18.04.2017 Befeuerung durch Künstliche Intelligenz

Warum die IT-Sicherheit schlauer wird

Von: Ina Schlücker

Künstliche Intelligenz und Teildisziplinen wie Machine Learning befeuern diverse Bereiche innerhalb der ­Informationstechnologie. Auch die IT-Sicherheit, wo von Natur aus große Datenmengen hinsichtlich des Netzwerkverkehrs oder Nutzerverhaltens ausgewertet werden.

Als wichtige Treiber für Künstliche Intelligenz und maschinelles Lernen erachten die Experten Nutzerverhaltensanalysen und Anomalie-Erkennung.

Der Gedanke, selbstlernende Algorithmen für die Verfeinerung gängiger Sicherheitslösungen zu nutzen, klingt verlockend. „Denn Künstliche Intelligenz und Machine Learning können wichtige Mittel im Kampf gegen Hackerangriffe sein, indem sie die Sicherheit erhöhen und diese im Umgang mit immer neuen Gefahren flexibler machen“, unterstreicht Florian Malecki, Product Marketing Director bei Sonicwall. Mithilfe von KI-Technologien könnten Angriffe schneller erkannt, verhindert, bekämpft und Fehlalarme auf ein Minimum reduziert werden.

Um KI-Technologien jedoch effizient nutzen zu können, wird eine große, konsistente Datenbasis benötigt. Hier ist der Zugriff professioneller Security-Anbieter auf eine sehr große Menge an Angriffsdaten von Vorteil. „Idealerweise greifen Sicherheitsexperten stets auf einen aktuellen Informations-Pool über die Attacken auf die Netze ihrer Kunden zu“, berichtet Martin Zeitler, Systems Engineering bei Palo Alto Networks. Anhand der Informationsmenge über laufende Attacken könne man dann künftige Trends ableiten. „Dabei muss sich nicht jeder Trend zu einer globalen Kampagne ausweiten, sondern kann regional begrenzt ablaufen – vergleichbar der Tsunami-Warnsysteme“, sagt Zeitler.

Anomalien auf der Spur


Als wichtige Treiber für Künstliche Intelligenz und maschinelles Lernen erachten die Experten Nutzerverhaltensanalysen und Anomalie-Erkennung. „Dabei verlassen sich die Sicherheitsanbieter mitunter noch auf vordefinierte Regeln, beispielsweise ob sich User außerhalb der Geschäftszeiten einloggen“, betont Matthias Maier, Security Evangelist bei Splunk. Intelligente Nutzeranalysen und Anomalie-Erkennungen hingegen gingen einen Schritt weiter und arbeiten laut Maier mit maschinellen Lernverfahren, um schon rein potentielle Bedrohungen außerhalb des Normalzustands zu erkennen und so auf gehackte Nutzerkonten oder kompromittierte Systeme hinzuweisen. Hierbei überwachen spezielle Algorithmen die Nutzerprofile im Unternehmen. Entdecken sie ein Profil, das sich verdächtig verhält, alarmieren sie das Sicherheitsteam, das dann weitere Maßnahmen ergreift. „In großen Unternehmen beobachten die Algorithmen dabei Hunderttausende von Nutzern, Endpunkten und anderen Geräten im Netzwerk. Aufgrund der bereits gelernten Informationen analysieren sie die Gefährlichkeit jeder neuen Aktivität. Die Ergebnisse fließen dann in künftige Analysen ein“, beschreibt Michael Kleist, Regional Director DACH bei Cyber Ark, die Vorgehensweise.

Auf ein weiteres KI-Anwendungsfeld verweist Tim Berghoff, Evangelist bei G Data Security. Seiner Ansicht nach besitzen KI und Machine Learning große Relevanz für die Klassifizierung von Angriffsszenarien. „Unsere Sicherheitsexperten erhalten täglich Hunderttausende verdächtige Dateien. Hier besteht die Aufgabe dieser Technologien dann darin, zu bestimmen, ob Gefahr durch das Öffnen einer Webseite, einer Datei oder einer E-Mail besteht – und wenn ja, um welche Bedrohung es sich handelt“, berichtet Berghoff. Überdies finde maschinelles Lernen auch Anwendung bei der automatisierten Analyse von Software-Quellcode, um Sicherheitslücken aufzuspüren.

Dass Sicherheitsanbieter KI-Technologien für die Weiterentwicklung ihrer Lösungen heranziehen, ist allerdings nur eine Seite der Medaille. Denn auf der anderen Seite beschäftigen sich auch Hacker und Cyber-Kriminelle mit den neuen technologischen Möglichkeiten. Werden künftige Attacken mit KI oder maschinellem Lernen unterfüttert, könnten sich völlig neuartige Angriffe mit deutlich höherem Gefahrenpotential als bislang ergeben. Denn hier gilt das altbekannte Spiel: „Der technische Fortschritt macht auch vor der Gegenseite nicht halt und wir müssen davon ausgehen, dass Cyber-Kriminelle versuchen, die Möglichkeiten der Künstlichen Intelligenz für sich zu nutzen“, glaubt Florian Malecki.

In kriminellen Kreisen


Spielarten zur KI-Nutzung gibt es demnach in kriminellen Kreisen einige. Ein Beispiel für den Einsatz von Künstlicher Intelligenz ist laut Michael Kleist Malware mit der Fähigkeit, verschiedene polymorphe Varianten von sich selbst zu erzeugen. Werden einige dieser Exemplare erkannt, dann erstellen die bislang unerkannten Versionen neue Varianten, die sich von den bereits erkannten grundlegend unterscheiden. „Der auf künstlicher Intelligenz basierende evolutionäre Prozess der Malware-Entwicklung führt theoretisch zu immer effizienteren Angriffen“, erklärt Kleist.

Auf weitere Beispiele verweist Richard Werner, Consultant beim IT-Sicherheitsanbieter Trend Micro: „Künstliche Intelligenz könnte von den Angreifern im Bereich Internet-Routing eingesetzt werden, um die beste – oder am wenigsten überwachte – Route zu finden.“ Zudem sei es kein Geheimnis, dass Internet-Bitcoin-Börsen ebenfalls mit KI-Technologien bedient werden. „Solche Programme berechnen und tätigen den Kauf von Aktien bzw. von Währungen. Selbstverständlich können solche Systeme und Künstliche Intelligenz sowohl von Guten als auch von Bösen eingesetzt werden – dies ist allein eine Sache der Perspektive und des Standpunkts“, so Werner.

Generell besteht die Gefahr, dass sich KI-basierte Attacken vorhandenen Sicherheitsmaßnahmen entziehen und im Laufe ihrer Verbreitung resistent werden, ähnlich wie Antibiotika oder Impfstoffe im Verlauf weltweiter Epidemien. „Dann könnte Malware in Echtzeit auf ihre Abwehr reagieren und den Sicherheitsmaßnahmen stets einen Schritt voraus sein“, skizziert Florian Malecki ein mögliches Szenario. Nicht zuletzt könne die Schadsoftware auch selbst durchaus „intelligent“ sein – ein Beispiel dafür ist das Uroburos-Framework, das bereits 2014 von G-Data-Experten entdeckt wurde. „Uroburos hat gezielt nach bestimmten Rechnern innerhalb eines Netzwerkes Ausschau gehalten und konnte sogar Informationen nach außen tragen, obwohl ein infizierter Rechner nicht einmal eine direkte Internetverbindung hatte“, erinnert sich Tim Berghoff.

Würden die just aufgezählten Bedrohungsszenarien plötzlich bitterer Ernst, könnten sie großen Schaden anrichten. „Gerade bei Datendiebstahl und Industriespionage sind die potentiellen wirtschaftlichen Schäden immens“, glaubt Berghoff und verweist darauf, dass sich die jährlichen Schadenssummen bereits aktuell auf zwei- bis dreistellige Milliardenbeträge belaufen. Dabei verweist Richard Werner auf die Problematik der rechtlichen Lage: „Ähnlich wie bei selbstfahrenden Fahrzeugen oder der Heimautomatisierung, sprich dem Smart Home, gibt es noch kein Gesetz, dass ein möglicher Schaden der Künstlichen Intelligenz zugeschrieben werden kann.“ Im Moment ist noch immer der Betreiber haftbar. Doch wie sieht es aus, wenn sich Programme selbstständig verändern?

Auf KI basierende Cyber-Angriffe


Dass KI-basierte Attacken bald Realität werden könnten, glaubt Michael Kleist. Denn sobald Technologien massentauglich seien, setzen Cyber-Kriminelle sie auch ein. „Letztes Jahr wurde beispielsweise das erste Botnetz entdeckt, das sich aus Geräten des Internets der Dinge zusammensetzt. Gleiches gilt für künstliche Intelligenz. Unserer Meinung nach besteht eine hohe Wahrscheinlichkeit, dass im Jahr 2017 der erste auf Künstlicher Intelligenz basierende Cyber-Angriff durchgeführt wird“, berichtet Kleist.

Dank ihrer Lernfähigkeit würden KI-Angriffe bereits beim ersten Auftreten sehr ausgeklügelt sein. „Diese Entwicklung macht fortgeschrittene Angriffe zum Standard und wird für ein hohes wirtschaftliches Wachstum im Hacker-Milieu sorgen, denn solche Angriffe waren bislang typisch für Nationalstaaten oder Verbrechersyndikate. Künftig ist mit dieser Art von Angriffen aber in größerem Umfang zu rechnen“, so Kleist.

Dies ist ein Artikel aus unserer Print-Ausgabe 03/2017. Bestellen Sie ein kostenfreies Probe-Abo.

Eine komplett andere Ansicht vertritt Martin Zeitler. Seiner Einschätzung nach, gibt es heute noch keinen Grund – und kaum Mittel – für die Verwendung von KI seitens der Angreifer. „Das Marktpotential für die Cyber-Kriminelle ist noch nicht mal ansatzweise realisiert. Vielmehr basiert die Mehrheit heutiger Angriffe auf einer Evolution vergangener Elemente“, so Zeitler. In diesem Zusammenhang räumt er allerdings ein, das es sich um zunehmend automatisierte Angriffe handelt, die äußerst komplex und flexibel von statten gehen.

Alles in allem ist laut Martin Zeiler jedes System hackbar – auch ganz ohne Künstliche Intelligenz. „Es ist immer nur eine Frage von Geld und Zeit, bis ein System gehackt ist. Ziel einer modernen Sicherheitslösung ist es, die Kosten und den Aufwand so in die Höhe zu treiben, dass sich für den Angreifer der Aufwand nicht lohnt“, so Zeitler zusammenfassend.

Bildquelle: Thinkstock/iStock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH