phonlamaiphoto - stock.adobe.com
Maschinelles Lernen und KI in der IT-Sicherheit einsetzen
Zweifelsohne sind KI und maschinelles Lernen wichtige Instrumente in der IT Security, aber auch kein Allheilmittel. Grund genug, die Technologien differenziert zu betrachten.
Maschinelles Lernen (ML) und künstliche Intelligenz (KI) sind moderne Buzzwords – in aller Munde und doch für viele kaum greifbar. So herrscht große Unsicherheit darüber, was diese Technologien wirklich leisten und wofür sie eingesetzt werden können: Alles besser machen? Uns das Denken abnehmen? Ungewollte Arbeiten erleichtern oder ganz automatisieren? Die Liste ließe sich noch lange weiterführen. Das Hauptproblem ist dabei das abstrakte Wesen der Begriffe „Intelligenz“ und „Lernen“: Ist es denn beispielsweise als „intelligent“ zu bezeichnen, wenn eine Maschine tausendmal dieselbe Entscheidung treffen muss? Oder erwarten wir, dass eine Maschine – ähnlich wie ein Mensch – neue Dinge erfindet?
In der IT, die an sich schon sehr zukunftsorientiert ist, hat das Thema eine natürliche Heimat. Wir erwarten ja geradezu, dass Computer irgendwann mit uns sprechen können und tatsächlich intelligent sind. So sprechen wir heute bereits mit „Alexa“ und „Siri“ wie einst Captain Kirk mit seinem „Computer“ auf der Enterprise. Die logische Weiterentwicklung scheint der Androide „Data“ zu sein, mit dem sich dann die „Next Generation“ beschäftigte. Doch wie auch schon bei Star Trek ist vieles einfach nur Kulisse und es lohnt sich, einmal dahinter zu blicken.
Künstliche Intelligenz in der IT-Sicherheit
Seit 2016 beschäftigt sich auch die IT-Security verstärkt mit dem Thema künstliche Intelligenz – und natürlich darf auch hier der Begriff „Next Generation“ nicht fehlen. Der Einsatz dieser Technologien ergibt durchaus Sinn, denn Anzahl und Komplexität von IT-Angriffen nehmen stetig zu. So hat alleine Trend Micro im Jahr 2017 insgesamt mehr als 65 Milliarden Attacken auf seine Kunden blockiert. Pro Tag kommen etwa 300.000 neue, zuvor noch nie dagewesene Angriffsarten hinzu. Verteidigungswerkzeuge müssen deshalb in der Lage sein, Entscheidungen schnell zu treffen, ohne vorher einen Menschen zu kontaktieren und damit Angriffe abzuwehren. Doch woran erkennt ein System, ob ein Angriff vorliegt oder nur ein neues Programm? Hierzu wird in der IT-Sicherheit die künstliche Intelligenz beziehungsweise maschinelles Lernen eingesetzt.
Dieses basiert auf zuvor programmierten Algorithmen, die es erlauben, Erfahrungswerte in Entscheidungsgrundlagen zu verwandeln. So lernen Maschinen beispielsweise, anhand einer Vielzahl im Voraus als bösartig oder gutartig definierter Samples herauszufinden, welches Verhalten eher für das eine oder das andere Muster spricht. Sobald ein neues Verhalten gefunden wird, stellt das System auf der Grundlage dieses „Wissens“ eine Wahrscheinlichkeitsberechnung an, ob dieses als gut- oder bösartig einzustufen ist.
Maschinen sind zur Erledigung dieser Aufgabe schon seit längerem unverzichtbar. Allerdings hat die Technologie auch Ihre Tücken: Maschinen können auch etwas „Falsches“ lernen. Beispielsweise könnte ein System erlernen, dass ein besonders häufig für Malware verwendetes Komprimierungsverfahren nun grundsätzlich als bösartig einzustufen ist. Oder dass der Aufbau einer HTTP-Verbindung auf ein bösartiges Verhalten hindeutet. Die künstliche Intelligenz zieht also schlicht ungenaue oder nicht korrekte Schlussfolgerungen. Ein Verhalten, dass wir auch aus der „natürlichen“ Intelligenz kennen. Das maschinelle Lernen ist deshalb regelmäßig durch Menschen zu überprüfen.
Was ist wirklich eine Bedrohung?
Ein weiteres Problem ist, dass bei der Wahrscheinlichkeitsberechnung grundsätzlich zunächst definiert werden muss, ab welcher Wahrscheinlichkeit eine Bedrohung als solche eingestuft wird. Geht man davon aus, dass in der IT-Sicherheit die Werte 100 und 0 Prozent durch die Pattern-basierten Technologien Blacklisting (bekannt bösartig) und Whitelisting (bekannt gutartig) abgedeckt sind, stellt sich die Frage, ab wieviel Prozent Wahrscheinlichkeit das System von „bösartig“ ausgehen soll. Also beispielsweise, ob ein File, das mit zehnprozentiger Wahrscheinlichkeit bösartiges Verhalten aufweist, als „gut“ oder „schlecht“ bewertet wird. Entsprechend der Antwort ist entweder die False-Positive-Rate (falsche Einstufung einer gutartigen Applikation als bösartig) oder die False-Negative-Rate (Nichterkennen einer bösartigen) höher.
Auch wenn sie in manchen Fällen eine leicht erhöhte False-Positive-Rate aufweisen, stellt KI heute doch die effektivste Technologie zur Abwehr unbekannter Angriffe dar. Es stellt sich jedoch die Frage, wie dies zukünftig sein wird. Selbstverständlich wird sie auch weiterhin funktionieren und gegen unbekannte Attacken vorgehen. Die Frage des Wirkungsgrades ist aber vor allem davon abhängig, wie die Angriffe aussehen werden.
„Je besser künstliche Intelligenz vor Angriffen schützt, umso stärker versuchen Angreifer auch, sie zu überwinden.“
Richard Werner, Trend Micro
Schließlich steht auch auf der „anderen Seite“ die technologische Entwicklung niemals still. Und je besser künstliche Intelligenz vor Angriffen schützt, umso stärker versuchen Angreifer auch, sie zu überwinden. So setzen auch Cyberkriminelle zunehmend KI ein, um die Wirksamkeit ihrer Angriffe zu steigern. Beispielsweise kann diese genutzt werden, um Phishing-Angriffe durch Social Engineering in großem Stil effizienter zu gestalten. Auch Lernalgorithmen, die es erlauben, basierend auf der geplanten Aktion die Gegenreaktion der anderen Maschine vorherzusagen, sind denkbar. Für Sicherheitsanbieter bleibt nur die Möglichkeit, sich in der Bedrohungsforschung möglichst breit aufzustellen und intensiv in technologische Forschung zu investieren. Zudem ist es wichtig, auch eine zukunftsträchtige Technik wie MI/KL durch weitere, bewährte Techniken zu ergänzen.
Fazit
Zusammengefasst lässt sich festhalten: Künstliche Intelligenz und maschinelles Lernen sind wichtige Instrumente in der IT-Security und sollten unbedingt genutzt werden. Allerdings stellen sie kein Allheilmittel dar. Als Menschen neigen wir dazu, „Intelligenz“ über alles zu stellen, weil sie uns zur dominierenden Spezies auf dem Planeten gemacht hat.
Allerdings hat die KI, wie wir sie in der IT-Sicherheit verwenden, gegenüber unserer menschlichen Intelligenz einen ganz gewaltigen Nachteil: Wir gestatten ihr nicht, Fehler zu machen oder sich „bewusst“ über ihre Programmierung hinweg zu setzen. Schließlich können wir nicht zulassen, dass sie versagt, um aus ihren Fehlern klüger zu werden. Dies ist jedoch letztlich das, was die Menschheit voranbringt. Jeder einzelne von uns lernt aus Erfahrungen am besten. Der Maschine müssen wir das – zumindest in der IT-Security – versagen. Sie wird deshalb durch Angriffe immer teilweise verwundbar bleiben.
Über den Autor:
Richard Werner ist Business Consultant bei Trend Micro.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
