Künstliche Intelligenz wird zurzeit als universeller Problemlöser gesehen. Nur logisch, dass sie auch im Bereich Cybersecurity zum Zug kommt – natürlich auf beiden Seiten.
Einmal auf den falschen Mailanhang geklickt – schon ist die Serverfestplatte mit sämtlichen Unternehmensdaten von Auftragseingang bis Rechnungswesen verschlüsselt. Mit diesem Szenario mussten in den vergangenen Jahren zahlreiche Anwender Bekanntschaft machen. Die Schadsoftware WannaCry und ihre Verwandten, eingeschleust per E-Mail über harmlos aussehende Dokumente, Bewerbungsschreiben oder Lieferanfragen, legte 2017 über 230 000 Computer lahm.
Allerdings: Längst nicht jede Computerattacke ist so schlicht gestrickt. Speziell solche, die nicht auf wahllose Zerstörung aus sind, sondern auf das Entwenden wettbewerbswichtiger Informationen oder auf gezielte Sabotage, legen es darauf an, möglichst unentdeckt zu bleiben. Derartige komplexe Attacken bestehen aus zeitlich und technisch abgestuften Maßnahmen.
Bei einem typischen Angriff werden sich die Täter zunächst darauf konzentrieren, sich unerkannt in einen Rechner des anzugreifenden Unternehmens einzuhacken. Das sind typischerweise schwach geschützte Systeme, etwa der privat beschaffte, aber für geschäftliche Zwecke genutzte Tabletcomputer eines Mitarbeiters. In der Automobilindustrie mit ihrem weitverzweigten Liefernetz könnte das auch der Rechner eines kleineren, wenig strategischen Partnerunternehmens sein.
Schafft es der Hacker hinter die erste Eingangstür, wird er dort ein Stück Software installieren, das von außen steuerbare Aktionen veranlasst. Dann wird der Angreifer versuchen, Passwörter zu erbeuten, die ihm den weiteren Weg in die IT des Zielunternehmens ermöglichen. Er wird versuchen, die IT-Struktur zu erkunden, bis er am Ziel ist – etwa auf dem Server der Entwicklungsabteilung oder in der Produktionssteuerung. Während dieser Wanderung durch die diversen IT-Instanzen verhalten sich Angreifer möglichst unauffällig, um die Intrusion-Detection-Systeme (IDS) nicht aufzuwecken.
Hier sind KI-gestützte Systeme im Vorteil: Schon kleinste Abweichungen von den normalen Ablaufmustern genügen, um Alarm auszulösen. Zudem lernen Systeme mit künstlicher Intelligenz ständig dazu und können im Gegensatz zu herkömmlichen IDS bisher unbekannte Angriffsmuster detektieren. „Die sehen Dinge, die man sonst nie sehen würde“, sagt Michael Kreutzer, Experte für strategische Industriebeziehungen beim Fraunhofer-Institut für sichere Informationssysteme (SIT) in Darmstadt. Mit ihrer hohen Empfindlichkeit produzieren KI-Systeme allerdings auch viel mehr Alarme als gewöhnliche IDS. Die Securitymitarbeiter der Anwenderunternehmen müssen all diese Alarme abarbeiten – eine zeit- und personalintensive Aufgabe.
Aktuelle Forschungen zielen deshalb darauf ab, Anomalien zu visualisieren und damit intuitiv begreifbar zu machen, anstatt die Securitymitarbeiter mit textbasierten Systemmeldungen zu fluten. Weitere Einsatzmöglichkeiten des maschinellen Lernens nennt Hans-Peter Bauer, Vice President Central & Northern Europe beim Security-Unternehmen McAfee. „Wir versuchen Machine Learning an diejenigen Punkte zu bringen, an denen wir sehr kritische Angriffsvektoren erwarten. Also speziell an den Endpoints.“ Dazu zählt alles, was eine Verbindung nach außen hat – Arbeitsplatzrechner ebenso wie Smartphones, aber auch automatisierte Messwertaufnehmer im industriellen Internet of Things.
Die Herausforderung besteht darin, dass KI-Methoden sehr große Datenmengen verarbeiten und eine entsprechend hohe Rechenleistung benötigen. „Das Thema KI wird in unserem Umfeld immer komplexer, weil auch die Angriffe komplexer werden und die Datenvolumina für das Machine Learning wachsen“, beschreibt Bauer die Problematik. Daher versuche man, die entsprechenden Algorithmen in der Cloud rechnen zu lassen, anstatt vor Ort.
Ähnlich wie der Fraunhofer-Forscher Kreutzer sieht Bauer KI als Mittel zur Produktivitätssteigerung für Cyberdetektive. „Wir versuchen mittels KI die Security zu automatisieren“, sagt Hans-Peter Bauer. „Wir gehen davon aus, dass wir über alle Angriffsvektoren einen Automatisierungsgrad von 75 bis 80 Prozent erreichen, so dass selbst bei komplexen Angriffen der manuelle Eingriff durch die Forensiker weitgehend reduziert wird.“ Die raren Cybersecurity-Fachleute in den Betrieben, so die Hoffnung der Experten, haben dann Zeit, sich auf die wirklich schwierigen Fälle zu konzentrieren.
Weil die Gegenseite aufrüstet, wird das auch nötig sein: Den Fachleuten vom Fraunhofer-SIT sind zwar noch keine Fälle bekannt, in denen Hacker für ihre Einbrüche KI-Methoden eingesetzt haben. „Dazu müsste man die Angriffe forensisch genauer untersuchen“, sagt Kreutzer. „Man kann es einem Angriff ja nicht direkt ansehen, ob da künstliche Intelligenz dahinter steckt.“ Aber wahrscheinlich sei es schon. „Je nach verfügbaren finanziellen Ressourcen verwenden Angreifer natürlich die jeweils neuesten Techniken.“
Das sieht auch Hans-Peter Bauer so: Auch die Gegenseite setze entsprechende KI-Tools ein, „ein Hacker muss heute nur die Adresse im Darknet kennen, wo er die entsprechenden Dinge bekommt. Die Kunst besteht darin, immer den einen entscheidenden Schritt voraus zu sein.“ Gut möglich, dass sich das Rennen in Zukunft noch weiter beschleunigt. Einer Umfrage von RadarServices zufolge sieht die große Mehrheit der IT-Experten den Einsatz von KI heute noch in den Kinderschuhen. Große Fortschritte seien ab etwa 2020 zu erwarten, heißt es.
Lesen Sie hier den ersten Teil unseres Spezials zum Thema Security.
Bild: iStockphoto/gorodenkoff