Neuer IT-Security-Trend

Algorithmen entwickeln Schutzmaßnahmen selbst

27.07.2016
Von 
Bogdan Botezatu ist Computer-Sicherheitsexperte und hat langjährige Erfahrung in den Bereichen Cyberware sowie Mobile- und Soziale Netzwerk-Malware. Als Senior e-Threat-Analyst hat er entscheidend an der Entwicklung des Bitdefender USB Immunizer und Bitdefender Removal Tools mitgearbeitet.
Die Anzahl und Komplexität von Bedrohungen steigt. Demnächst werden künstliche Intelligenz und Algorithmen für deren Bekämpfung sorgen müssen.

Bis letztes Jahr mussten Unternehmen in Deutschland erfolgreiche Hackerangriffe auf ihre Systeme nicht publik machen. Doch das IT-Sicherheitsgesetz und die damit verbundene Meldepflicht an das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat diese vergleichsweise komfortable Situation geändert. Daher müssen Unternehmen heute ihre Sicherheitsvorkehrungen noch weiter verstärken, um ihren Ruf zu schützen und finanziellen Schaden abzuwenden. Schließlich möchten sie nicht in den Schlagzeilen landen wie so manches US-Unternehmen in der Vergangenheit. Die meisten Bundesstaaten der USA haben bereits 2002 eine nicht anonymisierte Informationspflicht beschlossen. Damit wurden Vorfälle etwa bei Wendy's, Sony Playstation, Living Social, Adobe, Snapchat, Ebay, Google, Apple oder Ashleymadison bekannt.

Hacker im Netzwerk: Nicht mehr ob, sondern wann

In Zukunft droht eine solche unerwünschte Aufmerksamkeit der Öffentlichkeit auch deutschen Unternehmen. Schließlich werden die IT-Angriffe immer intelligenter und richten sich gezielt an bestimmte Firmen. Heute stellt sich damit nicht mehr die Frage, ob ein Unternehmen von einer erfolgreichen Cyber-Attacke betroffen ist, sondern nur noch wann.

Aufgrund der zunehmenden Advanced Persistent Threats (APTs) reichen viele herkömmliche Sicherheitsmaßnahmen wie Antivirus-Lösungen oder Firewalls nicht mehr aus. Vor allem wenn sie auf Signaturen oder Blacklists basieren, entdecken sie nur bekannte Schadprogramme, aber keine neuartigen, individuell angepassten oder verschlüsselten Bedrohungen. Zudem legt es diese Malware entweder darauf an, möglichst lange unerkannt zu bleiben, um langfristig Daten auszuspionieren - oder sie möchte möglichst viele wichtige Daten verschlüsseln, um Lösegeld zu erpressen. In beiden Fällen kann dies bis zum Ruin des betroffenen Unternehmens führen.

IT-Sicherheit: Handeln statt Warten

Daher ist Aussitzen und Vertrauen auf die traditionellen Sicherheitsmechanismen keine Option. Da Hacker technologisch nicht stehen bleiben, müssen sich auch die Sicherheitsansätze in Unternehmen weiterentwickeln. Eine vielversprechende Möglichkeit bieten dafür Algorithmen für maschinelles Lernen. Damit lassen sich nach aktuellen Untersuchungen sogar 99,97 Prozent der Bedrohungen erkennen, die von traditionellen Sicherheitsmechanismen nicht registriert werden.

Der wesentliche Unterschied ist, dass maschinelles Lernen weitgehend automatisch und unabhängig von Menschen erfolgt. Das bedeutet, es müssen keine Sicherheitsexperten mehr aktuelle Bedrohungen analysieren, Regeln erstellen und Sicherheitsprogramme entwickeln oder updaten. Stattdessen übernehmen dies Algorithmen, die miteinander vernetzt sind und die Sicherheitslösungen an die aktuelle Bedrohungslage selbstständig anpassen. Solche Algorithmen werden in Verbindung mit anderen Technologien auch Fortschritte in Richtung künstlicher Intelligenz machen, um Angriffe noch besser abzuwehren.

Algorithmus vs. Malware: Wie funktioniert das?

Algorithmen können zum Beispiel Informationen zu bekannten Malware-Samples und Sicherheitslücken nutzen, um bislang unbekannte Bedrohungen zu identifizieren. Durch die Beobachtung von Mustern und Fakten leiten sicherheitsbezogene Algorithmen statistische Rückschlüsse ab. Diese führen zur positiven Identifikation von neuen und unbekannten Bedrohungen. Dabei nützt ein einziger selbstlernender Algorithmus jedoch wenig. Der Schlüssel für mehr Sicherheit liegt darin, verschiedene Systeme in unterschiedlichen Zeitfenstern Daten lesen zu lassen.

Der grundsätzliche Mechanismus funktioniert dabei ähnlich wie das menschliche Gehirn - auch wenn die Analogie aus wissenschaftlicher Sicht ein wenig irreführend ist. Wenn das Gehirn auf Basis verschiedener Informationen etwa Objekte in Bildern erkennen kann, lassen sich auch Algorithmen entsprechend schulen, allerdings ohne die erweiterten Inferenz-Fähigkeiten der menschlichen Intelligenz. Auch wenn sie Fragen wie "Wie fühle ich mich, wenn ich mir diese Ballons anschaue?" nicht beantworten können, sind sie sehr wohl fähig, statistische Wahrscheinlichkeiten auf Basis von Vorwissen abzuleiten und Fragen wie "Wie viele Ballons gibt es?" oder "Wie viele Menschen halten Luftballons fest?" zu beantworten.

Überblick im Datenwust

Mit Big-Data-Analysen zu aktuellen Angriffstechniken und Abwehrmöglichkeiten können diese vernetzten Algorithmen verstehen, wie sich Bedrohungen verhalten, wenn sie Geräte oder Betriebssysteme angreifen. Anschließend entwickeln sie Schutzmechanismen und aktualisieren die Systeme, um Sicherheitslücken zu schließen. Damit erkennen und blockieren sie fortgeschrittene Bedrohungen - schneller, effizienter und gezielter als das menschliche Teams können.

Ein solcher neuartiger Security-Ansatz ist heute nötig, da immer mehr Geräte und Systeme mit dem Internet verbunden werden - zum Internet of Things (IoT). Gemäß Juniper Research haben 2020 mehr als 38 Milliarden Geräte Zugang zum Internet. Laut Cisco werden dann jeden Tag 5,3 Exabyte (gleich Milliarden Gigabyte) an Daten im Internet übertragen. In diesem Datenwust "guten" von "schlechtem" Internetverkehr zu unterscheiden, ist ohne maschinelle Unterstützung nicht möglich. Also warum sollte man nicht gleich den Maschinen auch die Entwicklung der Sicherheitsmechanismen überlassen? Schließlich haben sie die Menschheit schon im Schach und Go geschlagen und damit ihre Überlegenheit in Sachen Kombinationsfähigkeit unter Beweis gestellt. (fm)