{"id":317609,"date":"2025-10-30T00:11:21","date_gmt":"2025-10-29T23:11:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=317609"},"modified":"2025-10-29T12:15:48","modified_gmt":"2025-10-29T11:15:48","slug":"ex-cisa-chefin-meint-sicherheitsteams-werden-durch-ki-obsolet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/10\/30\/ex-cisa-chefin-meint-sicherheitsteams-werden-durch-ki-obsolet\/","title":{"rendered":"Ex-CISA Chefin meint Sicherheitsteams werden durch KI obsolet"},"content":{"rendered":"

\"Copilot\"Noch ein kleiner Informationssplitter, der mir die Tage untergekommen ist. Die Ex-Chefin der US-Sicherheitsagentur CISA, Jen Easterly,\u00a0ist gerade mit einer besonderen These aufgefallen. Sie meint, dass KI k\u00fcnftig Schwachstellen so schnell fixt, dass Sicherheitsteams obsolet werden k\u00f6nnten.<\/p>\n

<\/p>\n

Wer ist Jen Easterly?<\/h2>\n

\"\"Jen Easterly war laut Biographie<\/a> (und hier<\/a>) Direktorin der Cybersecurity and Infrastructure Security Agency (CISA) und wurde im April 2021 von Pr\u00e4sident Biden nominiert und am 12. Juli 2021 vom Senat in dieser Position best\u00e4tigt. Inzwischen wurde sie von der Trump Administration abgel\u00f6st.<\/p>\n

Vor ihrer aktuellen Berufung zur CISA-Chefin war Easterly Leiterin des Bereichs Firm Resilience bei Morgan Stanley und dort f\u00fcr die Vorbereitung und Reaktion auf gesch\u00e4ftsbeeintr\u00e4chtigende Betriebsst\u00f6rungen und Risiken f\u00fcr das Unternehmen verantwortlich.<\/p>\n

Die Dame war bei der US-Armee 20 Jahre im Bereich Cybersicherheit aktiv, und war f\u00fcr\u00a0zwei Amtszeiten im Wei\u00dfen Haus, zuletzt als Sonderassistentin von Pr\u00e4sident Obama und Senior Director f\u00fcr Terrorismusbek\u00e4mpfung t\u00e4tig. Au\u00dferdem war sie stellvertretende Leiterin f\u00fcr Terrorismusbek\u00e4mpfung bei der National Security Agency.<\/p>\n

Man kann dies als typische Verwaltungst\u00e4tigkeiten im Staatsdienst, allerdings in leitenden Positionen einzusortieren. M\u00f6chte ich nicht abqualifizieren, sie hat den Blick f\u00fcr das Gro\u00dfe Ganze. W\u00fcrde ich jetzt aber eher nicht als Position mit vertieftem Verst\u00e4ndnis f\u00fcr die M\u00f6glichkeiten von LLMs oder Detailkenntnissen in Software-Entwicklung und Schwachstellenanalyse verorten. So viel zur Einordnung folgender Aussagen.<\/p>\n

Cyber-Sicherheitsteams werden obsolet<\/h2>\n

Die Tage bin ich \u00fcber nachfolgenden Tweet<\/a> von Nicolas Krassas, Head of Threat & Vulnerability Mgmt @ Henkel AG & Co. KGaA, auf das Thema gesto\u00dfen, welches von The Register im Beitrag Ex-CISA head thinks AI might fix code so fast we won't need security teams<\/a> aufbereitet wurde.<\/p>\n

\"Ex-CISA-Chefin<\/p>\n

Auf der Anwenderkonferenz von AuditBoard in San Diego sagte Easterly, dass sich die Bedrohungslage st\u00e4ndig weiterentwickelt. Aber die\u00a0Ex-CISA-Chefin glaubt, dass KI das Ende der Cybersicherheitsbranche bedeuten k\u00f6nnte. Denn AI k\u00f6nne schlampige Software und Schwachstellen, auf die Cyberkriminelle setzen, schneller als je zuvor aufsp\u00fcren.<\/p>\n

Sie weist berechtigt darauf hin, dass klingende Namen wie \"Fancy Bear\" oder \"Scattered Spider\" sowie\u00a0Ausdr\u00fccke wie \"fortgeschrittene persistente Bedrohung\" die Tatsache verschleierten, dass Angreifer \u00fcberwiegend dieselben Arten von Schwachstellen ausnutzen, die die Branche seit Jahren plagen. Chinas Volksbefreiungsarmee verlasse sich nicht auf exotische Cyberwaffen, sondern nutze einfach Schwachstellen in Routern und anderen Netzwerkger\u00e4ten, um im Falle eines Krieges gegen Taiwan die Grundlage f\u00fcr einen gro\u00df angelegten Angriff zu schaffen.<\/p>\n

Tatsache sei auch, dass Cross-Site-Scripting, unsichere Speichercodierung, SQL-Injection, Directory Traversal nach wie vor fester Bestandteil der Schwachstellen bei ausgelieferter Software ist.\u00a0Das liege daran, dass Softwareunternehmen darauf bestanden h\u00e4tten, dass\u00a0 ihre Kunden alle Risiken tragen, und die Regierung und Aufsichtsbeh\u00f6rden davon \u00fcberzeugen konnten, dass dies akzeptabel sei. Dieser Gedankengang ist in meinen Augen nicht von der Hand zu weisen.<\/p>\n

Die Verbreitung von Daten, Plattformen und Ger\u00e4ten bedeute, dass \"wir die Angriffsfl\u00e4che f\u00fcr Cyber-Bedrohungen wie China, Russland, Iran, Nordkorea und Banden von Cyberkriminellen vergr\u00f6\u00dfert haben\", sagt Easterly.<\/p>\n

\"Wir haben kein Problem mit der Cybersicherheit. Wir haben ein Problem mit der Softwarequalit\u00e4t\", sagte Easterly. Der Hauptgrund daf\u00fcr sei, dass Softwareanbieter der Markteinf\u00fchrung und Kostensenkung Vorrang vor der Sicherheit einr\u00e4umten. Passt perfekt zu meinem Beitrag\u00a0Absturz der Softwarequalit\u00e4t: Normalisierung einer Katastrophe<\/a>.<\/p>\n

KI mache Angreifer leistungsf\u00e4higer, helfe ihnen dabei, heimlichere Malware und \"hyper-personalisiertes Phishing\" zu entwickeln und Schwachstellen und Fehler schneller zu erkennen und aufzudecken.\u00a0Die CISA habe mit einem eigenen KI-Aktionsplan reagiert. Easterly glaubt, dass wenn man das richtig angehe, k\u00f6nne man tats\u00e4chlich das Gleichgewicht in Sachen Cybersicherheit zugunsten der Verteidiger und Besch\u00fctzer verschieben.<\/p>\n

Dazu geh\u00f6ren die Erkennung, Gegenma\u00dfnahmen und das Lernen aus Angriffen, aber auch die Identifizierung von Schwachstellen und die Gew\u00e4hrleistung der Sicherheit von Software durch deren Design. Easterly wird von The Register so zitiert: \"Wenn wir in der Lage sind, diese unglaublich leistungsstarken Technologien auf sichere Weise zu entwickeln, einzusetzen und zu verwalten, wird dies meiner Meinung nach zum Ende der Cybersicherheit f\u00fchren.\" Damit meinte Easterly laut The Register, dass eine Sicherheitsverletzung eine Anomalie w\u00e4re und nicht zu den Kosten der Gesch\u00e4ftst\u00e4tigkeit geh\u00f6ren w\u00fcrde.<\/p>\n

Laut Jen Easterly biete\u00a0KI\u00a0eine M\u00f6glichkeit, dieses Problem anzugehen, da KI weitaus besser als Menschen darin sei, Fehler im Code aufzusp\u00fcren und zu identifizieren. Und es w\u00e4re m\u00f6glich, die aufgeh\u00e4ufte Technische Hypothek anzugehen, den ein \"wackeliges Durcheinander aus \u00fcberm\u00e4\u00dfig gepatchter, fehlerhafter Infrastruktur\" hinterlassen habe.<\/p>\n

\"Ich denke, die gute Nachricht ist, dass die derzeitige Regierung weiterhin die Idee der Sicherheit durch Design f\u00fcr Software im Allgemeinen unterst\u00fctzt.\", wird sie zitiert. Der Clou sei, dass der k\u00fcrzlich ver\u00f6ffentlichte KI-Aktionsplan des Wei\u00dfen Hauses speziell auf Cybersicherheit und die Notwendigkeit von KI-Systemen eingeht, die mit Sicherheit als oberster Priorit\u00e4t erstellt, entworfen, entwickelt, getestet und geliefert werden.<\/p>\n

Auf die Frage von Richard Marcus, CISO von AuditBoard, was f\u00fcr das n\u00e4chste Jahr am wichtigsten sei, antwortete Easterly, dass der Schl\u00fcssel zur Verringerung von Software-Risiken darin liege, h\u00f6here Anforderungen an Software-Anbieter zu stellen. \"Dort entsteht das Risiko, und dort haben wir durch alles, was Sie alle tun, die Macht und die F\u00e4higkeit, dieses Risiko auf sehr wesentliche Weise zu verringern.\"<\/p>\n

Meine Gedanken dazu<\/h2>\n

Das sind alles keine falschen Gedanken. Aber ich bin nicht so sicher, wie blau\u00e4uig und KI-gl\u00e4ubig solche Aussagen sind. Nat\u00fcrlich k\u00f6nnen wir neue Software m\u00f6glicherweise mit Hilfe von KI ein wenig sicherer machen, weil Schwachstellen automatisiert gefunden werden. Aber Hand aufs Herz, die Welt ist doch ein wenig bunter.<\/p>\n