Der Einsatz künstlicher Intelligenz (KI) in der Informationssicherheit provoziert ungewohnt lebhafte Diskussionen. Einige Teilnehmer hegen oder wecken überzogene Erwartungen, andere unterschätzen den Nutzen bei Weitem, eine dritte Gruppe befürchtet die Verdrängung des Menschen aus IT-Berufen und eine neue allgegenwärtige Überwachungsinstanz im SOC (Security Operations Center). Ein nüchterner Blick zeigt die echten Chancen und Grenzen.

Es gab schon lange kein Thema mehr, das die Fachwelt derart faszinieren und zugleich polarisieren konnte wie die Diskussion um den Einsatz von KI-Systemen in der Informationssicherheit. Um einen typischen „Hype“ handelt es sich nicht, denn die Auseinandersetzung wird hier weniger vom Marketing der Anbieter als vom Eifer der potenziellen Anwender befeuert. Die Erwartungen liegen so hoch, dass in einigen Unternehmen für KI-Projekte Sonderbudgets aus dem Bereich „Innovation“ bereitstehen, während man zeitgleich andere Security-Projekte zurückstellen muss.

Tatsächlich kann die moderne Security von KI-Ansätzen in hohem Maße profitieren – aber dazu müssen die Anwender die Fähigkeiten der Technik realistisch einschätzen und einige Voraussetzungen schaffen. LANline startet deshalb in dieser Ausgabe eine dreiteilige Serie, die die Fakten zum Thema beleuchtet. Teil 1 befasst sich mit den Voraussetzungen für einen erfolgreichen KI-Einsatz und der Anwendung im Bereich Security Intelligence.

Maschinen denken anders

Einer der Gründe für die Ausnahmestellung des Themas KI in der Security liegt darin, dass manche Beobachter und Interessenten „künstliche Intelligenz“ mit „künstlicher menschlicher Intelligenz“ gleichsetzen. Genau dieses Verständnis führt allerdings in die Irre. Künstliche Intelligenz arbeitet anders als der menschliche Geist und Verstand. Tatsächlich können die „Denkmaschinen“ ihre menschlichen Pendants in einigen Bereichen ausstechen – aber dies betrifft keineswegs die menschlichen Kernkompetenzen wie treffsichere Schlussfolgerungen, die kluge Abwägung von Risiken und Nebenwirkungen einer Aktion oder kreative Problemlösungen.

Ihre Vorteile spielt KI vielmehr dann aus, wenn es darum geht, hoch dynamische und zugleich komplexe Umgebungen und Prozesse unermüdlich auf ebenso komplexe, versteckte Anomalien hin zu überwachen. Um es plastisch darzustellen: KI hat nichts dagegen, stundenlang und mit beständiger Aufmerksamkeit auf gleich mehrere Bildschirme mit vorbeirauschenden Log-Daten oder Metainformationen von Datenpaketen zu starren, nach winzigen Abweichungen von potenziellen Normalverläufen Ausschau zu halten, die Ergebnisse dann blitzschnell zu anderen flüchtigen Daten in Beziehung zu setzen und den Finger zu heben, wenn die aggregierten Informationen entweder nicht in erwartete Raster passen oder einem anderswo bereits aufgefallenen Angriffsmuster entsprechen.

Vectra Networks nutzt Kontextinformationen aus diversen Quellen. Bild: Vectra Networks

Das darauffolgende synthetische Denken allerdings – also die produktive Interpretation, Bewertung und Entwicklung geeigneter Abwehrstrategien – kann KI nur rudimentär leisten. Sie gibt deshalb einen hervorragenden, fleißigen, hoch effizienten Assistenten im SOC ab, aber keinesfalls einen vollwertigen Ersatz für einen Security-Analysten, Incident-Manager, Security-Administrator oder gar CISO.

Ausgangslage

Der Aufwind, in dem sich KI-Ansätze in der Informationssicherheit derzeit befinden, resultiert primär nicht aus bahnbrechenden technischen Neuentwicklungen in jüngster Zeit, sondern aus der Zuspitzung eines dringenden Bedarfs bei den Anwendern. Mehrere Faktoren treiben diese Zuspitzung voran:

die immer ausgefuchsteren, gezielteren und geduldiger vorangetriebenen Angriffe auf Organisationen mit lukrativen Zielen (im Englischen Advanced Persistent Threats oder kurz APTs genannt),

die zunehmende Komplexität auch ungezielter Attacken wie im Falle der Ransomware,

die zugleich steigende Komplexität der Netze mit mobiler IT, BYOD-Konzepten, IoT, der Cloud-Nutzung und der Einbindung von Produktionsumgebungen (Operational Technology, OT), die zu einer Vervielfachung der Angriffsflächen und Verwundbarkeiten führen und das Monitoring erschweren,

der zeitgleich wachsende Druck durch Gesetze und Normen, die neben Prävention auch Erkennungsstrategien für laufende Angriffe und schlagkräftige Response-Prozesse einfordern, und

der Mangel an qualifiziertem SOC-Personal, der zu Budgetproblemen und chronischer Überlastung der Security-Teams in den Organisationen führt.

Diese Entwicklungen mögen neu sein, aber sie verbinden sich auf unglückliche Weise mit einem uralten Sicherheitsproblem prinzipieller Natur: dem klassischen Angreifervorteil. Er benachteiligt seit jeher jede Institution, die ein komplexes „Asset“ gegen potenzielle und damit auch unbekannte Feinde verteidigen muss, ob es sich nun um eine mittelalterliche Burg oder Stadt oder eine moderne IT-Infrastruktur handelt. Immer müssen die Verteidiger ihre beschränkten Ressourcen auf alle erdenklichen Schwachstellen des bewachten Objekts richten, ohne die Interessen oder die Vorgehensweise des nächsten möglichen Angreifers zu kennen und den Zeitpunkt einer Attacke vorhersehen zu können. Die Widersacher dagegen können sich in aller Ruhe auf ihren Weg zum Ziel konzentrieren, die gewählte Strategie perfektionieren und dabei vom sanften Social Engineering bis zum Brute-Force-Schlag beliebige Methoden zu einer mehrstufigen, maßgeschneiderten Vorgehensweise kombinieren.

Unter dem Radar

Moderne Cyberkriminelle kennen die typischen Security-Systeme in Netzwerken – Virenschutz, Firewalls, Intrusion Prevention – genau so gut wie zu früheren Zeiten die Raubritter die Schwachstellen der umliegenden Burgtore, Wasserdurchlässe und Wachmannschaften. Sie verwenden viel Mühe darauf, installierte Anomaliesensoren nicht ansprechen zu lassen und „unter dem Radar zu fliegen“. Zur „Kill Chain“ eines Angriffs zählen Aktionen wie die Erkundung eines Netzwerks („Reconnaissance“), die Ausbreitung darin („Lateral Movement“) und schließlich die Suche nach lohnenden Zielobjekten. Angreifer lassen diese Aktionen versteckt, verteilt und mit hinreichend langen Pausen ablaufen, um die Schwellenwerte der Einzelsensoren nicht zu erreichen. Die Kommunikation mit ihren Servern im Dark Web mischt Malware verschlüsselt unter den Standard-Traffic. Die einzigen Aktivitäten, die die Angreifer prinzipiell nicht verschleiern können, sind diejenigen, die unmittelbar mit der Umsetzung ihrer Ziele verbunden sind: Um etwa einen Datendiebstahl durchzuführen, sind wertvolle Informationen zu sammeln und schließlich zu transferieren, und um Daten zu verschlüsseln, muss Ransomware relevante Nutzdaten identifizieren und in irgendeinem Ordner schließlich mit dem Zerstörungswerk beginnen.

Gegen diese ausgefeilten Taktiken helfen nur zwei Gegenmaßnahmen: erstens die stetige Beobachtung der Kommunikationsaktivitäten in den hochkomplexen Netzen auf kleine Auffälligkeiten hin, die erst zusammengenommen das Bild eines konzertierten Angriffs ergeben; zweitens die schnelle Einleitung von Gegenmaßnahmen im Falle tatsächlich verräterischer Vorkommnisse. Für das erforderliche Routine-Monitoring großer Datenmengen – zugleich langweilig und eintönig, aber auch höchste Konzentration erfordernd – sind das Gehirn und die Sinne des Menschen allerdings nicht gemacht: Die Evolution hat Geist und Verstand auf andere Aufgaben hin optimiert. Genau dieses Manko gleicht die sogenannte „Korrelationstechnik“ aus. Bereits auf dieser Ebene verlangt künstliche Intelligenz allerdings nach mehr Unterstützung und Wartung, als mancher Hersteller zugibt.

Intelligenz braucht Sinne

Korrelationslogik basiert auf der Suche nach Abfolgen von Vorgängen, die in einer Regel beschrieben sind: Trifft Ereignis B in Zusammenhang mit Ereignis C ein, wenn zuvor Ereignis A protokolliert wurde, während die Zusatzbedingungen D und E permanent gelten, handelt es sich vermutlich um einen Angriff auf ein Asset vom Typ F, sodass ein Alarm auszulösen ist. Konkretes Beispiel: Hinter einer bestimmten Form von Angriff auf das Zugriffs-Management einer bestimmten Datenbanksoftware zusammen mit Manipulationen eines bestimmten Typs an einer vorgeschalteten Firewall verbirgt sich wahrscheinlich ein Angriff auf gespeicherte Kreditkartendaten, wenn zuvor ein privilegierter Nutzer eine Suche nach solchen Informationen durchgeführt hat, die Datenbank Informationen des fraglichen Typs enthält und sie zudem generell für Exfiltration anfällig ist.

Um entsprechende Vorgänge erkennen zu können, muss der Anwender zunächst die Suche danach als „Use Case“ (Anwendungsfall) definiert und die Regeln dazu implementiert haben. Beides – Use Cases und Regeln – kann er anhand von Bedrohungsanalysen selbst entwickeln oder in vorgefertigter Form von Anbietern beziehen, die neben SIEM- oder NBA-Werkzeugen (Security-Information- und Event-Management, Network-Based Analytics) auch Threat-Intelligence-Dienstleistungen anbieten. Diese verarbeiten dazu Erkenntnisse über Angriffe, die andernorts bereits aufgefallen sind.

Korrelation lässt sich durchaus als Form künstlicher Intelligenz verstehen, wenn auch auf niedrigem Niveau. Viele Anwender betrachten sie lediglich als Vorstufe zur „eigentlichen“ KI, übersehen dabei aber, dass der emsig rotierende Korrelationsmotor die Grundlage für einige der komplexeren Intelligenzschichten bildet. Fehler bei der Implementierung auf diesem Level können die Schlagkraft aller zusätzlichen, elaborierteren Mechanismen deshalb bereits so sehr begrenzen, dass die „Denksoftware“ schließlich mehr oder weniger leerläuft.

So müssen genau diejenigen Sensoren mittels Schnittstellen und Logfile-Parsern ins Erkennungssystem eingebunden sein, die Vorgänge sichtbar machen, welche in den Regeln beschrieben sind. Bei einem SIEM-System sind dies die sogenannten „Log-Sourcen“ in Form der Firewalls, Intrusion-Detection-Systeme, Identitäts-Management-Tools, Anwendungen und so weiter. Sie werden zu den „Sinnen“ der KI. Als eine weitere oder alternative Sensorik gilt die konsequente Beobachtung des Netz-Traffics mit der Auswertung von Paket-Metadaten.

Korrelation am Beispiele von IBM QRadar: Die Lösung beobachtet die Daten unterschiedlichster Sensoren permanent und untersucht sie auf Anzeichen bösartiger Aktivitäten, die sich erst aus der Zusammenschau ergeben. Bild: IBM

Darüber hinaus gilt es sicherzustellen, dass die Korrelationsbasis der Security-Intelligence-Systeme tatsächlich alle Bereiche einer IT-Infrastruktur erfasst, über die sich eine Angriffsstrategie mit einem bestimmten Ziel erstrecken könnte. Zuweilen haben Anwender einzelne Bereiche wie das Management und den Schutz der PCs im Office-Netz oder komplette Rechenzentren per Outsourcing an Dienstleister abgegeben; diese überwachen dann den ihnen übergebenen Teil der Kunden-IT mit eigenen, separaten Systemen. Für zusammenhängende Angriffsabläufe, die solche künstlichen Sektorengrenzen überschreiten, sind die getrennten Logiken dann blind. Überwinden lässt sich dieses Problem durch den Aufbau einer zentralen Instanz oder durch gezieltes Weiterleiten von Sensor-Rohdaten oder vorgefilterten Events an ein Master-SIEM- oder -NBA-System.

Eine weitere Fehlerquelle hat mit der Praxis der Lizenzierung mancher korrelationsgestützter Systeme nach dem Prinzip „Events per Second“ zu tun: Anwender solcher Lösungen neigen dazu, das Aufkommen von Ereignissen aus Kostengründen künstlich gering zu halten, indem sie einzelne Events von der Verarbeitung ausschließen („droppen“). Erfolgt dies ohne vorherige Bedrohungsanalyse und Risikobewertung, kann die Limitierung die Schlagkraft der Korrelationsmechanismen erheblich schwächen. Allerdings muss man eine derartige Begrenzung in großen Systemen zuweilen allein aufgrund der schieren Menge potenziell sicherheitsrelevanter Vorfälle vornehmen. In diesem Fall lohnt sich die Installation einer Kaskade von Analysesystemen, die relevante Events einem Master-System zugänglich machen. Dieses lässt sich dann wiederum mit zusätzlichen KI-Modulen ausstatten.

Ebenso wichtig ist ein Faktor, der nahezu alle existierenden oder denkbaren Varianten von KI in der Informationssicherheit direkt betrifft: KI stochert im Nebel, wenn ihr beim Monitoring keine Kontextinformationen zur Verfügung stehen. Kontextinformationen sind beispielsweise Angaben über die Art von Daten, die ein bestimmtes System verarbeitet. Um auf das oben angeführte Beispiel zurückzukommen: Wenn ein KI-gestütztes System nicht weiß, ob eine von ihm beobachtete Hard- oder Software überhaupt Kreditkartendaten verarbeitet, hat es auch keine Chance, einen per Threat Intelligence übermittelten typischen Angriff auf derartige Informationen als solchen wiederzuerkennen. Unternehmen, die KI nutzen wollen, müssen entsprechende Informationen in ihren Asset-Datenbanken oder CMDBs ablegen, damit die Korrelations- und KI-Systeme sie von dort importieren können. In der Realität allerdings finden sich in den fraglichen Repositories oft lediglich IP-Adressen und minimale technische Angaben, die keinerlei Ansätze für eine „intelligente“ Auswertung bieten.

Kurz: Wer in KI für Security investieren will, sollte zunächst dafür sorgen, dass den Systemen eine aussagekräftige Asset-Datenbank zur Bewertung von Vorfällen zur Verfügung steht. Ganz nebenbei hilft dies übrigens auch den menschlichen Mitarbeitern in SOC ungemein.

Bettina Weßelmann ist Beraterin für Unternehmenskommunikation und Fachautorin mit Spezialgebiet Informationssicherheit. Dr. Johannes Wiele ist freier Autor sowie GDD-geprüfter Datenschutzbeauftragter und arbeitet als Managing Security Consultant.