Die Zahl der erfolgreichen Cyberangriffe gegen Unternehmen hat in den letzten Jahren deutlich zugenommen. Dabei sind nicht nur vermeintlich kleine Unternehmen ohne eigene IT-Abteilung betroffen, sondern auch Branchenriesen werden immer wieder Opfer solcher Angriffe. Ein möglicher Grund dafür ist der ausgeprägte Fachkräftemangel in der IT-Branche.

Im Bereich der IT-Security stehen Unternehmen vor der Herausforderung, entweder ein großes Team mit spezialisierten Experten zu haben oder Allrounder einzusetzen, die vielseitige Aufgaben übernehmen und sowohl präventive als auch reaktive Maßnahmen umsetzen können.

In den letzten zwölf Monaten ist der Einsatz von künstlicher Intelligenz (KI) zweifellos der vorherrschende Trend in allen Bereichen der IT. Besonders große Sprachmodelle, wie die GPT-Versionen des US-amerikanischen Entwicklers OpenAI, sind dabei führend und setzen neue Maßstäbe. Microsoft hat frühzeitig in OpenAI investiert und nutzt diese Technologie bereits für die eigene Suchmaschine und ein Assistenzsystem unter Windows. Nun wird sie auch angekündigt, um bei IT-Sicherheitsaufgaben im Rahmen des "Microsoft Security Copilot" [1] zu unterstützen.

Ähnlich wie Piloten im Cockpit eines Flugzeugs benötigen auch Analysten im Bereich der IT-Sicherheit Unterstützung bei der Bewältigung ihrer Alltagsaufgaben. Wie Sie das vielleicht aus Ihrer eigenen Erfahrung von der Verwendung von ChatGPT oder GPT4.0 kennen, ist das Interface zu den KI-Tools ein sehr natürlichsprachiges. Sie tragen den Kontext einer Frage oder Aufgabe möglichst exakt in den Prompt ein und erhalten nach einiger Zeit Feedback zu der behandelten Thematik. Das LLM (Large Language Model, zu deutsch: großes Sprachmodell) berechnet dann entsprechend der Wahrscheinlichkeit von Wort und Satzbestandteilen die nächsten Wörter und Inhalte.

Microsoft hat sich mit dem Security Copilot hehre Ziele gesetzt. So soll das Programm Analysten bei fast allen Arbeitsschritten unterstützen – ausgehend vom sicheren Aufsetzen der Systeme, über die Konfiguration zum zentralen Sammeln dezentraler Logdaten, dem Erkennen von Bedrohungssituationen und IT-Sicherheitsvorfällen, deren Analyse und erste Reaktionen darauf sowie bei dem Erstellen von Berichten und der Dokumentation analysierter Vorfälle. Mit dieser Unterstützung können Sie als Admin dann komplizierte Sicherheitsszenarien deutlich effizienter verwalten. Die Logdaten bedrohlicher Aktivitäten lassen sich mit diesem Automatismus schneller auswerten und die automatisierte Überprüfung heterogener Angriffsdaten erlaubt die Korrelation der vorliegenden Informationen. Damit rücken unter Umständen auch bisher übersehene Bedrohungen ins Rampenlicht.

Die Software bietet nicht nur Funktionen zur Einzelanalyse von Sicherheitsvorfällen, sondern erleichtert auch die Teamarbeit von Sicherheitsanalysten. Mit einer gemeinsamen grafischen Oberfläche können Analysten gleichzeitig an Vorfällen arbeiten, Details diskutieren und die herausgearbeiteten Informationen mithilfe der GPT-Technologie ergänzen. Diese kollaborative Umgebung fördert den Austausch von Erkenntnissen und die effiziente Bearbeitung von Sicherheitsvorfällen im Team.

Als besonderes Highlight des Security Copilots wird der Zugriff auf Microsofts eigene Datenbank mit Vorfallinformationen und aktuellen Events angeboten. Dies ermöglicht es Analysten, auf relevante und aktuelle Daten zuzugreifen und diese in ihre Analysen einzubeziehen, um fundierte Entscheidungen zu treffen. Die Antworten, die der Copilot liefert, lassen sich nahtlos in die Dokumentation der Fallbearbeitung einfügen und stehen so für spätere Bearbeitungsschritte an der richtigen Stelle zur Verfügung. Die Möglichkeit, Berichte und Erkenntnisse im großen Modell des Copilots zu integrieren, fördert den Wissensaustausch und trägt dazu bei, dass das System mit jeder Analyse an Erfahrung und Leistungsfähigkeit gewinnt.

Während der Evaluationsphase stellt Microsoft sicher, dass Daten, die während der Erprobung generiert werden, nicht an Microsoft oder andere Unternehmen fließen. Dies dient dem Schutz der Vertraulichkeit. Im späteren Produktiveinsatz dürfte es das Ziel von Microsoft sein, möglichst viele Unternehmen zu ermutigen, sicherheitsrelevante Informationen bereitzustellen. Denn die Beteiligung einer breiten Palette von Firmen kann die globale Sicherheitslage nachhaltig verbessern, da die gewonnenen Erkenntnisse und Erfahrungen allen Kunden zugutekommen.

Nicht nur erfahrene Securityexperten profitieren von den Möglichkeiten des Copilots. Auch Teammitglieder ohne umfassende Ausbildung oder Erfahrung können mithilfe des Copilots aktive Vorfallbearbeitungen durchführen. Das System generiert Schritt-für-Schritt-Anleitungen für die Analyse, führt durch den Prozess und zeigt Mittel und Wege auf, um zusätzliche Informationen in den Kontext der Bearbeitung einzubringen. Dies bedeutet, dass auch weniger erfahrene Nutzer von der Expertise des Systems profitieren können und in der Lage sind, effektive Sicherheitsanalysen durchzuführen.

Der Copilot erleichtert auch das Reverse Engineering erkannter Schadsoftware erheblich. Analysten können verdächtige Dateien oder Skripte einfach per Drag-and-Drop in den Prompt des Copilots einfügen und gezielte Fragen dazu stellen. Die grafische Darstellung der unterschiedlichen Schritte eines Exploits veranschaulicht dann beispielsweise komplexe Zusammenhänge und ermöglicht es Analysten, die möglichen Schwachstellen und Auswirkungen besser zu verstehen.

Insgesamt bietet der Security Copilot von Microsoft ein leistungsfähiges Werkzeug, das nicht nur einzelne Sicherheitsanalysten, sondern auch ganze Teams dabei unterstützt, Sicherheitsvorfälle effizient zu bearbeiten, Wissen auszutauschen und die globale Sicherheitslage zu verbessern. Die Kombination aus menschlicher Expertise und der GPT-Technologie eröffnet neue Möglichkeiten in der IT-Sicherheit und bietet Unternehmen eine wertvolle Ressource im Kampf gegen Cyberbedrohungen.

Der Security Copilot von Microsoft basiert auf den bereits erwähnten LLMs, die es ermöglichen, komplexe IT-Sicherheitsszenarien zu analysieren und angemessene Sicherheitsmaßnahmen vorzuschlagen. Um die Anforderungen von Unternehmen noch besser zu erfüllen, hat Microsoft den Security Copilot um zusätzliche und speziell angepasste IT-Sicherheitsmodelle aus allen Bereichen des Microsoft-Security-Universums erweitert. Dadurch erhalten Sie bei der Verwendung des Copilots deutlich mehr als nur ein weiteres GPT-Interface und Sie können von der Integration mit den vorhandenen Microsoft-Security-Plattformen profitieren.

Trotz der Fortschritte in der Technologie gibt es aber immer noch Einschränkungen, da der Security Copilot ein sprachbasiertes Modell ist. Das bedeutet, dass die Antworten, die das System liefert, gelegentlich auch falsche Informationen enthalten können, sogenannte Halluzinationen. Es ist also wichtig, sich bewusst zu machen, dass diese Einschränkungen sowohl das Reverse Engineering von Schadsoftware, die Abfrage von Fakten, aber vor allem auch die Schritt-für-Schritt-Anleitungen für Vorfallanalysen betreffen können.

Um die Qualität des Modells kontinuierlich zu verbessern, ermöglicht Microsoft den Benutzern, Feedback zu den erhaltenen Antworten zu geben. Hierbei ist jedoch Vorsicht geboten, insbesondere bei den sensiblen Informationen, die bei diesem Tool im Kontext vorhandenen sind. Zum Zeitpunkt der Erstellung dieses Artikels ließ sich nicht eindeutig ermitteln, ob diese Daten ausschließlich intern verwendet werden oder Microsoft damit nicht auch das globale Sprachmodell optimieren möchte.

Der Security Copilot lässt sich in verschiedenen Sicherheitsbereichen einsetzen, wie beispielsweise beim Identifizieren von Bedrohungen, der Analyse von Sicherheitsvorfällen, dem Erstellen von Sicherheitsrichtlinien und dem Durchführen von Risikobewertungen. Hier liefert er vermutlich vor allem Geschwindigkeitsvorteile. Dennoch ist er nicht als Ersatz für menschliche Analyse und Fachwissen zu betrachten, insbesondere bei kritischen Sicherheitsvorfällen, wo geschulte Analysten eine zusätzliche Überprüfung durchführen müssen.

Die Zusammenarbeit von KI mit menschlichen Sicherheitsexperten eröffnet neue Möglichkeiten, um den steigenden Herausforderungen der Cyberbedrohungen gerecht zu werden. Der Microsoft Security Copilot kann Sicherheitsteams unterstützen, indem er sowohl Allrounder als auch spezialisierte Experten dazu befähigt, aktive Vorfallbearbeitungen durchzuführen und Bedrohungen zu erkennen, Sicherheitslücken zu schließen und Vorfälle zu bearbeiten.

Die Technologie erlaubt die zeitgleiche Bearbeitung im Team, Diskussionen über Details und das Anreichern von Informationen mithilfe der KI, was zu einer effizienteren Zusammenarbeit und schnelleren Reaktionszeiten führen kann. Der Microsoft Security Copilot stellt so einen vielversprechenden Ansatz dar, um Unternehmen dabei zu unterstützen, proaktiv auf Bedrohungen zu reagieren und ihre Sicherheitsinfrastrukturen zu stärken. Allerdings bleibt menschliche Expertise am Ende doch (noch) unverzichtbar.