Interview mit Ralph Kreter, Securonix KI ersetzt (noch) nicht den Sicherheitsanalysten

Künstliche Intelligenz prägt immer wieder auch den Diskurs über Cybersecurity. Doch was darf man in diesem Kontext von der Technologie wirklich erwarten? Securityexperte Ralph Kreter hat Antworten.

Anbieter zum Thema

Parasoft® Deutschland GmbH

Trebing & Himstedt Prozeßautomation GmbH & Co. KG

TXOne Networks

Securonix (Germany)

Künstliche Intelligenz wird Jobs von geringqualifizierten Mitarbeitern durch Roboter und Automatisierung ersetzen. Autonome Lagerroboter sind dafür ein gutes Beispiel. Das freigesetzte Beschäftigungspotenzial kann anderweitig genutzt werden. Denn diese Mitarbeiter können dazu beitragen, die Qualifizierungslücke an anderer Stelle zu schließen. Man muss sich allerdings die Mühe machen, grundlegende Schulungen anzubieten und gezielt die nötigen Fähigkeiten aufbauen. In der Cybersicherheit ist künstliche Intelligenz in der Lage einen Top-Sicherheitsanalysten in einem Security Operations Center (SOC) zu ersetzen. KI erkennt Anomalien, findet vergleichbare Fälle und stellt die nötigen Kontextinformationen für eine spätere und umfassende Analyse bereit. Um eine Ebene tiefer als Sicherheitsanalyst einzusteigen, brauchen Sie andere Fähigkeiten. Vor allem ein sehr viel tieferes Wissen im Bereich Cybersicherheit plus die entsprechende Erfahrung um Vorfälle unabhängig untersuchen und beseitigen zu können. KI ist zum jetzigen Zeitpunkt nicht in der Lage einen Sicherheitsanalysten auf dieser Ebene zu ersetzen. Eine Ausnahme besteht dann, wenn maschinelles Lernen starke Ähnlichkeiten oder zugrunde liegende Charakteristika aus vorangegangen, bereits analysierten Fällen erkennt. Vorausgesetzt man vertraut der Technologie ausreichend, den Vorfall automatisch zu beseitigen. Gerade maschinelles Lernen kann die Fähigkeiten eines Sicherheitsexperten erweitern. Die Vorteile sind leicht ersichtlich: Analysten arbeiten produktiver, die Fehlerquote ist geringer und die Zeitspanne, bis ein Vorkommnis entdeckt und beseitigt wird, kürzer.

experte Security

IoT- und OT-Sicherung fordern die IT heraus

Sind Maschinen tatsächlich in der Lage sich gegenseitig etwas beizubringen? Stichworte sind hier beispielsweise das unsupervised Learning. Was bedeutet der Ansatz in der Praxis? Hat er sich bereits bewährt?

Maschinen können sich gegenseitig trainieren, wenn man ihnen die Kriterien für positive (Belohnung) und negative (Bestrafung) Ergebnisse an die Hand gibt. Und sie können mit ihrer Umgebung interagieren und sich nach dem Versuch-Irrtum-Prinzip weiter verbessern. Das bezeichnet man als Reinforcement Learning. Diese Methode hat ihr enormes Potential schon in den Bereichen Gaming und Robotik unter Beweis gestellt. Für das praktische Leben ist sie weit weniger geeignet und hat ihre Grenzen da, wo die Anforderung heißt, nichts zu zerstören. Es ist ziemlich unwahrscheinlich, viel zu lernen, wenn entweder der Agent (also die betreffende Maschine) oder das Umfeld durch eine irrtümliche Bewegung zerstört oder getötet würden. Das sogenannte unsupervised Learning dagegen ist passiv. Es ist in der Lage, Anomalien und Muster in großen Datenmengen zu erkennen. Ohne qualifizierte Interpretation eines Menschen sind diese Ergebnisse aber komplett nutzlos. Diese Methode wird überwiegend benutzt um übliche/normale von seltenen/anomalen Vorkommnissen zu unterscheiden oder das Benutzerverhalten zu analysieren. Überwachtes Lernen, das sogenannte supervised Learning kommt offensichtlich selbst nicht ohne Führung aus: ohne Labels, die ihm sagen, was es als „gut“ oder „schlecht“ einordnen soll, funktioniert es nicht. Einige interessante Abweichungen findet man im Bereich der nur schwachen Beaufsichtigung (weak supervision). Hier geben Experten im jeweiligen Bereich nur eine begrenzte Zahl allgemeiner Regeln vor, statt direkter Labels. Ähnliches gilt für das semi-beaufsichtigte Lernen (semi-supervised Learning), das auf einer geringeren Anzahl von Samples basiert.