KI in der Cybersecurity: Fluch oder Segen?

bei

 / 22. July. 2019

KI, Big Data und Analytics werden in der Absicherung von IT-Infrastrukturen zukünftig eine tragende Rolle spielen, da sind sich inzwischen viele Unternehmen sicher [1]. Mehr als ein Viertel will sie in Ergänzung zu bestehenden Systemen einsetzen, 36 Prozent wollen damit eine voll-automatisierte IT-Sicherheitsarchitektur [2] aufbauen. „Für ein wirksames Management von Informationssicherheit brauchen Unternehmen aber mehr als nur Technologie“, sagt Severin Rast, Leiter IT Security Consulting bei der INFODAS GmbH. Er plädiert für einen ganzheitlichen Ansatz: ein wirksames Informationssicherheitsmanagementsystem (ISMS), bei dem menschliche und künstliche Intelligenz durchaus Hand in Hand arbeiten sollten.

KI-Tools in der Cybersecurity werden aktuell hoch gehandelt. Angesichts des Fachkräftemangels in der IT ist das kein Wunder. KI-basierte DLP und Netzwerküberwachung kann in Echtzeit die Sicherheit des Informationsverbundes erhöhen. KI-basierte Sicherheitssoftware entlastet die Cybersecurity-Teams von Routineprozessen und erlaubt die Konzentration auf die Kernaufgaben, sie ermöglicht Echtzeitanalysen und schnelle kontextbasierte Informationsauswertung. Aber noch wenig verbreitet ist das Bewusstsein, dass sich auch KI täuschen lässt, wird sie nicht entsprechend abgesichert und durch menschliche Intelligenz überwacht.

Und damit können neue Bedrohungslagen entstehen. Denn auch Cyber-Kriminelle interessieren sich bei der Entwicklung von leistungsfähiger neuer Malware für diese Form der Effizienzsteigerung: Niemand hindert sie daran, sich diese frei verkäuflichen Systeme zu beschaffen und diese gegen ihre KI-basierten und lernfähigen Schadcodes antreten zu lassen. Dadurch trainieren Cyber-Kriminelle ihre Systeme, die dann beispielsweise typischen Netzwerkverkehr oder das Verhalten eines authentifizierten Nutzers oder seines Endgerätes simulieren. Es ist daher nicht ausgeschlossen, dass präventive Lösungen nur so lange ihre Schutzwirkung behalten, so lange sie besser und schneller lernen als die Angreifer.

Hinzu kommt: Die Arbeitsweise von leistungsfähigem Machine Learning ist selbst für die Programmierer meist nicht vollständig transparent. Sobald Künstliche Neuronale Netze (KNN) mit vielen verborgenen Schichten genutzt werden, die durch ihr Training, – sei es für Anomalieerkennung im Netzwerkdatenverkehr bei Cyberattacken, Bilder- oder Spracherkennung – Erfahrungen sammeln und ihren Algorithmus dabei selbst optimieren, stehen wir vor einer Black Box. Es ist bereits vorgekommen, dass Entwickler einer KI ab einem bestimmten Punkt nicht mehr nachvollziehen können, wie sich der Algorithmus im KNN weiterentwickelt.

Dies führt dazu, dass sich einerseits nur schwer überprüfen lässt, ob KNN in ihren Lernprozessen manipuliert wurden und andererseits die entstandenen Algorithmen unbekannte Schwachstellen haben. Nachgewiesen wurde dies mit unter anderem mit Adversarial Examples bei Audio- und Bilddateien. Hierbei werden Pixel in einem Bild oder Frequenzen in der Audiospur derart verändert oder überlagert, dass dies für das menschliche Auge oder Ohr nicht wahrnehmbar und auch kaum messbar ist. Die angegriffene KI wird das Bild oder die Audiospur aber durch die Manipulation völlig anders interpretieren und klassifizieren. Solche Adversarial Examples wird es genauso für andere Datentypen und Muster geben, auch in IT-Security-Systemen.

Möglich sind auch Angriffe über Supply-Chains, in dem Fall die Entwicklung der Algorithmen. Gelingt es Angreifern, Trainings- oder Referenzdaten, die zum Teil öffentlich im WWW erhoben werden, zu manipulieren, lernt das System dann bereits unentdeckt mit „falschen“ Daten. Angesichts der Tatsache, dass ein Trainingsdatensatz für eine KI leicht über eine Millionen Einzeldaten enthalten kann, ist nicht ausgeschlossen, dass heute schon versteckte Hintertüren in KI-Systemen existieren, die Angreifer lediglich aktivieren müssen.

Weltweite Schadenszenarien waren bislang glücklicherweise die Ausnahme. Das muss aber nicht so bleiben, solange Entscheider IT-Sicherheit immer noch als Technologie-Frage behandeln – statt sie als Top-Management-Aufgabe und eines der wichtigsten Unternehmensrisiken, die es zu steuern gilt, begreifen. Firmennetzwerke sind noch immer häufig viel zu schlecht abgesichert, die wachsende Vernetzung von Industrie und Gesellschaft sowie die steigende Verwundbarkeit von Legacy-Systemen kritischer Infrastrukturen durch immer mehr Schnittstellen ins Internet sind beste Voraussetzungen dafür, dass uns richtig große Cyberattacken erst noch bevorstehen – und zwar gerade auch und gerade durch KI in den falschen Händen, die durch automatisierte oder gar autonome Prozesse mögliche Auswirkungen noch potenzieren kann.

IT-Sicherheit weder strategisch noch operativ vernachlässigen

Angesichts dieser komplexen Bedrohungslage sollte jedes datenverarbeitende Unternehmen ein ISMS implementieren, konsequent anwenden, regelmäßig fort­schreiben und überprüfen, das empfiehlt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI), die nationale Cybersicherheitsbehörde. Ein ISMS steigert die Resilienz gegenüber Cyberangriffen, senkt Kosten und schafft Vertrauen in die eigene Marke. Zeitgemäße Frameworks für IT-Sicherheit sind die 2018 modernisierten BSI-Standards zusammen mit dem IT-Grundschutz-Kompendium. Der IT-Grundschutz ist bereits seit 2006 offiziell zur Erfüllung der ISO/IEC 27001 Norm an­erkannt. Diese internationale Industrienorm beschreibt sehr detailliert und für ver­schiedene Branchen, wie Unternehmen ihre IT-Infrastruktur und ihre digitalen Assets besser schützen können, wie die Sicherheitsanforderungen an Nutzung und Einrichtung von IT-Hard- und Software-Systemen, Betriebssteuerung, Wartung und die fortlaufende Verbesserung eines ISMS gestaltet sein sollten. Darüber hinaus fordert die Norm eine lückenlose Dokumentation aller Maßnah­men und regelmäßige Überprüfungen. Erfasst und beurteilt werden müssen auch Sicherheitsrisiken sowie die angemessenen Maßnahmen, mit denen das Unternehmen diese Risiken zu behandeln gedenkt. Spätestens hier sind menschlicher Sachverstand und Expertise erforderlich, um fortlaufend Risiken zu identifizieren und zu bewerten.

Ein ISMS basiert auf einen ständig sich wiederholenden und damit nie endenden Prozess, bei dem sich Teilaufgaben auf allen Stufen und die Auswertung durch maschinelles Lernen und andere KI-Methoden ergänzen lassen. KI spielt immer dann ihre Potenziale aus, wenn es um die Analyse großer Datenbestände geht und diese segmentiert, gruppiert und bewertet werden müssen. Bei der Analyse von Netzplänen und Dokumentationen kann sie via Bildauswertung, Text und Data Mining die Strukturanalyse beschleunigen und absichern. Bei der Feststellung des Schutzbedarfs kann sie kontextbezogen Vererbungsregeln überprüfen sowie Optimierungsvorschläge durch inkrementelles Vorgehen bei IT-Systemen erarbeiten, die sich ständig verändern. Auch bei der Modellierung, Maßnahmen-Checks und der eigentlichen Risikoanalyse kann sie die Sicherheitsexperten bei zahlreichen Routinen unterstützen.

All diese Vorteile dürfen aber nicht dazu verleiten, sich zurückzulehnen und die IT-Sicherheit strategisch wie operativ zu vernachlässigen. Wichtig ist auch, dass KI-gestützte (Sicherheits-)Systeme und -anwendungen im ISMS berücksichtigt werden, um ebenfalls angemessen abgesichert werden zu können. Sinnvoll sind hierbei integrierte Konzepte, die mehrere Schichten von Sicherheit kombinieren und einzelne technologische Lösungen gegenseitig absichern.

ISMS – nicht nur Technik, sondern auch menschliche Intelligenz

Aber: Eine wirksame Cybersecurity-Strategie kann nicht allein auf technischen Lösungen basieren. IT-Sicherheit bleibt eine Managementaufgabe für CIOs und CISOs, die mit einem ISMS eine ganzheitliche Strategie verfolgen sollten. KI-basierte Technologien und menschliche Intelligenz müssen dabei sinnvoll und gegenseitig ergänzend arbeiten. Und dies geht nur mit „Security by Design“: Die Anwendung dieses Prinzips bedeutet einerseits, bei neuen Lösungen immer die Sicherheit mitzudenken und andererseits bestehende IT-Infrastruktur und die eingesetzte Hard- und Software im Zuge jeder Ersatzbeschaffung darauf hin zu analysieren, welche Schwachstellen neue Systeme nicht mehr enthalten sollen. So können auch bestehende operative Architekturen sukzessive erneuert und sicherer gemacht werden. Security by Design muss vor allem bei der Anwendungsentwicklung ein fester Bestandteil des Entwicklungsprozesses sein. Es reicht einfach nicht, die Programmierer im einsamen Kämmerlein coden zu lassen. IT-Sicherheitsexperten müssen in die Teams integriert sein und jeden Sprint auf seine Sicherheitsrelevanz abklopfen. Im Bereich der Anwendungsentwicklung beispielsweise sollten sie Regeln für den OSB-Einsatz aufstellen. Sie müssen deren Einhaltung überwachen und Tests entwickeln, um auch im laufenden Betrieb einer Anwendung neue Schwachstellen (Security by Default) sofort erkennen und abstellen zu können. Gleiches gilt für eine KI, deren Selbstlernprozesse sich nur durch regelmäßige Tests nachvollziehen lassen. Dazu brauchen Unternehmen KI-Experten, die nicht nur den Ausgangscode für eine KI und deren KNN schreiben können, sondern auch in der Lage sind, die Risiken möglicher Black Boxes zu erkennen und zu bewerten.

„Security by Design“ sollte auch im Kontext eines ISMS Anwendung finden und betrifft sowohl die Architektur der IT-Infrastruktur als auch die Anwendungsentwicklung und mündet zwangsläufig in einer kontinuierlichen Überprüfung der gesamten IT.

Natürlich kann kein Unternehmen seine IT von heute auf morgen völlig neu planen.

Grundsätzlich müssen Organisationen ihre Systeme weiterhin auf dem Stand der technischen Entwicklung halten und im Rahmen eines ISMS mit geeigneten Maßnahmen wiederkehrend auf neue Schwachstellen beziehungsweise mögliche Angriffsvektoren überprüfen. Dies gilt insbesondere für neue Technologien wie KI. Die Implementierung von umfassenden, aktuellen Gefährdungen adressierenden Cybersecurity-Maßnahmen muss zur Regel werden. Darüber hinaus sind Anpassungen der einschlägigen Industrienormen und BSI-Standards wünschenswert: Der IT-Grundschutz würde beispielsweise von entsprechenden Bausteinen und Anforderungen mit KI-Bezug profitieren, um den KI-Einsatz sicherer zu managen. Für die ISO 27001 wäre es Zeit zu prüfen, welche Controls sich wie auf KI-Systeme und -Verfahren anwenden lassen oder ob es erforderlich wäre, neue Controls zu erarbeiten. Ähnliches gilt für andere Best Practises und Frameworks.

Heute die Herausforderungen von morgen vor Augen haben

Eine weitere Voraussetzung für die professionelle Steuerung der Informationssicherheit ist das richtige Mindset der Geschäftsfüh­rung. Nur wenn Cybersecurity eine angemessen hohe oder sogar sehr hohe Priorität eingeräumt wird, lassen sich geschäftskritische IT-Prozesse und Assets im Zuge der fortschreitenden Digitalisierung wirklich schützen. Darüber hinaus liegt der Erfolg einer wirksamen Umsetzung von Cybersecurity und ISMS heute auch in interdisziplinären Teams aus IT-Sicherheitsexperten, die fachlich auf der Höhe der Zeit sind und die Herausforderungen von morgen vor Augen haben. Dafür braucht es

Experten für KI, die programmieren und steuern können und IT-Forensiker, die in der Lage sind, wie Cyber-Kriminelle zu agieren, um offene Flanken zu ermitteln. Ist fachkundiges Personal nicht verfügbar, sollten Unternehmen auf Managed Services, kompetente Dienstleister oder auf interne Weiterbildung setzen – oder am besten gleich auf eine geeignete Kombination. Darüber hinaus bleiben – trotz oder vielleicht gerade wegen innovativer Technologien – „analoge“ Faktoren wie eine Sicherheitskultur, die alle Ebenen der Organisation umfasst, und eine hohe Mitarbeiter-Awareness nach wie vor ein wichtiges Fundament für ein erfolgreiches, nachhaltiges ISMS.

Quellen und Referenzen

[1] https://www.crisp-research.com/publication/security-design-die-rolle-von-it-sicherheitsstrategien-der-digitalisierung/

[2] https://www.computerwoche.de/a/it-sicherheitsprozesse-werden-automatisiert-aber-in-kleinen-schritten,3331470

 

Severin Rast, Mitglied der Geschäftsleitung der INFODAS GmbH, verantwortet den Bereich IT Security Consulting. Zu seinen fachlichen Schwerpunkten gehören die Konzeption und Umsetzung von Informationssicherheit vor allem in komplexen Organisationen wie Bundesbehörden und Industrieunternehmen.