Künstliche Intelligenz in der IT Security - Status Quo und Perspektiven

von

Lesezeit: Minuten ( Wörter)

Der Einsatz künstlicher Intelligenz (KI) nimmt auch in der Cyber Security eine immer wichtigere Rolle ein. Künstliche Intelligenz zeigt ihre Stärken vor allem in der Früherkennung von Cyberbedrohungen oder in der Echtzeitüberwachung von IT-Infrastrukturen. Allerdings ist ein unkontrollierter Einsatz von KI durchaus gefährlich! Erfahren Sie in diesem Beitrag, was Künstliche Intelligenz im Bereich der Cyber Security zu leisten vermag und wie KI das Cyber Threat Hunting und die Threat Intelligence unterstützen kann.

Was ist eigentlich Künstliche Intelligenz?

Künstliche Intelligenz – im englischen Sprachraum Artificial Intelligence – bezeichnet die Simulation von menschlicher Intelligenz mit Computersystemen. Künstliche Intelligenz umfasst dabei das Lernen, also die Erfassung und Verarbeitung von Informationen, das Schlussfolgern und die Selbstkorrektur. Geprägt wurde der Begriff der KI im Jahre 1956 durch den amerikanischen Informatiker John McCarthy. In der modernen Anwendung bezeichnet KI eine ganze Reihe von Maßnahmen, die von RPA (Robotic Process Automation) bis hin zur eigentlichen Robotik reichen.

Welche Arten von KI gibt es?

KI wird auf unterschiedliche Arten kategorisiert. Eine Möglichkeit der Klassifizierung von KI ist die Aufteilung in schwache und starke KI. Schwache KI ist dabei ein System, dass speziell für eine bestimmte Aufgabe entwickelt und entsprechend trainiert wurde. Ein bekanntes Beispiel für eine schwache KI sind virtuelle Assistenten wie Alexa oder Siri.
Eine starke KI hingegen beschreibt ein System, dass über verallgemeinerte menschliche kognitive Fähigkeiten verfügt. Starke KI kann bei einer Konfrontation mit einer unbekannten Aufgabe durch ausreichend „Intelligenz“ eine Lösung für die Problemstellung finden. Bereits 1950 entwickelte der Mathematiker Alan Turin einen Test, der herausfinden soll, ob ein entsprechender Computer wie ein Mensch denken kann. Der Turing-Test ist allerdings als Methode umstritten.

Jetzt keinen Blogbeitrag mehr verpassen!

  • 12x im Jahr aktuelle News aus der IT Security Welt
  • 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
  • 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense

Einen anderen Ansatz zur Kategorisierung von KI stammt von Arend Hintze, seines Zeichens Assistenzprofessor für Integrative Biologie und Informatik an der Michigan State University. Hintze sortiert KI in vier Typenklassen:

Typ 1: Reaktive Maschinen. Diese Form der KI kann bekannte Ereignisse erkennen und darauf basierend Vorhersagen treffen – allerdings haben Reaktive Maschinen kein Gedächtnis und können Erfahrungen aus der Vergangenheit nicht dazu verwenden, um zukünftige Erfahrungen zu informieren. Reaktive Maschinen werden für begrenzte Zwecke entwickelt und können nicht ohne Aufwand auf andere Situationen angewendet werden.

Typ 2: Begrenzter Speicher. Diese Form der KI kann Erfahrungen aus der Vergangenheit dafür verwenden, um Entscheidungen in der Zukunft zu treffen. Die KI mit begrenztem Speicher wird derzeit in autonomen Fahrzeugen erprobt. Hier kann die KI Ereignisse in einer nicht allzu fernen Zukunft voraussehen – beispielsweise ob ein vorausfahrendes Fahrzeug die Fahrspur wechseln wird. Die getätigten Beobachtungen werden nicht dauerhaft abgespeichert.

Typ 3: Native Theorie. Diese Art der KI gibt es (noch) nicht. Der psychologische Begriff der Nativen Theorie beschreibt das Verständnis, das andere eigene Absichten, Überzeugungen und Wünsche haben, die die eigenen Entscheidungen beeinflussen.

Typ 4: Selbsterkenntnis. KI Systeme aus dieser Kategorie haben ein Bewusstsein, verstehen ihren aktuellen Zustand und verwenden die Informationen, um abzuleiten, was andere fühlen. Auch diese Form der KI existiert bis dato nur in der Theorie.

Formen der KI Technologie in der Cyber Security

Künstliche Intelligenz ist für den Einsatz in der IT Security prädestiniert. KI dient hier vor allem der Optimierung der Bedrohungserkennung, das heißt der Threat Detection beziehungsweise Threat Intelligence. In der Cyber Security eingesetzte KI-Methoden sind vor allem Maschinelles Lernen (ML), Supervised Learning, Unsupervised Learning, Decision Trees oder Deep Learning.

Maschinelles Lernen: Machine Learning bezeichnet die Wissenschaft, einen Computer ohne vorherige Programmierung zu einer Handlung zu bringen. Aktuell existieren drei Formen des maschinellen Lernens. Beim überwachten Lernen (Supervised Learning) werden Datensätze so gekennzeichnet, dass die KI Muster erkennen und zur Kennzeichnung neuer Datensätze verwenden kann. Beim unbeaufsichtigten Lernen (Unsupervised Learning) werden die Datensätze nicht gekennzeichnet, sondern nach Unterschieden oder Ähnlichkeiten einsortiert. Die dritte Form ist das verstärkende Lernen. Auch hier werden Datensätze nicht gekennzeichnet, sondern die KI erhält nach einer oder mehreren Aktionen ein Feedback.

Deep Learning: Deep Learning ist ein Teilbereich des maschinellen Lernens. Beim Deep Learning werden künstliche neuronale Netze mit diversen Zwischenschichten zwischen Eingabe- und Ausgabeschicht eingesetzt. So einsteht eine umfangreiche innere Struktur, die eine Komplexität von bis zu hundert Millionen einzelnen Parametern und zehn Milliarden Rechenoperationen pro Eingangsdatum aufweisen können.

Decision Tree: Übersetzt ins Deutsche bedeutet Decision Tree „Entscheidungsbaum“. Decision Tree ist ein mathematisches Modell und Diagramm, dass der Entscheidungsfindung dient. Das Diagramm ist dabei baumartig aufgebaut und gibt einen gerichteten Entscheidungsweg wieder. Typische Einsatzgebiete des Decision Trees sind die Klassifikation von Datenobjekten oder die übersichtliche Visualisierung von Regeln auf Grundlage eines vorhandenen Wissens.

Die Relevanz von Künstlicher Intelligenz in der Cyber Security

Im Kampf gegen immer besser vorbereitete Cyberkriminelle und neuen Formen der Cyberbedrohungen muss eine enorme, vielschichtige Datenmenge berücksichtigt werden. Die anfallenden Daten sind dabei überaus heterogen – beginnend mit der IT im Büro über die OT (Operational Technology) von Maschinen und Anlagen bis hin zu vernetzten Geräten (Internet of Things – IoT). Welche Datenmengen zu verarbeiten sind, zeigt eindrucksvoll das Beispiel der Entwicklungen rund um das autonome Fahren. Allein ein vernetztes Auto generiert pro Fahrstunde (!) knapp 25 Gigabyte Daten – ein Volumen, dass ohne KI nicht zu bewältigen wäre.

Der Einsatz künstlicher Intelligenz in der OT.

Moderne Unternehmen verfügen mittlerweile über Security Operations Center (SOC), um die Cyber Security dauerhaft und nachhaltig sicherzustellen. SOC belegen dabei eindrucksvoll, dass eine Cyber Security nicht mehr ohne Unterstützung Künstlicher Intelligenz auskommen kann. Denn KI ist gerade im SOC die Grundlage für detailgenaue Analysen und Echtzeit-Überwachung des Datenverkehrs. Künstliche Intelligenz kann Anomalien im Datenstrom wesentlich schneller und präziser erkennen – und somit das Unternehmen auf sicherheitsrelevante Schwachstellen hinweisen – als es ein Mensch je könnte. Moderne KI im SOC setzt auf maschinelles Lernen und kann so nicht nur zwischen schädlichen und unschädlichen Dateien unterscheiden, sondern bietet auch ein hohes Maß an Früherkennungspotential – und ermöglicht so den Einsatz zielgenauer, präventiver Maßnahmen.

Derzeit dominiert beim Einsatz von KI noch das Supervised Learning. Hier wird dem Algorithmus durch einen Analysten „beigebracht“, welche Schlussfolgerungen bei welchem Ereignis gezogen werden sollen. Immer häufiger wird aber gerade im Bereich der Cyber Security auf das wesentlich effizientere Unsupervised Learning gesetzt. Hier ist menschliche Anleitung unnötig, die KI erkennt Bedrohungen eigenständig.
Unabhängig von der eingesetzten Methode kann aber festgehalten werden, dass KI immer zu einer Entlastung der Cyber Security Teams führt – die sich somit auf andere, höherwertigere Aufgaben konzentrieren können.

KI im Security Operations Center – Der Erfolg hängt vom Konzept ab

KI vermag vieles zu leisten – aber nur dann, wenn sie angemessen konzipiert worden ist. Die Qualität eines jeden Algorithmus hängt immer davon ab, wie gut er trainiert wurde und welche Daten und Datensätze für das Training bereitgestellt worden sind. Ein SOC, das auf KI als Waffe im Kampf gegen Cyberbedrohungen setzen will, muss auf hohe Datenqualität und ein richtiges Anlernen der KI setzen. Denn nur so ist der hohe Schutz der IT-Infrastruktur sichergestellt, den eine KI leisten kann. Als zusätzlicher Layer für SOC ist KI sicherlich ein sinnvolles und auch mächtiges Instrument. Allerdings kann Künstliche Intelligenz die menschliche Intelligenz nicht vollständig ersetzen. Vielmehr muss beides sich umfassend ergänzen.

KI als Gegenspieler der Cyber Security

Komplett von der KI gesteuerte Cyberangriffe sind aktuell noch Bedrohungen aus der Zukunft. Was allerdings jetzt schon zu sehen ist, sind smarte Malware-Programme. Diese Malware ist bis zu einem bestimmten Punkt in der Lage, typische System- und Anwenderverhalten nachzuahmen. Die Malware ist dadurch in der Lage, Geräte zu infizieren oder ganze Netzwerke zu durchseuchen – einfach indem das Schadprogramm den richtigen Zeitpunkt abwartet, um loszuschlagen. Dennoch ist dies keine Cyberbedrohung, die nur von einer KI ausgeht. Denn die Steuerung der Malware wird hier ganz „klassisch“ von einem Hacker übernommen.

KI und der Einsatz im Cyber Threat Hunting und der Threat Intelligence

Künstliche Intelligenz bietet bei der proaktiven Jagd auf Cyberkriminelle (Cyber Threat Hunting) und der Informationsgewinnung zur Bedrohungslage der Cyber Security (Threat Intelligence) deutliche Vorteile gegenüber traditionellen Methoden. KI trägt hier nicht nur dazu bei, Anomalien schneller aufzudecken, sondern kann auch Risikobereiche vorhersagen und somit für einen robusten Cybersicherheitsplan sorgen.

KI kann mühelos Millionen Ereignisse überwachen – täglich. So werden Muster sichtbar und bösartige Aktivitäten aufgedeckt, die von Menschen allein durch die schiere Größe der Datensätze nicht manuell verarbeitet werden könnten. KI unterstützt so das aktive Cyber Threat Hunting, indem Fehlalarme identifiziert und ausgefiltert werden, so dass sich die Sicherheitsexperten auf die wirklich relevanten Vorfälle konzentrieren können.
Auch für eine erweiterte Threat Intelligence lässt sich Künstliche Intelligenz einsetzen. KI kann große Datenmengen parallel verarbeiten und zu nutzen. So lassen sich Verstöße umgehend markieren und als Bedrohung kategorisieren.
KI im eigenen SOC ist teuer – muss mein Unternehmen wirklich auf derartige Maßnahmen setzen?

Kurz gesagt: Die Cyberbedrohungen nehmen jährlich zu, die Methoden der Angreifer werden immer ausgefeilter. Ein SOC, ein aktives Cyber Threat Hunting und der Einsatz von Threat Intelligence sind tatsächlich bereits jetzt schon nahezu unverzichtbar, will ein Unternehmen die Sicherheit der Daten dauerhaft gewährleisten. Allerdings ist das Angebot an entsprechend ausgebildeten Sicherheitsexperten knapp – und die Integration leistungsstarker KI gerade für kleine und mittlere Unternehmen eine deutliche finanzielle Belastung. Als Alternative zu einem hauseigenen SOC und einer eigenen KI eignen sich spezialisierte Cyber Security Dienstleister. Services wie Active Cyber Defense überwachen und sichern rund um die Uhr und an 365 Tagen im Jahr die IT-Infrastrukturen ab. Threat Intelligence und Cyber Threat Hunting sind bei den Sicherheitsexperten Standard – genau wie der Einsatz von KI bei der Jagd auf Cyberkriminelle. Der große Vorteil der externen Dienstleister: Sie machen den Aufbau eines eigenen SOC überflüssig – und integrieren KI als Sicherheits-Layer in ihre Konzepte. So profitieren Unternehmen von umfassender Cybersicherheit – bei gleichzeitig minimierten Ausgaben.

Fazit

Künstliche Intelligenz ist längst keine Zukunftsmusik mehr. Die lernenden Computer werden weltweit eingesetzt – sowohl von IT-Sicherheitsteams als auch Hackergruppen. Durch die enormen Kapazitäten in der Datenanalyse und -verarbeitung bietet KI gerade im Bereich der Sicherheit unschlagbare Vorteile. Allerdings ist derzeit jede KI nur so gut wie ihr „Trainer“ – denn ganz ohne menschliches Anlernen geht es noch nicht. Doch bereits jetzt schon setzen Teams aus den Bereichen Cyber Threat Hunting und der Threat Intelligence auf lernende Systeme – und es ist zu erwarten, dass der Anteil an KI im Kampf gegen Cyberbedrohungen zukünftig noch deutlich ausgeweitet werden wird.

Haben Sie Fragen oder benötigen Sie Beratung zum Thema?

Kontaktieren Sie unsere Experten!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die Allgeier secion, Zweigniederlassung der Allgeier CyRis GmbH.

* Pflichtfeld

Zurück