- PROMOTION -

CrowdStrike-Experte im Interview

„Ransomware ist weiterhin eine der größten Gefahren für den Mittelstand“

Als Senior Vice President und Chief Scientist bei CrowdStrike beschäftigt sich Dr. Sven Krasser intensiv mit aktuellen Cyberbedrohungen. Im Interview erklärt der Experte, was ihn an dieser Aufgabe reizt, auf welche Gefahren sich Unternehmen derzeit einstellen müssen und wie Künstliche Intelligenz die IT-Sicherheit stärken kann.

Dr. Sven Krasser von CrowdStrike im Interview

ITM: Herr Krasser, wie profitiert der IT-Security-Sektor von den Synergien aus KI und Big Data?
Sven Krasser:
Moderne Sicherheitstechnologien müssen in der Lage sein, sich ständig weiterentwickelnde Angriffsmuster zu erkennen. Je mehr Daten analysiert werden können, um so schneller ist es möglich, die Punkte zu verbinden, die ein Bild von einem potentiellen Angriff zeichnen können.

Ein konkretes Beispiel: im Moment verarbeitet die Falcon Plattform von CrowdStrike über vier Billionen Ereignisse pro Woche. Solche Datenmengen können Menschen nicht mehr von Hand auswerten. Technologien wie maschinelles Lernen (ML) und künstliche Intelligenz (KI) erlauben es, die Auswertung zu skalieren. Des Weiteren können ML- und KI-Algorithmen Daten von höherer Komplexität auswerten, beispielsweise können so nicht nur eine Handvoll, sondern Tausende von Charakteristiken pro Datenpunkt in Betracht gezogen werden.

ITM: Lassen sich auf dieser Basis auch Angriffe abwehren, bevor sie überhaupt geschehen?
Krasser: Ein Vorteil der KI ist es, dass sie nicht nur bekannte Angriffe stoppen kann, sondern dass sie auch neue Angriffe auf abstrakter Basis erkennt. Lassen Sie mich das kurz am Beispiel Schadsoftwareerkennung erläutern: traditionelle Erkennungsmethoden basieren auf Signaturen – Zeichenketten, die in bestimmten Schadprogrammen vorkommen. Diese Signaturen werden dann täglich aktualisiert und müssen von traditionellen Antivirusprogrammen heruntergeladen werden. Dieses Vorgehen bereitet zwei Probleme. Zum einen ist die Erstellung neuer Signaturen reaktiv, der Schwerpunkt liegt also auf der Erkennung bereits bekannter Gefahren. Zum anderen skaliert die Signaturerkennung schlecht. Neue Schadsoftwarevarianten und -familien werden von Angreifern millionenfach in Umlauf gebracht, die alle analysiert und mittels Signaturen beschrieben werden müssen. 

KI-basierte Schadsoftwareerkennung hingegen basiert auf einem statistischen Modell, das auch neue Varianten und Familien erkennen kann. Ein monatealtes Modell kann immer noch effektiv neue Schadsoftware erkennen und stoppen – ganz ohne tägliche Updates.

Besonders wichtig ist auch die Analyse schwacher Signale, um die Kill Chain (Angriffskette) zu unterbrechen. So könnte z.B. ein Phishing-Angriff erfolgreich sein, aber Versuche des Angreifers einen Brückenkopf im Netzwerk zu etablieren, werden erkannt und unterbunden. Gerade bei schwachen Signalen hilft es, große Datenmengen mit KI korrelieren zu können – genau so, wie eine größere Parabolantenne schwächere Funkwellen empfangen kann.

ITM: Wie gehen Sie und Ihr Team in der Praxis vor, um neue Erkenntnisse über die Bedrohungslage zu gewinnen?
Krasser: Wir beschäftigen zahlreiche Sicherheitsexperten, die fortgehend die Bedrohungslage analysieren und neue Trends und Angriffsmethoden aufspüren. Zum Bespiel arbeiten unsere KI-Experten eng mit den Experten von Falcon Overwatch, dem Managed Threat Hunting Service von CrowdStrike, zusammen. Die Spezialisten vom Overwatch-Team – Experten für die Jagd nach Cyberbedrohungen – suchen rund um die Uhr in den Cloud-Daten nach Bedrohungen und Angriffen. Zum einen nutzen sie dazu Spuren und Hinweise, die von KI-Methoden identifiziert worden sind. Zum anderen geben sie permanent Feedback an die KI-Algorithmen, so dass diese fortlaufend mit neuem menschlichem Fachwissen verbessert werden können.

Diese Feedbackschleife zwischen Mensch und Maschine ist extrem wichtig, damit KI sich schnellstmöglich an neue Trends anpassen kann. Und ohne menschlichen Input kann man nicht sicher sein, dass ein KI-Modell wirklich alle relevanten Bedrohungen effektiv aufspüren kann.

Künstliche Intelligenz kann potenzielle Sicherheitsrisiken frühzeitig erkennen.
Künstliche Intelligenz kann potenzielle Sicherheitsrisiken frühzeitig erkennen.

ITM: Was reizt Sie an dieser Tätigkeit und was hat Sie mit diesen Interessen zu CrowdStrike geführt?
Krasser:
Ich arbeite bei CrowdStrike seit die Firma vor über neun Jahren ihre Türen geöffnet hat. Damals haben mich die Limitierungen traditioneller Methoden frustriert. Die Möglichkeit, an einem von Grund auf neu erdachten Verfahren zur IT-Sicherheit zu arbeiten, war daher ein großer Anreiz.

Aber auch heute, neun Jahre später, bleibt die Arbeit interessant und aufregend. Mittlerweile arbeiten in meiner Abteilung über 70 Experten, die täglich neue Bedrohungen erforschen und neue KI-Methoden zur Erkennung entwickeln.

ITM: Wie fließt Ihre Arbeit in die Produkte und Services von CrowdStrike ein?
Krasser: Wir arbeiten sehr eng mit der Produkt- und Entwicklungsabteilung zusammen, sowohl um Forschungsergebnisse schnellstmöglich zu integrieren, aber auch, um neue Schnittstellen und Datenquellen zu erschließen. Die effektive Anwendung von KI erfordert schnelle Produktzyklen.

Unsere Algorithmen kommen sowohl auf Endgeräten als auch in der Cloud zum Einsatz. Der Endgeräteeinsatz erlaubt schnellen Zugriff auf lokale Daten zur Gefahrenlage, aber Algorithmen müssen dafür sparsam mit Ressourcen umgehen. Der Einsatz in der Cloud hingegen erlaubt die Verwendungen von Big Data-Technologien, die Entscheidungen auf Basis von großen Datenmengen treffen können und die nicht auf Daten eines einzelnen Endgeräts beschränkt sind.

ITM: Welche Bedrohungen sind Ihrer Erfahrung nach am gefährlichsten für mittelständische Unternehmen?
Krasser: Dazu ein paar Daten aus dem 2020 Threat Hunting Report: allein in der ersten Jahreshälfte 2020 hat unser Overwatch-Team 41.000 potentielle Angriffe registriert. Das sind mehr als die 35.000 Angriffe, die wir im ganzen Jahr 2019 registriert haben.

Ransomware ist weiterhin eine der größten Gefahren für den Mittelstand. Ein neuer Trend ist Ransomware-as-a-Service (RaaS). RaaS Anbieter liefern die Technologie, deren kriminelle Kunden (Distributoren) brechen damit dann in Netzwerke ein, verschlüsseln Dateien und verlangen Lösegeld. Diese Erlöse werden dann zwischen Anbieter und Distributor geteilt. Für die kriminellen Angreifer skaliert dieses Modell besser, was zur Folge hat, dass eine größere Anzahl von Unternehmen Opfer von solchen Angriffen werden.

Außer Lösegeldforderungen ist eine neue Methode der Angreifer, damit zu drohen, gestohlene Daten zu veröffentlichen. Für Unternehmen, die dem zum Opfer fallen, ist der potentielle Reputationsschaden groß – besonders, wenn auch Kundendaten betroffen sind. Außerdem kann die Veröffentlichung vertraulicher Dokumente Wettbewerbsvorteile zunichtemachen.

Ein anderer Trend ist das sogenannte Big Game Hunting (oder Großwildjagd). Hier werden lukrative Opfer gezielt ausgesucht. Die Angriffsmuster sind speziell an das Opfer angepasst und fortschrittliche Angriffsmethoden kommen zum Einsatz. Lösegeldforderungen können dabei in die Millionenhöhe gehen.

Es ist wichtig zu verstehen, dass eCrime hauptsächlich durch finanzielle Motivation angetrieben wird. Dieser monetäre Anreiz regt die fragwürdigen Innovationen an, die wir im Ransomware-Bereich über die letzten Jahre gesehen haben. Dies steht im starken Kontrast zu dem lediglich lästigen Digitalvandalismus der Neunzigerjahre.

Grafik von CrowdStrike

ITM: Wie können sich Unternehmen effizient schützen?
Krasser: Wesentlich ist die Auswahl zuverlässiger und moderner Sicherheitslösungen, die nicht nur bekannte Bedrohungen, sondern auch neue zielgerichtete Angriffsmethoden abwehren können. Die KI ist hier wichtig, ist aber auch kein Allheilmittel. Vielschichtiger Schutz, basierend sowohl auf automatisierter Erkennung durch maschinelles Lernen als auch auf menschlichem Expertenwissen ist das beste Rezept.

Big Data-Technologien, vor allem in der Cloud, erlauben die Erkennung auch schwacher Angriffssignale. Die Cloud fungiert dabei als zentrale Analysestelle, die globale Trends schneller aufdecken kann. Diese Funktion ist vergleichbar mit der Rolle des Robert Koch-Instituts in der zentralen Analyse und Eindämmung der Coronavirus-Pandemie.

Des Weiteren ermöglicht die Cloud, dass Endgeräte auch dann geschützt werden können, wenn sie nicht direkt mit dem Firmennetzwerk verbunden sind. Vor allem in Hinblick auf Telearbeit während der momentanen Pandemie ist dies ein wesentlicher Vorteil.

ITM: Welche Trends erwarten Sie für das kommende Jahr?
Krasser: Vornehmlich erwarte ich eine Fortsetzung des Trends zu mehr Angriffen auf Unternehmen. Vor allem führen die finanziellen Anreize für Angreifer zu einer ständigen Verfeinerung ihrer Angriffsmethoden und zur Entwicklung neuer krimineller Geschäftsmodelle wie z.B. RaaS.

Verteidiger auf der Seite der IT-Sicherheit werden die Nutzung stetig wachsender Datenmengen ausweiten und auf automatisierte Auswertung, z.B. mittels KI, setzen. Aber auch der Einfluss von Expertenwissen in den automatischen Entscheidungsverlauf wird darüber hinaus eine zentrale Rolle spielen.

Telearbeit wird weiterhin an Bedeutung gewinnen. Die Pandemie hat den bestehenden Trend verstärkt. Für die IT-Sicherheit bedeutet das, dass Schutz am Netzwerkperimeter nicht mehr ausreicht und dass Endgeräteschutz nicht an die Verbindung zum Firmennetz gekoppelt sein sollte.

Insgesamt blicke ich mit Optimismus in die Zukunft. Die Verschmelzung von KI, Cloud und Big Data gibt uns in der IT-Sicherheit ein schlagkräftiges Werkzeug, dass wir zum Schutz der Daten, Systeme und des Know-hows einsetzen können, die mittelständische Unternehmen antreiben.

CrowdStrike Logo
©2020 CrowdStrike GmbH, Bildquelle: CrowdStrike GmbH, iStock
©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok