Cyberangriffe mit KI werden zukünftig Standard sein

Es existiert inzwischen kaum ein Anwendungsbereich in der IT-Sicherheit, in dem maschinelles Lernen und künstliche Intelligenz (KI) nicht eine tragende Rolle spielen.

Dies mit gutem Grund, können diese Technologien IT-Abteilungen doch ganz trefflich dabei unterstützen, die Cyberabwehr aufrecht zu erhalten oder zu optimieren. Beispielsweise bei der Erkennung von Angriffen.

Aber auch Kriminelle und Cyberangreifer wissen diese Technologien zu schätzen und nutzen selbige für ihre Zwecke oder greifen die in Unternehmen eingesetzte KI ganz gezielt an. Welche Konsequenzen dies für die IT-Sicherheit hat, erklärt nachfolgend Matthias Ochs.

Matthias Ochs ist Geschäftsführer von genua, einem deutschen Spezialisten von IT-Sicherheit. Seit der Gründung 1992 beschäftigt sich das Unternehmen mit der Absicherung von Netzwerken. Matthias Ochs ist seit 2011 bei genua und seit August 2017 Geschäftsführer. Zuvor war er 20 Jahre Soldat bei der Bundeswehr. Er flog als Waffensystemoffizier von 1994 bis 2011 auf dem Waffensystem Tornado ECR.

Laut Prognosen soll KI den Angreifern deutlich mehr Vorteile bringen als der IT-Security, also den Verteidigern. Wen sehen Sie im Vorteil?

Matthias Ochs: Von der KI werden beide Seiten enorm profitieren. Generell hat der Angreifer immer den Vorteil, dass er die Mittel, die Zeit und den Ort wählen kann, weil er die Initiative hat. Aber der Verteidiger kann sich vorbereiten. Er kann starke und in der Tiefe gestaffelte Verteidigungslinien aufbauen.

Dafür muss der Verteidiger allerdings mehr Aufwand betreiben als der Angreifer, der erst mal nur eine Schwachstelle finden muss. Bewegt sich der Angreifer jedoch im Netz, fällt dies bei intelligent abgestimmten Verteidigungslinien schnell auf. Die Verteidiger müssen also mehr Aufwand betreiben, die Vorteile durch die KI werden sich aber für beide Seiten die Waage halten.

Wie profitiert die IT-Security von der KI?

Ochs: In der IT-Security nutzen wir Machine Learning derzeit vor allem, um die gewaltigen Datenmengen und die Komplexität in Netzwerken für die Anwender greifbar zu machen und Auffälligkeiten zu erkennen. So können komplexe und auch niederschwellige Angriffe identifiziert werden. Menschen können nicht mehr überblicken, was in den Netzen und an kritischen Schnittstellen vor sich geht, hier müssen wir Software-Algorithmen vertrauen.

Also ohne KI würden wir die Kontrolle verlieren?

Ochs: Ja, haben wir schon. Wer behauptet, er hat die manuelle Kontrolle über sein Netzwerk, erliegt einer Illusion. Wir nutzen natürlich herkömmliche Methoden wie beispielsweise Firewalls, die nur eine ganz bestimmte Kommunikation erlauben. Das hilft schon, die Komplexität zu reduzieren und Angriffe abzuwehren. Aber die Komplexität ist immer noch zu hoch, um manuell zu prüfen, ob im Netzwerk alles seine Richtigkeit hat.

Wie können die Angreifer KI nutzen?

Ochs: Künstliche Intelligenz ist sehr gut geeignet, um Schwachstellen in Systemen aufzuspüren. Wenn jemand beispielsweise eine Firewall überwinden möchte, lässt er von einer KI Malware dorthin schicken. Und die KI hat die Aufgabe, die Malware solange minimal zu verändern, bis sie durchkommt.

Es gibt Akteure, die in solche Cyberangriffe viel Geld und Rechenzeit investieren können. Und Rechenressourcen lassen sich bei großen Anbietern mieten. Das wird immer einfacher, immer günstiger, das werden immer mehr Angreifer nutzen. Cyberangriffe mit KI werden zukünftig Standard sein.

Aber lassen sich KI-Attacken nicht auch mit KI parieren?

Ochs: Auch die Verteidiger können Angreifer-KI nutzen, um ihre Security-KI zu optimieren. Dabei wird Angreifer-KI auf die Security-KI angesetzt, um diese auszutricksen. Die Security-KI nutzt diesen inszenierten Zweikampf aber als Training und lernt, die Angriffe zu erkennen und somit abzuwehren.

Entscheidet Security-KI bei Angriffen zukünftig autonom, wie sie reagiert?

Ochs: Es sollte genau überlegt werden, welche Kompetenzen man dem KI-System überträgt und welche nicht. Zentraler Richtwert sind die möglichen Konsequenzen von Entscheidungen. Denn auch die KI macht Fehler. Da in der Security die Folgen gravierend sein können, wenn beispielsweise ein Angriff durchkommt, werden hier in der Regel Experten die Entscheidungen treffen – die dann auch die Verantwortung dafür tragen.

Die KI kann und muss hier aber unterstützen, indem sie schnell aus großen Datenmengen das Wesentliche herausfiltert und aufbereitet, damit der Mensch die richtige Entscheidung treffen kann.

Aber auch Experten machen Fehler. Wird ausgefeilte KI irgendwann bessere Entscheidungen in der Security treffen können als der Mensch?

Ochs: KI ist sehr gut in speziellen Disziplinen, also beispielsweise im Netzwerkverkehr in großen Datenmengen Muster erkennen. Bei Entscheidungen in der Security spielen aber oft weitere Faktoren eine Rolle. Beispielsweise wurde in einem Netzwerk ganz bewusst ein neuer Nutzer, ein zusätzliches System oder Dienst hinzugefügt – aus Sicht einer Security-KI sind dies Auffälligkeiten und somit vermeintliche Risiken, die es auszuschließen gilt.

Bei solchen Entscheidungen im Kontext wird der Mensch auf absehbare Zeit besser sein als die KI. Aber schnelle und verständlich dargestellte Informationen von KI-Systemen werden immer wichtiger, damit der Mensch angesichts der rapide zunehmenden Datenmengen und Komplexität eben die richtige Kontextentscheidung treffen kann.

In der IT-Security bleibt der Mensch also weiterhin der zentrale Entscheider?

Ochs: Ja. Die KI wird den Menschen ihre Arbeit nicht wegnehmen, sondern ihnen dabei helfen, ihre Arbeit möglichst gut zu machen. Die IT-Sicherheitshersteller sollten sich auf die Entwicklung von KI-System konzentrieren, die von den Anwendern als intelligent wahrgenommen werden, da sie komplexe Sachverhalte in einer für Menschen gut verständlichen Form darstellen.

Ein Beispiel dafür ist der cognitix Threat Defender von genua. Die Sicherheitsplattform überwacht mit KI und Data Analytics den Netzwerkverkehr in Echtzeit und meldet erkannte Auffälligkeiten. Dann entscheidet der Mensch. Autonom agierende Security-KI, deren Entscheidungen gravierende Folgen haben können, sehe ich hier noch nicht.

„Es sollte genau überlegt werden, welche Kompetenzen man dem KI-System überträgt und welche nicht. Denn auch die KI macht Fehler.“

Matthias Ochs, genua

Wie kann Security-KI vor Angriffen mit Hacker-KI geschützt werden?

Ochs: Eine Security-KI sollte nicht exponiert sein. Angreifer sollten nicht die Möglichkeit haben, diese direkt anzusprechen und ihre KI-Systeme dagegen trainieren zu lassen. Denn dafür ist KI wie gesagt sehr gut geeignet.

Wir als IT-Sicherheitshersteller sollten zudem nicht eine fertig vortrainierte KI an viele Kunden verkaufen, die stets auf die gleiche Art und Weise funktioniert. Vielmehr sollten wir Security-KI anbieten, die erst beim Kunden trainiert. So lernt sie individuell, was wichtig ist und arbeitet bei jedem Kunden auf unterschiedliche Weise.

Zudem ist es aufgrund von Datenschutz- und Privacy-Anforderungen sinnvoll, sensible Daten nur direkt vor Ort beim Kunden zu verarbeiten. So kann ein Hacker nicht einen erfolgreichen Angriff entwickeln und dann gegen alle Anwender einsetzen, die dieselbe Security-KI nutzen.