GPT – die Retter der Cyber Security

Schauen wir in den Alltag eines Verantwortlichen – nennen wir ihn Paul – für die IT-Sicherheit an einer beliebigen Schweizer Hochschule. Paul seufzt. Seine «kleine Abteilung» ist für die Cyber Security der Hochschule verantwortlich. In den letzten Jahren hat sie viel für die allgemeine Sicherheit der Hochschule getan – und trotzdem bleibt immer das Gefühl von «Too little, too late». Die Komplexität explodiert, wie es Komplexität so an sich hat. Die Bedrohungslage eskaliert. Auch hier: Courant normal. Die einzige Konstante bleibt das Budget, und das ist konstant zu klein.

Weder Budget noch Bewusstsein für Cyber Security 

Natürlich hatte Paul den Rektor wiederholt darauf hingewiesen, was es kosten würde, den gesamten Informatikapparat der Hochschule neu aufzubauen – zumindest den Teil, den sie kennen. Was in den Instituten hinter Schranktüren und unter Schreibtischen steht, davon haben Paul und sein Team zwar eine düstere Ahnung, aber weder Handhabe, genügend Energie, noch den nötig grossen politischen Knüppel, um den Forschenden die Wichtigkeit sicherer Systeme nachhaltig klarzumachen.

Allein der Informatikapparat, von dem all die nicht so glamourösen, aber leider notwendigen Funktionen wie Lohnbuchhaltung, Kursverwaltung, Studierendenverwaltung und weiteren Dingen, die verwaltet werden wollen, abhängen, bereitet Paul Kopfschmerzen. Dieses Basissystem ist bereits so komplex, dass dafür ein eigenes Verwaltungssystem erforderlich wäre. Genau dieses aber gibt es nicht. Das Projekt Asset-Management (oder CMDB – Configuration Management Database wie es einfach heisst) war zwar schon ein paar Mal über die «Wäre schön, wenn wir das hätten»-Phase hinausgekommen, kratzte wenige Male am «Lass uns mal die Bedürfnisse aufnehmen»-Status, strandete dann aber in der «So teuer ist das?»- oder «Konnte ja niemand ahnen, wie komplex das ist»-Sackgasse.

Die Kosten, die Paul für einen Neuaufbau der Informatik-Infrastruktur veranschlagt hatte, betrugen gute zehn Prozent des Jahresbudgets der Hochschule. Das war viel Geld. Aber trotz der eindrücklichen PowerPoint-Präsentation, hatte die geforderte Erhöhung des Budgets nicht stattgefunden. Daher weiter: «Too little, too late» und hoffen, dass Zufälle, wie vergessene Sporttaschen weiterhin die schlimmsten Fälle abfangen.

AI soll’s richten

Die Hersteller von Sicherheitslösungen versprechen natürlich, dass ihre Lösungen alle Probleme lösen würden – automatisch mit Machine Learning und künstlicher Intelligenz und mit so vielen global ausgewerteten Firmendaten, dass sie in der gleichen Liga wie die NSA spielen. Natürlich haben Paul und sein Team das bereits ausprobiert, und das Resultat liess nicht lange auf sich warten. Bald schwamm das Team in Incidents: «Impossible Travel», «Use of VPN», «Use of TOR», «Traffic to North Korea» (das war die Firewall, die nach einem der letzten Updates ebenfalls intelligent geworden war), «Login at Unusual Time», «Installation of Unknown Software», «Execution of Possible Malicious Process» und, und, und.

Mehr als 99.99 Prozent False Positives

Die False Positive-Rate war deutlich höher als 99.99 Prozent und führte zu mehr Burn-Out statt zu mehr Sicherheit. Die Use-Cases der Sicherheitssysteme waren für vieles gut – nur leider nicht für den Einsatz an einer Hochschule. «Impossible Travel und Use of VPN» – beides absolut normal, denn Studierende und Forschende sind überall auf der Welt unterwegs und nutzen, was auch immer gerade an Internet da ist. Der Zugriff aus dem Café in Nigeria? Geschenkt: Das Forschungsteam, das gerade dort an Ausgrabungen arbeitet, braucht auch eine Verbindung ins Netz. Am Ende wurden die meisten der «Incidents», die in Rot auf sich aufmerksam machten, unter dem Edikt «Freiheit für Forschung und Lehre» abgehandelt. Auch der verdächtige Verkehr mit Nordkorea liess sich leicht erklären. Das Institut für Nord-Koreanistik sendete Daten in das sonst suspekte Land.

Die Sicherheitssysteme, die auf maschinellem Lernen und künstlicher Intelligenz (salopp gesagt auf Statistik) beruhen, «lernen» von den Daten normaler Firmen. Sie taugen wenig für das Umfeld, in dem Paul für die Sicherheit zuständig ist. Schade.

Systeme, Hersteller und Dienstleister, die davon ausgehen, dass jedes System im Netzwerk gemanagt und mit einem Endpoint Detection and Response Agent ausgestattet ist, schlucken leer, wenn Paul sie auf die 10’000 Geräte aufmerksam macht, die Studierende selber «managen».

Das soll nun alles mit ChatGPT besser werden? Paul seufzt wieder…

Und dennoch

Was GPT und LLMs leisten, ist beachtlich. Ich muss hier weder den Hype, die berechtigte Kritik, noch die Warnungen wiederholen, die in den letzten Monaten noch und noch geschrieben und gesagt wurden. Dass dahinter keine Intelligenz steckt, sondern nur das nächste Wort gesucht wird, das laut Statistik auf die bereits geschriebenen oder generierten Wörter passt, das dürfte unterdessen auch bekannt sein.

Wir erleben in diesen Wochen gerade eine kambrische Explosion von Weiterentwicklungen, Anwendungsmöglichkeiten und (Re-)Kombinationen von Technologien. Täglich erscheinen neue, bessere, spezifischere LLMs mit verfeinerten Trainingssets. Sie leisten Dinge, über die wir nur staunen können. Der Geist ist aus der Flasche und lässt sich nicht mehr zurückbringen. So wie es aussieht, wird es den grossen Konzernen nicht möglich sein, die Basis-Technologien geheim zu halten. OpenSource wird gewinnen – zumindest, wenn man den Gedanken aus dem geleakten internen Dokument von Google folgt.

Potenzial für Paul

Wenn wir zurück zu Paul kommen, der sich in einem Szenario bewegt, das nicht dem kommerziellen Mainstream entspricht, aber ein Teil der Realität ist, dann ist Skepsis verständlich. Wir kennen alle die übertriebenen Versprechen der Hersteller, die gerne zu Verkaufszwecken ein Quäntchen über das Ziel hinausschiessen.

Und trotzdem: Die LLMs und GPT bereiten Wege und Möglichkeiten mit ungewissem, aber grossem Potenzial. Wir wissen zum heutigen Zeitpunkt nicht, wie sich diese Technologien (ich zögere den Begriff AI zu verwenden) weiterentwickeln und was in wenigen Wochen möglich sein wird. Wenn Sie es noch nicht versucht haben: Spielen Sie mal mit AutoGPT und staunen Sie, was jetzt bereits an autonomem Wirken möglich ist. Und dann versuchen Sie zu extrapolieren, wo wir in ein, zwei, vier oder acht Monaten stehen.

Es ist schwierig, sich vorzustellen, wie gross der Nutzen dieser Werkzeuge sein wird. Vielleicht sind GPT die Retter der Cyber Security – und aller Pauls dieser Welt. Die Möglichkeit besteht auf jeden Fall.