Grenzen der ML-Technik

Next-Gen-Anbieter preisen maschinelles Lernen gern als Lösung an, die in der Lage ist, jede neue Variante von Schad-Software zu erkennen. Doch in Wirklichkeit haben auch ML-Algorithmen ihre Grenzen. Richard Werner, Regional Solution Manager bei Trend Micro, betont: «Bislang gibt es noch keine Technologie, die unfehlbar ist, und auch ML/KI kann ausgetrickst werden.» In der ESET-Studie heisst es dazu: «Anders als vielfach dargestellt ist keineswegs garantiert, dass ein Algorithmus neue Elemente korrekt labelt, nur weil er vorher mit grossen Datenmengen ge­füttert wurde. Menschliche Verifizierung bleibt zwingend notwendig. Bleibt diese aus, können sich Schneeballeffekte schon durch ein einziges fehlerhaft gelabeltes Element ergeben, da dieses in den Pool der Lerndaten eingeht. Derartige Effekte wiederum können das System derart beeinträchtigen, dass es schliesslich komplett versagt.»

Selbst eine fehlerfrei agierende Maschine könne nicht jedes Element vor dessen Ausführung als gut- oder bösartig identifizieren, da sie nicht in der Lage sei, zu entscheiden, ob ein ihr unbekanntes Element in der Zukunft zu unerwünschtem Verhalten führen werde oder nicht. ESET fordert deshalb: «ML-Systeme müssen in der Lage sein, Mitarbeiter über nicht anhand gelernter Daten kategorisierbare Elemente zu informieren und um eine Entscheidung zu bitten.»

Zu den weiteren Beschränkungen von ML-Techniken gehört, dass jeder Algorithmus einen begrenzten Fokus hat und anhand eines spezifischen Datensets und fester Regeln lernt. Doch ESET betont zu Recht: «Angreifer spielen nicht nach den Regeln. Schlimmer noch: Sie können und haben in der Vergangenheit oftmals das gesamte Spielfeld umgestaltet.» Kein noch so weit entwickelter Algorithmus könne, was menschliche Hacker könnten – aus Kontexten lernen und kreativ agieren.

ESET nennt zwei Beispiele dafür: Angreifer können etwa bösartigen Code in Pixeln einer harmlosen Bilddatei verstecken. Oder sie verteilen Code-Schnipsel bösartiger Software auf einzelne Dateien. Der Algorithmus glaubt, eine saubere Datei vor sich zu haben, weil sich das schädliche Verhalten erst zeigt, wenn die einzelnen Elemente an einem Endpoint oder in
einem Netzwerk zusammengefügt werden.

Die Hersteller verwenden Machine Learning an verschiedenen Stellen ihrer Lösungen, unter anderem:

Nun stellt sich die Frage, ob bestens trainierte Machine-Learning-Algorithmen nicht bereits eine KI sind? Nein, sind sie nicht, denn bei ML gibt es kein Ende des manuellen Trainings. Eine richtige KI würde selbstständig lernen, entscheiden und sich verbessern – so wie die KI AlphaGo, die im
Go und im Schach für Furore sorgte, weil sie dank selbstständigem Lernen die weltbesten menschlichen Spieler beziehungsweise Programme bezwingen konnte. Aber der Lernbereich ist bei beiden Spielen eingegrenzt und hat im Vergleich zu Sicherheitsrisiken viel weniger Parameter und keine sich ständig verändernde grosse Datenmenge zur Analyse.