Mehr Cybersicherheit durch künstliche Intelligenz?

Wie intensiv wird KI bereits eingesetzt?

Traue keiner Statistik, die Du nicht selbst gefälscht hast! Während der KI-Anbieter Darktrace in einer Befragung unter 300 Managern die Bereitschaft zum Einsatz dieser Technologie bei 96 % ermittelt hat, ergibt eine Umfrage von Capterra unter 200 IT-Verantwortlichen in mittelständischen Unternehmen eine Verbreitung von lediglich 36 %. Ziemlich wahrscheinlich ist, dass der Mittelstand nicht die gleichen Ressourcen aufbieten kann wie es Konzerne können. Weil das nicht nur auf Cybersicherheit zutrifft, stehen Mittelständler im Fokus der Hacker.

Bei der Abwehr von Angriffen entscheiden Geschwindigkeit und Umfang der Reaktion. Nutzen Angreifer Künstliche Intelligenz (KI), dann stehen ihnen mehr Möglichkeiten in kürzerer Zeit zur Verfügung als den Verteidigern ohne KI. Anomalien auf Basis von Nutzerverhalten können über selbstlernende, respektive defensive KI schnell und präzise erkannt werden.

Brute-Force Attacken beispielsweise basieren nicht mehr auf allgemeinen Annahmen oder typischen Kennwörtern. Passwörter werden unter Berücksichtigung von sozialen Medienprofilen des Users eingegrenzt und gezielt genutzt. Selbst die Entwicklung von Malware wird durch KI beschleunigt.

Machine Learning erkennt Muster

Umgekehrt hilft Machine Learning Malware, ohne eindeutige Signatur zu erkennen (Heuristik; siehe auch Anti-Viren vs. Anti-Malware Scanner) und durch das Scoring von Schlüsselwörtern in E-Mails, diese als Spam zu identifizieren. Machine Learning kann aber auch vom Anwender als Spam qualifizierte E-Mails nachträglich analysieren und das Muster auf zukünftige Spam-Mails erneut anwenden. Machine Learning ist aufgrund des Umfangs von Security Information and Event Management (SIEM), Intrusion Detection System (IDS) sowie Intrusion Prevention System (IPS) eine sinnvolle Option.

Die Algorithmen von Machine Learning sind die Basis für künstliche Intelligenz und spezialisiert auf die Analyse und Wiedererkennung von Mustern. Damit ist mehr Cybersicherheit durch künstliche Intelligenz möglich.

Deep Learning, ein Teilbereich des Machine Learnings verwendet sogenannte Künstliche Neuronale Netze (KNN) die zwischen der Eingabe- und Ausgabeschicht mehrere versteckte Zwischenschichten (Hidden layers) in der die Logik integriert ist und das Lernen und die Verarbeitung von Informationen stattfindet. Deep Learning (DL) benötigt zur Kalibrierung am besten große Datenmengen, um daraus Muster zu erkennen. Im Gegensatz zu Machine Learning werden diese Muster nicht nur als Signatur gespeichert, sondern mit bereits durchgeführten Berechnungen korreliert und verglichen. Die Ergebnisse werden auch im Nachgang immer wieder auf Richtigkeit geprüft und daraus ergibt sich eine kontinuierliche Verbesserung der Ergebnisse.

Die Vorgehensweise ähnelt den Vorgängen im menschlichen Gehirn. Das Gehirn nimmt etwas wahr, denkt darüber nach, verknüpft es mit gemachten Erfahrungen, um dann daraus eine Bewertung abzuleiten. Auch Deep Learning kann von sich aus lernen. Schlussfolgerungen von Menschen basieren auf Erziehung und Erfahrungen. Deep Learning muss sich auf Algorithmen als Basis beziehen. Durch die stetige künstliche Optimierung in den verborgenen Zwischenschichten sind die Ergebnisse jedoch kaum noch nachvollziehbar.

Fehlende Transparenz bei Deep Learning

Und genau hier liegt das Problem. Wer legt die Algorithmen für DL fest und auf welcher Grundlage passiert das? Werden Grundsätze wie die DSGVO oder europäische Standards eingehalten, wenn der Hersteller nicht aus Europa kommt? Deep Learning ist anfällig für false positve Ergebnisse. Aber falsche Interpretationen werden wegen der fehlenden Transparenz nicht mehr als falsch erkannt. Die Undurchsichtigkeit der Berechnungen in den Hidden Layers, kann für Angriffe anfällig und für Manipulationen durch Hersteller oder öffentlichen Auftraggebern vorbereitet sein oder kann zumindest dafür genutzt werden.

Fazit:

Hohe Volumen bei Logfiles, bis zu 360.000 neue Malware-Varianten pro Tag, ständig neue Sicherheitslücken und Angriffsvektoren sorgen dafür, dass die bereits  überlasteten IT-Abteilungen, die Varianten von Cyberattacken weder überblicken noch verhindern können. Angreifer setzen auf das Überraschungsmoment und Verteidiger müssen Anomalien auch in großen Datenmengen schnell erkennen können.

Auch Log-Management bzw. SIEM stößt hier an Grenzen. Regeln müssen erst erstellt oder heruntergeladen werden, um Anomalien zu erkennen. Hier hilft Künstliche Intelligenz und im Besonderen der Teilbereich Machine Learning. Bereits bekannte Muster werden analysiert, für die Zukunft verfügbar gemacht und optimiert. Hersteller, die Angriffsszenarien anonymisiert in einer Cloud-Datenbank zur Verfügung stellen, bieten aus unserer Sicht einen wertvollen Service zu ihren Lösungen an.

Deep Learning ist für uns die eigentliche Künstliche Intelligenz für Cybersecurity. Aus Verhaltensänderungen lernt Deep Learning nahezu in Echtzeit und leitet daraus eigenständig Bewertungen ab. Die Hidden Layer, das vielschichtige System innerhalb von Deep Learning, arbeitet jedoch intransparent. Um Alleinstellungsmerkmale bemüht, verraten Hersteller die Intelligenz in den inneren Ebenen nicht. Und dementsprechend können die Ergebnisse und die Anfälligkeit gegen Manipulationen kaum interpretiert werden.

Mehr Cybersicherheit durch künstliche Intelligenz?

Wird Künstliche Intelligenz bei Angreifern und Verteidigern eingesetzt, hat das «Hase und Igel Spiel» das nächste Level erreicht. Die Maßnahme mit dem höheren IQ hat temporär die Nase vorn. Teamwork des blauen Teams und regelmäßige Sicherheitsschulungen der Mitarbeiter bleiben unabdingbar.

Cybersicherheit ohne KI ist langfristig nicht mehr denkbar!

Autor: Robert Korherr, Chefredakteur und Geschäftsführer der ProSoft GmbH