„Zwischen den Angreifern und den Verteidigern ist es ein Katz-und-Maus-Spiel.“ Für Matthieu Bonenfant, Marketingleiter bei Stormshield, ist es unmöglich vorherzusagen, ob Big Data und künstliche Intelligenz (KI) das Kräfteverhältnis in Sachen Cybersicherheit langfristig verändern können. Sowohl Angreifer als auch Verteidiger überbieten sich an Vorstellungskraft, um bei der Nutzung der Daten die Oberhand zu gewinnen. Und dieses Spielchen hat gerade erst begonnen.
Hacker und Marketingfachleute – derselbe Kampf?
Bei zahlreichen offensiven Hacks dient Big Data heute dazu, herkömmliche Techniken zu verfeinern. „Um die Höhe einer Lösegeldforderung innerhalb einer Ransomware festzulegen, denken die Hacker wie Marketingfachleute“, berichtet Matthieu Bonenfant. Der Hacker versucht natürlich seinen Gewinn zu maximieren. Wenn das Lösegeld jedoch zu hoch angesetzt ist, wird das Opfer die Zahlung verweigern oder die Polizei benachrichtigen.
„Sie sind geeigneter, wenn sie über Daten verfügen, um ihre Zielscheibe besser zu kennen“, führt der Marketingleiter weiter aus. Hierfür greifen die Angreifer auf Social Engineering zurück. Dank spezieller Programme analysieren sie die Open-Source-Informationen einer Person. Die sozialen Netzwerke verwandeln sich so in Goldminen und die persönlichen Daten werden zu Schwachstellen. Wer hat sich für ein Passwort noch nie von einem Geburtsdatum, dem Namen seiner Katze oder einer seiner Angehörigen inspirieren lassen?
Das Social Engineering dient darüber hinaus dem Spear Phishing. Dank ihrer personenbezogenen Daten erstellen die Hacker Profile der Benutzer und senden ihnen persönliche Nachrichten. So wie eine gute Marketing-Software. „KI würde hier erlauben die für den Menschen nicht sichtbaren Verbindungen aufzuzeigen und die Kombinationen schneller zu testen“, präzisiert Matthieu Bonenfant.
Schließlich lässt sich der Experte, in Zeiten des Einzugs von Chatbots in die Marketingwelt, eine andere bösartige Zweckmäßigkeit einfallen: „Man könnte tückische Chatbots erfinden und eine fiktive automatisierte Unterhaltung mit dem Opfer einrichten, damit seine Wachsamkeit nachlässt.“ Ganz zu schweigen von dem Risiko, dass echte Roboter angegriffen und ihre Unterhaltungen abgefangen werden. Um dies zu verhindern, müssen Nachrichten verschlüsselt und ihre Speicherung gesichert werden, bevor sie nach einer bestimmten Zeit gelöscht werden.
Künstliche Intelligenz: Modewort oder echte Chance?
Neben ihrer marketingnahen Verwendung löst die künstliche Intelligenz im Cyberspace viel Begeisterung aus. Jedoch muss mit einem Mythos aufgeräumt werden: der Mythos der übermächtigen, mit künstlicher Intelligenz vollgestopften Malware, die in der Lage ist, alle IT-Sicherheitssysteme zu überlisten. „Nach gegenwärtigem Kenntnisstand hat es bisher noch kein Schadprogramm gegeben, das KI direkt anwendet“, versichert Paul Fariello, Security Researcher bei Stormshield.
Die einzigen bekannten Beispiele, bei denen künstliche Intelligenzsysteme eigenständig ein Informationssystem angegriffen haben, sind akademischer Art. Wie 2016 in Las Vegas, als sich zum ersten Mal sieben künstliche Intelligenzsysteme beim DARPA Cyber Grand Challenge gegenüberstanden.
Momentan „funktionieren die klassischen Dinge sehr gut“, bedauert Paul Fariello. Die Leute fallen immer noch auf Basistechniken wie Pishing herein. Phishing ist wie Teleshopping – wenn nur eine oder zwei Personen „kaufen“, ist das Geschäft rentabel. Wozu nützt es also, teure Programme zu entwickeln, die die KI integrieren?“ Aus diesem Blickwinkel bleibt die beste Verteidigung immer noch die Schulung der Teams. In Erwartung bedeutender Investitionen eines Staates in ein Angriffsprogramm, das mit künstlicher Intelligenz gedopt ist.
Die künstliche Intelligenz spielt besser in der Verteidigung
Seitens der IT-Verteidigungsinstrumente hingegen findet die künstliche Intelligenz direktere Anwendungsmöglichkeiten. In Verbindung mit Big Data dient sie der Analyse einer großen Anzahl von Dateien mit verdächtigem Verhalten, um die wirklich schadhaften Dateien eindeutig zu identifizieren. „Das Ziel besteht darin, eine gleichbleibende Zahl von Analytikern zu haben, um eine exponentielle Datenmenge zu bearbeiten“, erklärt Paul Fariello. Dank dieser genauen Analysen geben die entwickelten Patchs den Hackern weniger Gelegenheiten, einen RSSI völlig zu überraschen. Und das Risiko, mit einer Zero-Day-Sicherheitslücke konfrontiert zu werden, sinkt.
Um sich diese Daten zunutze zu machen, hat Stormshield Breach Fighter entwickelt, eine Sandbox-Lösung in der Cloud. Ihr frei zugängliches Portal erlaubt eine verdächtige Datei gründlicheren Analysen zu unterziehen. Mit dieser Lösung werden alle Daten aller erkannten Malwares zentralisiert. „Wir haben somit eine bessere Sichtbarkeit der Bedrohung“, ergänzt Matthieu Bonenfant. „Wir identifizieren neue tückische Techniken und entwickeln besseren Schutz. Früher hingegen blieben die Informationen über die Malwares oft bei den Kunden.“ Doch kommt die künstliche Intelligenz in der Verteidigung nicht ohne den Menschen aus. Das ist ein Paradox: in der IT-Sicherheit hängt ihr Nutzen stark von ihrer Interaktion mit dem Menschen ab. Obwohl sich die künstliche Intelligenz auf anderen Gebieten, beispielsweise in selbstfahrenden Kraftfahrzeugen oder dem Go-Spiel, wesentlich autonomer zeigt.
„Die KI garantiert kein Ergebnis“, erklärt Paul Fariello. „Sie beschreibt grundsätzlich nichts aus sich selbst heraus. Sie präsentiert eine Wahrscheinlichkeit, dass eine Datei einem bereits von einem Menschen als gesund oder schädlich beschriebenen Verhalten zugeordnet wird. Und manchmal fällt es ihr schwer, zwischen beiden zu unterscheiden. Nehmen wir das Beispiel einer Malware, die die Rechenleistung eines Computers stiehlt, um Mining von Kryptowährungen durchzuführen. Ihr Verhalten gleicht in hohem Maße dem einer authentischen Software zum Mining von Kryptowährungen, die absichtlich von einem Menschen installiert wurde.“ Auf einem ganz anderen Gebiet, das jedoch genauso bezeichnend die derzeitigen Grenzen des Urteilsvermögens der künstlichen Intelligenz aufzeigt, musste Amazon sein internes, für die Erleichterung der Personaleinstellung entwickeltes Programm nach Diskriminierungen aufgrund des Geschlechts einstellen.
Dem Beispiel der Angreiferwaffen folgend wird die Sammlung sehr großer Datenmengen also zu einer absoluten Notwendigkeit, um die Schutzeinrichtungen der Verteidiger zu verbessern. Sowohl für die Katz als auch die Maus ist dies erst der Anfang des Wettrennens um die Datensammlung.