Automated Security? Wie KI Cyberangriffe abwehrt

Cybersicherheit ist längst keine Zusatzlösung mehr, sondern besitzt bei der Umsetzung neuer Technologien hohe Priorität. Denken wir nur an Smart Homes oder Connected Cars, Security muss in unserem Arbeits- und Privatleben mitgedacht werden, denn der Fortschritt scheint unaufhaltsam. Deshalb muss das Augenmerk auf automatisierte und auf Künstlicher Inteligenz (KI) basierende Lösungen gerichtet werden, um die steigende Anzahl von potenziellen Sicherheitsbedrohungen zu verhindern. Im Interview erklärt uns Gergely Lesku, Head of International Operations beim europäischen Anbieter für Cybersecurity SOCWISE, wie sich Unternehmen dank automatisierten Lösungen sicherer aufstellen können.

Wie können Unternehmen durch automatisierte Cyber-Sicherheitslösungen mehr Resilienz entwickeln?
Der Großteil der Lösungen, die auf AI basieren, setzen auf „Unsupervised Machine Learning“. Das bedeutet, dass sie das normale Verhalten der Nutzer und anderen Teilen des Netzwerks (Tausende von Entitäten, Kommunikationsebenen, Aktionen im Systemspeicher etc.) lernen, ohne, dass sie speziell programmiert werden. Dieses komplexe Muster vergleichen sie dann mit dem tatsächlichen Verhalten. Wenn dann ein verdächtiges oder ungewöhnliches Verhalten beobachtet wird, vergleichen diese Lösungen mit dem typischen Vorgehen bösartiger Akteure. Dieser Prozess mündet dann in einer (erhöhten) Risikoeinschätzung oder sogar einem Alarm. Je nachdem, welche Möglichkeiten der AI am Anfang zugewiesen wurden, kann sie beispielsweise die Sperrung oder Löschung eines Accounts oder die Isolation einer schadhaften Datei veranlassen. Der größte Vorteil, den eine AI basierte Sicherheitsstruktur mitbringt, ist, dass sie so auch diejenigen Angriffe erkennt, die aus einer unbekannten Malware oder IP-Adresse stammen oder andere Hinweise dieser Art geben. Diese bringen auch neue Herausforderungen mit sich, denn je mehr Verdachtsfälle aufkommen, desto mehr Analyseschritte sollten von Menschen gemacht werden.

In der aktuellen Cybersicherheitslage bleibt quasi keine Reaktionszeit mehr. Wie kann künstliche Intelligenz helfen?
Aufgrund der aktuellen Konfliktsituationen gehen viele fälschlicherweise davon aus, dass die Gefahr einer Cyberattacke für Unternehmen generell größer geworden ist. Bis auf einige Unternehmen aus dem Bereich der kritischen Infrastruktur (wie Öl-, Gas,- Elektrizität, Transport, etc.) ist dies allerdings nicht unbedingt der Fall. Für diese Unternehmen wird AI allerdings auch nicht alles allein stemmen können. Es ist jedoch ein wichtiger erster Schritt, wenn Firmen beispielsweise auf eine verlässliche XDR-Lösung (Extended Detection & Response) setzen und diese mit den Fähigkeiten eines potenten Security-Dienstleisters verbinden. Zusätzlich braucht es Incident-Response-Pläne. Ihnen kommt wahrscheinlich die größte Bedeutung zu, da sie die Richtlinien für alle konkreten Maßnahmen sind, die im Falle eines Angriffs getroffen werden: beispielsweise welche Abteilung muss welche Schritte einleiten, um den Angriff so schnell wie möglich abzuwehren und so den Schaden zu minimieren.

Auch Cyberkriminelle besitzen Zugang zu künstlicher Intelligenz. Welche Szenarien sehen Sie auf uns zukommen?
Das ist ein sehr wichtiger Punkt. Auch Cyberkriminelle haben natürlich längst die Vorteile von KI erkannt und nutzen diese. Sie ist vor allem dann hilfreich, wenn es um große Mengen an Daten und Informationen geht. Angreifer nutzen KI inzwischen an vielen verschiedenen Stellen und sie wird sowohl bei DDOS oder Brute-Force Attacken und Kampagnen genutzt. Ebenso kommt sie auch für ausgeklügelte Vorgehensweisen wie Phishing-Aktivitäten zum Einsatz. Die Hacker testen mithilfe künstlicher Intelligenz automatisiert eine Vielzahl an Versionen und Möglichkeiten.

Sie haben Einfluss auf die Aktualisierung der Nato-Cybersicherheit gehabt? Welche Erfahrungen nehmen Sie aus diesem Prozess mit?
Die Experten der NATO sind – Gott sei Dank – wirklich gut vorbereitet. Test und Recherchen bilden das Fundament für das Design. Wir können in erster Linie mit Fachexpertise im Umgang mit den genutzten Systemen weiterhelfen. Da wir diese in vielen verschiedenen Einrichtungen und Organisationen einsetzen, sind wir mit verschiedensten Situationen konfrontiert und haben so einen umfassenden Überblick. Dies und die Erfahrungen aus der Praxis sowie konkreter Anwendungsfälle haben SOCWISE dazu befähigt, die kontinuierliche Entwicklung der NATO zu unterstützen.
Der militärische Anwendungsfall ist natürlich ein besonderer. Diese Organisationen basieren auf sehr durchgetakteten und strengen Prozessen. Da es hier im wahrsten Sinne des Wortes um Leben und Tod gehen kann, ist noch einmal ein besonders detailliertes Know-how erforderlich, welches in vielen Lernprozessen und konkreten Schulungen angeeignet werden muss. So können die IT-Teams der NATO in der Wartung ihrer Prozesse völlig unabhängig sein und diese selbstständig durchführen. Dies ist im militärischen Einsatzbereich einzigartig und eröffnet neue Perspektiven und Möglichkeiten bei jedem einzelnen Schritt der Implementierung.

Warum hat die digitale Transformation ohne Vertrauen in Daten keine Chance?
Das ist eine sehr interessante Frage. Auf der einen Seite müssen wir über valide, nicht kompromittierte, saubere und nicht dublizierte Daten verfügen. Das ist der Minimalstandard, um das eigene Unternehmen auf digitalen Informationen und Tools aufzubauen. Die Rolle der Informationssicherheit ist es nun, die Integrität, Verlässlichkeit und Verfügbarkeit dieser ganzen Daten für den Menschen und die restlichen Systeme sicherzustellen. In anderen Worten: auch die Anwendungen sind Daten. Es gibt keine moderne Organisation, die nicht darauf vertrauen muss.
Auf der anderen Seite sagt die Zero-Trust-Philosophie, dass wir keiner Quelle oder Entität vertrauen dürfen, bevor wir wissen, dass ihr Einfluss sicher ist. Ansonsten kann unser gesamtes System in Gefahr geraten. Deshalb sind Zugangs- und Identitätsmanagement, sowie die Verhinderung von Datenverlust und ungewollter Verschlüsselung essentiell für die Resilienz von Unternehmen.

Was raten Sie den Verantwortlichen jetzt?
Wir raten Organisationen immer, dass sie mit einer Einschätzung anfangen sollen: Führen Sie eine grundsätzliche Risikobewertung durch und analysieren sie dann, welche Fähigkeiten Ihnen zur Identifizierung und Abwehr von schädlichen Vorgängen zur Verfügung stehen. Wir haben auch Methoden um herauszufinden, wo die Schwachpunkte der industriellen Netzwerke und Prozesse liegen. Diese Analyse versetzt Unternehmen in die Lage, die möglichen Konsequenzen eines Angriffs oder eines anderen katastrophalen Vorfalls ( denn nicht alle sicherheitsrelevanten Vorfälle sind immer auf einen Angriff zurückzuführen) und die Möglichkeiten sich von diesem zu erholen, abzuschätzen. Die Erfahrung zeigt, dass das Management in den meisten Fällen einen falschen Eindruck von ihren verwundbarsten Stellen haben und nur sehr wenig Informationen darüber besitzen, welche Strategien, Kosten und andere Voraussetzungen mit einem solchen Vorfall verbunden sind und das trotz der Qualitätssicherung und Regularieren.


Bildquelle / Lizenz Aufmacher:
Photo by Philipp Katzenberger on Unsplash


Creative Commons Lizenz CC BY-ND 4.0

Sie dürfen:

Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten und zwar für beliebige Zwecke, sogar kommerziell.

Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.


Unter folgenden Bedingungen:

Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.

Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.