Künstliche Intelligenz in der modernen Cybersicherheit und der Faktor Mensch

Beim Gang durch die vollen Regalreihen des örtlichen Supermarktes buhlen unzählige Produkte um unsere Aufmerksamkeit und haben alle nur ein Ziel: Unseren Einkaufswagen. Um dort zu landen, preisen einige von ihnen überragende Leistungen an, andere wiederum fast magisch wirkende Inhaltsstoffe.

Gerne lassen wir dieses Schauspiel auf uns wirken. Doch die wenigsten von uns erwarten wirklich, dass das angebliche Wunder-Waschmittel später alle Arten von Flecken erfolgreich beseitigen kann. Sicher, unsere Ansprüche, um unsere Lieblingshose wieder glänzen zu lassen sind bereits hoch, aber wenn es um das Thema IT-Security-Lösungen geht, sind sie noch höher. Hier werben fast alle Anbieter mit einem gewisses Maß an KI. Teilweise werden noch weitere Adjektive genutzt, wie „tiefgehende“ KI oder eine beruhigend „autonome“ KI (die sich vielleicht auch um die Wäsche kümmert), um die Leistungen zu spezifizieren.

Anzeige

Vorteile von KI in der Cybersicherheit

Was all die zusätzlichen Adjektive jedoch versuchen zu verschleiern, ist, dass KI heutzutage bereits das Brot- und Buttergeschäft der Sicherheitsbranche ist. Und wie beim Brot haben wir eine ziemlich gute Vorstellung davon, was enthalten ist. Mit anderen Worten: Zum jetzigen Zeitpunkt würde ich immer erwarten, dass Sicherheitslösungen KI einsetzen. Warum sollten sie auch nicht? Der Einstieg ist einfach, und es lassen sich schnell Ergebnisse erzielen. Aber wie beim Brot entscheiden sowohl die Qualität der Zutaten als auch das Rezept über das Ergebnis.

Aber warum gibt es in der Sicherheitsbranche so viel Interesse, mit KI zu arbeiten? Wir alle erinnern uns noch gut an den ermüdenden Kreislauf der Signaturen: Gegen bekannte Bedrohungen wurden Signaturen eingesetzt; neue Bedrohungen wurden von ihnen jedoch nicht erkannt, sodass neue Signaturen geschrieben werden mussten, und der Zyklus begann (meistens schon am nächsten Tag) von vorn. Der Signatur-Ansatz ist nicht nur rein reaktiv, sondern seine Geschwindigkeit ist auch durch die menschliche Reaktionszeit begrenzt. Genau hier liegt das Potenzial der KI: Sie kann, ganz ohne Updates, neue Bedrohungen aufspüren. Dies beinhaltet auch solche Bedrohungen, die bislang noch nicht einmal bekannt waren oder die der Angreifer sogar noch gar nicht entwickelt hat (wie es z.B. bei der Sunspot-Schadsoftware der Fall war).

KI benötigt Daten

Was braucht es jedoch, um ein KI-Modell erfolgreich zu trainieren, sodass seine diese gewünschte Leistung zuverlässig erbracht wird? In erster Linie braucht es Daten – und zwar eine Menge. Insbesondere Cloud-basierte Lösungen sind hier klar im Vorteil, da sie einen umfassenden Überblick über die Bedrohungslandschaft bieten und die Korrelation globaler Beobachtungen über Unternehmen und Netzwerke hinweg ermöglichen. Aber um derart große Datenmengen zu verarbeiten, ist weit mehr Technologie als nur KI erforderlich. Aber wenn die Daten erst einmal korreliert sind, ist KI ein wichtiges und leistungsstarkes Werkzeug, um sie sinnvoll zu nutzen. Mit KI können wir mehr Daten in größerem Umfang verarbeiten und komplexere Zusammenhänge erkennen, als es nur mit menschlicher Auffassungsgabe möglich wäre.

Mehr Daten ermöglichen es uns auch, schwächere Signale zu erkennen. Nehmen wir an, Sie beginnen, die Längen- und Breitengrade europäischer Städte auf Millimeterpapier aufzutragen. Anfänglich werden Sie einige zufällig verstreute Punkte sehen. Aber wenn Sie dies für eine größere Anzahl von Städten tun, wird sich langsam die vertraute Form Europas aus einer Wolke von Punkten herauskristallisieren. Das funktioniert jedoch nicht, wenn jeder ein „lokales“ Stück Millimeterpapier hat, auf dem er oder sie eine Handvoll Städte in der näheren Umgebung aufzeichnet. Bei einer globalen Ansicht kommt die Kombination aus Cloud und KI jedoch erst richtig zur Geltung. Nichts davon ist auf einer Appliance möglich. Und nichts davon ist mit hybriden Cloud-Lösungen möglich, also mit Clouds, die lediglich aus gestapelten herstellerverwalteten Appliances bestehen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Grundwahrheit als Basis für KI-Modelle

Nicht alle Daten sind gleich geschaffen. Es gibt eine spezielle Art von Daten, für die man den Menschen braucht. Wir nennen diese Art von Daten „Ground Truth“, also Grundwahrheit, und sie hat einen großen Einfluss auf das Training von KI-Modellen. Die Grundwahrheit ist die Art von Daten, die beschreibt, wie sich ein KI-Modell bei bestimmten Eingaben verhalten soll. Wenn manche KI-Formen lernen, nutzen sie die Grundwahrheit als Beispiele und lernen, andere Daten auf der Grundlage dieser Wissensbasis zu interpretieren. Diese Art des Lernens wird als überwachtes Lernen bezeichnet.

Überwachtes Lernen ist ein leistungsfähiger Weg, um hochpräzise Klassifizierungssysteme zu schaffen. Das sind Systeme, die sowohl eine hohe Sensitivität (zuverlässige Erkennung von Bedrohungen) als auch eine hohe Spezifität (seltene Auslösung von Alarmen bei gutartigem Verhalten) aufweisen. Nicht jeder Lernprozess muss auf der Basis von Grundwahrheiten durchgeführt werden (der Bereich des unüberwachten Lernens befasst sich mit diesen anderen Ansätzen). Aber sobald es an der Zeit ist, zu bewerten, ob ein solches KI-System wie beabsichtigt funktioniert, benötigen Sie auch eine Grundwahrheit.

Nicht so intelligente KI

Gut konzipierte Cybersicherheitssysteme streben danach, die Generierung von Grundwahrheiten zu maximieren. Nehmen Sie zum Beispiel einen verwalteten Threat Hunting-Dienst wie Falcon Overwatch. Wann immer ein Threat Hunter einen Angreifer in einem Netzwerk entdeckt, werden diese Erkenntnisse zu einer neuen Grundwahrheit. Wenn die Experten für die Bedrohungsjagd verdächtige Aktivitäten als gutartig bewerten, werden diese ebenfalls in den Fundus der Grundwahrheit aufgenommen. All dies geschieht unabhängig von KI-Modellen, die Bedrohungen in Echtzeit stoppen. Diese neuen Datenpunkte können dann zum Training oder zur Bewertung von KI-Systemen verwendet werden. Die tägliche Generierung dieser Art von Daten in großem Umfang und unter Verwendung der Cloud als Ausgangspunkt ermöglicht das Training immer besserer Modelle. Mit anderen Worten: Das KI-System wird jeden Tag besser.

Bei so vielen Möglichkeiten und neuen Technologien, die es uns ermöglichen, immer mehr Daten zu verarbeiten, stellt sich die Frage, wann KI die Sicherheit unserer Computersysteme vollständig für uns übernehmen wird. In absehbarer Zeit nicht. Denn künstliche Intelligenz ist nicht wirklich intelligent. Sprechen Sie mit Ihrem intelligenten Lautsprecher oder dem Sprachassistenten auf Ihrem Handy, um sich dieser Tatsache zu vergewissern. KI ist eine Reihe von Algorithmen und Techniken, die oft nützliche Ergebnisse liefern. Aber manchmal versagen sie auf seltsame und nicht intuitive Weise. KI hat sogar eine eigene Angriffsfläche, die von Angreifern ausgenutzt werden kann, wenn sie ungeschützt bleibt. Denn wenn KI ein so mächtiges Werkzeug ist, könnte dann nicht eine KI eine andere KI überlisten? Mit dieser Frage beschäftigt sich das Gebiet des Adversarial Machine Learning, und die kurze Antwort lautet „ja“. Es ist daher gefährlich, diese inhärenten Risiken und Grenzen zu ignorieren und KI als Allheilmittel für alle Probleme unserer Branche zu betrachten.

KI ist jedoch ein wesentlicher Bestandteil jeder modernen Cybersicherheitslösung. Es gibt keinen anderen praktischen Weg, um mit den Informationsmengen umzugehen, die heute erforderlich sind, um moderne Bedrohungen zu stoppen. Diese Bedrohungen werden von motivierten Gegnern mit starken finanziellen Anreizen vorangetrieben, die nicht aufhören werden zu versuchen, sich der Entdeckung zu entziehen. Aber der bloße Einsatz von KI macht eine Sicherheitslösung noch nicht besser. Entscheidend ist, was die KI antreibt: der Umfang der Daten, die sie verarbeitet, das Volumen dieser Daten, die Grundwahrheit, die sie nutzen kann, und natürlich ihre menschlichen Lehrer.

Sven Krasser

CrowdStrike -

Senior Vice President und Chief Scientist

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.