Digitalisierung, Industrie 4.0, Internet of Things und der stetige Wandel unserer IT-Landschaft wirft einen grossen Schatten. IT Security Organisationen werden mehr denn je gefordert, dies zu durchleuchten. Künstliche Intelligenz wird ein immer grösseres Thema, doch bringt es auch Vorteile in der Cyber Security?
Gerade in Zeiten von COVID-19 erhöhen sich die Security Incidents. IBM meldete eine Erhöhung von 4’300% im Bereich von Spam-Mails während Corona. MELANI warnt explizit vor Betrügern, Swisscom hat im Cyber Security Report 2019 auf automatisierte und intelligentere Malware hingewiesen.
Sind die heutigen Cyber Security Systeme den neuen Herausforderungen gewachsen?
Jede IT-Organisation funktioniert etwas anders, nichtsdestotrotz haben aber alle gewisse Gemeinsamkeiten. Grundsätzlich gibt es Spezialisten und eine dazugehörige Softwarelösung, welche Daten sammelt und verarbeitet.
Die eingesetzte Software wird meist mit verschiedensten Datenquellen beliefert, nachfolgend ein paar Beispiele:
- Wer hat sich wann und wo angemeldet? War dies erfolgreich oder ist der Anmeldevorgang fehlgeschlagen?
- Auf welche Internetseite/Systeme wurde zugegriffen?
- Welche Applikationen wurden gestartet? Wohin haben sich diese verbunden?
Prinzipiell gilt, je mehr Informationen zur Verfügung stehen desto besser wird die daraus folgende Analyse. Anhand dieser Informationen kann nun ausfindig gemacht werden, ob ein System eine Schadsoftware eingefangen hat, ob es zu einem versuchten Angriff gekommen ist, oder sogar Daten aus dem Unternehmen extrahiert wurden. Damit diese Auswertungen stattfinden, werden Regelwerke definiert, die sich anhand bekannter Vorgehensweisen der Cyberkriminellen richten.
Dies lässt sich auch auf andere Bereiche übertragen, zum Beispiel eine Datenbank mit registrierten Kriminellen bei der Polizei. Die Polizei sammelt und wertet verschiedene Daten zu den Verbrechen aus, um anhand dessen besser Vorhersagen zu treffen.
Hier kommen die Spezialisten ins Spiel, welche immer probieren einen Schritt voraus zu sein, Regelwerke optimieren (teils auch automatisiert), Fehlverhalten überprüfen und die IT-Landschaft auf allfällige Angriffe überwachen.
Wie und wo kann künstliche Intelligenz unterstützen?
- Erkennung von Phishing
Gerade bei der Erkennung von gefälschten Webseiten kann dies sehr hilfreich sein. In der Regel wollen solche Webseiten persönliche sensitive Daten wie beispielsweise: Kreditkarten-Informationen, Passnummer, Login Name, Passwort oder die Anschrift. Initial wird das KI-System manuell trainiert, um eine Klassifizierung möglich zu machen. Anschliessend kann es anhand der Benutzerinteraktionen dazulernen, um eine bessere Genauigkeit zu erzielen und Erfahrungswerte gewinnen.
- Analyse des Benutzerverhalten
Unser Verhalten wird heute schon in verschiedensten Situationen analysiert, wenn wir eine App benutzen oder etwas im Supermarkt bevorzugt einkaufen. Leider werden diese Analysen, die wir schon seit langem aus unserem Alltag kennen, in der IT-Security selten bis wenig angewendet. Dies hätte jedoch viel potential, Max Mustermann arbeitet jeden Tag von 08:00 – 17:30 Uhr, teilweise liest er sich abends noch eine E-Mail auf dem Handy. Falls er sich aber plötzlich auf einmal täglich um 02:00 Uhr anmeldet und diverse vertrauliche Dokumente öffnet passt irgendetwas nicht. Genau in diese Verknüpfungen kann eine KI unterstützen und kreieren.
- Automatisierte Extrahierung von Daten
Eines der grössten Probleme von Unternehmen, ist das unbefugte Extrahieren von vertraulichen Daten. Zusätzlich fehlt meist eine durchgängige Klassifizierung aller Unternehmensdaten. KI kann Daten inhaltlich auf vertrauliche Informationen prüfen und diese dementsprechend klassifizieren. Werden Daten nach ausserhalb der Organisation transferiert, können verschiedene Indizien helfen, diese zu erkennen: Klassifizierung der Dokumente, Vertrauenswürdiger Empfänger, Automatisierter Ablauf (sprich jede Stunde werden z.B. 10 Dokumente versendet), Datenmenge. Damit verknüpft kann das Benutzerverhalten überprüft werden, um mögliche «Data Breaches» zu alarmieren.
Künstliche Intelligenz in Malware?
Klingt gefährlich, wird jedoch in der Tat schon angewendet. Mittels maschinellen Lernens kann eine Schadsoftware stetig verbessert werden, lernt aus bestehenden Angriffsvektoren und kann komplette Unternehmen stilllegen. Auch wir in der Schweiz lesen in den Medien immer wieder von erfolgreichen Angriffen.
„Stadler Rail bestätigt, dass interne Dokumente entwendet worden seien und es sich dabei um vertrauliche Daten handle. Die Nutzung und die Verwendung seien illegal. Damit werde die kriminelle Täterschaft unterstützt und die stetige Zunahme von weiteren Cyberangriffen auf Unternehmen jeglicher Art gefördert, schreibt Stadler Rail.“
NZZ Artikel vom 29.05.2020 – https://www.nzz.ch/wirtschaft/hacker-stellen-stadler-rail-ein-ultimatum-ld.1558845
Fazit
Künstliche Intelligenz kann in vielen Bereichen eine grosse Unterstützung bieten, bei der Überwachung des Unternehmens gegen mögliche Schadsoftware oder Angriffen. Fehlendes Budget, Personentage und Spezialisten machen die Umsetzung aber schwer, deshalb kann es Sinn machen solche Dienste, als fertige Lösung, von externen Anbietern zu beziehen. Gerade in den bekannten Commercial Clouds ist KI bereits etabliert und in der Zukunft werden wir noch viel mehr mit dem Thema konfrontiert werden.
Weiterführende Links
