Funktionsweise von KI-Security

Zu den ersten Einsatzgebieten von KI-gestützten Sicherheitslösungen zählte der Kampf gegen Kreditkartenbetrug: Dazu wurde eine grosse Zahl von Informationen über betrügerische und legitime Aktivitäten in ein überwachtes maschinelles Lernsystem eingespeist. «Dieses geschulte System wurde im Erkennen betrügerischer Nutzungsmuster mit der Zeit besser als ein Menschv, sagt Andreas Müller, Director Deutschland, Österreich, Schweiz bei Vectra, einem Spezialisten für KI-basierte Sicherheitslösungen.

Stehen nicht genügend Muster bösartiger Aktivitäten zur Verfügung, kann ein nicht überwachtes maschinelles Lernverfahren eingesetzt werden. Ein Algorithmus lernt in diesem Fall anhand der Daten, wie sich eine IT-Umgebung im Normalfall darstellt, also ohne Angriffe. «Das System kann dann Anomalien oder Ereignisreihen finden, die statistisch höchst unwahrscheinlich sind», so Müller. Die Herausforderung beim nicht überwachten Lernen besteht jedoch darin, dass es relativ «geräuschvoll» ist. «Dies bedeutet, dass es viele Anomalien gibt. Die meisten davon sind aber keine Cyberangriffe, und Menschen müssen oft erst die Kontextinformationen liefern, damit das System nutzbar wird», ergänzt der Experte. 

Um für eine möglichst grosse Zahl von Angriffsformen gerüstet zu sein, setzt ein Grossteil der Anbieter von KI-basierten Lösungen mehrere Algorithmen ein. Zudem berücksichtigen die Algorithmen eine Vielzahl von Parametern. So analysiert etwa CloudGuard SaaS von Check Point E-Mails anhand von 300 Parametern darauf hin, ob es sich um saubere Nachrichten oder Phishing-Mails handelt. Diese Aufgabe übernimmt eine Anti-Phishing-KI-Engine.