11.04.2017 Machine Learning in der IT-Security

Mit KI diverse Sicherheitslücken aufspüren

Von: Ina Schlücker

Wie sich mit Machine Learning und Künstlicher Intelligenz (KI) bei der automatisierten Analyse von Quellcode diverse Sicherheitslücken aufspüren lassen, erklärt Tim Berghoff von G Data Security.

Tim Berghoff, G Data Security

Tim Berghoff, Evangelist bei G Data Security

IT-DIRECTOR: Herr Berghoff, welchen Stellenwert besitzt Künstliche Intelligenz (KI) derzeit bei der Entwicklung von Sicherheitslösungen?
T. Berghoff:
Künstliche Intelligenz ist bei der Entwicklung proaktiver Technologien in der IT-Sicherheit ein fester Bestandteil. Die Anzahl an Angriffen auf IT-Systeme steigt seit Jahren an. Dieser Entwicklung kann man nicht mehr mit Personalaufstockungen begegnen. Dies gilt umso mehr, als dass Cyber-Kriminelle sehr anpassungsfähig sind und sich schnell auf geänderte Verteidigungsszenarien einstellen können. Daher sind rein reaktive Erkennungs- und Verteidigungsverfahren nur noch begrenzt praxisrelevant. Um diese Probleme zu lösen, haben Verfahren aus dem Bereich der Künstlichen Intelligenz bereits heute einen hohen Stellenwert, der auch weiterhin steigen wird.

IT-DIRECTOR: In welchen Bereichen der Cyber-Sicherheit greifen die Anbieter am häufigsten auf Künstliche Intelligenz oder maschinelles Lernen (Machine Learning) zurück?
T. Berghoff:
Die größte Relevanz haben KI und Machine Learning im Bereich der Klassifizierung eines Angriffsszenarios. Unsere Sicherheitsexperten erhalten täglich Hundertausende verdächtige Dateien. So besteht die Aufgabe dieser Technologie etwa darin, zu bestimmen, ob Gefahr durch das Öffnen einer Webseite, einer Datei oder einer E-Mail besteht – und wenn ja, um welche Bedrohung es sich handelt. In anderen Bereichen findet Machine Learning Anwendung bei der automatisierten Analyse von Software-Quellcode, um Sicherheitslücken aufzufinden. Beides funktioniert deutlich schneller als von Hand und der Mensch muss nur in kritischen Fällen eingreifen.

IT-DIRECTOR: Wie schaffen es die Sicherheitsanbieter hier, mittels KI mögliche Cyber-Attacken zu prognostizieren, zu verhindern oder zu bekämpfen?
T. Berghoff:
Der Ansatz des maschinellen Lernens ist das Erkennen von relevanten Mustern, die auf Erfahrungen basieren und Prognosen ermöglichen. Darauf basierend muss dann ein passendes KI-Modell entwickelt werden, welches ein Bedrohungsszenario frühzeitig entdecken und klassifizieren kann. All dies jedoch setzt voraus, dass das System vorher ausreichend „angelernt“ wurde. Hierzu sind große Mengen Daten erforderlich.

IT-DIRECTOR: Ein Blick auf die Hacker-Seite: Wie nutzen Cyber-Kriminelle die Technologien der Künstlichen Intelligenz für ihre Attacken?
T. Berghoff:
Da diese Technologien aufgrund ihrer Komplexität nicht weit verbreitet sind, sind an dieser Stelle nur Vermutung möglich. Es ist allerdings wahrscheinlich, dass KI bzw. Machine Learning bei der Suche nach Sicherheitslücken in Software eingesetzt wird. Je nachdem, wie weit man den Begriff „Künstliche Intelligenz“ fasst, kann hierunter auch bereits die Generierung von Spam-E-Mails fallen oder die Polymorphie aktueller Malware.

IT-DIRECTOR: Wie könnten KI-basierte Attacken in der Praxis ablaufen?
T. Berghoff:
Wenn wir einmal das Beispiel „Angriffe auf Unternehmen“ bemühen, dann ließen sich innerhalb des Bedrohungskreislaufes zahlreiche Komponenten mit KI automatisieren. Dies kann bereits in der Initialphase erfolgen, indem man ein Programm darauf trainiert, nach bestimmten Informationen zu suchen, wie etwa Namen, Stellenbezeichnungen und E-Mail-Adressen sowie Inhalte und Skills aus sozialen Netzwerken. Basierend auf diesen Daten kann eine KI beispielsweise versuchen, entweder gezielt die Sicherheitssysteme eines Unternehmens zu umgehen oder durch automatisierte Social-Engineering-Ansätze bestimmte Mitarbeiter oder auch Rechnersysteme mit Hilfe einer geeigneten, automatisch erstellten E-Mail oder einer Schadsoftware zu kompromittieren.

Eine Schadsoftware kann selbst durchaus auch „intelligent“ sein – ein Beispiel dafür ist das Uroburos-Framework, welches 2014 von G-Data-Experten entdeckt wurde. Uroburos hat gezielt nach bestimmten Rechnern innerhalb eines Netzwerkes Ausschau gehalten und konnte sogar Informationen nach außen tragen, obwohl ein infizierter Rechner nicht einmal eine direkte Internetverbindung hatte.

IT-DIRECTOR: Was wäre im Gegensatz zu bisherigen, altbekannten Attacken das Besondere daran?
T. Berghoff:
In großem Stil durchgeführte Angriffe dieser Art vereinfachen für die Angreifer viele Dinge, die derzeit noch „in Handarbeit“ erledigt werden müssen. Somit würde es auch weniger kostenaufwendig, gezielte Angriffe durchzuführen. Je nachdem, wie gut eine solche KI trainiert wird, sind die Ergebnisse vielleicht sogar besser.

IT-DIRECTOR: Welche großen Schäden könnten sie anrichten?
T. Berghoff:
Die potentiellen Schäden durch solche Angriffe unterscheiden sich aller Wahrscheinlichkeit nach in der Sache nicht wesentlich von dem, was heute bereits möglich ist. Gerade bei Datendiebstahl und Industriespionage sind die potentiellen wirtschaftlichen Schäden immens – bereits jetzt bewegen sich die jährlichen Schadenssummen auf zwei- bis dreistellige Milliardenbeträge.

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH