Künstliche Intelligenz

KI ist nicht der heilige Gral der IT-Security

22.07.2019
Von 


Kai Grunwitz ist Geschäftsführer der NTT Deutschland. In den letzten fünf Jahren verantwortete er als Senior Vice President EMEA von NTT Security das Geschäftsfeld Cybersecurity. Nach dem Studium der Betriebswirtschaft ist er nun seit mehr als 25 Jahren in verschiedenen Führungsfunktionen in der IT-Branche tätig, unter anderem bei Oracle als Vice President Consulting Northern Europe und Mitglied des Country Leadership Teams, der Sun Microsystems als Head of Professional Services Central Europe und Mitglied der deutschen Geschäftsleitung.
An der KI-Nutzung führt in vielen Bereichen kein Weg mehr vorbei, auch die Cyber-Security bildet keine Ausnahme. Aber ein falscher oder unreflektierter KI-Einsatz birgt sogar Gefahren.

Künstliche Intelligenz (KI) betrifft alle Branchen mehr oder minder stark. So werden KI oder spezifische Ausprägungen wie etwa maschinelles Lernen (ML) für unterschiedlichste Anwendungsszenarien genutzt. In Bereichen, in denen große Datenmengen analysiert und bewertet werden müssen, sind sie schon weit verbreitet. KI-Systeme sind besser in der Lage als der Mensch, solche Datenmengen zu analysieren, mit unterschiedlichen Referenzpunkten zu korrelieren und damit bessere Entscheidungsgrundlagen zu schaffen.

KI kann bei IT-Security-Aufgaben unterstützen, ein Allheilmittel für sämtliche Probleme ist sie jedoch nicht.
KI kann bei IT-Security-Aufgaben unterstützen, ein Allheilmittel für sämtliche Probleme ist sie jedoch nicht.
Foto: charles taylor - shutterstock.com

Die Folge ist, dass der Mensch schnellere und fundiertere Entscheidungen treffen kann. Damit sind KI-Systeme auch für einen Einsatz in der IT-Security geeignet. Sie dienen hier dazu, im Bereich Threat Detection beziehungsweise Threat Intelligence Bedrohungen besser zu erkennen. In der Cyber-Security eingesetzte KI-Methoden sind vor allem ML, Supervised Learning, Unsupervised Learning, Decision Trees oder Deep Learning.

KI-TechnoIogie in der Cyber-Security zu nutzen bietet sich an, weil es immer vielfältigere und umfangreichere Datenmengen zu sammeln und zu analysieren gilt. Darunter fallen Daten aus der Office-IT, Operational-Technology (OT)-Umgebungen von Industrie- und Produktionsanlagen, Internet-of-Things (IoT)-Geräten und "Edge Devices" wie Autos. Ein modernes Auto generiert schon heute rund 25 Gigabyte Daten pro Fahrstunde, was die immensen anfallenden Datenmengen verdeutlicht.

Die Rolle der KI im SOC

Im Security Operations Center (SOC) bildet KI die Basis für Echtzeit-Überwachungs- und detailgenaue Analyseverfahren. Sie kommt zum Einsatz, um Anomalien im Datenstrom erkennen und Unternehmen schnell auf Sicherheits- und Prozessintegritätsprobleme hinweisen zu können.

Moderne Machine-Learning-Modelle etwa unterscheiden nicht nur zwischen schädlichen und nicht schädlichen Dateien, die Angreifer nutzen. Sie identifizieren auch dubiose Daten und untersuchen diese dann im Detail. Das heißt, KI bietet Früherkennung und darauf aufbauend können präventive Maßnahmen ergriffen werden. Basierend auf der Analyse vergangener Kommunikationsströme lässt sich zum Beispiel ein neues Botnetz frühzeitig identifizieren.

Dennoch ist KI keineswegs der Heilige Gral für die Sicherheit. vor allem, wenn sie nicht adäquat konzipiert ist. Die Qualität jedes KI-Algorithmus hängt davon ab, wie er trainiert wird, welche Datensätze dafür bereitstehen und welche Qualität die Daten haben. Schlechte Datenqualität führt zu einer schwachen KI, einer unzureichenden Erkennungsrate und letztlich geringen Sicherheit.

Technologisch betrachtet dominiert beim KI-Training in der Cyber-Security aktuell das Supervised Learning, bei dem der Analyst dem Algorithmus "lehrt", welche Schlussfolgerungen er ziehen sollte. Zunehmend wird aber auch das effiziente Unsupervised Learning genutzt, das ohne menschliche Anleitung funktioniert.

Unabhängig von der eingesetzten Methode kann KI-Einsatz die Sicherheitsteams entlasten, die sich daraufhin auf höherwertige Aufgaben konzentrieren können. Sie trägt damit auch dazu bei, das Problem des herrschenden Fachkräftemangels in der Sicherheitsbranche zu lindern.

Voraussetzung für eine hohe Datenqualität wiederum ist, dass im SOC Meldungen und Störungen von möglichst vielen Orten und unterschiedlichen IT-Infrastrukturen überwacht und analysiert werden können. Je mehr Quellen verfügbar sind desto besser kann die Bedrohungslage in Echtzeit überwacht werden.

Eine globale KI-basierte Threat Intelligence kann die Basis sein, um Schutz vor akuten und auch gänzlich neuen Bedrohungen zu realisieren. Einige SOCs setzen ausschließlich auf den Zukauf von Daten. Allerdings haben auch Cyber-Kriminelle Zugriff auf kommerzielle Feeds. Daher ist es ratsam, eine Kombination aus individuellen, nicht käuflich erhältlichen Threat Feeds und Marktlösungen zu nutzen.

Grundsicherung und der Mensch

Auch bei Einsatz fortschrittlicher KI-Algorithmen dürfen Best Practices der IT-Sicherheit nicht vernachlässigt werden. Dabei geht es um elementare Dinge wie Sicherheitsrichtlinien, Patch Management, Identitätsmanagement und Netzwerksegmentierung einzusetzen, Remote-Zugänge zu überwachen oder Penetrationstests durchzuführen. KI unterstützt zwar dabei, Anomalien zu erkennen, sollte aber immer nur Teil eines mehrschichtigen Sicherheitsansatzes sein.

Dennoch werden KI und die Entscheidungen von Maschinen unsere Cyber-Security-Zukunft prägen. Da die Algorithmen zunehmend komplexere Entscheidungen treffen, wird es immer schwieriger, die Entscheidungsfindung zu verstehen. Dadurch ergeben sich etliche Fragen: Vertraut man der Maschine oder nicht? Welche Entscheidungskompetenz soll ihr eingeräumt werden? An welchem Punkt ist ein menschliches Eingreifen erforderlich? Dazu müssen schon bald Antworten gefunden werden - und zwar unter Berücksichtigung gesellschaftlicher, wirtschaftlicher und ethischer Implikationen.

Im Hinblick auf den aktuellen Stand rund um den KI-Einsatz in der Cyber-Security ist ein vorbehaltloses Vertrauen in die Systeme nicht der richtige Weg. Es muss immer die Möglichkeit bestehen, die Maschine zu "überstimmen". Sie erkennt Gefahren und automatisiert Security-Verfahren und -Prozesse, liefert letztlich aber nur die Grundlagen für die menschliche Entscheidungsfindung.

Folgen abzuschätzen - beispielsweise bei der Abschaltung eines Kernkraftwerkes infolge eines bevorstehenden Cyber-Angriffs - steht nicht im Fokus. An diesem Punkt muss die menschliche Intelligenz ins Spiel kommen, die auch die gesellschaftlichen Auswirkungen berücksichtigen kann. Vorausgesetzt die Datenbasis ist qualitativ hochwertig und ausreichend, steuert KI zwar regelbasiertes Wissen und analytische Exaktheit bei, deckt aber nicht die ebenso wichtigen Aspekte Intuition, Kreativität, Empathie oder menschliche Intelligenz ab.

KI als Waffe

Werden die Chancen und Risiken des KI-Einsatzes in der Security thematisiert, darf ein weiterer wichtiger Punkt nicht übersehen werden. KI-basierte Verfahren können auch von Cyber-Kriminellen selbst genutzt werden, um Angriffe effizienter vorzubereiten und durchzuführen. Eine hohe Gefahr stellt vor allem das Social Engineering auf KI-Basis dar, das die "smarte" Auswertung großer Datenmengen unterstützt. Zum Beispiel bietet KI die Möglichkeit, das soziale Verhalten von Zielpersonen, den E-Mail-Schreibstil oder das Messaging-Verhalten zu überwachen, um die Trefferquote von Spear-Phishing-Angriffen zu verbessern.

KI eröffnet also nicht nur neue Chancen für eine höhere Cyber-Sicherheit, sondern erhöht umgekehrt auch das Bedrohungspotenzial. Auch wenn KI-basierte Attacken noch die Ausnahme sind, ist von einer deutlich steigenden Anzahl auszugehen. Nicht umsonst wird das Thema "KI als Schadsoftware (Waffe)" auch im aktuellen "Deutsch-französischen IT-Sicherheitslagebild" aufgegriffen. Auch dieser neuen Herausforderung müssen Unternehmen sich folglich stellen. (jd)