Künstliche Intelligenz (KI) erscheint vielen als Allzwecklösung für Herausforderungen der digitalen Welt. Ganz so einfach ist es jedoch nicht. Häufig ist es erst das Zusammenspiel zwischen Mensch und Maschine, das den Einsatz künstlicher Intelligenz zum Erfolg führt, so zum Beispiel beim Schutz von Endpunkten.

Knapp ein Drittel (30 Prozent) aller deutschen Unternehmen ist bereits Opfer eines Ransomware-Angriffs geworden. 29 Prozent gaben an, dass sie schon Hacking-Versuche beobachtet haben, diese aber abwenden konnten. Das geht aus einer Studie von KPMG und Kantar Emnid hervor. Auf globaler Ebene kommt CrowdStrike in seinem Overwatch Report 2019 zu dem Ergebnis, dass kriminelle Aktivitäten 61 Prozent aller bislang in 2019 beobachteten Angriffe ausmachen. Allerdings sind auch Angriffe durch Nationalstaaten nicht zu unterschätzen. Besonders die Endpunkte des Unternehmensnetzwerks sind in Gefahr. Denn die meisten erfolgreichen Cyberangriffe gehen auf menschliches Fehlverhalten zurück – zum Beispiel auf Anwender, die auf eine Phishing-E-Mail reagieren. Zudem sind die Endpunkte häufig auch schlechter geschützt als andere Teile der IT-Infrastruktur.

Antivirenprogramme nutzt praktisch jedes Unternehmen. Auf die immer intelligenteren Angriffe wissen jedoch viele keine ausreichende Antwort. Moderne Security-Lösungen gehen längst mehrere Schritte weiter und setzen auf einen vielschichtigen Ansatz, der Virenabwehr mit der Analyse von Angriffsindikatoren, Verhaltensanalyse sowie menschlicher und künstlicher Intelligenz kombiniert.

Die klassische Virenabwehr setzte auf die Auswertung von Signaturen. Dafür werden „Fingerabdrücke” von Malware erstellt, die für das Schadprogramm charakteristische, einzigartige Eigenschaften auflisten. Antivirenprogramme nutzen diese Merkmale, um Malware auf der Festplatte, im Arbeitsspeicher oder im Netzwerk-Traffic (Indicators of Compromise, IoCs) zu identifizieren.

Der signaturbasierte Ansatz birgt jedoch mehrere Nachteile: Signaturen gibt es lediglich für bekannte Schadprogramme, Sicherheitsbeauftragte müssten Schutzsysteme deshalb täglich aktualisieren. Angreifer können einen rein signaturbasierten Ansatz schon mit geringfügigen Anpassungen der Schadsoftware umgehen. Außerdem haben sich die Bedrohungsszenarien in den letzten Jahren stark verändert und sind vielfältiger geworden – die schiere Menge an Malware zuverlässig mit klassischen Malware-Signaturen abzudecken ist schlicht unmöglich. Und schließlich kommen auch immer mehr Angriffe ohne Malware aus: Angreifer spionieren beispielsweise Zugangsdaten aus und missbrauchen diese, um sich im Unternehmensnetz „seitwärts“ von Maschine zu Maschine zu bewegen (Lateral Movement).

Deswegen setzen viele Unternehmen auf einen heuristischen Ansatz. Dabei beschreibt ein von Experten erstelltes Regelwerk die Eigenschaften bösartiger Dateien. Dieses Verfahren macht die Virenerkennung deutlich flexibler, weil es die Merkmale zur Identifikation breiter interpretiert und nicht nach einer bestimmten Zeichenfolge im Code sucht. Auch diese Heuristiken sind jedoch permanent anzupassen, und auch sie basieren stets auf bereits bekannten Merkmalen von Schadprogrammen. Die Arbeit mit Heuristiken stößt deshalb relativ schnell an ihre Grenzen: Zum einen müssen die Regeln breit genug gefasst sein, um eine ausreichende Abdeckung neuer Schadsoftware zu erzielen; zum anderen müssen sie eng genug formuliert sein, um nicht irrtümlich legitime Dateien als Schadsoftware einzuordnen.

Die statistische Analyse umfangreichen Datenmaterials erlaubt es ML-gestützter Security-Software, eine Schwelle für die Schadcode-Differenzierung zu finden. Bild: Crowdstrike

Mit dem großen Volumen an neuer Schadsoftware und der großen Variation an legitimen Applikationen ist dies zudem eine außerordentliche Herausforderung für manuell generierte Regeln.

Das heuristische Vorgehen ist unabdingbar, greift jedoch heute zu kurz. Deshalb entwickeln Sicherheitsexperten den heuristischen Ansatz konsequent weiter und setzen dabei auf künstliche Intelligenz – genauer gesagt auf maschinelles Lernen (ML). Algorithmen ersetzen dabei die manuelle Auswertung. Der Vorteil: Die Algorithmen können riesige Datenmengen mühelos kategorisieren, analysieren und auswerten. An die Stelle des statischen Regelmodells tritt damit ein statistisches Modell, das zwischen Bedrohungen und legitimer Nutzung differenzieren kann. Dieser erweiterte Ansatz vergrößert gleichzeitig die Möglichkeiten der Angriffsabwehr: KI kann helfen, frühzeitig selbst unbekannte Angriffe zu entdecken.

Dies liegt überwiegend an einem Vorteil des ML-Ansatzes: an der großen Datenmenge, die sich so verarbeiten lassen. Und zwar in doppelter Hinsicht: Zum einen gelingt es mit vielen Daten besser, Trends und Unregelmäßigkeiten zu erkennen. Gerade cloudbasierte Lösungen können beispielsweise die Daten und Ereignisse von Angriffen aus verschiedenen Systemen weltweit in die Analyse einbeziehen.

Das verringert die Chance deutlich, dass Angreifer einen Virus verbreiten oder einen neuen Angriffsvektor nutzen können. Die Skalierungsflexibilität der Cloud ermöglicht es, eine größere Anzahl und Vielfalt von Datensätzen in die Analyse einzubeziehen. Zum anderen lassen sich auch mehr Attribute und Merkmale pro Datensatz in die Analyse einbeziehen, um eine größere Datenbasis zu generieren. Individuelle Datensätze können daher komplexer sein und mehr Informationen beinhalten. Dies ermöglicht eine globale Bedrohungsanalyse und bringt sogar schwache Bedrohungssignale ans Licht.

Im Bereich der Cyberabwehr ist KI keine einzelne Anwendung, die bisherige Schutzmaßnahmen ablöst. Vielmehr handelt sich um ein neue Art von Werkzeugen, die allesamt helfen, mehr Angriffe zu erkennen und Wege zu finden, diese zu vereiteln. Das übergeordnete Ziel dieser KI-Lösungen ist es, Bedrohungen zu erkennen, selbst wenn keine klassischen Indikatoren vorliegen – also auch in den Fällen, in denen signaturbasierte Ansätze oder IoC-Heuristiken nicht greifen, da die Malware keiner bisher bekannten Familie zuzuordnen ist. Hier kommt der große Vorteil der maschinellen Datananalyse zum Tragen.

Die reine Integration eines ML-Algorithmus in ein Anti-Virus-Tool ist dabei das kleinere Problem. So bietet der Markt inzwischen einige Lösungen, die datenbasierte Entscheidungen unterstützen. Die wirkliche Herausforderung ist das Training der Algorithmen: Wie werden sie schlauer als die Angreifer? Hier gilt: Viel hilft viel – je größer die Trainingsdatenmenge, desto besser. Marktführende Sicherheitslösungen analysieren jeden Tag Hunderte Milliarden Ereignisse. Diese Analyseergebnisse fließen in das KI-Training ein und erlauben es den Trainingsalgorithmen, akkurate statistische Prognosen zu erstellen. Die Datenbasis ergänzt man dazu kontinuierlich mit aktuellen Daten, Erfahrungen und Rückschlüssen.

Eine umfassende, aktuelle Datenbasis ist das A und O, will man die fortschrittlichsten und neuesten Bedrohungen erkennen. Denn jeder zusätzliche Datensatz liefert ein weiteres kleines Puzzlestück für die Beurteilung einer Bedrohungslage. Anti-Malware-Werkzeuge sind demnach heute weit mehr als eine Software, die regelmäßig aktualisiert wird: Viren- und Bedrohungsabwehr erfordern einen streng definierten Prozess mit möglichst vielen qualitativ hochwertigen Datenquellen und Rückkopplungsschleifen.

KI ist kein Allheilmittel, sondern unterliegt Limitationen. Die Algorithmen sind sehr komplex, die Berechnungen deshalb fehleranfällig und nicht immer eindeutig interpretierbar. Sicherheitsexperten in Unternehmen sollten die Ergebnisse deshalb immer im Auge behalten und mit der eigenen Expertise prüfen, ob die Ergebnisse Sinn ergeben. Gute KI-Lösungen renommierter Sicherheitsanbieter arbeiten deshalb immer Hand in Hand mit menschlichen Sicherheitsexperten. Denn dabei lernt die Maschine vom Menschen und umgekehrt der Mensch von der Maschine.

Dennoch: An einer KI-gestützten Lösung zum Schutz der Endpunkte wird künftig kein Unternehmen vorbeikommen. Cyberbedrohungen nehmen sprunghaft zu, und nicht nur die Sicherheitslösungen machen Fortschritte, sondern auch die Angreifer. Ob Nationalstaaten oder professionelle kriminelle Angreifer, beide verfolgen heutzutage konkrete Ziele, und den meisten ist jedes Mittel recht, um diese zu erreichen. KI ist eine leistungsstarke Ergänzung im Bereich der Cybersecurity.

Dr. Sven Krasser ist Chief Scientist bei CrowdStrike, www.crowdstrike.com.