CRN-Interview
»Es ist nicht ratsam, sich nur auf eine Technologie zu verlassen«
Mit CRN spricht Richard Werner, Business Consultant bei Trend Micro, über die Notwendigkeit von Künstlicher Intelligenz in der IT-Scurity. Ohne ginge es allein schon wegen der Masse der Angriffe nicht mehr, sagt er, betont aber auch, dass andere Sicherheitstechnologien weiter gebraucht werden.
CRN: Herr Werner, um künstliche Intelligenz und Machine Learning ist in den vergangenen Monaten ein regelrechter Hype entstanden, auch im Security-Business. Geht IT-Sicherheit heute noch ohne KI/ML?
Richard Werner: Kurz gesagt, nein. Bei ungefähr zwei einzigartigen Angriffen jede Sekunde ist es aufgrund der schieren Masse unmöglich, Entscheidungen ohne die entsprechenden Automatismen zu treffen.
CRN: In welchen Bereichen der Security ist der Einsatz von KI/ML sinnvoll, wie kann sie zu einem höheren Sicherheitsniveau beitragen?
Werner: Cybersicherheit besteht heute aus drei groben Bereichen. Dem Schutz im klassischen Sinne, der Erkennung (Detection), falls der Schutz einmal nicht erfolgreich verteidigen konnte und den Gegenmaßnahmen (Response), um entdeckte Lücken und erkannte Probleme schnellstmöglich zu schließen oder zu beheben. In allen drei Bereichen kommt KI/ML zum Einsatz. Die Art der Verwendung ist dabei vom Einsatzzweck abhängig.
CRN: Sollte man Entscheidungen, noch dazu sicherheitsrelevante, tatsächlich einer Maschine überlassen?
Werner: Das ist eine ethische Frage, die immer dann relevant wird, wenn wir über konkrete Auswirkungen auf eine Person sprechen. In der IT-Security ist das so nicht gegeben. Hier urteilt die Maschine nicht über die moralischen Auswirkungen, sondern zeigt lediglich Verstöße gegen vordefinierte Regeln auf maschineller Ebene auf. In jedem Fall können die Ergebnisse auch von Menschen kontrolliert und geändert werden. Sprechen wir von Cyberangriffen und ihren Auswirkungen, dann haben wir tatsächlich keine Wahl mehr. Sowohl die Masse als auch die Qualität dieser Vorfälle macht es unmöglich, auf die Entscheidung durch Menschen zu warten.
CRN: Ist KI/ML eine Ergänzung zu bestehenden Sicherheitsmechanismen und Sicherheitstechnologien oder hat sie auch das Zeug, etablierte Konzepte abzulösen?
Werner: Die Technik ist in der Lage, die allermeisten Angriffe zu erkennen und zu lösen. Die Herausforderung ist, dass jede Verteidigungstechnik auf Seiten der Angreifer Gegenmaßnahmen provoziert. So arbeiten dort Hacker mithilfe von KI daran, sie zu umgehen. Deshalb nimmt der Wirkungsgrad jeder Verteidigungstechnik mit der Zeit ab. Sich nur auf eine Technologie zu verlassen, ist daher sicherheitstechnisch nicht ratsam. Je mehr unterschiedliche Möglichkeiten man hat, desto vielschichtiger kann auf Verteidigerseite reagiert werden, was vor allem den Angriff komplizierter macht.
CRN: Birgt der Einsatz von KI/ML auch Risiken? Wo liegen die Grenzen der neuen Technologien?
Werner: Abgesehen vom Risiko des Missbrauchs durch Angreifer ist die Technik sehr gut geeignet, um eine Wahrscheinlichkeitsberechnung zu tätigen, ob ein Vorfall bösartig ist oder nicht. Die Herausforderung bleibt jedoch, diese Wahrscheinlichkeit zu interpretieren. Je nach Hersteller ist dabei die Wahl zwischen der Akzeptanz von False/Positiven beziehungsweise dem Zulassen von False/Negativen davon abhängig, ob noch andere Techniken existieren, die im Zweifel die Einschätzung granularer untersuchen können.
CRN: Welches Potenzial hat KI/ML im Security-Bereich, wo wird die Entwicklung in den kommenden Monaten und Jahren Ihrer Einschätzung nach noch hingehen?
Werner: Die Technologie ist in der Industrie weit verbreitet und kann heute bereits zum Mainstream gerechnet werden. Kein Hersteller agiert ohne KI/ML. Trotz aller Bemühungen müssen wir uns allerdings der Tatsache stellen, dass dennoch Angreifer erfolgreich sind. Neben der Möglichkeit, die Grenzen in der Verteidigung auszuloten, kommt hinzu, dass viele Anwenderunternehmen gar nicht in der Lage sind, die Technologieneuerungen schnell genug zu implementieren. Die Forschung und Entwicklung geht deshalb in folgende Bereiche: Managed Security Services und as-a-Services-Optionen, bei denen ein Hersteller oder seine Partner das Anpassen der Security übernehmen und für die Bereitstellung neuer Sicherheitstechnik sozusagen in Echtzeit sorgen. Und Detection und Response, um Prozesse soweit zu automatisieren, dass SOC-Teams sich auf die Bewertung einzelner wirklich gefährlicher Vorfälle konzentrieren können.
CRN: Auch Cyberkriminelle nutzen neue Technologien – wie setzen sie KI/ML ein?
Werner: Das erfolgt auf unterschiedliche Art und Weise. Nachzuweisen ist es vor allem bei der Auswahl und der Erstellung von Angriffswerkzeugen. So kam während der Emotet-Ransomware-Welle von 2019 ein E-Mail-Modul zum Einsatz, mit dem es möglich war, die E-Mail-Historie eines befallenen Clients auszulesen. Heruntergeladen wurde der E-Mail-Verkehr der letzten 180 Tage. Diese Daten wurden dann im Hinblick auf die Erkennung von Zusammenhängen für weitere Angriffsmethoden höchstwahrscheinlich maschinell ausgewertet. Die hieraus gewonnenen Informationen wurden anschließend für die Erstellung weiterer Angriffs-E-Mails mit persönlichem Zusammenhang – beispielsweise unter Bezugnahme auf einen früheren E-Mail-Verkehr – verwendet. Höchstwahrscheinlich dienten weitere Ergebnisse auch dazu, andere Angriffstaktiken auszuführen. So scheint ein Zusammenhang zwischen erfolgreichen Emotet-Angriffen und Business-E-Mail-Compromise-Versuchen (BEC) zu existieren.
Lesen Sie mehr zum Thema
