KI-gestützte Bewertung von Risiken in Regulatorik und IT-Sicherheit
Cyberangriffe verursachen in der Wirtschaft erhebliche Schäden. Die Ursachen eines niedrigen Sicherheitsniveaus und einer lückenhaften Umsetzung von Anforderungen beispielsweise aus der Datenschutzgrundverordnung (DSGVO) liegen häufig in der unzureichenden Fähigkeit, Risikofaktoren korrekt einzuschätzen. Moderne Technologien der Künstlichen Intelligenz (KI) ermöglichen es, Risikobewertungen anhand einer Vielzahl von Daten und Fakten durchzuführen. Dazu dienen sowohl eigene Daten von Organisationen als auch öffentlich zugängliche Informationen. Auf dieser Basis ist es möglich, ein holistisches Gesamtbild der Situation zu schaffen und priorisierte Handlungsempfehlungen abzuleiten. Das Ergebnis sind automatisierte Sicherheitsbewertungen und Vorschläge für konkrete Maßnahmen, womit Risiken kosteneffizient gesenkt und Schäden sowie Strafen vor deren Eintritt verhindert werden können.
Ziel der Forschenden im Projekt „KI-gestützte Bewertung von Risiken in Regulatorik und IT-Sicherheit“ (KI-RISK) ist es, Cyberrisiken und regulatorische Compliance bezüglich der DSGVO messbar zu machen und Organisationen zu befähigen, ein angemessenes Sicherheits- und Compliance-Niveau zu erreichen. Mit fachspezifischen Informationen aus heterogenen Quellen soll eine KI trainiert werden, mit der Risiken generell bewertet werden können. Die KI soll neue Sicherheitslücken oder Änderungen der Gesetzeslage automatisiert berücksichtigen. Die individuelle IT-Umgebung von Organisationen wird mit Scannern erfasst. Durch einen Vergleich der individuellen IT-Umgebung mit den generellen Risiken sollen schließlich priorisierte Handlungsempfehlungen abgeleitet werden können. Insgesamt wird so eine KI-basierte multifaktorielle Risikoanalyse entwickelt. Diese soll im Anschluss an die Forschungsarbeiten in einer Plattform zur Analyse von Cyberrisken eingesetzt und getestet werden. Perspektivisch soll sie zudem Organisationen als Software-as-a-Service zur Verfügung stehen.
Durch den Einsatz von KI-Technologien und das kontextsensitive Training der Modelle wird es möglich, automatisiert präzise Risikobewertungen durchzuführen. Im Gegensatz zu einer Datenanalyse durch Fachpersonal ist KI in der Lage, sehr große Datenmengen zu verarbeiten und daraus Maßnahmen abzuleiten. Darüber hinaus entsteht durch die KI-Technologie ein dynamisches System, das sich den verändernden, realen Ereignissen der Welt kontinuierlich anpasst. Die anvisierte Software wird, insbesondere für kleine und mittlere Unternehmen, eine schnelle und kostengünstige Lösung bieten, um ihre digitalen Werte zu schützen und gleichzeitig regulatorischen Anforderungen wie der DSGVO gerecht zu werden. Damit schließt die neue Lösung die Lücke zwischen aufwändigen, zeitintensiven Ansätzen auf der einen Seite und teuren, individuellen Beratungsdienstleistungen auf der anderen Seite, was die IT-Sicherheit am Standort Deutschland stärkt.