geld mit Unternehmensberatung verdienen.

00:16:07: Ich glaube nicht dass im Moment jemand da eine allgemein gültige Antwort darauf weiß denn das ist eine... Verkürzung.

00:16:15: die vielen der Abläufe, die wir in der IT über Generationen und damit meine ich wirklich Menschengenerationen Nichts Computer-Generation das sind ja nur zwei Jahre eingeübt haben also gerade in diesen Bereichen wie sagen wir mal der der zentrale windows datai server in einem unternehmen.

00:16:35: da ist ja die absolute premisse.

00:16:37: Konservativ zu sein es muss laufen.

00:16:39: und da gibt es denn diesen alten sinnspruch never change a running system wenn's einmal läuft finger weg nicht mehr anfassen.

00:16:46: und dieser sinnspruch ist fundamental gegen diese änderung, die wir jetzt gerade in der Landschaft erleben dass die stehen sich diametral gegenüber.

00:16:56: das bedeutet nämlich ich kann nicht mehr Drei Wochen Zeit nehmen die Patches erstmal zu testen, bevor ich sie ausrolle denn dann würde das ja bedeuten dass ein angreifer möglicherweise.

00:17:05: Sieben wochen also fast zwei Monate Vorsprung vor dem Verteidiger hat.

00:17:08: Ich muss das am selben tag wenn die patches kommen Muss sich in der Lage sein diese patches in meinem Unternehmen einzuspielen und nicht nur ganz genau wissen was in meinem unternehmen läuft und was möglicherweise durch so eine update kaputt gehen kann.

00:17:21: dann muss ich eine ganz andere sichtbarkeit haben ganz andere kontrolle und ganz andere dokumentation meiner landen meine it-landschaft also meiner.

00:17:29: Systeme meiner software dieses ganzen so ist den unternehmen mit sich rum schleppen die mit IT zu tun haben und die auf IT ihre wertschöpfung aufbauen.

00:17:40: das wird, mit manuellen Prozesse nicht funktionieren, da müssen wir uns automatische Prozisse bauen.

00:17:45: Wir müssen also als Unternehmen muss man in der Lage sein so eine Art Stückliste zu haben wo alles an Software in allen Versionen die eingesetzt werden drauf steht.

00:17:54: und dann kann man automatisch zum Beispiel eine KI aber auch ein normales... ...automatisiertes System abhaken lassen.

00:18:01: Diese Software kann mit der anderen Software in der neuen Version nicht, sie sind nicht kompatibel, wir müssen uns da irgendwas ausdenken, aber das wird alles manuell nicht mehr gehen.

00:18:13: Dieser Flaschengeist, der ist ja aus der Flasche.

00:18:15: Das wird jetzt auch nicht mehr langsamer werden.

00:18:16: also es ist jetzt nicht so dass wir sagen okay haben das mit dem Kairi Zeugs mal ausprobiert und haben gemerkt, das macht ganz schön viel Arbeit.

00:18:23: Das lassen wir lieber bleiben weil die Angreifer den Teufel tun und den Flaschengeiss wieder zurück in die Flascher stopfen auf ihrer Seite.

00:18:29: Das heißt wir müssen mit dieser Kompression diesen Zusammenrücken der Zeiträume da müssen wir leben und dann müssen wir auch anfangen zu arbeiten und da sind nach meiner Wahrnehmung fast alle sehr, sehr schlecht darauf vorbereitet.

00:18:43: Ja das kann ich mir vorstellen!

00:18:45: Das ist ja ein Tempo mit dem normale Unternehmen gar nicht rechnen.

00:18:48: jetzt hast du schon gesagt KI kann dabei helfen.

00:18:51: gibt es Security also IT-Security Unternehmen die solche Tools anbieten schon aktiv?

00:18:58: Also es gibt unheimlich viele Unternehmen die so KI basiertes Scannen überprüfen auf Schochstellen anbietet.

00:19:05: Es gibt auch Unternehmen die beispielsweise eine KI Überprüfung von Quellcode anbieten, bevor er in die Software kommt.

00:19:13: Also beim Schreiben oder direkt nach dem Schreiben also dann zu überprüfen habe ich mir gerade durch diese Änderungen, die ich gerade an der Software durchgeführt habe am Quell Code hab' ich mir da irgendwelche Sicherheitslücken ins Haus geholt.

00:19:27: das ist eigentlich sogar ja der vielversprechendere Ansatz weil man da Bevor's schief geht schon eine Lösung finden kann und nicht erst wenn es schon schiefgeht.

00:19:35: Und bei ich weiß nicht wie vielen zehntausend Kunden gelandet ist und da gibt's also viele anbieter für die Anbietern, die oder Möglichkeiten mit KI Hilfe diese Sicherheitslücken dann auch zu beheben.

00:19:48: Die sind dünner gesät und zwar prinzipbedingt weil man einfach so einer KI ja nicht hundert prozent vertrauen kann hat immer neigt immerzu Halluzinationen.

00:19:57: sie is in dem Sinne also natürlich ist ihnen in Sinne der Informatik deterministisches System, aber sie fühlt sich halt teilweise zufällig also nicht deterministisch an und ich muss dann so ein bisschen ja immer überprüfen.

00:20:09: ist diese Sicherheits... dieser Sicherheits-Fix dieses Update das mir die AIDA vorschlägt wirklich eine Lösung für diese Sicherheizlücke.

00:20:19: Und da sind wir glaube ich noch relativ weit vorne.

00:20:22: finden geht beheben sind wir noch nicht soweit wie wir vielleicht sein sollten an dieser Stelle.

00:20:28: Das ist zumindest mein Eindruck von was KI mit Code so macht im Moment.

00:20:34: Das heißt, man sagt ja zur Zeit beobachtet man ja dass KI wahnsinnig viel Code schreiben kann und die klassischen Entwicklerinnen und Entwicklern nicht mehr ganz so viel Arbeit haben wie früher.

00:20:47: aber IT-Sicherheitsleute werden wahrscheinlich in jedem Unternehmen gebraucht werden oder?

00:20:57: Das hofft die Industrie sehr.

00:20:59: Viele Rollen verändern sich da auch gerade, also diese Triage genannte Erstbehandlung von IT-Sicherheitsprobleme und Sicherheitslücken wird sicherlich sehr stark von Menschen auf Maschinen übergehen.

00:21:14: Also auf KI, die eben guckt ist das wirklich eine Sicherheitslücke?

00:21:18: denn diese Überprüfung ob irgendein Problem eine Sicherheizlücke darstellt kann auch ohne große Schwierigkeiten von einer KI gemacht werden darf natürlich aber nicht von der gleichen gemacht werden, die die Lücke gefunden hat.

00:21:29: Das ist ja derjenige, der den Programmcode schreibt oder die Meldung macht.

00:21:35: er sollte nicht auch derjenig sein, der sich überprüft.

00:21:37: Aber diese Erstbehandlung da wird viel KI sein und Diese schiere Anzahl an irgendwelchen Warnungen, an Alarmen über mögliche Netzwerkeinbrüche oder sowas zu reduzieren und einzuordnen.

00:21:52: Da wird KI noch eine größere Rolle spielen.

00:21:54: aber für einen Experten der Code gut lesen kann also der versteht was da gerade passiert und der auch noch versteht ob da möglicherweise eine Sicherheitslücke unvollständig geschlossen wurde durch das KI-Modell dass er grade den Code neu schreibt Der wird auch weiterhin einen Job haben.

00:22:11: nur die Aufgaben werden, denke ich komplexer werden.

00:22:15: Also schwieriger.

00:22:17: Es wird nicht einfach nur Sachen sein, die man durch Bloßes hinschauen und einmal Augens zusammenkneifen sehen kann sondern das werden dann irgendwann einspruchsvollere Sachen werden.

00:22:26: Und IT-Sicherheitsforscher, die neue Arten von Sicherheitslücken entwickeln, die Neue Ideen haben wo sich Sicherheitslücken in Programmcode, in Netzwerken verbergen können Die werden auch weiterhin gefragt werden denn sie bringen ja diese Innovation nicht bringen kann.

00:22:45: Vielleicht noch mal zum Schluss so als einschätzendes Ding bei Mythos.

00:22:49: Meinst du es ist irgendwie gut für die Welt, dass Mythos nicht auf uns alle losgelassen wird?

00:22:54: Und meins macht eigentlich gar keinen großen Unterschied und im Prinzip sollten Unternehmen und Regierungen auch solche starken KI-Modelle Zugriff haben.

00:23:04: Also im Prinzip das ist immer ein schwieriger ein schwieriges Präfix für den Satz.

00:23:11: Im Prinzip wäre das gut, wenn alle darauf Zugriff hätten.

00:23:13: aber jetzt gerade zum aktuellen Zeitpunkt würde dass die Überlastung der IT-Sicherheitsverteidiger der Leute die Softwarelücken beheben der Open Source Teams weltweit nur noch viel weiter verstärken.

00:23:26: und wir sind da gerade schon an einem Punkt angekommen wo wir sehen dass Teams also zb auch das Linux Kernel Team sehr gut personell im vergleich aufgestellt ist absolut an ihre grenzen kommen und sagen so wir können jetzt diese diese flut an neuen fehler meldungen an neun sicherheitslücken oder möglichen sicherheits lücken gar nicht mehr.

00:23:46: das kommt da kommen wir gar nicht hinterher und wenn dann auch noch tausende zehntausende leute weltweit auf die idee kämen.

00:23:54: Ja, jetzt nehme ich auch noch mal Mythos her und jetzt melde ich die gleichen Lücken nochmal denn es gibt ja auch nur unüberschaubere zahl an du Blätten.

00:24:00: Die man auch erstmal finden muss oder rausfinden was das ist Du Blättern sind dann wäre das die Sicherheit nicht zuträglich denn das würde dazu führen dass alle Leute die weltweit IT Sicherheitsprobleme in Software beheben können in einen massiven Burnout laufen.

00:24:14: sofern finde ich diesen.

00:24:17: leicht beschränkten Zugang schon im Moment recht sinnvoll.

00:24:21: Das gilt aber eben auch für alle anderen Modelle und nicht nur für Mythos, die guter sind, Sicherheitslücken zu finden denn auch die tragen zu dieser Überlastung bei und... Die ist ja nicht leicht zu beheben.

00:24:32: diese Überlastungen das ist ja nichts damit getan dass du dann sagst so jetzt machen wir alles noch mit KI weil am Ende muss trotzdem nochmal ein Mensch drüber schauen.

00:24:43: Meinst Du, dass KI-Regulierungen in irgendeiner Weise da helfen könnte?

00:24:47: Dass diese Belastung abnimmt, indem man generell bestimmte Modelle weniger zugänglich macht?

00:24:55: Das hilft am Ende ja nur den Angreifern.

00:24:58: Weil die Regulierung nicht unterworfen sind.

00:25:02: Also dann gibt es irgendwelche Untergrundmodelle.

00:25:05: oder auch bei Entschloppig hat's schon Quellcode-Leaks gegeben.

00:25:09: Dann gibt irgendwann nochmal League der ganzen Trainingsdaten oder eines Teils der Trainingsdate und dann baut sich die Untergrundökonomie ihr eigenes Modell und ihre eigene KI.

00:25:20: Ich glaube, dass diese, das schon KI-Regulierung auf eine Art irgendwie kommen muss und wird.

00:25:25: aber ob uns das in der IT Security-Branche jetzt noch irgendwas bringt?

00:25:30: Da bin ich eher

00:25:30: skeptisch.".

00:25:32: Okay also es hilft nichts.

00:25:34: Unternehmen oder auch Privatleute müssen extrem auf ihre Sicherheit achten und da wahrscheinlich auch extrem investieren um einigermaßen mithalten zu können wenn man auch schon keinen Schritt voraus mit mir ist.

00:25:47: Ja, also die Zeit ist einmal im Monat den PC anschalten um Updates runterzuladen.

00:25:52: Die neigt sich rapide dem Ende zu und darauf müssen wir alle vorbereitet sein.

00:25:57: das wird dazu führen dass wir sehr viel mehr Update sehr viel häufiger machen werden um aktuell zu bleiben und keinen Angriffen ausgesetzt zu sein.

00:26:05: Alles klar Vielen Dank dass du heute da warst mit diesen etwas deponierenden Nachrichten.

00:26:10: aber vorbereitet seien wissen es ja immer besser als nicht wissen

00:26:13: Genau.

00:26:14: Zumindest wissen wir ziemlich genau und sehen sehr, sehr öffentlich was da auf uns zurollt und mal sehen welche Rezepte, welche Antworten die IT-Branche jetzt entwickelt.

00:26:26: denn das ist eine Herausforderung für die gesamte IT-branche nicht nur für Open Source, nicht nur Für die Linux Leute oder so sondern dass es eine Herausforderungen für die ganze Branche Und der wird sich auch die ganze branche auf einer oder die andere Art stellen müssen.

00:26:40: Alles klar Vielen Dank.

00:26:42: Wer noch mehr zu diesem Thema regelmäßig hören möchte, der kann eure Newsletter und deinen Podcast sich anhören?

00:26:50: Magst du einen kleinen Werbeblock machen?

00:26:52: Genau also.

00:26:53: ich bin ein Chorus zusammen mit dem CT-Redaktor Siresta Tremel des Podcasts Passwort.

00:26:58: den gibt es auf allen Plattformen wo ihr auch jetzt gerade zuhört und da machen wir alle zwei Wochen aktuelle Themen und auch mal längere Folgen zu sagen wir mal speziellen Security-Themen.

00:27:10: Und da könnt ihr gerne reinhören, wer sich professionell für IT Sicherheit interessiert und damit seinen Arbeitsalltag verbringt und mit uns gemeinsam diese Lösung entwickeln will von denen ich gerade gesprochen habe der sollte sich mal unseren Fachdienst Heises Security Pro anschauen.

00:27:27: Da ist man Teil einer Community kann sich gemeinsam weiterbilden und gemeinsam auch mit uns von der Heises security Redaktion diskutieren was diese ganzen Umwälzungen durch KI für Unternehmen bringen und wie sich Unternehmen darauf vorbereiten.

00:27:41: Super, werde ich alles in den Shownotes verlinken damit das Publikum da auch Zugriff drauf hat.

00:27:48: Prima!

00:27:49: Vielen Dank dass du da bist.

00:27:51: Danke dir Mach's gut Tschüss.

00:27:54: Das war es für heute.

00:27:56: Den nächsten Deep Dive hört ihr an dieser Stelle in zwei Wochen.

00:28:00: Es würde mich freuen wenn ihr dann wieder dabei seid.

00:28:02: Bis dahin könnt ihr natürlich mit unserem kompakten KI-Update jeden Montag, Mittwoch und Freitag auf dem Laufen im Bleiben.

00:28:10: Und falls Ihr einen Deepdive verpasst habt, findet Ihr eine Sammlung aller Folgen auf heise.de.

00:28:16: slash

00:28:17: thema slash

00:28:18: ki

00:28:19: minus update.

00:28:20: Den Link findet Ihr auch in den Show Notes!