Goldfarb eröffnet seinen Beitrag mit einer Analogie aus dem Alltag: Wer in einer sozialen, akademischen oder geschäftlichen Situation von einer Frage oder Bemerkung überrascht werde, wünsche sich oft mehr Zeit für eine treffende Antwort. Statt strategisch zu handeln, sei man gezwungen, taktisch zu reagieren – mit selten idealen Ergebnissen.
Daraus leitet er eine Lektion für die Sicherheit ab. Sicherheitsorganisationen könnten die Unternehmen, die sie verteidigen, besser schützen, wenn sie die Möglichkeit erhielten, strategisch zu agieren, statt nur taktisch zu reagieren. Für die Anwendungssicherheit heiße das konkret, das Sicherheitsteam einzubeziehen und Sicherheit deutlich früher im Software-Entwicklungszyklus zu verankern.
Mit dem Aufkommen von KI seien viele ungelöste Fragen rund um Governance, Risiko und Compliance entstanden. Sicherheitsfachleute hätten diese Fragen sorgfältig durchdacht und sich zugleich gefragt, warum ein derart präsentes Thema ihren operativen Alltag so wenig betreffe.
Der Grund dafür sei zuletzt deutlich geworden, schreibt Goldfarb: Sicherheit sei in vielen Fällen ein nachträglicher Gedanke gewesen. Es gebe Ausnahmen, doch in zahlreichen Unternehmen sei die Sicherheit nicht mit Anwendungsverantwortlichen, Entwicklungsteams und anderen abgestimmt gewesen, die mit KI-Anwendungsfällen experimentierten. Sobald sich einzelne dieser Anwendungsfälle als nützlich erwiesen, hätten die Unternehmen begonnen, sie in Produktion zu überführen – eine Phase, die sich in den letzten Monaten häufiger ereignet habe als zuvor, ohne dass die Sicherheit einbezogen worden sei.
Überrascht zu werden sei alles andere als ideal, gehöre im Sicherheitsbereich aber zum Alltag. Daraus ergibt sich für Goldfarb die zentrale Frage: Wie können sich Sicherheitsteams darauf vorbereiten, von KI-Anwendungen überrumpelt zu werden, die in Produktion gehen und unter Zeitdruck abgesichert werden müssen?
Er hält fest, dass Sicherheitsteams beim Übergang von KI-Anwendungen aus der Experimentier- in die Produktionsphase zwangsläufig überrascht würden. Es gebe jedoch eine Reihe von Schritten, mit denen Sicherheitsorganisationen ihre Bereitschaft für solche Fälle verbessern könnten. Zwar sei diese Lage alles andere als ideal, doch mit mehreren strategischen Maßnahmen könnten Sicherheitsteams ihre Fähigkeit deutlich steigern, schnell, flexibel und angemessen zu reagieren.
Der Beitrag stammt von Joshua Goldfarb, derzeit Field CISO bei F5. Zuvor war er unter anderem VP, CTO – Emerging Technologies bei FireEye sowie Chief Security Officer bei nPulse Technologies bis zu dessen Übernahme durch FireEye. Früher in seiner Laufbahn leitete er als Chief of Analysis beim United States Computer Emergency Readiness Team (US-CERT) den Aufbau und Betrieb der Analyse- und Forensikkapazitäten für Netzwerk, Endpunkte und Malware.
