Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden

Donnerstag, 23. März 2017, Ausgabe Nr. 12

Donnerstag, 23. März 2017, Ausgabe Nr. 12

IT-Sicherheit

Intelligente Abwehr

Von Uwe Sievers | 15. November 2016 | Ausgabe 45

Im Kampf gegen Cyberkriminelle tritt die künstliche Intelligenz (KI) mit beeindruckenden Erfolgen an. Viele Produkte sind bereits am Markt.

S12 BU KI
Foto: panthermedia.net/ktsdesing

Digitaler Aufpasser: Heute können Computersysteme Unregelmäßigkeiten im Datenverkehr entdecken und und Alarm schlagen. In Zukunft könnten sie Sicherheitslöcher gleich stopfen.

Ein Kampf der Supermaschinen ist es, wenn Großrechner gegeneinander antreten, um sich gegenseitig mit Malware zu infizieren und vollautomatisch zu erobern. Beim Defcon-Wettbewerb in Las Vegas im August winkten dem Sieger 2 Mio. $ Preisgeld, ausgelobt von der Darpa, der Forschungsbehörde des US-Verteidigungsministeriums.

Der Wettbewerb nahm einen überraschenden Verlauf: Ein Server beschäftigte sich erst einmal mit sich selbst, statt mit den Gegnern. Er erkannte im eigenen System eine Sicherheitslücke, entwickelte dafür eine Korrektur und griff anschließend die anderen Rechner erfolgreich über diese Lücke an. Künstliche Intelligenz war im Spiel. Das Resultat beeindruckte die Sicherheitsexperten: „Die Bestie ist entfesselt“, kommentierte Andreas Mertz, Chef des Security-Spezialisten IT-Cube, die algorithmische Lernfähigkeit. Seit 18 Jahren in der Security-Branche tätig, kennt er die Historie der KI-Ansätze genau. Den aktuellen Lernmethoden attestiert er „einen hohen Reifegrad“.

Wenn aus Erfahrung Wissen entsteht, spricht man von Lernen. Maschinen lernen auf der Basis von Mustererkennung, „maschinelles Lernen“ genannt. Das heißt, wenn z. B. wiederholt ein Zustand A in einen Zustand B übergeht, lernt das System, dass mit einer gewissen Wahrscheinlichkeit B auf A folgt. Beim „überwachten Lernen“ begleitet zusätzlich jemand den Lernprozess wie ein Lehrer und sagt, was richtig und was falsch ist.

Wenn KI-Systeme auf unbekannte Software treffen, müssen sie oft selbst entscheiden, ob es sich um Malware handelt. Steht kein Nutzer oder Administrator zur Verfügung, gibt es in solchen Fällen keinen Lehrer, der eingreift. Die Software sucht dann nach bekannten Mustern, etwa Kontakten zu ungewöhnlichen Servern im Internet.

Für die Lernprozesse werden üblicherweise neuronale Netze eingesetzt, eine Technik aus den 1980er-Jahren. Sie galt aufgrund ihres nichtdeterministischen Verhaltens lange als schwierig. Doch die Security-Fachmesse it-sa zeigte im letzten Monat, dass Entwickler inzwischen alltagstaugliche Produkte hervorbringen.

Das trifft auch auf Lightcyber zu, ein von zwei ehemaligen israelischen Militärs gegründetes Start-up, dessen Software den Datenverkehr im Netz auf Muster hin analysiert. Das dauert ein paar Wochen, denn „bei jedem Kunden ist der Normalzustand anders“, erzählt Lightcyber-Repräsentant Christoph Kumpa. Das Besondere des Produkts beschreibt er so: „Wenn im Netz Anomalien auftreten, wird zum PC verbunden und dort genauer nachgeschaut, beispielsweise werden die Logfiles inspiziert.“ Das Unternehmen wirbt mit hoher Effizienz: Im Schnitt erzeuge es nur 1,1 Warnungen pro 1000 Hosts und verhindere so eine Überflutung der Administratoren.

Einen ähnlichen Gründungshintergrund besitzt Darktrace. Das britische Unternehmen wurde von ehemaligen Geheimdienstmitarbeitern gegründet. Auch der technische Ansatz ist vergleichbar: Darktrace analysiert ebenfalls den Netzverkehr. Findet es Probleme, kann es selbstständig eingreifen und schädliche Verbindungen verlangsamen oder stoppen, berichtet Henry Horst, Technologiechef des Unternehmens. Darktrace fällt durch eine ungewöhnliche 3-D-Visualisierung der Ergebnisse auf.

Auch Vectra legt den Schwerpunkt auf die Analyse des Datenverkehrs. „Wir arbeiten zusätzlich mit Sensoren, das sind spezielle Geräte, die Daten einsammeln“, sagt Oliver Tavakoli, CTO des kalifornischen Unternehmens. Die Software wird zunächst trainiert, bis sie die spezifischen Angriffsmuster kennt. „Vor Ort lernt sie später unbeaufsichtigt die besonderen Eigenheiten des Kundennetzes“, erklärt Tavakoli. „Zusätzlich werden Metadaten von Anomalien über die Cloud ausgetauscht, dadurch können Kunden von aktuellen Angriffen aus anderen Netzen profitieren.“

Gänzlich anders geht Splunk vor, denn „bei der direkten Analyse des Netzverkehrs kann man beispielsweise keine verschlüsselten Daten untersuchen“, bemängelt der bei Splunk für Europa zuständige Sicherheitsfachmann Matthias Maier. Deshalb wertet das Unternehmen zusätzlich Logdateien sowie Nutzerverhalten aus. Wenn etwa zwei Nutzer die gleiche Datei bearbeiten, ordnet Splunk beide der gleichen Gruppe zu. Ein Angreifer, der ebenfalls die Datei bearbeitet, greift aber mit anderen Parametern zu, also zu anderen Zeiten oder von anderen IP-Adressen. „Er passt damit zu keiner Gruppe und wird als Außenseiter erkannt“, erklärt Maier. Das allein reiche allerdings nicht aus, deswegen lernt die Software zahlreiche Attribute: „Rund 10 000 Datenpunkte sind notwendig, damit ein Bild entsteht“, ergänzt er.

„All diese Verfahren können Angriffe erst erkennen, wenn sie bereits auffällig werden“, kritisiert Anton Grashion, beim Konkurrenten Cylance als Produktmanager für Europa tätig. Deshalb analysiert Cylance die Binärdateien, bevor sie ausgeführt werden. „Malware hat bestimmte Muster, um die zu erkennen, haben wir rund 6 Mio. Eigenschaften gesammelt“, beschreibt er den Ansatz. Die komplexe Software werde daher beim Hersteller trainiert und bei Kunden monatlich aktualisiert, führt er aus. Das junge US-Unternehmen konnte mit seinem Ansatz zahlreiche bekannte Investoren überzeugen.

F-Secures Sicherheitsexperte Rüdiger Trost „kann den KI-Hype nicht verstehen“. Schon lange seien in den Produkten des finnischen Herstellers KI-Komponenten enthalten. „Wir bilden auf den Systemen ein selbstlernendes Virenlabor ab“, sagt er. Deepguard nennt F-Secure diese Technik. „Die ist in jedem Antivirensystem drin“, ergänzt Trost und fährt fort: „Sie lernt, was auf dem System läuft, und erkennt Auffälligkeiten.“

Der Markt wird langsam unübersichtlich: „Es gibt weitere Produkte, die noch gar nicht auf dem deutschen Markt sind“, weiß Stefan Strobel vom Beratungsunternehmen Cirosec. Sein Unternehmen arbeite gerade an einem Testverfahren für KI-basierte Malware-Erkennung. „Ich denke, dass wir Ende des Jahres Ergebnisse haben werden“, ist er zuversichtlich. 

stellenangebote

mehr