Suchen

Cybersicherheit

Augmented Security: KI braucht die menschliche Intelligenz

| Autor/ Redakteur: Severin Rast* / Sebastian Human

Der Einsatz von KI in der Security ist verführerisch und schwer in Mode, doch die Begeisterung trägt bisweilen arglose Züge. Denn auch KI lässt sich täuschen, wird sie nicht abgesichert und durch menschliche Intelligenz überwacht.

Firmen zum Thema

Angesichts immer neuer Bedrohungslagen kann eine wirksame Cybersecurity-Strategie nicht nur auf technischen Lösungen basieren.
Angesichts immer neuer Bedrohungslagen kann eine wirksame Cybersecurity-Strategie nicht nur auf technischen Lösungen basieren.
( Bild: Vogel Communications Group )

Der Fachkräftemangel in der IT ist nicht neu. Neu ist aber, dass immer mehr Unternehmen versuchen, diesen Mangel mit verheißungsvollen KI-basierten Security Lösungen zu kompensieren.

KI oder auch AI (Artificial Intelligence) ist einer der Buzzwords-besetzen Trends im Bereich Cybersecurity. Natürlich bietet eine Cybersecurity-Strategie mit KI-basierten Data Loss Prevention oder Data Leakage Protection (DLP) oder Intrusion Detection Systemen (IDS) und Netzwerküberwachung in Echtzeit Sicherheit für den Moment. Sie identifiziert Anomalien und liefert uns schnellere und vielleicht auch höherwertige Erkenntnisse über die Sicherheit von IT-Infrastrukturen, sie ermöglicht Echtzeitanalysen und schnelle kontextbasierte Informationsauswertung. Aber KI in DLP-Systemen und IDS ist derzeit lediglich eine Funktion, die IT-Fachkräfte bei Musterkennung und Auswertung großer Datenströme im Netzwerk unterstützt und Alarm auslöst, wenn ein Angriff stattfindet. Das beschreibt auch der Begriff Augmented Cybersecurity.

So werden Sicherheitsexperten und Mitarbeiter in interdisziplinären Teams von Routineaufgaben entlastet. Es gibt Studien, denen zufolge bereits über 60 Prozent der Unternehmen sicher sind, dass KI, Big Data und Analytics in der Absicherung von IT-Infrastrukturen zukünftig eine tragende Rolle spielen. Mehr als ein Viertel der Unternehmen wollen sie in Ergänzung zu bestehenden Systemen einsetzen, 36 Prozent wollen damit eine komplett automatisierte IT-Sicherheitsarchitektur aufbauen, um den Risikofaktor „Mensch“ zu minimieren und KI-basierten Angriffen von Cyberkriminellen zu begegnen.

Aber: Ohne die Überwachung durch menschliche Intelligenz und gezielte Absicherungen der KI selbst können solche Systeme auch neue Bedrohungslagen eröffnen. Denn sie ersetzen eben nicht die notwendige menschliche Intelligenz derer, die mit den Systemen arbeiten und sie überwachen.

Algorithmen lassen sich austricksen

Es ist wie bei dem Rennen von Hase und Igel. Auch die besten DLP-, Cloud Access Security Broker (CASB) oder IDS, die sich mit Machine Learning auf immer neue Angriffsarten einstellen, können getäuscht werden. Niemand hindert Cyberkriminelle daran, sich diese frei verkäuflichen Systeme zu beschaffen und diese gegen ihre KI-basierten und lernfähigen Schadcodes antreten zu lassen. Dadurch trainieren sie ihre Systeme, die dann beispielsweise typischen Netzwerkverkehr oder das Verhalten eines authentifizierten Nutzers oder seines Endgerätes simulieren. Es ist daher nicht ausgeschlossen, dass ISP, DLP und CASB nur so lange ihre Schutzwirkung behalten, so lange sie besser und schneller lernen als die Angreifer.

Hinzu kommt: Die Arbeitsweise von leistungsfähigem Machine Learning ist selbst für die Programmierer nicht vollständig transparent. Sobald Künstliche Neuronale Netze (KNN) mit vielen verborgenen Schichten genutzt werden, die durch ihr Training, – sei es Anomalieerkennung im Netzwerkdatenverkehr bei Cyberattacken, Bilder- oder Spracherkennung – Erfahrungen sammeln und ihren Algorithmus dabei selbst optimieren, stehen wir vor einer Black Box. Es ist bereits vorgekommen, dass Programmierer einer KI ab einem bestimmten Punkt nicht mehr nachvollziehen können, wie sich der Algorithmus im KNN weiterentwickelt. Dies führt dazu, dass einerseits nur schwer überprüft werden kann, ob KNN in ihren Lernprozessen manipuliert wurden und andererseits die entstandenen Algorithmen unbekannte Schwachstellen haben. Nachgewiesen wurde dies mit Adversarial Examples bei Audio- und Bilddateien. Hierbei werden Pixel in einem Bild oder Frequenzen in der Audiospur derart verändert oder überlagert, dass dies für das menschliche Auge oder Ohr nicht wahrnehmbar und auch kaum messbar ist. Die angegriffene KI wird das Bild oder die Audiospur aber durch die Manipulation völlig anders interpretieren und klassifizieren. Solche Adversarial Examples wird es genauso für andere Datentypen und Muster geben, auch in IT-Security-Systemen.

Angriffe über Supply-Chains, in dem Fall die Entwicklung der Algorithmen, sind ebenfalls ein Risiko. Gelingt es Angreifern, Trainings- oder Referenzdaten, die zum Teil öffentlich im WWW erhoben werden, zu manipulieren, lernt das System dann bereits unentdeckt mit den „falschen“ Daten. Angesichts der Tatsache, dass ein Trainingsdatensatz für eine KI leicht über eine Millionen Einzeldaten enthalten kann, ist nicht ausgeschlossen, dass heute schon versteckte Hintertüren in KI-Systemen existieren. Angreifer müssen ihre Manipulation lediglich aktivieren. Um das zu verhindern, sind Security by Design und ein rigides Supply-Chain-Management für KI-basierte Sicherheitsprodukte unumgänglich.

Security by Design & Default

Zugegeben, weltweite Schadenszenarien in den Abendnachrichten waren bislang glücklicherweise die Ausnahme. Das muss aber nicht so bleiben, solange IT-Sicherheit unter Entscheidern immer noch als Technologie-Frage gilt und nicht als Top-Management-Aufgabe und eines der wichtigsten Unternehmensrisiken, die es zu steuern gilt. Firmennetzwerke sind noch immer häufig viel zu schlecht abgesichert. Die wachsende Vernetzung von Industrie und Gesellschaft, die steigende Verwundbarkeit von Legacy-Systemen kritischer Infrastrukturen durch immer mehr Schnittstellen ins Internet sind beste Voraussetzungen dafür, dass uns richtig große Cyberattacken erst noch bevorstehen. Durch automatisierte oder gar autonome Prozesse kann KI in den falschen Händen mögliche Auswirkungen noch potenzieren.

Abhilfe schaffen nur integrierte Konzepte, die mehrere Schichten von Sicherheit kombinieren und einzelne technologische Lösungen gegenseitig absichern. Angesichts stets neuer Bedrohungslagen kann eine wirksame Cybersecurity-Strategie nicht nur auf technischen Lösungen basieren. Vielmehr bleibt IT-Sicherheit Managementaufgabe für CIOs und CISOs, die eine ganzheitliche Strategie verfolgen sollten. KI-basierte Technologien und menschliche Intelligenz müssen dabei sinnvoll und gegenseitig ergänzend arbeiten. Dies geht nur mit „Security by Design“ und „Security by Default“. Es beginnt bei der Architektur der IT-Infrastruktur, setzt sich bei der Anwendungsentwicklung fort und muss zwangsläufig in einer kontinuierlichen Überprüfung der gesamten IT münden. Natürlich kann kein Unternehmen seine IT von heute auf morgen völlig neu planen. Aber Security by Design bedeutet eben einerseits, bei neuen Lösungen immer die Sicherheit mitzudenken und andererseits bestehende IT-Infrastruktur und die eingesetzte Hard- und Software im Zuge jeder Ersatzbeschaffung darauf hin zu analysieren, welche Schwachstellen neue Systeme nicht mehr enthalten sollen. So können auch bestehende operative Architekturen sukzessive erneuert und sicherer gemacht werden.

Vor allem bei der Anwendungsentwicklung muss Security by Design ein fester Bestandteil des Entwicklungsprozesses sein. Es reicht einfach nicht, die Programmierer im einsamen Kämmerlein coden zu lassen. IT-Sicherheitsexperten müssen in die Teams integriert sein und jeden Sprint auf seine Sicherheitsrelevanz abklopfen. Im Bereich der Anwendungsentwicklung beispielsweise sollten sie Regeln für den OSB-Einsatz aufstellen. Sie müssen deren Einhaltung überwachen und Tests entwickeln, um auch im laufenden Betrieb einer Anwendung neue Schwachstellen (Security by Default) sofort erkennen und abstellen zu können. Gleiches gilt für eine KI, deren Selbstlernprozesse sich nur durch regelmäßige Tests nachvollziehen lassen. Dazu brauchen Unternehmen KI-Experten, die nicht nur den Ausgangscode für eine KI und deren KNN schreiben können, sondern auch in der Lage sind, die Risiken möglicher Black Boxes zu erkennen und zu bewerten.

KI ja, aber nicht ohne Strategie

Der Einsatz von KI im Rahmen einer ganzheitlichen Cyber-Sicherheitsstrategie ist aus der wirksamen Cyber-Abwehr nicht mehr wegzudenken. Dies darf aber niemand dazu verleiten, sich in Sicherheit zu wiegen und grundlegende Maßnahmen der IT-Sicherheit zu vernachlässigen. Vielmehr müssen Organisationen ihre Systeme weiterhin auf dem Stand der technischen Entwicklung halten und mit geeigneten Maßnahmen auf wiederkehrende Schwachstellen bzw. mögliche Angriffsvektoren hin analysieren. Dies gilt insbesondere für neue Technologien wie KI.

Die Implementierung von umfassenden, aktuellen Gefährdungen adressierenden Cybersecurity-Maßnahmen muss die Regel werden, nicht die Ausnahme bleiben. Voraussetzung für die professionelle Steuerung der Informationssicherheit über Technologien und Prozesse hinaus ist das richtige Mindset der Geschäftsführung. Nur wenn Cybersecurity eine angemessen hohe Priorität eingeräumt wird, lassen sich geschäftskritische IT-Prozesse und Assets im Zuge der fortschreitenden Digitalisierung wirklich schützen.

Ferner liegt der Erfolg einer wirksamen Umsetzung von Cybersecurity heute auch in interdisziplinären Teams aus IT-Sicherheitsexperten, die fachlich auf der Höhe der Zeit sind und die Herausforderungen von morgen vor Augen haben, von Experten für KI, die programmieren und steuern können und IT-Forensikern, die in der Lage sind, wie Cyberkriminelle zu denken und zu handeln. Ist fachkundiges Personal am Markt nicht zu haben, sollten Unternehmen auf Managed Services, kompetente Dienstleister oder auf interne Weiterbildung setzen – oder am besten gleich auf geeignete Kombination. Erfahrungsgemäß erwerben Mitarbeiter in Zusammenarbeit mit externen Dritten, die branchenübergreifende Erfahrung im Bereich Cybersecurity im Gepäck haben, wertvolles Wissen „on the job“. Und nicht zuletzt kann nur eine zeitgemäße Sicherheitskultur im Unternehmen, die alle Ebenen der Organisation umfasst und auch mit Blick auf Mitarbeiter- Awareness so wenig offene Flanken wie möglich zulässt, die Grundlage für erfolgreiches, nachhaltiges Sicherheitsmanagement sein.

Buchtipp „Cybersicherheit“Das Fachbuch „Cybersicherheit" führt grundlegend und praxisnah an die aktuellen Herausforderungen der IT-Security heran. Dabei werden bewusst neue digitale Entwicklungen, wie die Vernetzung industrieller Maschinen und Anlagen durch Industrie-4.0-Technologien, adressiert. „Cybersicherheit“ kann hier versandkostenfrei oder als eBook bestellt werden.

Dieser Beitrag ist ursprünglich in unserem Partnermagazin Next Industry erschienen.

* Severin Rast ist Mitglied der Geschäftsleitung der infodas GmbH und verantwortet dort den Bereich IT Security Consulting.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46106103)