Aktuelle Diskussionen

KI in den Händen von Cyberkriminellen

Inwieweit Cyberkriminelle bereits heute Künstliche Intelligenz oder Machine Learning nutzen, wird laut Dr. Ralf S. Engelschall von msg, heiß diskutiert. Theoretisch ist viel denkbar, realistisch gesehen sind die Kriminellen jedoch noch weit davon entfernt.

Dr. Ralf S. Engelschall, msg

Ralf S. Engelschall, Leiter Applied Technology Research bei msg

IT-DIRECTOR: Herr Engelschall, in Expertenkreisen gelten Machine Learning (ML) und im nächsten Schritt Künstliche Intelligenz (KI) als wichtige Technologien, um den Kampf gegen die zunehmenden Cyberbedrohungen zu gewinnen. Inwieweit haben sie bereits Einzug in aktuelle Sicherheitslösungen gehalten?
R. Engelschall:
In Anti-Spam-Lösungen kommen Naive Bayes Classifiers bereits seit über 20 Jahren erfolgreich zum Einsatz. Ebenso greifen Anti-Malware-Lösungen neben den traditionellen signaturbasierten Ansätzen längst auf KI-Verfahren wie Fuzzy Matching und Behavior Analysis zurück. Und Software aus dem Bereich Security Information and Event Management (SIEM) kombiniert supervised Machine-Learning-Ansätze, um etwa von menschlichen Entscheidungen zu lernen, mit unsupervised Ansätzen, um Muster und Korrelationen in Event-Strömen automatisch zu erkennen.

IT-DIRECTOR: Welche Vorteile können sich die Verantwortlichen vom Einsatz ML- bzw. KI-basierter Sicherheitslösungen versprechen?
R. Engelschall:
Einerseits erlauben diese Ansätze den gefährlichen Zero-Day-Exploits entgegenzuwirken, weil sie mit Unschärfen umgehen und zuvor unbekannte sowie hochindividuelle Angriffe besser erkennen können. Andererseits lassen sich komplexe Konfigurationen etwa einer Web-Application-Firewall (WAF) automatisch durch Anlernen anpassen, anstatt eine manuelle Justierung zu erzwingen. Hochkomplexe Regeln, gekennzeichnet durch viele Input-Dimensionen, lassen sich mithilfe von KI-Ansätzen zudem effizient unterstützen und vereinfachen.

IT-DIRECTOR: Auch Algorithmen können irren. Wie lassen sich sogenannte „False Positives“ vermeiden?
R. Engelschall:
Ganz vermeiden lassen sich diese natürlich nicht, weil KI- bzw. ML-Ansätze immer mit Wahrscheinlichkeiten in den Ergebnissen arbeiten. Fehler sind somit inhärent vorgesehen. Natürlich reduziert sich die Fehlerquote durch den Einsatz besonders geeigneter Verfahren – mit generell niedrigen Fehlerraten – und bei Supervised-Machine-Learning-Ansätzen durch gute, vor allem aber durch extrem viele Trainingsdaten. Bei manchen Verfahren können bereits bewährte Modelle als Grundlage herhalten, so dass diese nicht von Grund auf neu angelernt werden müssen. Und der parallele Einsatz mehrerer konkurrierender Verfahren erlaubt zumindest die gegenseitige Plausibilisierung oder gar die gegenseitige Stärkung durch individuelle Ergebnisse.

IT-DIRECTOR: Ein Blick auf die Hacker-Seite: Wie nutzen Cyberkriminelle maschinelles Lernen und Künstliche Intelligenz für ihre Attacken?
R. Engelschall:
Darüber, ob und wie Kriminelle KI/ML-Ansätze heutzutage wirklich nutzen, lässt sich natürlich ausschweifend spekulieren. Theoretisch ist sehr viel denkbar, realistisch gesehen sind Kriminelle noch viel weiter davon entfernt, als unsere Phantasie es uns Glauben lassen mag. Denn wie ihre Pendants auf der guten Seite sind die aktuellen KI/ML-Lösungen vollkommene Fachidioten. Sprich: Sie können ganz spezifische Probleme zwar manchmal gut lösen, sind aber weit davon entfernt, autarke Lösungen zu sein.

Insofern ist es sehr wahrscheinlich, dass die KI/ML-Ansätze der Kriminellen noch ein weiteres Problem haben: Konkrete erfolgreiche Angriffe benötigen meist hochindividuelle Herangehensweisen. Und diese Individualität zählt nicht zu den Stärken von KI/ML-Lösungen. Eine statistische, verallgemeinernde Unschärfe stellt für sie zwar kein Problem dar. Auf individuelle Ausreißer können sie sich aber viel schlechter adaptieren, als man üblicherweise denkt.

IT-DIRECTOR: Wie könnten solche Attacken in der Praxis ablaufen?
R. Engelschall:
Mit den heute bekannten KI/ML-Verfahren sind hochindividuelle Cyberangriffe aktuell schwer vorstellbar. Aber so wie Anti-Spam- und Anti-Malware-Lösungen heute durchaus mit KI/ML-Ansätzen erfolgreiche Abwehr leisten, könnten Angreifer ihre Attacken eventuell auch adaptiver gestalten. Dadurch wäre ein zielgerichteter Netzwerkangriff denkbar. Anstelle eines aufwendigen und auffälligen Brute-Force-Port-Scannings über sehr große Netzwerk-Adressbereiche hinweg, ließe sich ein Angriff mithilfe von KI-Ansätzen effizienter gestalten und somit kaschieren. Die KI würde dazu in erster Linie versuchen, die unterliegende Netzwerktopologie zu verstehen. Denkbar ist auch, dass die KI für Privilege-Escalation-Angriffe nicht einfach alle existierenden Root-Exploits durchprobiert, sondern vorab die Lage einschätzt und einige wenige konkrete Exploits vorauswählt.

IT-DIRECTOR: Was wäre im Gegensatz zu bisherigen, altbekannten Attacken das Besondere daran? Welchen Schaden könnten sie anrichten?
R. Engelschall:
Der Schaden eines Angriffs selbst würde sich nicht ändern. Weil die Attacken aber unauffälliger und effizienter geschehen, würden sie anfangs seltener entdeckt werden und hätten eine größere Chance auf Erfolg.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok