Malware befällt im besten Fall Honeypots; in vielen Fällen sind es aber auch IT-Netzwerke, die dagegen noch wehrlos sind. Bei durchschnittlich 394.000 neuen Malware-Varianten pro Tag ist ein hundertprozentiger Malware-Schutz schwer vorstellbar.

Anti-Malwarelösungen nutzen die Heuristik, um Malware aufgrund ihres Verhaltens zu erkennen. Heuristik – also die Kunst, aus unvollständigen Informationen das wahrscheinlichste Ergebnis abzuleiten – ist eine Form der Künstlichen Intelligenz (KI) beziehungsweise von Machine Learning.

Auch traditionelle Spamfilter arbeiten rein reaktiv. Sie addieren das Scoring von Schlüsselwörtern im Content von E-Mails und klassifizieren eine Mail ab einem gewissen Schwellenwert als Spam. Wird Machine Learning bei Spamfiltern eingesetzt, werden neben Keywords beispielsweise auch ähnliche Keyword-Schreibweisen, zu viele Sonderzeichen und Großbuchstaben in einer Mail, versteckte HTML-Texte und auf Command and Control Server verweisende Unsubscribe-Links erkannt. Machine Learning sorgt also dafür, dass die Filter trainiert werden und lernen. Arbeitet der E-Mail Empfänger beispielsweise in einer Bank, werden Keywords wie ‚Kredit‘ oder das ‚€-Zeichen‘ folgenlos akzeptiert. Durch Künstliche Intelligenz in Spamfiltern werden Erkennungsraten von über 99 % erreicht.

Machine Learning erkennt Muster

Machine Learning ist ein Teilgebiet des weiter gefassten Begriffs Künstliche Intelligenz (Artificial Intelligence) und sollte nicht als Synonym verwendet werden. Durch maschinelles Lernen lassen sich in strukturierten Daten Muster identifizieren und unter anderen Bedingungen anwenden. Bei Spamfiltern ist es beispielsweise die Erkennung von typischem Verhalten, Textmustern, Keywords und Absendern, ebenso aber auch die Analyse von Mails, die vom Empfänger nachträglich als Spam klassifiziert werden. Die Erkennung neuer Muster wird bei Machine Learning ständig trainiert und zukünftig von Maschinen eigenständig angewendet. Solch ein Training dauert seine Zeit und führt erst nach einer Weile zu besseren Ergebnissen. Diese Zeitspanne müssen Anwender einkalkulieren.

Bei Machine Learning kommen Algorithmen zum Einsatz, die auf die Analyse und Wiedererkennung von Signaturen optimiert sind. Neben dieser Logik werden erkannte Muster allgemeingültig gespeichert und unter einem geänderten Kontext wiedererkannt. Die Funktionen von Machine Learning kommen mittlerweile in fast allen Cybersecurity-Lösungen vor.

Deep Learning lehrt Maschinen das Lernen

Deep Learning – als Teilmenge beziehungsweise Methode des Machine Learning – korreliert selbstständig neue Situationen mit bereits vorhandenen Ergebnissen. Diese Entscheidungen sind die Basis für zukünftige Prozesse und Bewertungen. Deep Learning ähnelt den Vorgängen im menschlichen Gehirn: Dieses nimmt etwas wahr, denkt darüber nach, verknüpft es mit gemachten Erfahrungen und leitet dann daraus eine Gesamtbewertung der neuen Situation ab. Die Ergebnisse werden immer wieder auf Richtigkeit geprüft und hieraus ergeben sich kontinuierlich Optimierungen.

Deep Learning verwendet sogenannte künstliche neuronale Netze (KNN), die in der Lage sind, immer neue Verknüpfungen zu bilden. Die KNN sind aus mehreren Schichten aufgebaut. Zwischen der Eingabe- und Ausgabeschicht befinden sich teilweise Hunderte versteckte Zwischenschichten. In diesen Hidden Layers ist die gewichtete Logik integriert. Dort finden das Lernen und die Korrelation von Informationen statt. Deep Learning benötigt zur Kalibrierung große Datenmengen.

Trotz bereits existierender Deep Learning Frameworks ist die Entwicklung von Deep Learning noch sehr zeit- und kostenintensiv. Die komplexen und sich stetig verbessernden Bewertungen in den Hidden Layers sind intransparent und kaum mehr nachvollziehbar. Und genau hier liegt der Nachteil von Deep Learning.

Auf welcher Grundlage werden die Algorithmen entwickelt? Werden Grundsätze wie die DSGVO oder nationale Standards eingehalten? Deep Learning ist anfällig für falsch-positive Ergebnisse. Aber: Falsche Interpretationen werden wegen der fehlenden Transparenz nicht mehr als falsch erkannt und führen in der Folge zu unentdeckten Fehlern. Die Undurchsichtigkeit der Berechnungen in den Hidden Layers kann für Angriffe anfällig und für Manipulationen durch Hersteller oder öffentliche Auftraggeber vorbereitet sein oder zumindest dafür genutzt werden. Etwaige Manipulationen sind wegen der Komplexität kaum mehr erkennbar.

Wo wird Deep Learning eingesetzt?

Deep Learning kann strukturierte und unstrukturierte Daten interpretieren und verarbeiten. Dabei stellen große Datenmengen kein Problem dar. Im Gegenteil: Je mehr Daten, desto granularer bilden sich Verknüpfungen in den neuronalen Netzen und desto besser werden zukünftige Ergebnisse. Aus diesem Grund wird Deep Learning bei Bild- und Spracherkennung eingesetzt: Sprachdienste wie Siri beispielweise basieren auf Deep Learning. Chatbots erkennen trotz unterschiedlicher Sprachkenntnisse und Schreibweisen den Sinn einer Fragestellung.

Gesichtserkennung oder die Identifizierung von Straßenschildern auch bei unterschiedlichen Wettersituationen und Blickwinkeln sind ebenfalls typische Anwendungsfälle von Deep Learning.

Das nächste Level

Perfide Angriffsmethoden, die ständig weiterentwickelt werden, starke Angreifer (in der simulierten Cybersicherheitsabwehr auch ‚rotes Team‘ genannt), die sich immer häufiger schwächere Gegner (das verteidigende ‚blaue Team‘) aussuchen – wie etwa mittelständische Unternehmen –, die fortschreitende Digitalisierung mit folglich großen unstrukturierten Datenmengen und ‚New Work‘ sorgen für Stress und Sorgen beim blauen Team. Dieses versucht ständig, die Infiltration des Unternehmensnetzwerks mit geeigneten Verteidigungsmechanismen zu verhindern.

Durch Künstliche Intelligenz auf beiden Seiten erreicht das ‚Hase und Igel-Spiel‘ das nächste Level. Dabei haben Angreifer aber wie immer die Nase vorne, denn auch KI muss Angriffsvektoren erst erkennen lernen. Haben Organisationen jedoch über die Cloud miteinander sprechende und/oder voneinander lernende Systeme etabliert, wird die Lernkurve steiler und die Filter arbeiten granularer.

Aber: Verschlimmern automatisierte Abwehrmaßnahmen nicht vor lauter Panik die Lage noch zusätzlich, da sie emotionslos nach Algorithmen arbeiten? Schließlich fehlen Intuition und die Sicht auf das Ganze.

Der Autor: Robert Korherr ist Geschäftsführer von ProSoft in Geretsried.

© ProSoft

Die eigentliche Künstliche Intelligenz bei der Cybersecurity ist Deep Learning. Aus Verhaltensänderungen lernt Deep Learning nahezu in Echtzeit und leitet daraus eigenständig Bewertungen und Handlungen ab. Die Hidden Layers, das vielschichtige System innerhalb von Deep Learning, arbeiten jedoch intransparent. Um Alleinstellungsmerkmale bemüht, verraten Hersteller die Intelligenz in den künstlichen neuronalen Netzen nicht. Und dementsprechend können die Ergebnisse und die Anfälligkeit gegen Manipulationen kaum interpretiert werden. Teamwork bei der Abwehr von Angriffen und regelmäßige Sicherheitsschulungen der Mitarbeiter bleiben also wichtiger denn je. 60 % aller Angriffe erfolgen durch Innentäter.