Hype vs. Realität

Künstliche Intelligenz kann viel, aber nicht alles

10.04.2018
Von 

Dr. Amir Alsbih hat über 15 Jahre Berufserfahrung in der IT-Security Branche. Er war unter anderem IT-Sicherheitschef bei der Haufe Gruppe sowie CEO der KeyIdentity GmbH. Zudem dozierte er an der Albert-Ludwigs-Universität Freiburg in den Bereichen der angewandten Informationssicherheit sowie der IT-Forensik.

Der künstlichen Intelligenz werden viele Dinge hintergesagt - gute und schlechte. Dass KI-Anwendungen aber noch längst nicht alle Bereiche eingenommen haben, zeigt besonders die IT-Sicherheit.
KI kann nicht alles - und richtet bei falschem Umgang von entsprechenden Anwendungen mehr Schaden als Nutzen an.
KI kann nicht alles - und richtet bei falschem Umgang von entsprechenden Anwendungen mehr Schaden als Nutzen an.
Foto: agsandrew - shutterstock.com

Es gibt aktuell kaum noch eine Konferenz, bei der nicht betont wird, wie künstliche Intelligenz (KI) die IT-Sicherheit revolutionieren wird. Wie dank KI Menschen eingespart sowie unbekannte Angriffe erfolgreich identifiziert und automatisch abgewehrt werden. Schönes neues Utopia.

Visionen sind zweifelsohne wichtig. Das Hauptproblem ist jedoch heute ein anderes: Den meisten Unternehmen mangelt es an der durchgehenden Einhaltung von Grundlagen in der IT-Sicherheit.

Weder haben sie ein durchgehend stringentes Patch-Management auf allen Ebenen entsprechend der Herstellervorgaben etabliert, noch wird auf Multi-Faktor-Authentifizierung (MFA) für das Identity- und Access-Management (IAM) von Mitarbeitern und Kunden gesetzt. Damit werden die zwei elementarsten Security-Grundlagen vernachlässigt.

Sich mit KI für die IT-Sicherheit zu befassen ist vergleichbar mit dem Kauf einer Alarmanlage für eine Bank, die weder über einen Tresor verfügt noch über Wachpersonal und die dazu auch noch die Türen nur jeden dritten Tag nach Feierabend verschließt.

Zukunftsvisionen trotz fehlender IT-Security-Strategie

Anstatt sich auf die oben genannten Grundlagen im Rahmen einer umfassenden IT-Sicherheitsstrategie zu fokussieren und die Mängel nachhaltig zu bereinigen, werden Unternehmen von Marktexperten gedrängt, mit dem Einstieg in das Zeitalter der künstlichen Intelligenz nicht zu lange zu warten. Um den vermeintlichen Anschluss an den Wettbewerb bloß nicht zu verpassen, wird dann häufig der zweite Schritt vor dem ersten getan.

Die Basisvoraussetzungen wie Patch-Management oder Multi-Faktor-Authentifizierung nicht abzudecken, ist äußerst fahrlässig, öffnen die dadurch entstehenden Sicherheitslücken doch Angreifern Tür und Tor.

Beispiel Wannacry: Die Ransomware war 2017 für den Ausfall von über 200.000 Systemen verantwortlich. Dabei hätten die Lücken, die der Schädling ausnutzte, durch Patches und mehrere andere, bereits verfügbare IT-Sicherheitslösungen rechtzeitig geschlossen werden können – wenn man sie denn richtig eingesetzt hätte.

Auch der Hackerangriff auf den US-Finanzdienstleister Equifax mit rund 143 Millionen betroffenen Bürgern oder die Attacke auf JP Morgan mit 83 Millionen kompromittierten Kunden wären bei Weitem nicht so verheerend ausgefallen, wenn die Unternehmen ihre Hausaufgaben gemacht und Standardmaßnahmen umgesetzt hätten.

80 Prozent aller Hackerangriffe passieren aufgrund von Standardlücken

In der IT-Security-Branche ist all dies kein Geheimnis. Es gibt sogar zahlreiche Studien, die diese Schwachstellen belegen: So sind gestohlene oder schwache Passwörter in 81 Prozent aller Fälle die Ursache für einen Hack – Tendenz steigend. Dennoch werden sie noch immer als Mittel der Wahl verwendet, um digitale Identitäten zu schützen, obwohl die Multi-Faktor-Authentifizierung Logins und Transaktionen im Internet deutlich sicherer machen würde. Dazu kommt, dass die Top-50-Applikationen im Jahre 2017 zu 82 Prozent über das Remote-Netzwerk angegriffen wurden. Bei 17.147 Schwachstellen, die 2016 neu entdeckt wurden und von denen 18 Prozent kritisch waren, sind nicht gepatchte, aus dem Internet erreichbare Systeme aus Sicht der Sicherheit höchst problematisch.

Es lässt sich nur darüber spekulieren, warum diese heute vergleichsweise schnell, einfach und kosteneffizient umsetzbaren Sicherheitsmaßnahmen noch immer vernachlässigt werden. Stattdessen fokussieren sich viele CEOs, CIOs und CISOs im KI-Hype auf neue Technologien, die sich häufig noch nicht im Praxiseinsatz bewährt haben.

KI ist nicht unfehlbar

Des Weiteren wird bei aller Euphorie häufig vergessen, dass die KI-Algorithmen erst trainiert werden müssen und somit stetig dazulernen. Dies birgt Risikopotenzial. Ist das eigene Netz bereits kompromittiert, läuft ein Unternehmen Gefahr, dass diese Art der Kompromittierung bei der Suche nach Anomalien nicht mehr berücksichtigt oder vom Algorithmus sogar als „gut“ angesehen wird.

Versuche aus der Praxis zeigen bereits, dass sich KIs heute verhältnismäßig leicht in die Irre führen lassen. Beispiel Gesichtserkennung: Tests von Bundesbehörden wie dem deutschen BKA oder dem US-amerikanischen NIST haben mehrfach ergeben, dass eine Personenidentifizierung über eine KI-basierte Gesichtserkennung in der Praxis fehleranfällig und alles andere als zuverlässig ist.

Auch der US-amerikanischen Justiz gelang es bisher nicht, Straftätern durch intelligente Algorithmen einen objektiveren Risikoquotienten zuzuordnen, um das Strafrecht effizienter und gerechter zu machen. Dies verdeutlicht umso mehr, wie essenziell das Training eines Algorithmus ist. Die Trainingsdaten wirken sich massiv auf das Ergebnis des KI-Einsatzes aus. Wird in einer unsicheren Umgebung trainiert, lernt die künstliche Intelligenz möglicherweise, dass ein unsicherer Zustand und Angriffe etwas Positives sind.

All diese Beispiele verdeutlichen die folgende Herausforderung: Systeme mit künstlicher Intelligenz sind noch nicht ausgereift, und es gibt zu wenig Praxiserfahrung, um weder das Training noch die Resultate wie in einem Labor steuern und auswerten zu können. Aus diesem Grund werden KI-basierte Systeme in den nächsten Jahren tendenziell eher mehr Angriffspunkte bieten und Schwächen aufzeigen als Systeme, die auf deterministischen und für Menschen einfach verständlichen Regeln basieren.

Ausblick: Neue Chancen und die notwendige Skepsis

Status quo ist, dass KI bei Weitem noch nicht an die Zuverlässigkeit und den Standard etablierter IT-Sicherheitstechnologien und -mechanismen wie Patches oder Multi-Faktor-Authentifizierung heranreicht. Es bleibt abzuwarten, wie Global Player das Thema KI-basierte IT-Sicherheit vorantreiben und welche Erfahrungen im Einsatz unter praxisnahen Bedingungen gemacht werden.

So hat IBM mit „Watson for Cyber Security“ ein kognitives System entwickelt, das IT-Sicherheitsverantwortliche dabei unterstützen soll, Gefahren schneller zu erkennen und darauf zu reagieren.

Bis es allerdings soweit ist und wirklich wasserdichte Use Cases zur Verfügung stehen, sollten sich Unternehmen darauf besinnen, ihre Sicherheitsstrategie auf den neuesten Stand der bewährten Technik zu bringen. Dabei sollten sie sich die folgenden Fragen stellen:

  • Wie sieht meine aktuelle IT-Infrastruktur aus?

  • Wo liegen potenzielle Schwachstellen, die Angreifern Ansatzpunkte für eine Attacke bieten können?

  • Wie schließe ich diese Lücken schnellstmöglich?

  • Habe ich die Grundlagen wie eine MFA-Lösung sowie ein Patch-, Asset- und Log-Management umgesetzt?

Sofern Sie einen Asssume-Breach-Ansatz verfolgen, sollten Sie überprüfen, ob Sie folgende Fragen mit "Ja" beantworten können:

  • Kann ich Angreifern ihre Attacke erschweren, indem ich Best-Practice-Maßnahmen umgesetzt habe?

  • Kann ich Angriffe erkennen?

  • Kann ich Angriffe erfolgreich abwehren?

  • Kann ich nach einem Angriff in einen sicheren Ausgangszustand zurückkommen, bei dem ich mich auf die Daten in den Systemen verlassen kann?

Fazit

Bei der Suche nach Schwachstellen können KI-basierte Lösungen durchaus sinnvoll sein, etwa durch die automatisierte Erkennung von Anomalien. Diese Diagnosen sollten allerdings – nach dem Vorbild der KI-Anwendung in der Medizintechnik oder in anderen Branchen – von Menschen bewertet werden, um Fehleinschätzungen zu vermeiden. Denn bei aller Euphorie ist auch eine notwendige Skepsis für die neue Technologie angebracht.