Ein 'Hase und Igel-Spiel' von Angriff und Abwehr

Sorgt künstliche Intelligenz für mehr Cybersicherheit?

Künstliche Intelligenz soll zu mehr Cybersicherheit beitragen - so ist etwa maschinelles Lernen Bestandteil vieler gängiger Security-Software-Lösungen. Die Technologie steht jedoch nicht nur der abwehrenden Seite zur Verfügung. Und auch Deep Learning als Methode des maschinellen Lernens ist oft intransparent. Verbessert KI also die Cybersicherheit?
Bild: ©kras99/stock.adobe.com

Traditionelle Cybersecurity-Maßnahmen haben eine stark reaktive Vorgehensweise – neue Malware-Muster werden erst dann in die Signatur-Datenbank der Antivirenlösung aufgenommen, wenn sie identifiziert werden konnten. Im besten Fall befallen sie hauptsächlich Honeypots; in vielen Fällen aber auch IT-Netzwerke, die dagegen noch wehrlos sind. Bei durchschnittlich 394.000 neuen Malware-Varianten pro Tag ist ein 100-prozentiger Malware-Schutz schwer vorstellbar. Anti-Malwarelösungen nutzen die Heuristik, um Malware aufgrund ihres Verhaltens zu erkennen. Heuristik, also die Kunst aus unvollständigen Informationen das wahrscheinlichste Ergebnis abzuleiten, ist eine Form der künstlichen Intelligenz (KI) bzw. von Machine Learning.

Reaktive Spam-Filter

Auch traditionelle Spamfilter arbeiten rein reaktiv. Sie addieren das Scoring von Schlüsselwörtern im Content von E-Mails und klassifizieren eine Mail ab einem gewissen Schwellenwert als Spam. Kommt Machine Learning bei Spamfiltern zum Einsatz, werden neben Keywords beispielsweise auch ähnliche Keyword-Schreibweisen, zu viele Sonderzeichen und Großbuchstaben in einer Mail, versteckte HTML-Texte und auf Command and Control Server verweisende Unsubscribe-Links erkannt. Machine Learning sorgt dafür, dass die Filter trainiert werden und lernen. Arbeitet der E-Mail Empfänger beispielsweise in einer Bank, werden Keywords wie ‚Kredit‘ oder das ‚€-Zeichen‘ folgenlos akzeptiert. Durch künstliche Intelligenz in Spamfiltern werden Erkennungsraten von über 99 Prozent erreicht.

Machine Learning erkennt Muster

Machine Learning ist ein Teilgebiet des weiter gefassten Begriffs künstliche Intelligenz (Artificial Intelligence) und sollte nicht als Synonym verwendet werden. Durch maschinelles Lernen können in strukturierten Daten Muster identifiziert und unter anderen Bedingungen angewendet werden. Bei Spamfiltern ist es beispielsweise die Erkennung von typischen Verhalten, Textmustern, Keywords und Absendern, aber auch die Analyse von Mails, die vom Empfänger nachträglich als Spam klassifiziert werden. Bei Machine Learning wird die Erkennung neuer Muster ständig trainiert und zukünftig von Maschinen eigenständig angewendet. Wie bei Leistungssportlern dauert solch ein Training und führt erst nach einiger Zeit zu besseren Ergebnissen. Diese Zeitspanne muss von Anwendern einkalkuliert werden. Bei Machine Learning kommen Algorithmen zum Einsatz, die auf die Analyse und Wiedererkennung von Signaturen optimiert sind. Neben dieser Logik werden erkannte Muster allgemeingültig gespeichert und unter einem geänderten Kontext wiedererkannt. Die Funktionen von Machine Learning kommen mittlerweile in fast allen Cybersecurity-Lösungen vor.

Deep Learning lehrt Maschinen das Lernen

Deep Learning, als Teilmenge bzw. Methode des Machine Learnings, korreliert selbstständig neue Situationen mit bereits vorhandenen Ergebnissen. Diese Entscheidungen sind die Basis für zukünftige Prozesse und Bewertungen. Deep Learning ähnelt den Vorgängen im menschlichen Gehirn. Das Gehirn nimmt etwas wahr, denkt darüber nach, verknüpft es mit gemachten Erfahrungen und leitet dann daraus eine Gesamtbewertung der neuen Situation ab. Die Ergebnisse werden immer wieder auf Richtigkeit geprüft und daraus ergeben sich kontinuierlich Optimierungen. Deep Learning verwendet sogenannte künstliche neuronale Netze (KNN), die in der Lage sind, immer neue Verknüpfungen zu bilden. Die KNN sind aus mehreren Schichten aufgebaut. Zwischen der Eingabe- und Ausgabeschicht befinden sich teilweise hunderte versteckte Zwischenschichten. In diesen Hidden Layers ist die gewichtete Logik integriert. Dort finden das Lernen und die Korrelation von Informationen statt. Deep Learning benötigt zur Kalibrierung große Datenmengen.

Kostenintensive Entwicklung

Die Entwicklung von Deep Learning ist trotz bereits existierender Deep Learning Frameworks noch sehr zeit- und kostenintensiv. Die komplexen und sich stetig verbessernden Bewertungen in den Hidden Layers sind intransparent und kaum mehr nachvollziehbar. Genau darin liegt der Nachteil von Deep Learning. Auf welcher Grundlage werden die Algorithmen entwickelt? Werden Grundsätze wie die DSGVO oder nationale Standards eingehalten? Deep Learning ist anfällig für falsch-positive Ergebnisse. Aber falsche Interpretationen werden wegen der fehlenden Transparenz nicht mehr als falsch erkannt und führen in der Folge zu unentdeckten Fehlern. Die Undurchsichtigkeit der Berechnungen in den Hidden Layers kann für Angriffe anfällig und für Manipulationen durch Hersteller oder öffentliche Auftraggeber vorbereitet sein oder zumindest dafür genutzt werden. Etwaige Manipulationen sind aber wegen der Komplexität kaum mehr erkennbar.

Wo wird Deep Learning eingesetzt?

Deep Learning kann strukturierte und unstrukturierte Daten interpretieren und verarbeiten. Große Datenmengen stellen kein Problem dar. Im Gegenteil: Je mehr Daten, desto granularer bilden sich Verknüpfungen in den neuronalen Netzen und desto besser werden zukünftige Ergebnisse. Deep Learning wird deshalb bei Bild- und Spracherkennung eingesetzt – wie etwa bei Sprachdiensten wie Siri. Chatbots erkennen trotz unterschiedlicher Sprachkenntnisse und Schreibweisen den Sinn der Fragestellung. Gesichtserkennung oder die Identifizierung von Straßenschildern auch bei unterschiedlichen Wettersituationen und Blickwinkeln sind ebenfalls typische Anwendungsfälle von Deep Learning.

Mehr Cybersicherheit durch KI?

Angriffsmethoden, die ständig weiterentwickelt werden, starke Angreifer (in der simulierten Cybersicherheitsabwehr auch rotes Team genannt), die sich immer häufiger schwächere Gegner (das verteidigende blaue Team) – wie etwa mittelständische Unternehmen – aussuchen, die fortschreitende Digitalisierung mit folglich großen unstrukturierten Datenmengen und New Work sorgen für Stress und Sorgen beim blauen Team. Diese versuchen mit geeigneten Verteidigungsmechanismen ständig, die Infiltration des Unternehmensnetzwerks zu verhindern. Durch künstliche Intelligenz auf beiden Seiten erreicht das ‚Hase und Igel-Spiel‘ das nächste Level. Angreifer haben aber wie immer die Nase vorne, denn auch KI muss Angriffsvektoren erst erkennen lernen. Haben Organisationen jedoch über die Cloud miteinander sprechende und/oder voneinander lernende Systeme etabliert, wird die Lernkurve steiler und die Filter arbeiten granularer. Da automatisierte Abwehrmaßnahmen emotionslos nach Algorithmen arbeiten, verschlimmern sie nicht vor lauter Panik die Lage noch zusätzlich? Schließlich fehlen Intuition und die Sicht auf das Ganze. Deep Learning ist auch bei der Cybersecurity die eigentliche künstliche Intelligenz. Aus Verhaltensänderungen lernt Deep Learning nahezu in Echtzeit und leitet daraus eigenständig Bewertungen und Handlungen ab. Die Hidden Layers, das vielschichtige System innerhalb von Deep Learning, arbeiten jedoch intransparent. Um Alleinstellungsmerkmale bemüht, verraten Hersteller die Intelligenz in den künstlichen neuronalen Netzen nicht. Und dementsprechend können die Ergebnisse und die Anfälligkeit gegen Manipulationen oft nicht interpretiert werden. Teamwork bei der Abwehr von Angriffen und regelmäßige Sicherheitsschulungen der Mitarbeiter bleiben also wichtiger denn je. 60 Prozent aller Angriffe erfolgen durch Innentäter.

Das könnte Sie auch Interessieren

Bild: Hekatron Vertriebs GmbH
Bild: Hekatron Vertriebs GmbH
Fernüberwachung von Brandmeldeanlagen wird leichter

Fernüberwachung von Brandmeldeanlagen wird leichter

Aufgrund rechtlicher Bedenken blickte manch ein Errichter oder Betreiber bisher skeptisch auf Lösungen wie die Fernüberwachung und -instandhaltung von Brandmeldeanlagen. Die neue Dienstleistungsnorm DIN EN 50710 ‚Anforderungen an die Bereitstellung von sicheren Ferndiensten für Brandsicherheitsanlagen und Sicherheitsanlagen‘ nimmt diese Sorge nun und lädt dazu ein, die Möglichkeiten des Fernzugriffs voll auszuschöpfen.