29

Jan

2020

KI in der Cybersecurity

Von Problemen und Lösungen

Big Data, Analytics und KI spielen in der Absicherung von IT-Infrastrukturen bereits eine bemerkenswerte Rolle und werden weiter an Bedeutung gewinnen, da sind sich inzwischen viele Unternehmen sicher. Mehr als ein Viertel will sie in Ergänzung zu bestehenden Systemen einsetzen, 36 Prozent wollen damit eine voll-automatisierte IT-Sicherheitsarchitektur aufbauen. Für ein wirksames Management von Informationssicherheit brauchen Unternehmen aber mehr als nur Technologie, dazu braucht es einen ganzheitlichen Ansatz: ein wirksames Informationssicherheitsmanagementsystem (ISMS), bei dem menschliche und künstliche Intelligenz Hand in Hand arbeiten.

KI-Systeme in der Cybersecurity werden aktuell hoch gehandelt. Angesichts des Fachkräftemangels in der IT ist das kein Wunder. KI wirkt in Virenscannern und IDS und kann in Echtzeit die Sicherheit des Informationsverbundes erhöhen. KI-basierte Sicherheitssoftware entlastet die Cybersecurity-Teams von Routineprozessen und erlaubt die Konzentration auf die Kernaufgaben, sie ermöglicht Echtzeitanalysen und schnelle kontextbasierte Informationsauswertung. Aber noch wenig verbreitet ist das Bewusstsein, dass sich auch KI täuschen lässt, wird sie nicht entsprechend abgesichert und durch menschliche Intelligenz überwacht.

Damit können neue Bedrohungslagen entstehen. Denn auch Cyber-Kriminelle interessieren sich bei der Entwicklung von leistungsfähiger neuer Malware für diese Form der Effizienzsteigerung: Niemand hindert sie daran, sich diese frei verkäuflichen Systeme zu beschaffen und diese gegen ihre KI-basierten und lernfähigen Schadcodes antreten zu lassen. Dadurch trainieren Cyber-Kriminelle ihre Systeme, die dann beispielsweise typischen Netzwerkverkehr oder das Verhalten eines authentifizierten Nutzers oder seines Endgerätes simulieren. Es ist nachvollziehbar, dass präventive Lösungen nur so lange ihre Schutzwirkung behalten, so lange sie besser und schneller lernen als die Angreifer.

Stehen wir vor einer Black Box?

Die Arbeitsweise von leistungsfähigem Machine Learning ist aber selbst für die Programmierer meist nicht vollständig transparent. Sobald Künstliche Neuronale Netze (KNN) mit vielen verborgenen Schichten genutzt werden, die durch ihr Training, – sei es für Anomalieerkennung im Netzwerkdatenverkehr bei Cyberattacken, Bilder- oder Spracherkennung – Erfahrungen sammeln und ihren Algorithmus dabei selbst optimieren, stehen wir vor einer Black Box. Es ist mehr als einmal vorgekommen, dass Entwickler einer KI ab einem bestimmten Punkt nicht mehr nachvollziehen können, wie sich der Algorithmus im KNN weiterentwickelt. Dies führt dazu, dass sich einerseits nur schwer überprüfen lässt, ob das KNN in seinen Lernprozessen manipuliert wurde und andererseits die entstandenen Algorithmen unbekannte Schwachstellen haben.

Ein einfach nachvollziehbares Beispiel hierfür aus der Welt der Mustererkennung bei Bildern sind Adversarial Examples. Hierbei werden Pixel in einem Bild derart verändert oder überlagert, dass dies für das menschliche Auge nicht wahrnehmbar und auch kaum messbar ist. Die angegriffene KI wird das Bild aber durch die Manipulation völlig anders interpretieren und klassifizieren. Statt einem menschlichen Gesicht, wird eine Blume erkannt, statt einem Affen ein Pinguin. Solche Adversarial Examples wird es genauso für andere Datentypen und Muster geben, auch in IT-Security-Systemen.

Möglich sind auch Angriffe über Supply-Chains, in dem Fall die Entwicklung der Algorithmen. Gelingt es Angreifern, Trainings- oder Referenzdaten, die zum Teil öffentlich im WWW erhoben werden, zu manipulieren, lernt das System bereits unentdeckt mit „falschen“ Daten. Angesichts der Tatsache, dass ein Trainingsdatensatz für eine KI leicht über eine Millionen Einzeldaten enthalten kann, ist nicht ausgeschlossen, dass heute schon versteckte Hintertüren in KI-Systemen existieren, die Angreifer lediglich aktivieren müssen.

Weltweite Schadenszenarien waren bislang glücklicherweise die Ausnahme. Das muss aber nicht so bleiben, solange Entscheider IT-Sicherheit immer noch als Technologie-Frage behandeln – statt sie als Top-Management-Aufgabe und eines der wichtigsten Unternehmensrisiken, die es zu steuern gilt, begreifen. Firmennetzwerke sind noch immer viel zu häufig schlecht abgesichert, die wachsende Vernetzung von Industrie und Gesellschaft sowie die steigende Verwundbarkeit von Legacy-Systemen kritischer Infrastrukturen durch immer mehr Schnittstellen ins Internet sind beste Voraussetzungen dafür, dass uns richtig große Cyberattacken erst noch bevorstehen – und zwar gerade auch und gerade durch KI in den falschen Händen, die durch automatisierte und autonome Prozesse mögliche Auswirkungen noch potenzieren kann.

Konsequenzen für das ISMS

Angesichts dieser komplexen Bedrohungslage sollte jedes datenverarbeitende Unternehmen ein ISMS implementieren, konsequent anwenden, regelmäßig fort­schreiben und überprüfen. Ein ISMS steigert die Resilienz gegenüber Cyberangriffen, senkt Kosten und schafft Vertrauen in die eigene Marke. Kern jedes funktionierenden ISMS ist ein koninuierlicher Verbesserungsprozess, bei dem sich Teilaufgaben auf allen Stufen und die Auswertung durch maschinelles Lernen und andere KI-Methoden ergänzen lassen. KI spielt immer dann ihre Potenziale aus, wenn es um die Analyse großer Datenbestände geht und diese segmentiert, gruppiert und bewertet werden müssen. Bei der Analyse von Netzplänen und Dokumentationen kann sie via Bildauswertung, Text und Data Mining die Strukturanalyse beschleunigen und absichern. Bei der Feststellung des Schutzbedarfs kann sie kontextbezogen Vererbungsregeln überprüfen sowie Optimierungsvorschläge durch inkrementelles Vorgehen bei IT-Systemen erarbeiten, die sich ständig verändern. Auch bei der Modellierung, Maßnahmen-Checks und der eigentlichen Risikoanalyse kann sie die Sicherheitsexperten bei zahlreichen Routinen unterstützen.

All diese Vorteile dürfen aber nicht dazu verleiten, sich zurückzulehnen und die IT-Sicherheit strategisch wie operativ zu vernachlässigen. Wichtig ist einerseits, dass KI-gestützte (Sicherheits-)Systeme und -anwendungen im ISMS berücksichtigt werden, um angemessen abgesichert werden zu können, und andererseits den Einsatz von KI in der Cybersecurity und im ISMS auf Risiken und erforderliche Sicherheitsmaßnahmen hin zu überprüfen. Sinnvoll sind hierbei integrierte Konzepte, die mehrere Schichten von Sicherheit kombinieren und einzelne technologische Lösungen gegenseitig absichern.

Und wer trägt die Verantwortung?

IT-Sicherheit bleibt eine Managementaufgabe für CIOs und CISOs, die mit einem ISMS eine ganzheitliche Strategie verfolgen sollten. KI-basierte Technologien und menschliche Intelligenz müssen dabei sinnvoll und gegenseitig ergänzend arbeiten. Natürlich kann kein Unternehmen seine IT von heute auf morgen völlig neu planen. Grundsätzlich müssen Organisationen ihre Systeme weiterhin auf dem Stand der technischen Entwicklung halten und im Rahmen eines ISMS mit geeigneten Maßnahmen wiederkehrend auf neue Schwachstellen beziehungsweise mögliche Angriffsvektoren überprüfen. Dies gilt insbesondere für neue Technologien wie KI. Die Implementierung von umfassenden, aktuellen Gefährdungen adressierenden Cybersecurity-Maßnahmen muss zur Regel werden. Darüber hinaus sind Anpassungen der einschlägigen Industrienormen und BSI-Standards wünschenswert: Der IT-Grundschutz würde beispielsweise von entsprechenden Bausteinen und Anforderungen mit KI-Bezug profitieren, um den KI-Einsatz sicherer zu managen. Für die ISO 27001 wäre es Zeit zu prüfen, welche Controls sich wie auf KI-Systeme und -Verfahren anwenden lassen oder ob es erforderlich wäre, neue Controls zu erarbeiten. Ähnliches gilt für andere Best Practises und Frameworks.

Es geht um Awareness und Kompetenz

Die Grundlage für die effektive und effiziente Steuerung der Informationssicherheit ist das richtige Mindset der Geschäftsfüh­rung. Nur wenn Cybersecurity eine angemessen hohe Priorität eingeräumt wird, lassen sich geschäftskritische IT-Prozesse und Assets im Zuge der fortschreitenden Digitalisierung wirklich schützen. Darüber hinaus liegt der Erfolg einer wirksamen Umsetzung von Cybersecurity und ISMS heute auch in interdisziplinären Teams aus IT-Sicherheitsexperten, die fachlich auf der Höhe der Zeit sind und die Herausforderungen von morgen vor Augen haben. Dafür braucht es Experten für KI, die programmieren und steuern können und Pentester, die in der Lage sind, wie Cyber-Kriminelle zu agieren, um offene Flanken zu ermitteln. Ist fachkundiges Personal nicht verfügbar, sollten Unternehmen auf kompetente Dienstleister oder auf entsprechende Weiterbildung setzen – oder am besten gleich auf eine geeignete Kombination. Darüber hinaus bleiben – trotz oder vielleicht gerade wegen innovativer Technologien – „analoge“ Faktoren wie eine Sicherheitskultur, die alle Ebenen der Organisation umfasst, und eine hohe Mitarbeiter-Awareness nach wie vor ein wichtiges Fundament für ein erfolgreiches, nachhaltiges ISMS.

Über die Autor:innen
Severin Rast

Director IT Security Consulting, Infodas