Die Sicherheitsbranche steht vor einem Paradigmenwechsel. Auf dem Panel “From Threat to Strategy: The CISO’s Playbook for the AI Revolution” diskutierten Francis deSouza (Google Cloud), Emma Smith (Vodafone) und Shaun Khalfan (PayPal) mit Wall-Street-Journal-Reporter James Rundle, wie Sicherheitsführungskräfte die KI-Revolution bewältigen können.
Eine überraschende Erkenntnis: Der klassische Ansatz des “Human in the Loop” – also die kontinuierliche menschliche Überwachung von KI-Entscheidungen – wird zunehmend als Bottleneck wahrgenommen. DeSouza von Google Cloud machte deutlich, dass menschliche Verteidigungsmechanismen zu langsam sind, um mit autonomen Cyberangriffen Schritt zu halten. Google bewegt sich daher in Richtung “Agent-led Defense” – vollautomatisierte KI-Abwehr ohne menschliche Verzögerungen.
Vodafones Emma Smith stimmte zu und warnte vor der fehlenden Skalierbarkeit: “Ein Mensch im Loop ist nicht skalierbar, wenn wir traditionelle Sicherheitskontrollen betrachten.” Stattdessen plädiert sie für einen Menschen “on the Loop” – jemanden, der von KI-Erkenntnissen profitiert, aber nicht aktiv kontrolliert. Vodafone nutzt dafür AI Booster, eine zentralisierte Machine-Learning-Plattform auf Basis von Googles Technologie, die es ermöglicht, Modelle schnell zu skalieren und deren Erfolg zu messen.
Doch KI bringt auch neue Risiken. Prompt-Injection-Angriffe, unzureichende Datensicherheitsstandards bei KI-Anbietern und die unkontrollierte Verwendung von KI-generiertem Code sind ernsthafte Bedenken. PayPal reagiert darauf mit einem strengen Rahmen: Alle KI-Modelle werden nach Datensensibilität klassifiziert und mit Sicherheitskontrollen versehen, die gegen Manipulationen und Prompt-Injektionen schützen.
Shuan Khalfan betont die Bedeutung einer umfassenden “Data Security Wrapper” – ein Ansatz, der Datenschutz, Privatsphäre, Transparenz und Nachvollziehbarkeit in den Mittelpunkt stellt. PayPal arbeitet dafür auch mit der Coalition for Secure AI (CoSAI) zusammen, einer branchenweiten Initiative, die sichere KI-Deployments fördern soll.
Für deutsche Organisationen ist die Botschaft klar: KI-Sicherheit erfordert eine Top-down-Strategie mit klaren Governance-Strukturen. Es geht nicht darum, Menschen aus der Sicherheit zu verdrängen, sondern darum, sie strategisch einzusetzen – zur Überwachung von Risiken, zur Priorisierung hochsensitiver Fälle und zur Etablierung ethischer Grundsätze. Die Zukunft liegt in hybriden Modellen: autonome KI-Systeme für Routine-Threat-Detection und menschliche Expertise für strategische, riskante Entscheidungen.