Mit Künstlicher Intelligenz gegen Cyberkriminelle

Dieser Beitrag wurde am von in Allgemein, News veröffentlicht. Schlagworte: , .


Mit Künstlicher Intelligenz gegen Cyberkriminelle

Der Einsatz von Künstlicher Intelligenz (KI) in der Cybersecurity hilft, digitale Angriffe zu erkennen und effizient zu bekämpfen. Dabei ist auch menschliches Krisenmanagement gefragt. Im Security Operations Center (SOC) ist KI die Basis für Echtzeit-Überwachungs- und detaillierte Analyseverfahren.

Autor: Gerhard Walter, Redaktion, Solutions by HANDELSBLATT MEDIA GROUP GMBH

Von der Office-IT über die Operational-Technology (OT)-Umgebungen von Industrie- und Produktionsanlagen bis hin zu Internet-of-Things (IoT)-Geräten – jedes Mal, wenn extrem große und komplexe Datenpakete ausgetauscht werden, ist das auch ein Fall für die IT-Sicherheit. Bedrohen Hacker den Datentransfer? Befindet sich Schadsoftware als digitaler Beifang auf der Datenautobahn? Für einen Menschen sind Analyse und Beurteilung solcher Situationen und Datenmengen eine große Herausforderung. Und so ist es wenig überraschend, dass im Kanon der IT-Sicherheitsmaßnahmen rund um Threat Detection beziehungsweise Threat Intelligence eine weitere Technologie an Bedeutung für die Cybersicherheit in Unternehmen gewinnt: Künstliche Intelligenz (KI), wie beispielsweise die Wirtschaftswoche in ihrer Ausgabe vom 9. September 2019 schreibt.

„Cybersicherheitssysteme, die Künstliche Intelligenz berücksichtigen, werden in der Zukunft helfen, deutlich besser die intelligenten Hacker und deren Angriffe zu entdecken. Das hilft, Schäden zu vermeiden und Risiken zu minimieren“, sagt etwa Norbert Pohlmann, Vorstand des Verbandes der Internetwirtschaft eco in der Wirtschaftswoche. Mithilfe von KI könne die Erkennungsrate von Angriffen im Netzwerk und in IT-Endgeräten wie Smartphone, Notebook, Server oder im Internet der Dinge deutlich erhöht werden.

Bereits seit Anfang der 2000er-Jahre wird die einfachste Form des Maschinellen Lernens dazu eingesetzt, Spam-Mails von erwünschten elektronischen Briefen zu unterscheiden. Dabei lernen Algorithmen aus bestimmten Mustern, Strukturen und Merkmalen eigene Regeln aufzustellen, die dann auf ähnliche Situationen angewendet werden können.

Leistungsstärkere Machine-Learning-Modelle wie das Supervised Learning und das Unsupervised Learning unterscheiden aber nicht nur zwischen schädlichen und nicht schädlichen Dateien, sondern identifizieren auch auffällige Daten und untersuchen sie. Kurzum: Der Algorithmus lernt aus Beispielen und kann diese nach Beendigung der Lernphase verallgemeinern. Dazu wird ein statistisches Modell geschaffen, das auf Trainingsdaten beruht. Das heißt: KI ermöglicht die Früherkennung von potenziellen Cyberangriffen. So kann beispielsweise ein neues Botnetz identifiziert und bekämpft werden, bevor es Schaden anrichten kann. Beim Supervised Learning bringt der Mensch dem Algorithmus bei, welche Schlussfolgerungen zu ziehen sind; beim Unsupervised Learning funktioniert das maschinelle Lernen ganz ohne menschliche Anleitung.

Deep Learning wiederum ist eine Spezialisierung des maschinellen Lernens und nutzt vorwiegend komplexere neuronale Netze. Dabei werden zusammenhängende Schichten aus künstlichen Neuronen zur Datenverarbeitung genutzt. Das Potenzial von Deep Learning besteht darin, dass auch mit unvollständigen Daten eine Analyse erfolgreich umgesetzt werden kann. So kann durch den ständigen Lernprozess des Deep Learnings eine KI in bis dahin unbekannte Situationen vordringen. Ein Nachteil des Deep Learnings ist aber die fehlende Transparenz des Lernprozesses, betont das von eco-Vorstand Norbert Pohlmann erarbeitete Strategiepapier zu  KI und Cybersicherheit. Oft seien es sogenannte Black-Box Modelle, in die Daten hineinlaufen, wodurch Entscheidungen und Klassifizierzungen am Ende nicht nachvollziehbar werden. Pohlmanns Forderung: Im Sinne der Transparenz müssen White- und Grey-Box Modelle entwickelt und erforscht werden, um in die Entscheidungsprozesse blicken zu können.

Anwendungsszenarien von KI in der Cybersicherheit können unter anderem sein:

  • Identifizieren von Spam-Mails
  • Schutz vor Trojanern und Phishing-Mails beim Online-Banking
  • Entwicklung sicherer Software
  • Identifizieren von Fake News
  • Erkennen von Fotos auf Ausweisen und Dokumenten

Unabhängig von der eingesetzten Methode führt KI zu einer Entlastung der IT-Sicherheitsteams, die sich dann im Security Operations Center (SOC) auf andere Aufgaben konzentrieren können. Dort bildet KI die Basis für Echtzeit-Überwachungs- und detailgenaue Analyseverfahren. Sie kommt zum Einsatz, um Anomalien im Datenstrom erkennen und Unternehmen schnell auf Sicherheits- und Prozessintegritätsprobleme hinzuweisen. Voraussetzung für eine erfolgreiche Arbeit der KI ist es aber, dass im SOC Meldungen und Störungen von möglichst vielen Standorten und unterschiedlichen IT-Infrastrukturen zusammenlaufen und so überwacht und analysiert werden können. Kurzum: Je mehr Quellen verfügbar sind, desto besser kann die KI eine mögliche Bedrohungslage in Echtzeit erkennen und überwachen. Einige SOCs setzen überwiegend auf den Kauf von Daten. Allerdings haben auch Cyber-Kriminelle Zugriff auf kommerzielle Feeds. Laut Webportal it-daily.net ist es daher ratsam, eine Kombination aus individuellen, nicht käuflich erhältlichen Threat Feeds und Marktlösungen zu nutzen. Und: Auch wenn KI- und Maschinen-Entscheidungen die Cybersecurity-Zukunft nachhaltig prägen werden, sei der Einsatz von KI aber keineswegs der Heilige Gral für die IT-Sicherheit. Für it-daily.net ist das vorbehaltlose Vertrauen in die Systeme nicht der richtige Weg: „Es muss immer die Möglichkeit bestehen, die Maschine zu überstimmen. Sie erkennt Gefahren und automatisiert die Security-Verfahren und -Prozesse, liefert letztlich aber nur die Grundlagen für die menschliche Entscheidungsfindung. Die Abschätzung der Folgen – zum Beispiel die automatische Abschaltung eines Atomkraftwerks oder eines Stromnetzes bei einem drohenden Cyber-Angriff – steht nicht im Fokus. An diesem Punkt muss die menschliche Intelligenz ins Spiel kommen, die auch die gesellschaftlichen und wirtschaftlichen Auswirkungen berücksichtigen kann.“ Das heißt, KI steuert zwar regelbasiertes Wissen und analytische Exaktheit bei, deckt aber nicht die ebenso wichtigen Aspekte Intuition, Kreativität, Empathie oder menschliche Intelligenz ab.

Zudem muss ein weiterer Punkt beachtet werden: KI-basierte Techniken können auch von Cyberkriminellen selbst genutzt werden, um Angriffe effizienter vorzubereiten und durchzuführen. Eine hohe Gefahr ist dabei vor allem das Social Engineering auf KI-Basis, das die „smarte“ Auswertung großer Datenmengen unterstützt. So bietet KI beispielsweise die Möglichkeit, das soziale Verhalten von Zielpersonen, den Schreibstil in E-Mails oder das Verhalten bei der Kommunikation via Messenger zu überwachen, um so die Trefferquoten etwa bei Spear-Phishing-Angriffen zu steigern.

Bis intelligente Systeme bei einem komplexen Angriff proaktiv Gegenmaßnahmen starten, wird es allerdings noch einige Jahre dauern. Zu vielschichtig seien die Fragen, die sich bei einer Attacke den Verantwortlichen stellen würden, analysiert etwa die Wirtschaftswoche: Fließen kritische Daten ab? Wie wichtig ist die betroffene Applikation? Handelt es sich um einen Scheinangriff, der als Ablenkungsmanöver dient, weil die Angreifer schon längst im System sind? Soll man den Angriff blocken oder weiterlaufen lassen? Um all diese Fragen zu klären, werde auf absehbare Zeit noch menschliches Krisenmanagement nötig sein.