Die NSA schließt sich der CISA und anderen an, um Richtlinien zur Integration von KI in die Betriebstechnologie bereitzustellen.
Prayukth KV
NSA schließt sich CISA und anderen an, um Leitlinien zur Integration von KI in Betriebstechnologie bereitzustellen
Kürzlich haben die National Security Agency (NSA) zusammen mit der Cybersecurity and Infrastructure Security Agency (CISA), dem Australian Cyber Security Centre der australischen Signals Directorate (ASD’s ACSC) und anderen das Cybersecurity Information Sheet (CSI) „Grundsätze für die sichere Integration von Künstlicher Intelligenz in Betriebstechnologie“ veröffentlicht.
Dieser Bericht beschreibt viele Möglichkeiten, wie KI in BT integriert werden kann, und erläutert vier grundlegende Prinzipien, die Betreiber und Eigentümer kritischer Infrastrukturen befolgen müssen, um sowohl die Vorteile zu nutzen als auch die Risiken bei der Integration von KI in BT-Umgebungen zu minimieren. Die empfohlenen Prinzipien geben Anleitungen zum Verständnis von KI; Betrachten der Nutzung von KI im BT-Bereich; Schaffung von KI-Governance und -Sicherheitsrahmen; und Einbettung von Sicherheits- und Schutzpraktiken in KI- und KI-gestützte BT-Systeme. In unserem heutigen Blogbeitrag gehen wir detailliert auf die empfohlenen Prinzipien ein.
Hintergrund
Wenn 2024 das sogenannte Jahr der KI-Experimente war, erlebten wir 2025 eine nuanciertere und fundiertere Sichtweise auf die KI. Diese Sichtweise näherte sich der Realität an und brachte die spezifischen Herausforderungen der KI-Einführung in verschiedenen Sektoren zutage. Mit dem wachsenden KI-Bewusstsein der Unternehmen begannen Unternehmensleiter, auf eine umfassendere Betrachtung von KI zu achten, die weit über den Hype hinausging. Auch die Regulierungsbehörden schritten ein und begannen, Richtlinien und Empfehlungen herauszugeben.
Vor ein paar Tagen, als wir bei einer Veranstaltung waren, kündigten CISA zusammen mit der NSA, dem FBI und Cybersicherheitsagenturen aus Großbritannien, Australien, Kanada, Deutschland und Neuseeland die Veröffentlichung eines bahnbrechenden Dokuments namens Grundsätze für die sichere Integration von Künstlicher Intelligenz in Betriebstechnologie (BT) an. Wir haben es während unseres Rückflugs durchgesehen.
Dies ist nicht nur eine weitere Compliance-Checkliste. Stattdessen sieht es eher aus wie eine dringend benötigte Antwort auf einen kritischen Reibungspunkt in BT-Umgebungen. Der Konflikt zwischen der probabilistischen Natur der KI (die basierend auf Daten „rät“) und der deterministischen Natur der Betriebstechnologie (wo sich ein Ventil schließen oder eine Turbine stoppen muss) beginnt sich zu überschneiden, und Unternehmen suchen nach einer Form der Orientierung, um das Ganze so zu bändigen, dass es nicht außer Kontrolle gerät und ohne Leitplanken in eine unkontrollierbare Kernreaktion übergeht.
Leiten Sie eine BT-basierte kritische Infrastruktur, die Energie, Wasser, Produktion oder Transport umfasst? Diese Leitlinie könnte Ihr neuer „Nordstern“ werden. Hier ist eine detaillierte Aufschlüsselung der vier Prinzipien, die nun den Standard der Fürsorge für KI in BT gemäß dem Dokument definieren.
Das "Need-to-Know" Prinzip: Verstehen, bevor Sie implementieren
Um die einzigartigen Herausforderungen der Integration von KI in BT-Umgebungen zu adressieren, müssen Eigentümer und Betreiber kritischer Infrastrukturen sicherstellen, dass das KI-System sicher entworfen wurde und ihre Rollen und Verantwortlichkeiten im Lebenszyklus des KI-Systems verstehen. Ähnlich wie bei hybriden Besitzmodellen, die bei Cloud-Systemen genutzt werden, müssen Eigentümer und Betreiber diese Rollen und Verantwortlichkeiten klar definieren und mit dem Hersteller des KI-Systems, dem BT-Anbieter und allen Systemintegratoren oder Managed Service Providern kommunizieren.
Die Leitlinien machen einen Schritt zurück von „KI um der KI willen“. Der erste Schritt ist rein bildend und architektonisch. Man kann nicht schützen, was man nicht versteht.
Die Risiken definieren: KI bringt Risiken mit sich, denen traditionelle BT nicht gegenübersteht, wie Modellveränderung (wobei die Genauigkeit einer KI im Laufe der Zeit mit dem Alter der Maschinen abnimmt) und Halluzination (wo eine KI Datenmuster erfindet).
Kompetenzen aufbauen: Die Lücke in der Belegschaft ist real. Bediener, die wissen, wie man eine Pumpe repariert, wissen möglicherweise nicht, wie man ein neuronales Netzwerk debuggt. Die Leitlinien verlangen die Schulung des Personals nicht nur im Umgang mit KI, sondern auch im Verständnis ihrer Ausfallmodi.
Den Lebenszyklus absichern: Sicherheit beginnt auf Code-Ebene. Die Einführung von „Secure by Design“-Prinzipien bedeutet, die KI-Lieferkette zu überprüfen, bevor ein einziger Algorithmus den Anlagenboden berührt.
Der Geschäftssinn: "Brauchen wir hierfür wirklich KI?"
Bevor ein KI-System in ihre BT-Umgebung integriert wird, sollten Betreiber und Eigentümer kritischer Infrastrukturen bewerten, ob KI-Technologien die am besten geeignete Lösung für ihre spezifischen Bedürfnisse und Anforderungen im Vergleich zu anderen Technologien sind. Betreiber und Eigentümer kritischer Infrastrukturen sollten zudem prüfen, ob eine bestehende Fähigkeit ihre Bedürfnisse erfüllt, bevor sie komplexere und neuere KI-basierte Lösungen verfolgen. Zwar bietet KI einzigartige Vorteile, aber sie ist eine sich entwickelnde Technologie, die eine kontinuierliche Bewertung der Risiken erfordert.
Diese Bewertung sollte verschiedene Faktoren umfassen, einschließlich Sicherheit, Leistung, Komplexität, Kosten und Auswirkungen auf die Sicherheit der BT-Umgebung, abhängig von der spezifischen Anwendung, und die Vorteile und Risiken der Nutzung von KI-Technologien im Vergleich zu den funktionalen Anforderungen der Anwendung bewerten. Betreiber und Eigentümer kritischer Infrastrukturen sollten die aktuelle Kapazität der Organisation verstehen, ein KI-System in ihrer BT-Umgebung zu pflegen, und die potenziellen Auswirkungen der Erweiterung der Risikofläche der Umgebung, wie z. B. die Notwendigkeit zusätzlicher Hardware und Software für die Datenverarbeitung durch Modelle oder zusätzliche Sicherheitsinfrastruktur, um die erweiterte Angriffsoberfläche zu schützen.
Dies ist vielleicht der einzigartigste Aspekt der Leitlinien. Sie fordert Führungskräfte auf, die Einbindung von KI zu rechtfertigen. Der Konsens ist klar: Komplexität ist der Feind der Sicherheit.
Risiko vs. Belohnung: Überwiegt der Effizienzgewinn eines KI-Wärmesensors das Risiko eines cyber-physischen Angriffs? Wenn ein traditioneller PID-Regler funktioniert, bleiben Sie bei ihm.
Datenherkunft: In der BT ist Datenwahrheit. Wenn ein KI-Modell auf schlechten Sensordaten trainiert wird, wird es gefährliche Entscheidungen treffen. Sie müssen die Integrität der Trainingsdaten genauso sorgfältig prüfen wie die physischen Maschinen.
Transparenz des Anbieters: Die „Black Box“-Ära ist vorbei. Sie müssen von den Anbietern Transparenz darüber verlangen, wie ihre Modelle funktionieren, woher die Daten kommen und wer Zugang zu den Modellgewichten hat.
Governance: Die Leitplanken schaffen
Effektive Governance-Strukturen sind für die sichere und geschützte Integration von KI in BT-Umgebungen unerlässlich. Dies erfordert die Etablierung klarer Richtlinien, Verfahren und Verantwortlichkeitsstrukturen für KI-Entscheidungsprozesse innerhalb der BT. Eine KI-Governance-Struktur sollte die unten aufgeführten Schlüsselakteure sowie alle KI-Anbieter umfassen, die für die Aufrechterhaltung der Aufsicht während der Beschaffung, Entwicklung, Gestaltung, Implementierung und Betrieb erforderlich sind.
Wichtige Akteure in KI-Governance-Mechanismen
Führungsebene. Das Engagement der Führungsebene, einschließlich CEO und CISO, ist entscheidend für die Etablierung eines robusten KI-Governance-Rahmens. Dies hilft sicherzustellen, dass die Führung des Unternehmens vollständig in das sichere Lebenszyklusmanagement von KI-Systemen investiert ist und KI-Sicherheitsrisiken und -minderungen neben der KI-Funktionalität berücksichtigt.
BT/IT-Fachexperten. Die Einbindung von BT-, IT- und KI-Fachexperten ist entscheidend für die effektive und sichere Integration von KI-Systemen in BT-Umgebungen. Diese Experten bieten wertvolle Einblicke in die BT-Umgebung und können potenzielle Risiken und Herausforderungen bei der KI-Integration identifizieren.
Cybersicherheitsteams. Die Zusammenarbeit mit Cybersicherheitsteams ist entscheidend für die Entwicklung von Richtlinien und Verfahren zum Schutz sensibler BT-Daten, die von KI-Modellen verwendet werden. Cybersicherheitsteams können potenzielle Schwachstellen identifizieren und Empfehlungen zur Minderung geben, um die Sicherheit der Daten des Unternehmens zu gewährleisten.
Sie würden nicht zulassen, dass ein nicht zertifizierter Ingenieur ein Kernkraftwerk betreibt. Ebenso sollten Sie kein nicht zertifiziertes Modell betreiben lassen.
Das KI-Risk-Register: Behandeln Sie KI-Komponenten als eigenständige Vermögenswerte mit eigenen Risikoprofilen.
Kontinuierliche Tests: Anders als ein physisches Zahnrad, das sichtbar abnutzt, verschlechtert sich ein KI-Modell stillschweigend. Die Leitlinien fordern kontinuierliche Evaluierung, indem das Modell gegen „Eckfälle“ (seltene, extreme Szenarien) getestet wird, um sicherzustellen, dass es bei Problemen nicht katastrophal versagt.
Compliance-Zuordnung: Erfinden Sie das Rad nicht neu. Ordnen Sie Ihre KI-Governance in bestehende Rahmenwerke wie das NIST CSF oder IEC 62443 ein.
Die goldene Regel: Mensch-in-der-Schleife und Sicherheitsmechanismen
Dies ist der wichtigste Abschnitt für die Sicherheit. Die gemeinsamen Agenturen sind eindeutig: KI sollte bei sicherheitskritischen Maßnahmen nicht das letzte Wort haben.
Der „Not-Aus-Schalter“: Wenn die KI versagt, muss das System zu einem sicheren, bekannten Zustand zurückkehren (z. B. ein festverdrahteter mechanischer Stopp). Dieses „Fail-Safe“ muss unabhängig von der KI sein.
Menschliche Aufsicht: Bei Entscheidungen mit hohen Konsequenzen muss ein Mensch „in der Schleife“ sein. Die KI berät; der Bediener handelt.
Transparenz im Betrieb: Wenn eine KI einen Alarm auslöst, muss dies erklärbar sein. Ein Bediener muss wissen, warum die KI glaubt, dass ein Druckanstieg unmittelbar bevorsteht, nicht nur, dass sie es glaubt.
Das letzte Wort
Die Ära des „schnellen Handelns und Bremsens“ gilt sicherlich nicht, wenn Sie das Stromnetz oder die Wasserversorgung steuern. Niemand kann sich das überhaupt vorstellen
Die gemeinsame CISA-Leitlinie schafft effektiv eine zweigleisige Architektur: Verwenden Sie KI, um in der Cloud oder am Edge zu analysieren, zu optimieren und vorherzusagen, aber halten Sie die physischen Steuerungen einfach, festverdrahtet und von Menschen gesteuert.
Was sollte also Ihr Mandat für 2026 sein? Innovieren Sie mit KI, aber verankern und gründen Sie es auf den Grundlagen der physischen Sicherheit, die unser Licht seit einem Jahrhundert am Laufen gehalten haben.
Planen Sie, KI für BT zu nutzen und benötigen Sie Leitlinien? Kontaktieren Sie uns.
Wöchentlich erhalten
Ressourcen & Nachrichten
Dies könnte Ihnen auch gefallen.
Iranian threat actors return; actually they never left
Prayukth K V
NERC CIP-015-2 Erklärt: Erweiterung von INSM auf EACMS und PACS
Team Shieldworkz
Sicherung kritischer Infrastrukturen vor APT-Gruppen während geopolitischer Ereignisse
Prayukth K V
Entschlüsselung der strategischen Zurückhaltung iranischer Cybergruppen
Team Shieldworkz
Wie die Iran-Krise den Cyberspace beeinflusst
Team Shieldworkz
Cyber-Bedrohungen im Nahen Osten: Was Organisationen jetzt wissen müssen
Team Shieldworkz
