Zum Inhalt springen

Datenpipelines sind häufiger schuld als Algorithmen an schwacher KI-Sicherheit

Auf den Punkt: Schema-Drift und veraltete Baselines in Datenpipelines führen zu höheren Falsch-Positiv-Raten und Erkennungslücken – ein Problem, das durch Modell-Tuning allein nicht gelöst wird.

Unternehmen investieren Milliarden in verbesserte KI-Erkennungsmodelle für Cybersecurity, beheben aber nicht die eigentliche Ursache von Ausfällen: fragmentierte und inkonsistente Datenstrukturen in ihren Sicherheits-Stacks.

Der Markt für KI in der Cybersecurity wird 2026 auf 44 Milliarden Dollar geschätzt und soll 2034 213 Milliarden Dollar erreichen. Diese Investitionen ruhen auf der Erwartung, dass Machine Learning die Lücke zwischen Bedrohungsvolumen und Analystenkapazität schließt. Das ist berechtigt – aber nicht der Punkt, an dem die meisten Organisationen ansetzen, wenn KI-Erkennungssysteme versagen. Dann wird typischerweise der Algorithmus optimiert, das Modell neu trainiert oder der Vendor unter Druck gesetzt. Die eigentliche Ursache sitzt upstream in den Datenpipelines, lange bevor ein Event ein Modell sieht.

Der Durchschnittsbetrieb nutzt 83 verschiedene Sicherheitsprodukte von 29 Anbietern gleichzeitig und verarbeitet täglich etwa 3.000 Sicherheitswarnungen – 63 Prozent gehen unbearbeitet unter. Jedes Werkzeug erzeugt Telemetrie in eigenem Format: unterschiedliche Feldnamen, unterschiedliche Zeitstempel, unterschiedliche Metadaten-Schemas. Menschliche Analysten entwickeln Intuition für diese Inkohärenz. Machine-Learning-Modelle nicht. Ein Behavioral-Detection-Modell, das Authentifizierungsereignisse über Identity-Plattform, Endpoint-Agent und Cloud-Access-Broker korrelieren soll, wird unzuverlässig, wenn diese drei Systeme dasselbe Feld unterschiedlich benennen. Das Modell ist nicht fehlerhaft – es wird strukturell inkohärente Daten gefüttert.

Schema-Drift, die allmähliche Mutation von Datenformaten über Zeit hinweg, löst selten Alarme aus. Log-Formate ändern sich bei Vendor-Updates, neue Telemetriequellen führen neue Felder ein, Identity-Plattformen benennen Attribute um. Nach Monaten passen die statistischen Muster, auf denen die Detection-Modelle trainiert wurden, nicht mehr zu den Produktionsdaten. Das führt zu erhöhten Falsch-Positiv-Raten, Analyst-Erschöpfung und Erkennungslücken, die erst nach einem Incident sichtbar werden. Gartner prognostiziert, dass Unternehmen bis 2026 60 Prozent ihrer KI-Projekte aufgeben werden – hauptsächlich wegen unzureichender Datenqualität.

Ein zweites Problem ist die fehlende Aktualität von Baselines. Behavioral-AI-Modelle bauen Baselines aus historischen Aktivitäten. In schnell verändernden Unternehmensumgebungen werden diese Baselines schneller veraltet als die meisten Security-Teams realisieren. Hybrid Work änderte Zugriffsmuster, Cloud-Migration änderte Ressourcen-Interaktionen, M&A bringt neue User mit völlig anderen Verhaltensprofilen. Wenn ein Modell aktuelle Aktivität gegen Baselines bewertet, die aus einer nicht länger existierenden Workforce und Infrastruktur stammen, ist das Ergebnis vorhersehbar: legitime Zugriffe triggern Anomaliewarnungen, und Angreifer können sich anpassen, weil die Modell-Annahmen nicht mit der Umgebung Schritt halten. IBM-Forschung beziffert die durchschnittlichen Kosten schlechter Datenqualität auf 12,9 Milliarden Dollar pro Jahr.


Quelle: www.csoonline.com · Erschienen 9. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.

Share on: