Laurent - stock.adobe.com
Vier gute Gründe für die Nutzung von KI in der IT-Security
Immer mehr Security-Hersteller integrieren eine KI in ihre Tools. Welche Gründe sprechen dafür und wann ist der richtige Zeitpunkt, um selbst in KI-Techniken zu investieren?
Die Absicherung ihrer IT-Systeme gehört zu den wichtigsten Aufgaben von Unternehmen heutzutage. Die zunehmende Verbreitung und Nutzung von komplexen Systemen, Cloud-Diensten, verschiedenen geschäftlichen und privaten Apps sowie von zahllosen Endgeräten und Devices hat die Gefahren für alle Arten von Organisationen weiter erhöht.
Die bereits bislang unternommenen Anstrengungen, ihre Besitztümer und ihre Kunden zu schützen, müssen deshalb weiter ausgebaut werden. Dabei geht es aber um mehr als nur um die seit einiger Zeit propagierte Automatisierung rein reaktiver Maßnahmen. Heutzutage müssen sich IT-Sicherheitsexperten mit proaktiven Maßnahmen zur Erkennung von Bedrohungen beschäftigen, um so schon im Vorfeld Angriffe vereiteln zu können.
Immer mehr Firmen setzen dabei auf den Einsatz künstlicher Intelligenzen (KI), um ihre Sicherheitsmaßnahmen zu verstärken und um ihre Assets besser zu schützen. Moderne Sicherheitslösungen integrieren nun auch Techniken aus den Bereichen Machine Learning, Deep Learning sowie Machine Reasoning, um teilweise gigantische Mengen an Daten zu überprüfen. Auf diese Weise soll normales von ungewöhnlichem Verhalten leichter unterschieden werden können. Böswillige Vorgänge und Eindringlinge können dadurch schneller erkannt werden.
Die globalen Ausgaben für IT-Sicherheit werden voraussichtlich bis zum Jahr 2022 auf bis zu 170 Milliarden US-Dollar steigen. Das bedeutet aber auch für die Hersteller von Sicherheitslösungen, dass sie effektivere und widerstandsfähigere Mechanismen und Tools entwickeln müssen, wenn sie diesen Bedarf decken wollen. Aufgrund der bereits erfolgten technologischen Fortschritte spricht man mittlerweile von vier Haupteinsatzbereichen für KI und Machine Learning in der IT-Security.
1. Analyse von Netzwerkbedrohungen
Die meisten Unternehmen digitalisieren heutzutage einen großen Teil ihrer Aktivitäten. Dabei aktualisieren sie auch ihre bisher vor allem intern genutzten hybriden Netzwerke. Die vielfach vorzufindenden teilweise gigantischen Netzwerkstrukturen sind oft nicht nur äußerst komplex. Sie erfordern auch immense sicherheitsbezogene Anstrengungen sowie Ressourcen, um alle Kommunikationen, Verbindungen, Transaktionen, Anwendungen und Richtlinien verwalten zu können.
In den meisten Unternehmen werden dafür erhebliche Investitionen benötigt. Auf der anderen Seite entstehen infolgedessen auch viele mögliche Fehlerquellen. KI-Techniken in der IT-Sicherheit lassen sich in verschiedenen Arten einsetzen. Am bedeutendsten ist ihre Fähigkeit, alle ein- und ausgehenden Daten auf verdächtige Aktivitäten zu überwachen und sie nach bestimmten Bedrohungsarten einzustufen und zu klassifizieren.
2. Erkennung von Malware
Der Begriff Malware steht für eine Vielzahl meist laufend weiter entwickelter Programme, die darauf ausgelegt sind, Schaden an fremden Systemen anzurichten. Techniken zur Erkennung von Malware gibt es seit vielen Jahren. Bisher basieren sie aber vor allem auf einer Verwendung von vorgegebenen Signaturen. Neu hinzugekommen sind auf KI aufsetzende Methoden, mit denen vor allem bislang noch nicht aufgetretene Malware leichter und schneller erkannt werden kann.
Durch die Analyse großer Mengen an Daten, Ereignissen, Quellen und echten Vorfällen kann eine in der IT-Security eingesetzte KI die Anwesenheit von Malware bereits erkennen, noch bevor eine schädliche Datei überhaupt geöffnet wurde. Die KI kann außerdem genutzt werden, um verschiedene Arten von Malware aufzuspüren.
Das ist besonders wichtig, weil sich auch die Malware an der technologischen Weiterentwicklung orientiert. Beispiele dafür sind etwa Bots und Botnetze oder Malvertising und Ransomware.
Das hat dazu geführt, dass man aufgrund der Analyse von Millionen von bereits entdeckten Malware-Mustern aber auch von legitimen Programmen den Einsatz von KI in der IT-Security als einen der größten Erfolge von Deep Learning bezeichnen kann. Gut trainierte Algorithmen benötigen jedoch umfangreiche, gut klassifizierte Datensätze, um zuverlässig zu funktionieren.
3. Unterstützung bei der Arbeit von Sicherheitsspezialisten
Der Einsatz von KI in der IT-Security eignet sich besonders gut für die Analyse großer Datenmengen. Potentielle Gefahren können dadurch schneller aufgespürt werden. Das ist aber nur die eine Seite der Medaille. Auf der anderen Seite werden auch weiterhin menschliche Experten benötigt, um die Arbeit der KI zu überwachen, zu steuern und auszuwerten. Heutzutage unterstützen künstliche Intelligenzen ihre menschlichen Kollegen vor allem in zwei besonders wichtigen Bereichen:
- Die KI automatisiert sich wiederholende Aufgaben: So kann sie beispielsweise genutzt werden, um als geringer eingestufte Gefahren zu untersuchen oder um die oft aufwändige Anreicherung von Daten zu übernehmen. Die menschlichen Analysten erhalten dadurch mehr Zeit, um bedeutendere Risiken zu prüfen oder um etwa strategische Entscheidungen zu treffen.
- Machine Learning erleichtert die Ausgangslage, wenn es um Threat Intelligence geht: Menschliche Analysten können sich durch den Einsatz einer KI auf die wirklich essentiellen Bedrohungen konzentrieren, die teilweise vorher durch Machine Learning aufgedeckt wurden. Die KI kann dann genutzt werden, um die zur Verfügung stehenden Daten schneller zu analysieren, einzustufen, zu visualisieren und aber auch um mögliche Gegenmaßnahmen vorzuschlagen.
Durch einige Tests konnte bereits belegt werden, dass die besten Ergebnisse im Bereich IT-Security durch eine Kombination menschlicher Mitarbeiter mit künstlichen Intelligenzen erzielt werden. Eine der beiden Möglichkeiten alleine zu nutzen, war dagegen nicht so überzeugend.
Um KI-Techniken ergänzte Security-Tools werden in den kommenden Jahren deswegen immer wichtiger werden. Bereits heute gibt es erste Werkzeuge, deren Benutzeroberflächen um Ergebnisse aus KI-Analysen erweitert wurden. IT-Sicherheitsexperten können sie verwenden, um sie weiter zu trainieren und so zu konfigurieren, dass sie ihre spezifischen Bedrohungen und Probleme schneller erkennen.
4. Abwehr von Bedrohungen mit Hilfe einer KI
Die in der IT-Security entwickelten Techniken, aber auch die Gefahren, gegen die sie eingesetzt werden, entwickeln sich im Gleichschritt mit den Fortschritten bei der KI. Das hat dazu geführt, dass Unternehmen ihre für Machine Learning genutzten Algorithmen weiter trainieren müssen, um auch Angriffe erkennen zu können, die selbst von anderen Machine-Learning-Algorithmen verübt werden.
Denn auch die Hacker nutzen nach Erkenntnissen von Sicherheitsexperten bereits Machine Learning, um Schwachpunkte in Firmennetzen aufzuspüren. Die dabei gewonnenen Erkenntnisse werden dann verwendet, um geeignete Ziele für Phishing-Attacken zu identifizieren, um Spyware einzuschleusen oder um besonders effektive DDoS-Angriffe (Distributed Denial of Service) zu starten.
Cyberkriminelle entwickeln zudem mittlerweile auch smarte Malware und sogar künstliche Hacker, um individuelle Angriffe durchzuführen, die genau auf ihr jeweiliges Opfer ausgerichtet sind. Auf KI basierende Attacken zeigen also genau die wichtigsten Stärken der künstlichen Intelligenzen: Sie sind äußerst skalierbar, bieten verhaltensbasierte Analysen und lassen sich sehr gut personalisieren. Diese Fähigkeiten können auch für Einbrüche, Infektionen mit Malware und andere Attacken genutzt werden.
Dieses Katz-und-Maus-Spiel zwischen Unternehmen und Hackern ist eine nicht zu vernachlässigende und zugleich äußerst gefährliche Entwicklung in der IT-Security. Die benötigten Investitionen in die modernen Techniken sollten deshalb keinesfalls auf die lange Bank geschoben werden. Das gilt vor allem auch für Legacy-Systeme, die nur mit großem Aufwand aktualisiert oder ersetzt werden können.
Die im Beitrag bisher genannten Beispiele sind nur eine kleine Zahl der Einsatzmöglichkeiten von KI in der IT-Security. Aber selbst im Anbetracht des nicht bestreitbaren Potentials, das die künstlichen Intelligenzen bieten, sind sie kein Allheilmittel. Auch die KI ist im Grunde nur ein Werkzeug.
Vergessen Sie auf keinen Fall: Bleiben Sie auf dem Boden der Tatsachen und schätzen Sie ihre Möglichkeiten realistisch ein. Auch wenn die Hersteller vieles versprechen, sind die in Unternehmen anzutreffenden Infrastrukturen doch äußerst umfangreich, komplex und dynamisch. Sie müssen kontinuierlich überwacht, überprüft und aktualisiert werden, um auch alle nicht vorhersehbaren internen und externen Bedrohungen rechtzeitig erkennen und bekämpfen zu können.
Um jedoch überhaupt definieren zu können, was ungewöhnliches Verhalten ist, muss zuerst einmal herausgefunden werden, was normales Verhalten in einem Netzwerk ist. Diese Aufgabe ist auch deswegen so schwierig, weil aktuelle IT-Umgebungen sich immer wieder schnell verändern.
Traditionelle auf Signaturen aufsetzende Methoden und die sie nutzenden Menschen haben inhärente Schwachstellen oder machen Fehler, die kaum zu vermeiden sind. Das trifft aber auch auf Machine Learning zu. Klare Vorgaben sind für jedes Werkzeug von großer Bedeutung.
Dazu kommt, dass das erzielte Ergebnis nur so gut sein kann, wie die zur Verfügung stehenden Daten. Aber wie immer, wenn es um das Bewerten von Aktion und Reaktion geht, gibt es auch viele Gründe für Optimismus: Je ausgefeilter die Bedrohungen werden, desto ausgefeilter werden auch die Lösungen, mit denen sie bekämpft werden können.