Künstliche Intelligenz in der IT-Sicherheit
KI zwischen Hype und Realität
Um künstliche Intelligenz (KI) kommt im Cybersecurity-Umfeld langfristig niemand herum - darin sind sich viele Branchenexperten und Marktbeobachter einig. Anhaltspunkte, die ihre These stützen, gibt es reichlich: Mehr und mehr Hersteller springen auf das Thema auf und geben an, bereits KI in ihre Lösungen zu integrieren. Neue Player entstehen, die voll auf die KI-Karte setzen und massive Investitionen verbuchen können - in der Branche keimt die Hoffnung auf ein neues, großes Wachstumsthema. Doch wie weit ist es her mit den KI-Versprechen der Hersteller? Gibt es bereits marktreife Innovationen?
Hauptmotivation für den KI-Einsatz ist die Komplexität. Das hat das Capgemini Research Institute in einer gerade erschienenen Studie herausgefunden. Security-Verantwortliche und Manager, die bereits KI in der Security anwenden oder dies planen, gaben dort an, dass die Komplexität für sie rasant zunehme. Das Gehirn eines Security-Spezialisten hat kaum mehr die Möglichkeit, alle Meldungen und Alarmfälle zu verarbeiten, die eine Vielzahl komplexer Systeme erzeugt hat. Als weiteren Grund führen die Befragten die immer komplexeren Angriffe auf digitale Werte und die digitalen Infrastrukturen an - auch hier stoßen herkömmlichen Systeme an ihre Grenzen. Die digitalen Werte nehmen zu und Akteure, die im Cyberumfeld ihr Geld verdienen, werden zahl- und einflussreicher. Der Zusammenhang ist klar: Je mehr Werte im digitalen Raum liegen und ausgetauscht werden, desto größer ist die Gefahr von Cyberangriffen und daraus resultierender Verluste. Bester Beleg ist auch hierzulande die wachsende Zahl der Schadensfälle und -summen.
Der steigende Vernetzungsgrad und die Einbindung von IoT-Komponenten gibt der Diskussion rund um KI zusätzliche Nahrung: Kaum ein Entscheider traut herkömmlichen Systemen noch zu, die Infrastruktur lückenlos zu überwachen und zu schützen. Es gibt also mehrere zwingende Gründe dafür, dass die Branche große Hoffnungen in KI setzt. Keine andere Technologie hat das Potenzial, neuesten Methoden wie Spear-Phising und aktuellen Bedrohungen - durch Staaten, große kriminelle Organisationen oder einzelne Hacker - die Stirn zu bieten.
Ein klares Bild vom Konzept KI und seinen Unterbegrifflichkeiten zeichnet Andrew Ng von der Stanford University. KI ist seiner Definition zufolge ein Sammelbegriff für lernende Systeme, die wir als repräsentative Intelligenz wahrnehmen. Der Forscher zählt Sprach-, Bild- und Videoerkennung sowie autonome Objekte zu den typischen KI-Fähigkeiten, ebenso das Verarbeiten natürlicher Sprache, intelligente virtuelle Agenten und intelligente Automatisierung, zudem komplexe Analysen und Vorhersagen. Der Begriff ML (ML) - oft im KI-Kontext genutzt - steht dabei für den Ansatz, Computer zum Handeln zu bewegen, ohne dass sie explizit dafür programmiert wurden. Deep Learning (DL) wiederum beschreibt die Tatsache, dass Algorithmen von der Struktur und Funktion des Gehirns inspiriert sind und ein künstliches neuronales Netzwerk bilden. Geht es konkret um KI in der Cybersecurity, dreht sich die Diskussion vornehmlich darum, Bedrohungen in Echtzeit zu erkennen, vorherzusagen und darauf zu reagieren - was insbesondere durch den Einsatz von ML und Deep Learning möglich wird.
Die Erkenntnisse des Capgemini Research Institutes lassen sich mit dem gerade erschienenen Softshell Vendor Report in Verbindung bringen: KI ist vor allem deshalb ein Wachstumsthema, weil immer mehr Hersteller weltweit angeben, auf den Zug aufzuspringen und KI in ihre Lösungen zu integrieren. Ein Blick auf die Soft-shell-Zahlen versetzt der Euphorie aber einen kleinen Dämpfer: Weltweit gibt es aktuell erst 184 Hersteller, die in ihren Sicherheitslösungen auf KI setzten, das entspricht 9,4 Prozent aller Hersteller im internationalen Markt (siehe Marktübersicht ab Seite 42). Im deutschsprachigen Raum setzen bisher nur 44 Anbieter auf KI, was ebenfalls rund neun Prozent der im DACH-Raum aktiven Hersteller entspricht. Der Einsatz von KI im Security-Umfeld ist also auch in der Industrienation Deutschland selbst noch nicht sehr weit entwickelt.
Wer tiefer in das Angebot der Hersteller hineinleuchtet, stößt unweigerlich auf weitere Fragen. Große Neuerungen oder Errungenschaften, die nicht zuvor schon unter anderem Namen existierten, scheint man vergeblich zu suchen. Oft handelt es sich um klassische, althergebrachte Funktionen - sie sind in der Lösung bereits hinterlegt und werden jetzt unter dem KI-Deckmäntelchen neu vermarktet. Auf künstlicher Intelligenz im eigentlichen Sinne beruhen sie jedenfalls nicht.
Ein typisches Beispiel: Einige Anbieter, die sich in der Vergangenheit stark dem Thema Big Data verschrieben hatten, hängen heute das Etikett "KI" an ihre Lösungen. Ihre Technologie leistet aber das Gleiche wie bisher: Sie sucht, wertet aus und korreliert Informationen aus riesengroßen Datenmengen und weit zurückliegenden Ereignissen. Andere Hersteller wiederum verwenden den Begriff KI häufig für Methoden, die auf nichts anderem als "If … then"-Befehlen basieren. Auch hierbei handelt es sich weder um KI, noch ist das Ergebnis das, was KI ausmacht - nämlich das Auswerten von Unmengen historischer Daten, das Vergleichen von aktuellen Daten und Ereignissen und das Ziehen von Rückschlüssen nahezu in Echtzeit.
Es ist viel über KI und den künftigen Stellenwert für die IT-Security zu lesen. Was aber konkret dahintersteckt und wie KI in der Praxis wirklich und greifbar wird: Diese Antworten bleibt der Markt vorerst schuldig. Es scheint, als sei KI in der Cybersecurity Stand heute eher eine gute Idee am Horizont, während die entsprechende technische Innovation noch in den Kinderschuhen steckt.
IoT-Daten auswerten
Ein paar echte Innovationen sind jedoch beim ML erkennbar, speziell im Bereich IIoT (Industrial Internet of Things, vernetzte Industrie). Neue Lösungen sammeln dort Ereignisse aus überwachten und unbewachten Maschinen (IoT), korrelieren sie und werten sie aus, was es erlaubt, entsprechende Schlussfolgerungen zu treffen. Dies ist ein Phänomen, das es so bisher nicht gab - und wahrscheinlich der einzige Bereich neben Big Data, der einen validen Beitrag zur KI in der Cybersecurity leistet.
Vieles deutet auch darauf hin, dass der Antrieb für echte KI-Innovationen nicht von den klassischen IT-Sicherheitsanbietern selbst kommt, sondern aus anderen Bereichen wie Big Data und RPA (Robotic Process Automation). Gerade das RPA-Umfeld übernimmt in dieser Hinsicht eine Vorreiterrolle. Hier ist das für die Entwicklung notwendige Investitionsvolumen vorhanden, der Return on Investment für IT-Security viel deutlicher sichtbar. Vernetzte Produktions- und Industrieanlagen sind schließlich die Achillesferse der Unternehmen: Die gravierenden monetären Folgen eines Produktionsausfalls sind leicht errechenbar, vom Reputationsschaden ganz zu schweigen. Investitionen in Sicherheitsmaßnahmen wirken sich hier also direkt auf die Wirtschaftlichkeit aus.
Die Cybersecurity-Aufgabe verlagert sich also Stück für Stück in neue Bereiche, andere Akteure als bisher übernehmen das Thema Sicherheit mit. Vor allem die Automatisierung hat großes Potenzial, den Security-Markt aufzumischen und zu bereichern, beispielsweise bei der Passwortvergabe. Lösungen aus der IT-Security-Welt werden damit immer öfter überflüssig. Ein weiteres Beispiel: die BI-Lösung (Business Intelligence), die die Daten eines Flughafens ausliest und aufbereitet, um Start- und Landevorgänge effizienter zu gestalten. Sie könnten künftig mit der gleichen Effektivität Security-relevante Daten auswerten und damit SIEM-Lösungen (Security-Information- und Event-Management) den Rang ablaufen. Welchen Einfluss solche Entwicklungen auf die bisherige Größe der Cybersecurity-Branche heben werden, ob die klassischen Player sich behaupten können oder der Markt auf wenige Nischen-Player schrumpft: Das bleibt mit Spannung abzuwarten.
Lesen Sie mehr zum Thema
