27.09.2017 Überwachen und Patchen

Künstliche Intelligenz hilft bei Hacker-Abwehr

Von: Ingo Steinhaus

Ein Cyberangriff nach dem anderen sorgt für Aufsehen. Herkömmliche Gegenmaßnahmen reichen nicht, Machine Learning verspricht Abhilfe.

Cybercrime mit KI überwachen

Cybercrime mit KI überwachen

Die Kette der großen Cyberangriffe mit enormen Schäden reißt nicht ab: In dieser Woche wurde bekannt, dass das Beratungsunternehmen Deloitte bereits im März von einem Hack betroffen war. Ein schlecht gesicherter Admin-Zugang erlaubte den Cyberkriminellen den Zugriff auf mehrere Millionen E-Mails mit Kundendaten und vertraulichen Informationen. Der Angriff ist spät entdeckt worden, so dass die bisher unbekannten Cyberkriminellen einige Wochen lang ungestörten Zugang hatten.

Ähnlich ging es Equifax im Sommer. Fast zehn Wochen lang hatten Hacker Zugriff auf die IT-Systeme der Wirtschaftsauskunftei. Dabei waren die Daten von etwa 143 Millionen Nutzern betroffen. Unter anderem hatten die Hacker Zugriff auf Sozialversicherungsnummern, Anschriften und bei einigen Nutzern sogar Kreditkarteninfos. Einfallstor für die Cyberkriminellen war eine Schwachstelle in der Website.

Präventionsmethoden reichen nicht mehr aus

Diese beiden Angriffe haben Gemeinsamkeiten: Sie richten sich auf „interessante“ Unternehmen, die beispielsweise wie Equifax valide Kombinationen von Kreditkartendaten und Anschriften speichern oder wie im Falle von Deloitte Betriebsgeheimnisse, die möglicherweise zur Erpressung der jeweiligen Firmen genutzt werden können. Eine zweite Gemeinsamkeit ist die Dauer der Angriffe. Sie blieben recht lange Zeit unentdeckt und sind vermutlich nur durch Zufall oder Unachtsamkeit der Angreifer erkannt worden.

Zumindest im Fall von Deloitte gab es auch eigene Versäumnisse, nämlich den Verzicht auf 2-Faktor-Authentifizierung. So etwas erleichtert Hackern das kriminelle Geschäft. Auch bei Equifax ist nicht hundertprozentig klar, ob die Lücke in der Webanwendung nicht längst hätte geschlossen werden können. Dies zeigt, dass die herkömmlichen Präventionsmethoden und die Systeme für die Angriffserkennung nicht ausreichen.

Die kleine Lücke in einer Web-Anwendung hat bei Equifax bereits ausgereicht, um den Hackern Zugang zu den Systemen zu verschaffen. Dort haben sie sich dann unbemerkt Adminrechte angeeignet und missbraucht, um sensible Daten zu suchen. Diese Vorgehensweise ist schwer zu entdecken, denn Unregelmäßigkeiten im Verhalten von Admin-Accounts müssen zunächst einmal jemandem auffallen.

Intrusion-Detection-Systeme werten Systemprotokolle aus und vergleichen die Daten entweder mit bekannten Angriffssignaturen oder erkennen Hacks anhand statistischer Auffälligkeiten. Solche Überwachungssysteme erzeugen häufig eine Vielzahl von Alarmmeldungen, die ein Security-Team zunächst analysieren muss. Ihre Vorgehensweise hat jedoch zwei Nachteile. So erkennen sie häufig nur Angriffe, die einem bereits bekannten Muster folgen und die häufigen Alarme sorgen für eine Überlastung der Sicherheitsexperten.

KI-Verfahren entlasten Security-Teams

Die Arbeitslast von Security-Teams ist vor allem bei großen Unternehmen sehr hoch, da hier besonders viele Systeme zu überwachen sind. Kein Wunder, dass automatisierte Sicherheitsservices weiterhin das am schnellsten wachsende Segment im etwa 73 Milliarden Euro schweren Sicherheitsmarkt sind. Viele Anbieter propagieren eine bessere Lösung: Machine Learning, ein Teilgebiet der Künstlichen Intelligenz. Dabei werden neuronale Netze darauf trainiert, Cyberangriffe zu erkennen.

Das Versprechen der Hersteller: Die Systeme erkennen Hacks schnell und zielsicher, ohne dabei auf Signaturen zurückgreifen zu müssen. Sie sollen sogar in der Lage sein, bisher unbekannte Angriffsmuster zu identifizieren. Trotzdem sind auch KI-Verfahren noch nicht perfekt, sie sollten deshalb Entscheidungen nur unterstützen und die letzte Verantwortung den Menschen überlassen.

„KI sollte dazu dienen, die Tätigkeit menschlicher Analysten zu unterstützen, damit diese ihren Job smarter und effizienter erledigen können“, betont Gérard Bauer, Vice-President EMEA bei Vectra, einem Anbieter von KI-Sicherheitslösungen. „In der Praxis bedeutet dies, die Arbeitslast zu reduzieren, damit sich die Security-Teams auf die wichtigsten Vorkommnisse konzentrieren können.“ Entscheidend ist für die Unternehmen, Cyberangriffe in Echtzeit zu erkennen und sofort darauf zu reagieren.

Erreicht wird dies bei den KI-Lösungen durch die Kombination unterschiedlicher Verfahren. So werden die Systeme durch „Supervised Learning“ anhand von vorhandenen Angriffsmustern darauf trainiert, diese auch in abgewandelter Form wiederzuerkennen. Ergänzt wird dies durch „Unsupervised Learning“, bei dem die KI-Lösung Muster und Auffälligkeiten in Daten entdeckt. Auch weitere Lernverfahren werden erfolgreich in der IT-Sicherheit eingesetzt und ergänzen die Funktionen der KI-Tools.

Autonome Computer erkennen Sicherheitslücken

Das im Moment noch utopische Fernziel bei der IT-Security: Computer suchen autonom nach Sicherheitslücken und schließen sie selbsttätig. Erste Vorboten dieser Zukunftstechnologie gibt es bereits. Die Cyber Grand Challenge der US-Militärforschungseinrichtung DARPA demonstrierte, was bereits heute in Experimentalprojekten möglich ist.

Einige autonom agierende und nur untereinander vernetzte Computer mussten sich gleichzeitig in Angriff und Verteidigung üben. Sie suchten nach Sicherheitslücken, versuchten sie für das Hacking der anderen Systeme zu nutzen und gleichzeitig bei sich selbst zu schließen. Dafür waren sie unter anderem in der Lage, ihre eigene Systemsoftware zu reprogrammieren.

Dieser Wettbewerb zeigt, in welche Richtung sich die IT-Security in den nächsten Jahren entwickeln könnte: Autonome Systeme mit KI-Unterstützung schließen eigenständig die Sicherheitslücken in der IT-Infrastruktur. Der Vorteil einer solchen Lösung ist die geringe Zeitspanne zwischen dem Erkennen einer Lücke und ihrem Schließen mit einem Patch.

Die riesige Zahl der nicht gepatchten Systeme im Internet, die problemlos gekapert werden könnten, spricht für den potentiellen Erfolg der autonomen Security-Prüfung. Doch diese Technologie steht natürlich auch Cyberkriminellen zur Verfügung und kann für ihre Zwecke umgewidmet werden. Dann beginnt ein neues Rattenrennen, diesmal nicht zwischen menschlichen Hackern und Security-Experten, sondern zwischen intelligenten Maschinen.

Bildquelle: Thinkstock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH