Künstliche Intelligenz in der IT-Sicherheit

Die Geschichtsbücher werden wohl auf die heutige Zeit als den Beginn der Ära der künstlichen Intelligenz (KI) zurückblicken. Im Jahr 2021 übertrifft uns KI bereits beim Go-Spielen, sie übersetzt und erfindet ihre eigenen Begriffe sowie Definitionen und sie komponiert sogar Musik. Wie nicht anders zu erwarten, profitiert auch die IT-Security-Branche in hohem Mass von KI, da sie für diverse Use Cases eingesetzt werden kann – von der Erkennung von Bedrohungen bis hin zur Überprüfung ungewöhnlicher Netzwerkaktivitäten. Das Problem bei komplexen neuen Technologien besteht aber nicht nur darin, sie zu erfinden und zu entwickeln, sondern auch darin, sie zu erklären. Wie genau funktionieren sie und warum sind sie nützlich? Dieser Beitrag soll deshalb den Bereich der KI und des Machine Learnings beleuchten und erklären, was bei der Wahl eines KI-gestützten Sicherheitsprodukts wichtig ist.

Machine Learning ist auch ohne ausgefeilte Algorithmen möglich, aber nicht ohne gute Daten. Für Malware bedeutet dies, dass Cyberkriminelle über einen vielfältigen und repräsentativen Satz bösartiger und gutartiger Dateien verfügen müssen, mit denen ihre Opfer wahrscheinlich konfrontiert werden. Die Entwickler KI-basierter Sicherheitsprodukte verwenden hingegen viel Zeit und Mühe dafür, ihre Datensätze sorgfältig zu erweitern und zu kuratieren, damit sie so vielfältig sowie relevant wie möglich sind und Nutzer effektiv und ganzheitlich geschützt werden können. Doch selbst KI-Modelle sind letztlich nur eine einzelne Komponente eines grösseren Systems. Es gibt etwa eine Reihe guter In­dikatoren, um festzustellen, ob eine Datei gutartig ist – zum Beispiel wenn eine Datei von einem vertrauenswürdigen Dritten wie Microsoft signiert ist oder wenn der Hash der Datei auf vielen Rechnern bei mehreren Anwendern gefunden wird. Das sind Hinweise dafür, dass eine Datei wahrscheinlich nicht bösartig ist und vielleicht mit einem konservativeren Modell anders bewertet werden könnte.

Es ist auch wichtig, sich klar darüber zu werden, dass selbst eine KI-basierte Erkennung niemals eine 100-prozentige Genauigkeit ermöglichen kann. Aus diesem Grund ist es notwendig, die Modelle mit anderen Schichten zu umgeben, etwa mit Signaturprüfungen. Diese zusätzlichen Schichten sind effektiv, jedoch sind sie in erster Linie interessant für die Forscher und Hersteller, die stets ver­suchen, bessere Modelle zu entwickeln. Als Käufer eines Security-Produkts muss man die Leistung einer Lösung auch nach anderen Kriterien bewerten.

Wie kann man ein Sicherheitsprodukt also ganzheitlich evaluieren? Es geht unter anderem darum, Metriken wie Erkennungsraten zu messen. Aber aller Wahrscheinlichkeit nach verfügt das Unternehmen nicht über eine repräsentative Testreihe mit aktueller und relevanter Malware. Selbst wenn man über eine gute Testreihe verfügen würde, ändert sich Malware ständig. Man muss sich also darauf verlassen können, dass der Anbieter schnell auf neue Bedrohungen reagieren kann. Hier kann der Faktor KI relevant sein, wenn tatsächlich messbare Vorteile daraus entstehen. Dabei sollte man sich aber nicht von Gesprächen über spezifische Algorithmen ablenken lassen. Viele Anbieter behaupten, Technologien wie Deep Learning zu nutzen. In den meisten Fällen sind das jedoch nur leere Schlagworte mit wenig Sub­stanz. Maschinelles Lernen und KI können äusserst nützlich sein, es kommt aber nicht darauf an, ob ein Produkt ein neuronales Netzwerk, einen stochastischen Gradientenabstieg oder sonstige vermeintliche Wundermittel verwendet.

Entscheidend ist, dass eine Lösung in den Bereichen glänzt, auf die es im Fall eines Cyberangriffs wirklich ankommt: eine durch KI verbesserte Genauigkeit bei der Erkennung und eine optimierte Reaktionszeit auf Bedrohungen. Denn nur wenn eine Lösung akkurat und in Echtzeit reagieren kann, ist sie in der Lage, den blitzschnellen Gefahren im Cyberraum Paroli zu bieten.