Die häufigsten Argumente für KI in der OT hinterfragt

In unserem Blogpost “Wie sinnvoll ist KI in der OT-Sicherheit" haben wir den Mehrwert und die Risiken Künstlicher Intelligenz in OT-Sicherheitslösungen beleuchtet. Zeit, den konkreten Argumenten für KI auf den Zahn zu fühlen.

Die nachfolgenden Argumente für KI in der OT-Sicherheit wurden Blogbeiträgen und Stellungnahmen verschiedener Cybersicherheitsanbieter und -institute entnommen.

KI kann schneller die Baseline erstellen

Grundsätzlich kann hier eine KI unterstützen, um wiederkehrende Muster als Baseline für die Anomalieerkennung zu definieren. Jedoch gilt auch hier:

• Das Aufwendigste bei der Baseline-Erstellung ist weniger die Auswertung der bestehenden OT-Kommunikation, sondern der Mitschnitt der OT-Kommunikation, um ein Sample vorliegen zu haben, in dem möglichst alle legitimen Kommunikationen (und bereits existierenden Auffälligkeiten) abgebildet sind.

• Das ist genauso gut oder besser (da besser nachvollziehbar) über heuristische und statistische Verfahren umsetzbar.

• Das Datenvolumen und die Datenqualität können mitunter zu gering sein, um eine sichere Baseline zu definieren, in denen sich keine Schwachstellen und Risiken mehr befinden. Proprietäre und alte Systeme erschweren die automatisierte Datenbereinigung.

• Die OT-Kommunikation unterscheidet sich stark von Unternehmen zu Unternehmen, von Netzwerk zu Netzwerk. Selbst wenn eine KI zum Einsatz kommt, bleibt das Erfahrungswissen von OT-Expert:innen und den jeweiligen OT-Betreiber:innen maßgeblich.

• Noch schneller geht die Baseline-Erstellung mittels digitaler Zwillinge, z. B. der .scd-Datei in IEC 61850 Infrastrukturen.

KI kann die IT/OT-Konvergenz besser überwachen

Das ist richtig. Dafür braucht es jedoch keine KI im OT-Monitoring, sondern im SIEM in der zentralen IT. Dort findet die Konvergenz statt.

KI kann schneller Schwachstellen erkennen

Dafür bedarf es keiner KI. Ein OT-Monitoring, das – wie Rhebo Industrial Protector – die in der OT aktiven Systeme samt Firmware-Stand dokumentiert und mit der CVE-Datenbank abgleicht, kann das über einfache heuristische Algorithmen bewerkstelligen.

KI verbessert die Anomalie- und Gefährdungserkennung

Die Stärke von KI liegt darin, aus einer Vielzahl an Daten und Quellen neue oder bekannte Muster zu erkennen. Das kann insbesondere in mehrstufigen Angriffen bedeutend werden. Die Gefährdungserkennung durch KI bekommt dadurch erst im SIEM Gewicht. Der Mehrwert in der OT ist aufgrund der dort vorherrschenden deterministischen, repetitiven Kommunikation vernachlässigbar und wiegt die Nachteile nicht auf. In der OT können die wichtigsten und meisten Anomalien sicher mit heuristischen und statistischen Methoden erkannt werden

KI kann den Fachkräftemangel überbrücken

Die Hoffnung liegt darin, dass KI notwendige Prozesse automatisiert und selbstständig durchführt, wodurch die bestehenden Teams entlastet werden. Das ist in der Theorie logisch, in der Praxis jedoch nur bedingt realistisch, weil:

• KI-Systeme bislang zu fehleranfällig sind, um allein laufen gelassen zu werden. KI macht Cybersicherheit aktuell eher noch komplexer, weil die Verantwortlichen auch fit sein müssen, was KI-Engineering und –Management betrifft. KI ist eben kein Selbstläufer, dem voll vertraut werden kann (siehe unseren Blogpost).

• in der OT eine Automatisierung von Cybersicherheit selten erwünscht ist, weil falsch-positive Entscheidungen den Arbeitsschutz gefährden und durch fälschlicherweise automatisch heruntergefahrene Anlagen zu Millionenschäden führen können.

‍