Künstliche Intelligenz in der IT-Sicherheit

Mit selbstlernenden Systemen die IT effizient absichern

| Autor / Redakteur: Ben Kröger / Peter Schmitz

Machine- und Deep-Learning in Security-Lösungen entlasten die eigene IT-Mannschaft, senken die Fehlerquote und erhöhen drastisch die Geschwindigkeit und Treffsicherheit.
Machine- und Deep-Learning in Security-Lösungen entlasten die eigene IT-Mannschaft, senken die Fehlerquote und erhöhen drastisch die Geschwindigkeit und Treffsicherheit. (Bild: gemeinfrei)

Sicherheitslösungen, die Machine und Deep Learning einbinden, beweisen bei Spam-Filtern, Malware-Erkennung und Netzwerkanalysen ihre überragende Effizienz. Der Clou: Die Anwendungen verbessern sich selbst. Die Begeisterung über den Sicherheitsgewinn darf jedoch nicht dazu führen, Grenzen und Gefahren auszublenden.

Bereits Anfang der 2000er-Jahre wurde Machine Learning (ML) erstmals in Anti-Spam-Systemen eingesetzt. Sie arbeiten mit dem Satz von Bayes, einer Formel aus der Wahrscheinlichkeitstheorie. Gibt man einem solchen System 200 Spam-E-Mails und 200 andere Nachrichten, die sicher kein Spam sind, dann lernt es, Spam von Nicht-Spam zu unterscheiden. Anhand der Häufigkeit von bestimmten Wörtern errechnet künstliche Intelligenz (KI), wie wahrscheinlich eine Nachricht in die Kategorie Spam gehört. Aus dem Feedback des Nutzers lernt das System kontinuierlich dazu, etwa wenn der Anwender von Hand eine E-Mail als Spam markiert oder für den Fall, dass der Nutzer eine andere Nachricht aus dem Spam-Ordner herausnimmt. Diese einfache Form des maschinellen Lernens ist heute Standard in Anti-Spam-Lösungen.

Angewandte Mathematik

Mathematische Techniken, die ein Computersystem zum selbstständigen Lernen befähigen, sind charakteristisch für ML. Die Teildisziplin der KI beruht auf Algorithmen, die aus Erfahrung lernen. Deep Learning (DL) bildet wiederum einen ML-Teilbereich, dessen Wesen in künstlichen neuronalen Netzen besteht. Diese „Verdrahtung“ ist dem menschlichen Gehirn nachempfunden. Einfache neuronale Netze bauen sich aus Eingabe-, Zwischen- und Ausgabeschicht auf. Um ML- und DL-Systeme zu verbessern, ist es nötig, sie mithilfe von Daten zu trainieren. Nach jedem Durchlauf lässt sich der Fortschritt beim selbständigen Erkennen von Mustern, Aufstellen von Regeln und Lösungen sowie dem Lernen aus Fehlern beobachten.

Der Einsatz von Maschinenlernen in der IT Security ist vor allem dann sinnvoll, wenn ein Unternehmen einen riesigen Datenpool prüfen möchte. In dem Fall spielen die Maschinen ihre entscheidenden Stärken aus: Sie werten die Datensätze nahezu in Echtzeit aus, automatisieren Security-Prozesse und sparen dadurch Zeit und Ressourcen.

KI-Nachfrage und -Angebot für die Cyber Security

Die zunehmende Vernetzung erhöht das Gefahrenpotenzial und lässt die Anzahl an notwendigen Datenanalysen ansteigen, was für den breiten KI-Einsatz in der IT Security spricht. Diese Einschätzung bestärkt eine TÜViT-Studie, die das Analystenhaus Crisp Research erstellt hat. Demnach sind mehr als 60 Prozent der deutschen Unternehmen der Ansicht, dass Security-Lösungen mit KI künftig eine tragende Rolle spielen werden. Rund 26 Prozent der Befragten wollen solche Lösungen künftig zusätzlich zu bestehenden Systemen einsetzen und knapp 18 Prozent evaluieren dies derzeit. Über 35 Prozent gehen sogar davon aus, dass sie künftig eine vollautomatisierte IT-Sicherheitsarchitektur besitzen werden.

Hersteller wie Cisco, McAfee, IBM, Darktrace oder Vectra bedienen den Bedarf und haben ML und DL in ihre IT-Security-Technologien integriert. KI macht neben Spam-Filtern auch Sandboxing leistungsfähiger, also die Untersuchung von möglichen Schädlingen in einer virtuellen, abgeschotteten Umgebung. Security Information and Event Management (SIEM) reiht sich in die ML-Anwendungsfälle ein. SIEM sammelt und analysiert Log-Daten aus verschiedenen Quellen, es warnt bei Auffälligkeiten. Beispielsweise misst das System die Abstände zwischen zwei Ereignissen. Treten diese nun kurz nachaufeinander auf, alarmiert die ML-Lösung den Verantwortlichen, dass ein Hinweis für einen Sicherheitsvorfall vorliegt.

Virenscanner mit ML-Algorithmus verändern sogar ihre Methodik. Sie bewerten eine Datei nicht mehr nach ihrer Signatur, sondern danach, welche Eigenschaften sie besitzt und was für Aktionen sowie Prozessketten die Datei auslöst. KI-basierte Intrusion Detection and Prevention Systems (IDS/IPS) untersuchen wiederum Attribute und ihre Kombinationen im Netzwerkverkehr, um Anomalien zu entdecken. Ein solches System schult sich selbst, normales und anormales Verhalten zu unterscheiden.

Mehrwehrt für den KI-Einsatz definieren und Risiken kennen

Welche KI-unterstützten Security-Lösungen sich für ein Unternehmen eignen, hängt von der Komplexität der vorhandenen IT-Infrastruktur und dem festzulegenden Risikolevel ab. Vor allem stellt sich die Frage, welchen Mehrwert der KI-Einsatz bringen soll. Eine Firma muss Arbeitsentlastung sowie Sicherheitsgewinn abwägen und priorisieren, ob ihr beispielsweise ein System reicht, das Spams zu 99 Prozent erkennt. Eine intelligente Lösung könnte im Gegensatz dazu vielleicht eine Erfolgsquote von 99,9 Prozent aufweisen. Das mag nach einem minimalen Unterschied klingen, doch einem Unternehmen, bei dem am Tag zig Millionen Spams die Postfächer belasten, hilft eine intelligente Lösung wesentlich weiter.

KI-Lösungen können jedoch nicht alles. Sie versagen dort, wo menschlicher Sachverstand nötig ist, wie zum Beispiel in der Firewall-Administration. Die richtigen Ports muss auch weiterhin ein Administrator freischalten. Man sollte sich jedoch bewusst machen, dass mit KI auch Risiken verbunden sind. Die größte Gefahr ist systemimmanent: Deep Learning fehlt es an Transparenz. Niemand weiß, wie eine Entscheidung in einem tiefen neuronalen Netz zustande kommt. In der Konsequenz würde es wohl nur zufällig auffallen, wenn das Ergebnis falsch wäre. Aus dem Grund haben Entwickler und Anwender die Pflicht, KI-Systeme sorgfältig zu trainieren und zu prüfen, ob der Lernfortschritt, plausibel ist. Forscher aus der Schweiz und Frankreich haben in einem Experiment ein ML-System mit Falschinformationen gezielt manipuliert. Das kann in einer Vielzahl von Anwendungsfällen fatale Auswirkungen haben – was die Security anbelangt, tun sich dadurch neue Einfallstore auf.

Mustergültiges Lösen von Teilaufgaben

Maschinen- und Tiefenlernen in Security-Lösungen entlasten die eigene IT-Mannschaft, senken die Fehlerquote und erhöhen drastisch die Geschwindigkeit und Treffsicherheit. Der Effekt stellt sich bei der Spam-, Malware- und Anomalie-Erkennung ein. Zweifellos wird sich KI in Sicherheitsanwendungen etablieren, aber vorerst auf Teilaufgaben beschränkt bleiben. Generell muss sich der KI-Einsatz in ein Sicherheitskonzept fügen, das weiterhin der Mensch erstellt. IT-Verantwortliche sollten jedoch im Hinterkopf behalten, dass auch Cyberkriminelle die neuen Möglichkeiten für ihre Zwecke nutzen können. Hersteller von Security-Lösungen haben in diesem Wettlauf jedoch einen Vorteil. Sie verfügen über mehr Ressourcen, um rechenintensive und teure KI-Anwendungen zu entwickeln – es sei denn, hinter den Hackern stehen Geheimdienste oder große Unternehmen.

Über den Autor: Ben Kröger ist Leiter Professional Service bei Axians IT Security.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45773001 / Monitoring und KI)