Künstliche Intelligenz und Machine Learning sind omnipräsent. Nicht zuletzt die Werbung feiert die neuen Technologien als der Weisheit letzter Schluss: Auch in der IT-Security werden sie immer öfter als die neuen Wunderwaffen gegen Cyberkriminalität gehandelt. Manche erhoffen sich von ihnen den ultimativen Befreiungsschlag gegen Malware, andere befürchten die Zunahme weiter ausgereifter Cyberattacken. Recht haben beide Seiten.
Nicht erst seit gestern ist die Idee der Künstlichen Intelligenz (KI) bzw. richtiger des Maschinellen Lernens (ML) in aller Munde. Welches Veränderungspotenzial diese Technologien jedoch tatsächlich mit sich bringen, ist in vielen Branchen noch nicht umfassend bekannt. Nur eines steht fest: Von der Entwicklung tatsächlicher künstlicher Intelligenz, wie wir sie auf der Kinoleinwand antreffen, sind wir noch weit entfernt.
Künstliche Intelligenz ist nicht Machine Learning
Die Begriffe Künstliche Intelligenz und Machine Learning werden häufig und fälschlicherweise synonym verwendet. Bei KI geht es um die Idee, dass eine Maschine selbstständig «intelligent» lernen und agieren könnte, ohne menschliches Zutun und allein auf Basis von Input aus der Umwelt. Machine Learning ist mithilfe von Algorithmen zur Datenverarbeitung in der Lage, bestimmte Aufgaben autark zu bewältigen. Die Lösung basiert dabei auf der Fähigkeit des Rechners, in grossen Datenmengen schnell Strukturen und Anomalien zu erkennen und auf die für die Fragestellung wesentlichen Punkte herunterzubrechen (Modellgenerierung). Nichtsdestotrotz wird ML meist als die zentrale Grundlage von KI gehandelt.
ML sorgt für mehr IT-Sicherheit
Maschinelles Lernen und eine seiner Methoden, Deep Learning, sind hingegen technisch ausgereift und seit Jahrzehnten Teil unserer IT-Security-Welt. Sie helfen dabei, Betrugsfälle aufzudecken und kriminelle Machenschaften zu analysieren. Damit tragen sie dazu bei, neue Lösungen für bestehende Probleme zu finden.
Der Trend Machine Learning ist nicht nur in den Köpfen von Entscheidern, sondern längst in der Realität angekommen. Eine von OnePoll im Auftrag von ESET durchgeführte Studie zeigte, dass:
- 82% der Befragten glauben, dass ihr Unternehmen bereits ein IT-Security-Produkt mit ML-Komponenten im Einsatz hat.
- 80% der Befragten zudem der Ansicht sind, dass ML ihrem Unternehmen hilft oder zukünftig helfen wird, schneller auf Gefahren zu reagieren.
- 76% der Befragten nicht davon ausgehen, dass ML dabei helfen wird, einen Mangel an entsprechend ausgebildetem IT-Sicherheitspersonal in ihrem Unternehmen auszugleichen.
Auch Cyberkriminelle gehen mit der «intelligenten» Zeit
Die Vorteile von ML haben sich auch in der Cybercrime-Branche herumgesprochen. Immer mehr Hacker verwenden sie dafür, potenzielle Opfer beziehungsweise wertvolles Daten-Diebesgut ausfindig zu machen und auszunutzen. Gleichzeitig lassen sich mit Machine Learning Schwachstellen finden, bevor diese geschlossen werden können. Nicht zuletzt greifen Kriminelle auf Maschinelle Lernalgorithmen zurück, um ihre eigene IT-Infrastruktur (z.B. Botnetze) zu schützen.Unternehmen, die Machine Learning in grösserem Umfang nutzen, werden hierdurch für Angreifer teils besonders attraktiv. Durch Verunreinigung von Inputdatensätzen beispielsweise sorgen sie dafür, dass eigentlich einwandfrei funktionierende Systeme fehlerhafte Ergebnisse und nicht der Realität entsprechende Bilder der Datenlage produzieren. Chaos, Betriebsstörungen und teils irreparable Schäden sind die Folge.
Malware mit ML im Herzen: Emotet
Ein Beispiel aus der Praxis, das scheinbar auf maschinellem Lernen basiert, ist die im Moment kursierende Schadsoftware Emotet. Diese wird eingesetzt, um andere unerwünschte Anwendungen, z.B. Banking-Trojaner, automatisch auf den Rechner des Opfers herunterzuladen. Dank Machine Learning ist Emotet in der Lage, seine Opfer ganz gezielt auszuwählen. Gleichzeitig ist es erstaunlich gut darin, der Entdeckung durch Forscher, Botnet-Tracker und Honeypots zu entgehen. Besonders auffällig ist dabei die Fähigkeit Emotets, den Unterschied zwischen legitimen und künstlichen Prozessen zu lernen. Dabei werden letztere zunächst akzeptiert, aber innerhalb weniger Stunden auf eine Blacklist gesetzt. Während von den Rechnern «echter» Opfer aus Daten versendet werden, fällt der Schadcode auf Rechnern/Bots auf der Blacklist in eine Art Schlafmodus und stellt jegliche schädliche Aktivität ein. Derartige Abläufe wären ohne Automatisierung kaum realisierbar. Die hinter Emotet stehenden Angreifer müssten massiv Ressourcen aufwenden, um die Malware zu steuern. Experten nehmen an, dass Emotet mit maschinellen Lernalgorithmen arbeitet – das Verhalten der Malware liesse sich so mit einem Bruchteil der Ressourcen und wesentlich schneller implementieren.
Maschinelles Lernen und IoT
Von Beginn an war das Internet of Things (IoT) beliebtes Ziel von Angreifern. Seitdem steigt die Menge an Routern, Überwachungskameras und anderen smarten Geräten immer schneller an. Vielfach sind diese Geräte jedoch unsicher und können mit einfachsten Mitteln ausspioniert oder anderweitig missbraucht werden. Typisch sind werkseitig gesetzte oder unsichere Passwörter oder über Jahre bekannte Schwachstellen.
Mithilfe von ML-Algorithmen sind Angreifer noch besser in der Lage, Profit aus diesen Problemen zu schlagen, beispielsweise können sie:
- Bisher unbekannte Schwachstellen in IoT-Geräten finden und Unmengen an Daten über Traffic und Nutzerverhalten sammeln, welche dann für das Training von Algorithmen zur Verbesserung von Tarnmechanismen genutzt werden können.
- Standardverhalten und -prozesse bestimmter, rivalisierender Malware lernen, um diese bei Bedarf zu entfernen oder für eigene Zwecke zu missbrauchen.
- auf Basis von Millionen geleakten Passwörtern jedes Jahr Trainingssets mit den effektivsten Passwörtern erstellen. So werden sie in Zukunft noch einfacher in vergleichbare IoT-Geräte eindringen.
Mensch und Maschine als Team können Hacker besiegen
Maschinelles Lernen ist im Kampf gegen Cyberkriminalität von grosser Bedeutung, vor allem in Bezug auf die Malware-Erkennung. Anhand riesiger Datenmengen wird ML daraufhin trainiert, digitale Schädlinge korrekt in «gutartig» und «bösartig» zu unterteilen. So lassen sich auch neue und unbekannte Elemente automatisch einer der beiden Kategorien zuordnen. Im Gegensatz zur Maschine ist der Mensch in der Lage, aus Kontexten zu lernen und kreativ zu agieren. Das ist etwas, zu dem kein noch so weit entwickelter Algorithmus fähig ist. Professionelle Malware-Autoren können beispielsweise den tatsächlichen Zweck ihres Codes geschickt verschleiern. So lassen sich bösartiger Code in einzelnen Pixeln einer sauberen Bilddatei oder Codeschnipsel von Schadsoftware in einzelnen Dateien unbemerkt verstecken. Erst wenn die einzelnen Elemente an einem Endpoint zusammengefügt werden, entfaltet sich das schädliche Verhalten. Ist der ML-Algorithmus dann nicht in der Lage, das zu identifizieren, fällt er im Zweifel eine falsche Entscheidung. Ein menschlicher Virenjäger erkennt anhand seiner Ausbildung, Erfahrung und einer Portion Bauchgefühl die Gefahr. Daher ist es erforderlich, dass Mensch und Maschine zusammenarbeiten, um aktiv schädliche Aktivitäten zu verhindern.
ML ist nur Teil einer komplexen Sicherheitsstrategie
ML ist in der IT-Security seit den 1990er Jahren ein wichtiger Sicherheitsbaustein – und keine neuartige Erfindung. Doch für komplexe Probleme gibt es keine einfachen Lösungen. Das gilt besonders für den Cyberspace, wo sich die Bedingungen binnen weniger Minuten verändern können. In der heutigen Geschäftswelt wäre es unklug, sich nur auf eine Technologie zu verlassen, um eine widerstandsfähige Cyberabwehr aufzubauen. IT-Entscheidungsträger müssen erkennen, dass ML zweifellos ein wertvolles Instrument im Kampf gegen Cyberkriminalität ist, aber eben nur ein Teil der gesamten Sicherheitsstrategie eines Unternehmens sein sollte. Und dazu zählt nach wie vor die fachliche Expertise von echten Menschen: den Sicherheitsbeauftragten und Administratoren.
Fazit
Dank Big Data und verbesserter Rechnerleistung ist Machine Learning in den letzten Jahren zum Mittel der Wahl für unzählige Anwendungsgebiete geworden. Doch die Welt der Internetsicherheit befindet sich im stetigen Wandel. Es ist unmöglich, sich ausschliesslich mit ML-Algorithmen gegen die sich häufig ändernden Gefahren zu schützen. Mehrschichtige Lösungen, kombiniert mit talentierten und qualifizierten Mitarbeitern, werden der einzige Weg sein, den Hackern immer einen Schritt voraus zu sein.
Der Autor
Michael Klatte ist Security Writer und Senior PR-Manager beim europäischen IT-Sicherheitshersteller
ESET.
Artikel im topsoft Magazin lesen
Abonnieren Sie das topsoft Fachmagazin kostenlos. 4 x im Jahr in Ihrem Briefkasten.