Cybercrime
KI allein ist keine Wunderwaffe
Künstliche Intelligenz ist ein starker Verbündeter im Kampf gegen Hacker. Ohne menschliche Intelligenz geht es jedoch noch nicht.
Eine klare Antwort auf die Frage, wer im Wettlauf zwischen IT-Sicherheitsunternehmen und Cyberkriminellen die Nase vorn hat, gibt es nicht. Durch den Einsatz von Künstlicher Intelligenz (KI) und Maschinellem Lernen hat sich die gegenseitige Jagd zu einem Kopf-an-Kopf-Rennen entwickelt. Fakt ist, Cyberangriffe entwickeln sich in einem rasanten Tempo weiter und werden immer raffinierter und damit gefährlicher. So nutzen die Kriminellen KI-Technologien für das Ermitteln von Passwörtern, das Aufspüren von Schwachstellen in der IT, das Brechen von Captcha-Codes, die Eingabeformulare eigentlich vor Hackern und Spam-Bots schützen sollen, oder das Klonen von Stimmen. Auf der Gegenseite rüsten Unternehmen auf, um sich überhaupt zur Wehr zu setzen und schnell auf aggressive Attacken reagieren zu können. Im Kampf gegen Cyberkriminelle spielen deshalb die gleichen KI-Disziplinen eine entscheidende Rolle. Angefangen bei Machine Learning über Supervised beziehungsweise Unsupervised Learning bis hin zu Decision Trees oder Deep Learning.
KI kann auffällige Verhaltensmuster erkennen
Eine große Stärke von KI ist das Erkennen von Mustern durch das Auswerten riesiger Datenmengen. Die meisten Unternehmen verfügen heute über Unmengen an Daten, etwa darüber, welcher Mitarbeiter sich zu welchem Zeitpunkt von wo in seine Accounts einloggt. In großen Firmen kommen da in Sekundenschnelle Tausende Vorgänge zusammen, die sich von den IT-Security-Experten nicht mehr händisch überwachen lassen. Künstliche Intelligenz hilft, Ungereimtheiten zu bemerken und so die Cyberattacke unter den zahlreichen legitimen Login-Versuchen aufzuspüren. Meldet sich etwa ein vermeintlicher Mitarbeiter nachts aus einer anderen Zeitzone oder trotz Urlaub im Firmennetz an, ist ein Diebstahl der Nutzerdaten sehr wahrscheinlich. Ein KI-basiertes Sicherheitssystem schlägt in diesem Fall Alarm. In kurzer Zeit können dabei große Datenmengen analysiert, unbekannte Dateien mit Threat-Intelligence-Plattformen abgeglichen und so Malware und andere Eindringlinge entdeckt sowie auffällige Verhaltensmuster mit bestehenden Regelkatalogen überprüft werden.
KI ist in der Cyberabwehr allerdings nur dann erfolgreich, wenn die Daten gut und der Algorithmus entsprechend trainiert sind. Schlechte Datenqualität führt zu einer leistungsschwachen beziehungsweise fehlerhaften KI, einer unzureichenden Erkennungsrate und letztlich einer geringen Sicherheit. Die meisten Unternehmen verfügen zwar über genügend Daten, etwa aus OT (Operational Technology)-Umgebungen oder IoT-Geräten, allerdings nicht über die nötige Menge an reich kodifizierten Trainingsdaten.
Ein Security Operations Center (SOC) nutzt Bedrohungsdaten aus den unterschiedlichsten Quellen und kann daher tiefgehendere Einblicke ermöglichen, die meist kein Einzelunternehmen mit vertretbarem Aufwand zusammenstellen oder analysieren könnte. Wie gut ein KI-Algorithmus ist, hängt dabei ganz entscheidend von den menschlichen Experten ab, die ihn trainieren. Sie müssen ihre maschinellen Helfer mit den nötigen Informationen füttern und Sicherheitsrichtlinien erstellen, die sie basierend auf möglichen Vorfällen oder den Ergebnissen ihrer eigenen Schwachstellensuche weiter verfeinern können. Bei dem sogenannten Supervised Learning etwa „lehrt“ der Analyst dem Algorithmus, welche Schlussfolgerungen er ziehen soll. So weiß das KI-System etwa, welche Programme ein Schadcode öffnet, welche Dateien er beschreibt oder löscht und welche Daten er hoch- oder runterlädt. Nach entsprechenden Mustern kann der trainierte Algorithmus dann auf den Rechnern von Nutzern Ausschau halten.
Teamarbeit macht's möglich
KI ist keine Wunderwaffe in der Abwehr von Hackern – wirklich schlagkräftig funktionieren die unterschiedlichen Disziplinen nur im Team mit menschlicher Intelligenz. Die Kombination aus kontinuierlich lernenden Algorithmen und gut ausgebildeten Experten ermöglicht es, neue Bedrohungen fast in Echtzeit zu erkennen und darauf zu reagieren. Und auch wenn KI-Lösungen Informationen in Nanosekunden verarbeiten und wertvolle Vorschläge daraus ableiten können, ist nicht jede Information wirklich relevant. Die Systeme benötigen daher den Input von Analysten, um den Kontext eines Sicherheitsvorfalls zu verstehen. Unternehmen sollten beim Thema Cybersicherheit keine überzogenen Erwartungen an die Technologie hegen – mit einer schlagkräftigen Einheit aus Mensch und Maschine, die sich laufend verbessert, kann man den Hackern allerdings den entscheidenden Schritt voraus sein.
Franck Braunstedter, European Practices Director Threat & Validation, Security Operation & Intelligence bei NTT
Lesen Sie mehr zum Thema
