Hacker haben unbemerkt Ihr Netz gekapert? Es ist Teil eines Botnets geworden und von Ihren E-Mail-Accounts werden Tausende Spam-Mails verschickt? Wie schnell entdecken Sie den Angriff und können Gegenmaßnahmen einleiten? In meinem Beitrag erfahren Sie, wie sich kriminelle Aktivitäten mit Künstlicher Intelligenz (KI), insbesondere mit Machine Learning, aufspüren lassen – lange bevor sie Schaden anrichten. Begleiten Sie mich bei der Spurensuche!
Durch die zunehmende Digitalisierung verlagern sich nicht nur mehr Geschäftsprozesse in die digitale Welt, sondern auch die Kriminalität. Anstatt in Geschäfte einzubrechen, werden Unternehmensnetze gehackt. Wenn es schon so weit ist, wie können wir uns jetzt und in Zukunft davor schützen? Die Antwort: Zunächst muss geklärt werden, ob Unternehmen frühzeitig an alle notwendigen Sicherheitsanforderungen denken und Vorkehrungen treffen. Werden Security-Maßnahmen im Zuge der Digitalisierung nicht richtig geplant oder umgesetzt, entstehen Sicherheitslücken, die den Hackern das Leben leicht machen. Beispielsweise, wenn Schnittstellen zwischen Legacy und neuen Applikationen ungesichert bleiben. Das Ziel der Angriffe: Geld, Geld und noch mehr Geld. Der wachsende Markt für Cyberkriminalität ermöglicht nicht nur den Kauf von gestohlenen Kreditkateninformationen und Passwörtern für einige US-Dollar. Auch Distributed-Denial-of-Service-Attacken auf Firmen-Server lassen sich per Klick beauftragen.
Wie schnell stellen Sie einen Cyberangriff fest? Ab wann wird es kritisch? Fakt ist: Bemerkt ein Unternehmen erst nach drei Tagen, dass ein Angriff aufs Firmennetzwerk stattgefunden hat, ist es definitiv zu spät, um noch massive Schäden abzuwenden. Doch wie gelingt es, solche Attacken unmittelbar und früher aufzuspüren? Unternehmen brauchen ein Alarm- und Monitoringsystem – und im nächsten Schritt maschinelles Lernen. Denn in der Cybersicherheit lassen sich auf Machine Learning basierende Algorithmen nutzen, um in der Infrastruktur etwaige Sicherheitsvorfälle, Betrugs- und Missbrauchsszenarien zu entdecken – oder noch besser: sie von vorneherein zu vermeiden. Dabei sind die Technologien für KI oder für Machine Learning als Teildisziplin von KI seit den 1950er Jahren bekannt. Warum wurden sie also nicht schon früher eingesetzt? Grund dafür sind die erst jetzt verfügbaren, enorm skalierbaren Rechenkapazitäten, die große Datenmengen schnell verarbeiten, auswerten und speichern können.
Um Sicherheitsvorfälle überhaupt zu bemerken, braucht es ein Alarm- und Monitoringsystem beziehungsweise eine Security-Information-and-Event-Management-Lösung (SIEM). Die SIEM-Lösung sammelt Daten über Nutzer- und Systemverhalten, die sich anschließend analysieren lassen. Wer loggt sich ein? Von welchem Standort? Wie häufig kommt es zu Fehlversuchen? Welche Ports werden angesteuert? Nicht ohne Grund haben wir rund 200 Security Professionals, die mit viel Energie und Fachexpertise die Datenmenge auf das sinnvolle Maß reduzieren und dann mit intelligenten Tools in Echtzeit auswerten sowie bei auffälligen Abläufen sofort Schutzmaßnahmen ergreifen. So haben wir bereits sehr viele Angriffsszenarien aufgespürt, gestoppt und detailliert kennengelernt. Mithilfe von Künstlicher Intelligenz werten wir eine große Menge an Netzwerkdaten aus, erkennen Cyberattacken sofort und leiten entsprechende Gegenmaßnahmen ein.
Beim Monitoring durch das SIEM kommt im nächsten Schritt die KI ins Spiel: Das SIEM stellt fest, wenn im Netz etwas Ungewöhnliches passiert. Wenn sich etwa Nutzer*innen mitten in der Nacht einloggen oder mehrfach ein falsches Passwort eingeben. Intelligente Algorithmen lernen, solche Vorfälle zu bewerten, um zwischen üblichen und anormalen Abläufen zu unterscheiden. Woher weiß der Algorithmus also, ob ich nur mein Passwort vergessen habe, oder ob ein Cyberangriff stattfindet? Denn wer kennt es nicht? Das falsche Passwort eingegeben und schon wagt man einen neuen Versuch.
Allein ein Passwort falsch einzugeben ist für einen Alarm nicht hinreichend, denn das SIEM korreliert immer mehrere Faktoren. Verknüpft das SIEM die Eingabe des falschen Passworts jedoch mit „Log-in-Versuch zu ungewöhnlichen Zeiten“, „vielfache Passwort-Falscheingabe“ und „privilegierter User-Account“ wird aus allen Events zusammen ein Alarm erzeugt.
Um zu verhindern, dass dadurch betroffene IP-Adressen, Accounts oder digitale Identitäten automatisch gesperrt werden, überprüfen die IT-Teams im Security Operations Center (SOC) die Situation und stoßen das Incident Response an, also adäquate Reaktionen auf den IT-Sicherheitsvorfall. Die Angst, dass Ihr Verhalten fälschlicherweise als Cyberangriff aufgenommen wird, ist also sehr gering. Gleichzeitig trainieren die IT-Teams im SOC die Algorithmen, sodass diese einen ähnlichen Angriff beim nächsten Mal früher entdecken und schneller darauf reagieren können. Dabei gilt: Je mehr Angriffe, desto schneller und besser lernt die KI. Dies führt langfristig dazu, dass die Systeme sicherer werden.
Zeit ist bei der Abwehr von Cyberattacken ein entscheidender Faktor. KI hilft, neue Angriffsmuster zu erkennen und schnell auf Änderungen bekannter Angriffsmuster zu reagieren. In der Vergangenheit mussten Security-Spezialisten Angriffsszenarien aufwändig analysieren und komplexe Regelwerke schreiben, mit denen solche Attacken erkannt werden konnten. Diesen Job können heute KI-Algorithmen in großen Datenmengen übernehmen. Sie erkennen Anomalien, ohne extra dafür programmiert zu sein, bestimmte Bedrohungen zu erkennen. Dies ist ein großer Vorteil in der Cyberabwehr, denn so kann man auf neue Bedrohungen und geänderte Angriffsszenarien viel schneller und flexibler reagieren.
Bleibt KI zukünftig ein Schlüsselelement für Cyber Security? Ein klares Ja. KI wird bei der Erkennung von Anomalien mitentscheidend sein. Es wird stets Anwendungsfälle geben, wo KI echte Mehrwerte liefert, die wir ohne KI nicht erreichen würden – aber nicht immer! Denn der KI-Einsatz ist auch begrenzt. Nicht alle Muster erkennt eine KI. Hier sollten Experten klare und individuelle Regeln für viele Anwendungsfälle bauen. Außerdem muss der KI-Einsatz immer ethischen, gesetzlichen und datenschutzrelevanten Grundsätzen folgen. Wir setzen mit unseren Leitlinien für KI und der Sovereign Cloud einen Rahmen, damit 1. KI-Systeme und ihre Nutzung mit unseren Unternehmenswerten, ethischen Grundwerten sowie gesellschaftlichen Konventionen konform sind und 2., die Datenverarbeitung für KI-Anwendungen in unseren hochsicheren, DSGVO-konformen Rechenzentren auf europäischem Boden erfolgt.
