Cyberangriffe werden immer ausgeklügelter, die Abwehrsysteme auch. Künstliche Intelligenz und Machine Learning halten auch in der IT-Security Einzug – auf beiden Seiten. Doch was ist eigentlich der aktuelle Stand?
Text: Andreas Heer, Bilder: Adobe Stock,
Künstliche Intelligenz gewinnt in der IT-Security an Bedeutung. Und zwar auf Seite der Angreifer wie auch der Verteidiger. Darin sind sich Security-Fachleute einig. Das spiegelt sich auch im aktuellen Swisscom Threat Radar wider, der AI-gestützte Cyberangriffe als wachsende Bedrohung für Unternehmen einstuft. Doch wann, wie und wo solche Attacken stattfinden, ist derzeit noch völlig offen. Trend Micro, Anbieterin von Security-Lösungen, stuft derartige Bedrohungen in einem Forschungspapier als «im Entwicklungsstadium» ein. Und Sicherheitsforscher von IBM haben zwar bereits an der Black-Hat-Konferenz 2018 mit «DeepLocker» die Machbarkeit einer Malware nachgewiesen, die sich mittels künstlicher Intelligenz vor der Entdeckung schützt. Doch über Proofs of Concept sind solche Ansätze bis jetzt nicht hinausgekommen.
In einfacheren Formen wird Machine Learning bereits heute für Angriffe eingesetzt, wie der Trend-Micro-Bericht schreibt. Sicherheitsforscher sind etwa auf ein Password-Cracker-Tool gestossen, das mit Machine Learning die Effizienz bei Brute-Force-Angriffen auf Benutzerkonten steigert. Es lernt dabei, wie Menschen Passwörter anpassen, um sie sicherer zu gestalten. Anstelle einfach alle Zeichenkombinationen durchzutesten, versucht es das Tool mit möglichst wahrscheinlichen Abwandlungen bekannter Kombinationen; beispielsweise zuerst mit «password123», danach mit «p@ssword123». Ziel ist, das korrekte Passwort mit weniger Versuchen zu erraten.
Die Entwicklung einer Malware, die Machine Learning oder gar künstliche Intelligenz nutzt, ist jedoch aufwändig. Wie in der legalen Wirtschaft, muss sich auch in der organisierten Cyberkriminalität dieser Aufwand lohnen. Das heisst, wenn diese Kriminellen ein Geschäftsmodell für den Einsatz von Artificial Intelligence finden, werden sie auch entsprechende Technologien entwickeln und die benötigten Ressourcen investieren.
Ein mögliches solches Szenario hat das WEF in einem Hintergrundartikel entwickelt. Phishing-Angriffe könnten Machine Learning nutzen, um täuschend echt geschriebene Mails im grossen Stil zu verschicken. Als Trainingsdaten dienen die erbeuteten Mails auf den Rechnern bestehender Opfer. Das würde dazu führen, dass mehr Personen auf die Phishing-Mails hereinfallen. Oder aus Sichtweise der Angreifer: Es würde die Effizienz steigern.
Überhaupt dürfte Social Engineering ein interessantes Gebiet für den Einsatz künstlicher Intelligenz sein, weil viele der benötigten Technologien bereits existieren. Mit Deepfake-Technologien wie Voice Cloning liesse sich etwa die Stimme eines bekannten Anrufers vortäuschen, um das Opfer zur Herausgabe vertraulicher Informationen zu bewegen.
Natürlich kommt insbesondere Machine Learning auch auf der Abwehrseite zum Einsatz, beispielsweise in verhaltensbasierten Systemen für Detection & Response sowie in SIEM/SOAR-Plattformen. Hier stellt sich allerdings die Herausforderung umgekehrt wie bei Angriffen: Es geht nicht darum, Muster zu erkennen, sondern die Anomalien. Und nicht jede Anomalie ist gleich ein Angriff. Vielleicht hat ja Frau Meier tatsächlich ausnahmsweise um 11 Uhr abends Mails verschickt, weil sie im Homeoffice ihren Arbeitsrhythmus gerändert hat?
Deshalb wird es auch bei «intelligenten» Systemen immer noch Menschen brauchen, die solche «false positives» prüfen. Machine Learning und künstliche Intelligenz wird die heutigen Konzepte der IT-Security in absehbarer Zeit nicht über den Haufen werfen, sondern die raren Security-Fachleute unterstützen. Ein Security Operations Center (SOC) wird auch künftig das Herzstück der Cyberabwehr bilden. Vielleicht einfach vermehrt in der Form eines Managed Security Service, weil die menschliche Intelligenz in Form von Security-Fachleuten auch in Zukunft rar bleiben dürfte.
Newsletter
Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?
Andere Leser interessierte auch: