/Cyber-Crime

Künstliche Intelligenz macht die Abwehr von Cyberangriffen einfacher – und komplizierter

Tobias Schaffrath Rosario 20.11.2018 Lesezeit 6 Min

Milliardenfach werden Computersysteme jeden Tag attackiert. Cyberangriffe sind schon jetzt eine reale Bedrohung. In Zukunft könnte es dabei noch häufiger um Leben und Tod gehen, zum Beispiel bei selbstfahrenden Autos. Künstliche Intelligenz könnte ein Schlüssel sein, um Systeme besser zu schützen. Sie hat jedoch neue Schwachstellen.

Wenn es um die Sicherheit von Autos ging, waren bisher Dinge wie die Airbags, die Knautschzone oder die Bremsen entscheidend. Das wird zwar auch in Zukunft so bleiben – aber nicht mehr ausreichen. Denn autonome und vernetzte Fahrzeuge müssen ihre Insassen nicht nur vor Unfällen in der realen Welt schützen, sondern auch vor Cyberattacken. Wird ein Auto gehackt, kann es schnell zur Waffe werden. Der Albtraum der mobilen Zukunft. In anderen Bereichen des immer digitaleren Lebens wächst ebenfalls der Bedarf nach besserem Schutz.

Wie real und komplex die Bedrohung durch digitale Angriffe auf IT-Systeme schon heute ist, zeigt eine beeindruckende Zahl: Die Sparte für Security-Lösungen von IBM meldet täglich 60 Milliarden „sicherheitsrelevante Ereignisse“ bei Systemen von IBM selbst oder ihrer rund 3700 Kunden. Diese Ereignisse müssen ausgewertet werden, um beurteilen zu können, ob sie gefährlich oder ungefährlich waren. Ist ein Vorfall harmlos, kann er ignoriert werden. Handelt es sich um einen bedrohlichen Angriff, muss etwas unternommen werden.

60 Milliarden Ereignisse, jeden Tag – und das bei nur einem Konzern und seinen Kunden! Die Mammut-Aufgabe jeden einzelnen potentiellen Angriff zu durchleuchten ist für Menschen kaum machbar. Deswegen werden sie dabei schon jetzt von Software unterstützt. Von Künstlicher Intelligenz erhoffen sich nun nicht wenige, dass sie die Software so gut macht, dass es keine Menschen mehr für diese Aufgabe braucht. Dummerweise stellt KI die Sicherheits-Experten auch vor ganz neue Herausforderungen.

Harmloser Vorfall oder gefährliche Cyberattacke?

Steigen wir tiefer ein ins komplizierte Geschäft der Cyberabwehr: Will man einen Angriff vereiteln, muss man ihn zunächst erkennen. Dafür werden Systeme konstant überwacht und es wird analysiert, wann sie sich atypisch verhalten – also Anomalien auftreten. Kommuniziert beispielsweise System A mit System B, obwohl es das sonst nie tut, liegt eine Anomalie im Verhalten von System A vor. Wurde diese erkannt, beginnt die forensische Arbeit: Analysten müssen die Frage beantworten, ob es sich bei der Unregelmäßigkeit um eine eigenständige Entscheidung des Systems handelt oder ob das System von außen manipuliert, sprich: angegriffen, wurde. Diese Entscheidung muss extrem schnell getroffen werden. Gerade bei zukünftigen Technologien wie dem autonomen Fahren ist es lebenswichtig, dass Angriffe in Echtzeit erkannt werden.

Das stellt die Analysten aber vor riesen Herausforderungen. Um zu der Zahl von oben zurückzukehren: Die 60 Milliarden „sicherheitsrelevanten Ereignisse“ pro Tag, die allein der Security-Bereich von IBM meldet, müssen alle überprüft werden. Das gleicht der Suche nach einer Nadel im Heuhaufen. Schon lange werden die Analysten dabei aber von Software unterstützt. Algorithmen berechnen Wahrscheinlichkeiten, inwiefern es sich bei einer Anomalie um einen Angriff handelt oder nicht.

Vor dem KI-Zeitalter berechneten die Algorithmen diese Wahrscheinlichkeiten nach Regeln, die von Menschen definiert wurden. Änderten sich die Muster der Angriffe, mussten Menschen die Regeln ändern. „Durch maschinelles Lernen sind die Algorithmen aber nun in der Lage, schneller und treffsicherer zu arbeiten“, erklärt Giuseppe Serio, der bei IBM für das Thema Sicherheit von vernetzten Fahrzeugen zuständig ist, im Gespräch mit WIRED. „KI kann Regeln zur Anomalie-Erkennung eigenständig erlernen und anpassen. Dadurch sind KI-Algorithmen deutlich agiler als herkömmliche Algorithmen.“

Noch können aber auch die KI-Algorithmen den Menschen nicht komplett ersetzen. Letztendlich muss immer noch der Mensch entscheiden, ob es sich um eine Bedrohung handelt oder nicht. Und vor allem müssen Menschen entscheiden, wie der Angriff abgewehrt werden soll. KI-Algorithmen erleichtern die Arbeit der Analysten aber schon heute erheblich – und erhöhen damit auch die Qualität der Cyberabwehr.

Die komplizierte Beziehung zwischen Künstlicher Intelligenz und Cybersecurity war Thema einer Diskussionsrunde von New Horizons am 13.11.2018 in Berlin, deren Medienpartner WIRED war. Die Abteilung New Horizons identifiziert disruptive Technologien und erarbeitet Handlungsoptionen für die Deutsche Bahn. Dafür wurde auch eine Zukunftswerkstatt mit Partnern wie McKinsey, Frauenhofer IAO und dem DFKI initiiert. Wenn es um die Sicherheit in der vernetzten Mobilität der Zukunft geht, ist ein Dialog zwischen Wirtschaft, Wissenschaft und Politik enorm wichtig, sagt Martin Fröhlich, der Head of New Horizons.

Systeme mit Künstlicher Intelligenz haben neue Schwachstellen

„KI und Cybersecurity verhalten sich wie Kain und Abel – sie verbindet eine Hassliebe“, sagt der IBM-Experte Serio. „Klar, KI kann dabei helfen, Angriffe zu identifizieren. Der Einsatz von KI-Technologien in anderen Bereichen, wie dem autonomen Fahren, stellt uns aber auch vor ganz neue Herausforderungen bei der Cybersecurity.“

Denn die forensische Arbeit – also die Frage, ob es sich bei einer Anomalie um einen Angriff handelt oder nicht – ist beim Schutz von KI-Systemen erheblich komplexer. Verhält sich ein herkömmliches System, das nach vorprogrammierten Regeln funktioniert, atypisch, können Analysten anhand dieser Regeln herausfinden, wodurch das Verhalten ausgelöst wurde. Eine KI jedoch lernt die Regeln, nach denen sie handelt, selbstständig. Das heißt, die Analysten müssen zunächst verstehen, welche Regeln sich die KI gegeben hat. Erst dann können sie mit der Forensik beginnen. Das verkompliziert ihre Arbeit und schafft ganz neue Schwachstellen. Angreifer können die KI so attackieren, dass es für die Analysten so aussieht, als hätte die KI selbstständig eine neue Regel erlernt.

Natürlich besteht Cybersecurity aus mehr als nur Anomalie-Erkennung – zum Beispiel dem Konzept Security by Design oder dem Identifizieren von schädlichen Dateien, indem nach digitalen Fingerabdrücken gesucht wird. Doch die Rolle von KI bei der Anomalie-Erkennung macht das Dilemma, für das Künstliche Intelligenz bei der Cyberabwehr sorgt, sehr klar deutlich: KI wird uns auf jeden Fall weiterbringen. Doch durch ihren Einsatz werden ganz neue Herausforderungen entstehen.

Am Ende ist es mit KI wie mit anderen Sicherheitstechnologien: Man kann sich das ein bisschen vorstellen wie am Flughafen. Nicht alle Fluggäste können von Menschen auf ihr Gefahrenpotential untersucht werden. Deswegen gibt es Scanner, die den Menschen helfen, die Nadel im Heuhaufen zu finden, und piepen, wenn Anomalien auftreten. Melden die Scanner Alarm, übernimmt der Mensch. Und der ist auch dafür verantwortlich, die Scanner regelmäßig zu überprüfen.