zurück zur Übersicht

A[I|LL]heilmittel? - Künstliche Intelligenz im Feld der Cyber Security

Künstliche Intelligenz die Zukunft in der Cyber Security?

Der Mensch an sich neigt gern zur Simplifizierung. Es ist ja auch zu verlockend, wenn einem zur Lösung eines komplexen Problems eine scheinbar einfache Lösung angeboten wird. In der Cyber-Security präsentieren sich solche vermeintlich einfachen Lösungen oft in Form einer bestimmten Technologie. Diese soll dann richten, woran man sich in der Vergangenheit nur allzu oft die Zähne ausgebissen hat. Aktuell betrifft das vor allem das Thema künstliche Intelligenz.

Analystenfähnchen im Wind

Leider ist diese übertriebene Technologiegläubigkeit häufig ein Trugschluss, auch wenn diverse Analystenhäuser diese munter befeuert. Denn auch die können irren oder zumindest ihre Einschätzungen im Laufe der Zeit korrigieren. So zum Beispiel Gartner mit den Einschätzungen zum Thema Intrusion Detection.

2003: “Intrusion detection systems are a market failure… Functionality is moving into firewalls, which will perform deep packet inspection for content and malicious traffic blocking, as well as antivirus activities. Firewalls are the most-effective defense against cyber intruders on the network…”

Aktuell: “Enterprises buy too much threat prevention and not enough detection and response technology.”

Genau diesen Umstand adressiert auch ein Artikel, auf den ich kürzlich gestoßen bin. Dieser enthält viele Parallelen zu eigenen Beobachtungen von Lösungsansätzen: denn es wird dabei versucht, völlig unterschiedliche Probleme mit dem immer gleichen Ansatz zu lösen. Frei nach dem Motto, wenn ich einen Hammer habe, muss auch jedes Problem ein Nagel sein. Gary Golomb, vormals einer der ersten Mitarbeiter des Herstellers Cylance, beleuchtet im Artikel, für welche Anwendungsfälle künstliche Intelligenz im Bereich Cyber Security geeignet ist. Zudem beschreibt er, wo seiner Meinung nach Fallstricke in Form von Problemstellungen lauern, die nicht ganz so einfach durch AI oder ML (Machine Learning) zu lösen sind.

Auch für die künstliche Intelligenz gilt: Das Pferd nicht von hinten aufzäumen – Problemstellung erst durchdringen und dann lösen!

Um eine Problemstellung zuverlässig mit diesen Technologien lösen zu können, müssen laut Golomb die folgenden drei Rahmenbedingungen erfüllt sein.

  1. Strukturelle Begrenzung: Die Art der Daten und ihre Struktur ändern sich nicht oder nur sehr langsam.
  2. Begrenzung der Verhaltensalternativen: Die zu modellierenden bzw. zu analysierenden Daten müssen das Ergebnis einer kleinen Anzahl von Aktionen sein. Die daraus resultierenden Datenpunkte müssen zusätzlich zuverlässig auf vorhersagbares Verhalten abbildbar sein.
  3. Begrenzung subversiver Einflüsse: Für Angreifer darf es nicht möglich sein, die zu analysierenden Daten so zu manipulieren, dass sie Schwachstellen im KI/ML-Modell ausnutzen können.

Gerade der letzte Punkt ist immens wichtig. Was passieren kann, wenn diese Rahmenbedingung nicht erfüllt ist, zeigen diverse Beispiele zu Adversarial Examples, wie die Manipulation von Bilderkennungssystemen. Kann ein Angreifer die zu analysierenden Bilddaten manipulieren, gelingt eine gezielte Beeinflussung des Analyseergebnisses recht gut. Im genannten Beispiel wird aus dem knuffigen Bären umgehend ein baumbewohnender Primat aus Südostasien und zwar ohne, dass das Bild für das menschliche Auge erkennbar geändert wird. Bei der Analyse von Dateien ist dies nicht ohne weiteres möglich, da ja Format und Funktionalität eines Files weiterhin gegeben sein müssen, damit diese im Sinne des Angreifers ausgeführt werden. Deshalb funktioniert die Erkennung von Schadsoftware (Malware) mittels ML sehr gut.

Fazit

Künstliche Intelligenz und maschinelles Lernen sind zweifelsohne großartige Technologien, die auch im Bereich Cyber Security sehr gewinnbringend eingesetzt werden können. Nur sind sie eben nur ein weiteres sehr hilfreiches Werkzeug im Toolstack eines Cyber Defenders und meiner Meinung nach nicht das herbeigesehnte Allheilmittel, das den Rest des Werkzeugkastens überflüssig macht. Insofern sei stets angeraten, die vorliegende Problemstellung genau zu verstehen, bevor man einen konkreten Lösungsansatz und dessen Umsetzung wählt.


Bild: © GettyImages-871148930-wigglestick

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer