Thought Leadership
Auch in der Cyber-Security hält die KI-Nutzung verstärkt Einzug. KI punktet gerade bei der Echtzeit-Überwachung und Gefahren-Früherkennung. Ein falscher oder unkontrollierter KI-Einsatz ist allerdings mit etlichen Gefahren verbunden.
Die Künstliche Intelligenz (KI) wird bereits vielfach in Bereichen genutzt, in denen große Datenmengen analysiert werden müssen. Damit ist sie auch für einen Einsatz in der IT-Security prädestiniert. Sie dient hier der Optimierung der Bedrohungserkennung, das heißt der Threat Detection beziehungsweise Threat Intelligence. In der Cyber-Security eingesetzte KI-Methoden sind vor allem Maschinelles Lernen (ML), Supervised Learning, Unsupervised Learning, Decision Trees oder Deep Learning.
An der Nutzung von KI-TechnoIogie in der Cyber-Security führt allein schon deshalb kein Weg vorbei, da eine immer vielfältigere und größere Datenmenge zu berücksichtigen ist. Die Heterogenität der anfallenden Daten reicht von der Office-IT über Operational-Technology (OT)-Umgebungen der Industrie- und Produktionsanlagen bis zu Internet-of-Things (IoT)-Geräten und „Edge Devices“ wie Autos. Die immensen anfallenden Datenvolumina verdeutlichen zum Beispiel die Entwicklungen rund um das autonome, vernetzte Auto, das schon heute pro Fahrstunde rund 25 Gigabyte Daten generiert.
KI-Nutzung im SOC ist ein Muss
Moderne Security Operations Center (SOC) belegen in aller Deutlichkeit, dass am KI-Einsatz in der Cyber-Security kein Weg vorbeiführt. KI ist hier die Basis für Echtzeit-Überwachungs- und detailgenaue Analyseverfahren, um Anomalien im Datenstrom zu erkennen und Unternehmen schnell auf Sicherheits- und Prozessintegritätsprobleme hinzuweisen. Leistungsstarke und kontinuierlich weiterentwickelte Machine-Learning-Modelle etwa unterscheiden nicht nur zwischen schädlichen und nicht schädlichen Dateien, sondern identifizieren auch dubiose Daten und untersuchen diese dann im Detail. Das heißt: KI bietet Früherkennung und darauf aufbauend können präventive Maßnahmen ergriffen werden. Basierend auf der Analyse vergangener Kommunikationsströme kann zum Beispiel ein neues Botnetz frühzeitig identifiziert werden.
Aber KI ist keineswegs der Heilige Gral für die Sicherheit, vor allem, wenn sie nicht adäquat konzipiert ist. Die Qualität jedes Al-Algorithmus hängt davon ab, wie er trainiert wird und welche Datensätze und Daten dafür bereitstehen. Entscheidend sind immer das richtige Anlernen und eine hohe Qualität der Daten. Schlechte Datenqualität führt zu einer schwachen KI, einer unzureichenden Erkennungsrate und letztlich einer geringen Sicherheit.
Im Hinblick auf eine hohe Datenqualität können gerade SOC-Anbieter punkten, die weltweit agieren und Meldungen und Störungen unterschiedlichster IT-Infrastrukturen überwachen und analysieren können – und damit über ein ganzheitliches Echtzeitbild der Bedrohungslage verfügen. Nur eine globale KI-basierte Threat Intelligence kann auch eine zuverlässige Basis für die Realisierung eines umfassenden Schutzes vor akuten – auch gänzlich neuen – Bedrohungen sein. Viele neu gegründete SOCs setzen ausschließlich auf den Zukauf von Daten. Allerdings kann nur eine Kombination von individuellen, nicht käuflich erhältlichen Threat Feeds und Marktlösungen erfolgreich sein, denn auf alle kommerziellen Feeds haben auch Cyber-Kriminelle Zugriff. NTT setzt deshalb auf eine Kombination von externen Threat Feeds und interner Forschung und Entwicklung – unter Nutzung des NTT-Backbones und eigener globaler Honeypot-Netzwerke.
Technologisch betrachtet dominiert beim KI-Einsatz in der Cyber-Security gegenwärtig noch das Supervised Learning, bei dem der Analyst dem Algorithmus „lehrt“, welche Schlussfolgerungen er ziehen sollte. Zunehmend wird aber auch das effiziente Unsupervi-sed Learning genutzt, das ohne menschliche Anleitung funktioniert. Unabhängig von der eingesetzten Methode führt KI aber zu einer Entlastung der Sicherheitsteams, die sich auf höherwertige Aufgaben konzentrieren können.
KI-Einsatz braucht Kontrolle
KI- und Maschinen-Entscheidungen werden die Cyber-Security-Zukunft nachhaltig prägen; daran führt kein Weg vorbei. Im Hinblick auf den aktuellen Stand rund um den KI-Einsatz in der Cyber-Security ist aber ein vorbehaltloses Vertrauen in die Systeme nicht der richtige Weg. Es muss immer die Möglichkeit bestehen, die Maschine zu „überstimmen“. Sie erkennt Gefahren und automatisiert die Security-Verfahren und -Prozesse, liefert letztlich aber nur die Grundlagen für die menschliche Entscheidungsfindung. Die Ab-schätzung der Folgen – ein Beispiel wäre die automatische Abschaltung eines Atomkraftwerks bei einem drohenden Cyber-Angriff – steht nicht im Fokus. An diesem Punkt muss die menschliche Intelligenz ins Spiel kommen, die auch die gesellschaftlichen und wirtschaftlichen Auswirkungen berücksichtigen kann. Das heißt, KI steuert zwar regelbasiertes Wissen und analytische Exaktheit bei, deckt aber nicht die ebenso wichtigen Aspekte Intuition, Kreativität, Empathie oder menschliche Intelligenz ab.
Im Hinblick auf KI-Chancen und -Risiken darf darüber hinaus ein weiterer wichtiger Punkt nicht außer Acht gelassen werden. KI-basierte Verfahren können auch von Cyber-Kriminellen selbst genutzt werden, um Angriffe effizienter vorzubereiten und durchzuführen. Eine hohe Gefahr stellt vor allem das Social Engineering auf KI-Basis dar, das die „smarte“ Auswertung großer Datenmengen unterstützt. Zum Beispiel bietet KI die Möglichkeit, das soziale Verhalten von Zielpersonen, den E-Mail-Schreibstil oder das Messaging-Verhalten zu überwachen, um die Trefferquote von Spear-Phishing-Angriffen zu optimieren.
KI eröffnet also nicht nur neue Chancen für eine höhere Cyber-Sicherheit, sondern erhöht umgekehrt auch das Bedrohungspotenzial. Auch wenn KI-basierte Attacken noch die Ausnahme sind, ist von einer deutlich steigenden Anzahl auszugehen, wie Sicherheitsexperten unisono betonen. Auch dieser neuen Herausforderung müssen Unternehmen sich folglich stellen. Mit einer Investitionszurückhaltung im Bereich IT-Security oder ohne Nutzung von SOC-Services dürften die bevorstehenden Aufgaben kaum zu bewältigen sein.
