Sicherheit neu definiert: Das erste KI-Abwehrzentrum aus Erfurt sorgt für Begeisterung auf der it-sa

„Das KI-Abwehrzentrum kam auf der diesjährigen it-sa unglaublich gut an. Kunden haben uns aktiv angesprochen und oft bemerkt, dass es längst an der Zeit sei, solch eine Lösung aus Deutschland anzubieten“, berichtet Alexander Sowinski, der Schöpfer des ersten KI-Abwehrzentrums in Europa. Sein Team und er hätten vor Ort viele spannende Gespräche mit Interessierten geführt, erzählt er.

Enginsight und ASOFTNET, die Haupttreiber des KI-ABWEHRZENTRUMS, sind begeistert, dass ihre Idee so positiv angenommen wurde. Die Resonanz war schon im Oktober sehr groß, als sie den Launch des Security-Services bekanntgegeben hatten. (https://enginsight.com/de/blog/europas-erstes-ki-abwehrzentrum-kommt-aus-erfurt/).

Wisse, was du kaufst. Oder: Es ist nicht immer drin, was dransteht

Besorgt ist Alexander Sowinski darüber, wie überfordert viele IT-Sicherheitsverantwortliche bezüglich des breitgefächerten Lösungsangebotes auf dem Security-Markt insgesamt sind. Der Eindruck, den er vorher aus Kundengesprächen bereits hatte, sah er auf der Messe bestätigt.

„Im Cyberdschungel aus ungeschützten Fachbegriffen, die jeder Hersteller anders auslegt, ist die Wahl des passenden Angebotes wirklich nicht leicht,“ verteidigt Mario Jandeck, der CEO und Gründer von Enginsight, die geplagten Verantwortlichen.

Sowinski stimmt dem zu und sieht die Hersteller hier in der Pflicht, transparente Angebote zu schaffen. Er ist besorgt über die Verwirrung, die viele Hersteller in der IT-Sicherheitsbranche stiften. Ein Beispiel: „Viele Services, die als SOC „verkauft“ werden, sind im Grunde Managed Detection & Response-Angebote (MDR). Kunden weiszumachen, sie erhielten ein echtes SOC, halte ich für fragwürdig“, kritisiert er und ergänzt: „Nicht, dass wir uns hier falsch verstehen, MDR-Services haben ihre Berechtigung, wir bieten sie ja ebenso an, denn sie sind für viele Kunden absolut ausreichend. Was Kunden, auf im Hinblick auf Regulatorik, jedoch wirklich benötigen, gilt es im persönlichen Gespräch herauszufinden. Aus meiner Erfahrung genügt einem Großteil des Mittelstandes ein MDR-Service – so wie wir ihn definieren (s. Security-Services-Step-up).

Ein echtes SOC beinhaltet laut dem ASOFTNET-Gründer eine Echtzeit-Netzwerk-Analyse, Internet- und Darknet-Überwachung, Incident Response und Forensik im Ernstfall, um nur die wichtigsten zu nennen.

Alexander Sowinski und sein Team sind entschlossen, in den kommenden Monaten verstärkt Aufklärungsarbeit zu leisten, um Unternehmen beim sicheren Navigieren durch den IT-Sicherheitsmarkt zu unterstützen. „Der Bedarf ist enorm, und wir freuen uns darauf, unsere Kunden auf diesem Weg zu begleiten“, so Sowinski abschließend.

 

Der Weg ins KI-Abwehrzentrum

Auf der it-sa kam vielfach die Frage auf, wie die Aufnahmen ins KI-ABWEHRZENTRUM ganz praktisch und vor allem technisch funktioniert. Vereinfacht ausgedrückt muss man sich das so vorstellen, erzählt der Initiator: „Ein Server wird vorinstalliert mit allen Software-Agenten, ans Netzwerk des Kunden angeschlossen und anschließend von ASOFTNET fertigkonfiguriert. Der Server, den ASOFTNET „Blackbox“ getauft hat, ist damit in der Lage, eine Verbindung zum KI-Server herzustellen. Dieser steht bei IBM. Die KI darauf analysiert alle eingehenden Daten und sendet die Auswertung anschließend zurück ans SOC bzw. an die Enginsight-Plattform im SOC. Enginsight verteilt die Informationen an die anderen Software-Agenten. Alle beteiligen Agenten haben somit eine bidirektionale Verbindung zur KI bzw. zum SOC, d.h. sie liefern und empfangen Daten. Allein KELA, das Darknet-Analyse-Tool bildet hier eine Ausnahme, es empfängt Daten, ohne selbst welche zu erhalten.

Die Agenten dieser Hersteller sind aktuell eingebunden:

–    Enginsight: SIEM zur Datensammlung und Korrelation plus Netzwerküberwachung mit Alarmen und automatisierten Reaktionen:

–    DriveLock: Endpoint Security

–    Consistec: Network Detection and Response mit Echtzeit-Analyse

–    KELA: Darknet-Analyse

–    LocateRisk: Internet-Analyse

–    Mitigant: Cloud-Security

 

Projektbeteiligt sind weitere Hersteller und Dienstleister: IBM stellt, wie bereits erwähnt, die KI-Infrastruktur bereit. CSS-connect, ein IT-Dienstleister stellt die Blackbox bereit. Die Kommunikation zwischen Kundeninfrastruktur und SOC muss fünf Firewalls durchlaufen und ist damit gut gesichert.

Bei der Auswahl der beteiligten Unternehmen setzte ASOFTNET bewusst auf deutsche Anbieter. Auch hierbei ist KELA die einzige Ausnahme mangels einer vergleichbaren Lösung aus Deutschland.

 Zukunftsvisionen für

Die Anzahl der nötigen Agenten ist derzeit noch ein Aspekt, der einige Kunden vorsichtig macht. Sie fürchten Performance-Einbußen. Den Gedanken kann Alexander Sowinski gut nachvollziehen. Er versichert, dass alle Agenten wenig Ressourcen benötigen, die Devices damit nicht merklich belasten. Dennoch zielt er langfristig darauf ab, einen einzigen Agenten zu schaffen. Das Ziel ist sportlich. Der Gründer des KI-Abwehrzentrums gibt deshalb offen zu, dass zum Erreichen „noch einige Gespräche und Überzeugungskunst bei den beteiligten Hersteller-Partnern nötig sein werden.“

Während die Single-Agent-Idee vielleicht ein Wunschziel bleiben wird, rücken andere Ziele in greifbare Nähe. Zum Beispiel ist das nächste SOC bereits in den Startlöchern. Im Frühjahr 2025 soll es in Wismar öffnen. Die Kapazitäten dort werden die des Erfurter SOCs noch übertreffen; es wird deshalb das Haupt-SOC und damit der wichtigste Sitz des KI-Abwehrzentrums werden.

Der Standort Wismar ist sehr sorgfältig gewählt. Die Fakultät für Ingenieurwissenschaften der ortsansässigen Hochschule bildet den Cybersecurity-Nachwuchs aus. „Die räumliche Nähe wird eine intensive Zusammenarbeit möglich machen. Wir werden uns aktiv dafür einsetzen, dass sich Lehre und Praxis gegenseitig beflügeln können, um weitere Abwehrstrategien und -lösungen zu entwickeln, die der Privatwirtschaft ebenso wie der Öffentlichkeit nützen werden“, beschreibt Alexander Sowinski. Er wünscht sich von allen Security-Herstellern und -Dienstleistern in Deutschland und Europa eine deutlich aktivere Nachfuchsausbildung und -förderung. Denn KI könne, so gibt er zu bedenken, ein schlagkräftiger und effizienter Partner im Kampf gegen Cyberkriminalität sein, doch den Menschen nicht völlig ersetzen – jedenfalls momentan noch nicht und hoffentlich auch nie.

Auch Dr. Philipp Müller, Vice President Public bei DriveLock SE sieht große Chancen im Einsatz von KI. Das Engagement von ASOFTNET unterstützt er deshalb aus vollem Herzen und ruft ebenfalls zum Aktivwerden auf: „Wir müssen unsere Hausaufgaben machen, um aus einer Position der Stärke agieren zu können. Dies gilt für KMUs, Mittelstand, kritische Infrastrukturen, Verwaltung und Großunternehmen gleichermaßen. Mit dem KI-Abwehr-zentrum ermöglicht es Organisationen, sich skalierbar und ohne großen Mehraufwand gegen aktuelle Bedrohungen zu schützen.”