Marktforscher sind sich einig: Wir stehen heute am Beginn des KI-Zeitalters. Da wie in jeder anderen Anfangsphase auch oft mehr Schein als Sein herrscht, werden Produkte als smart angepriesen, deren Intelligenz sich einzig auf das Markting beschränkt. [...]
Obwohl die Prinzipien der künstlichen Intelligenz seit den 1960er-Jahren nahezu unverändert sind, hat die Diskussion rund um das Thema erst in den letzten Jahren an Fahrt gewonnen. Dafür gibt es einen einfachen Grund: KI steht heute nicht nur wenigen Experten zur Verfügung, sondern dank Cloud jedem einzelnen User von PC oder Smartphone.
So gesehen ist KI ein relativ neues Phänomen, das wie alle anderen Technologien zuerst einmal ein gewaltiges Vakuum schafft, das unzählige Anbieter anlockt, die alle ein großes Stück vom Kuchen haben wollen. So ist es nachvollziehbar, dass der Markt heute mit „intelligenten“ oder „smarten“ Angeboten überschwemmt wird, die davor nichts weiter waren als ein Stück Software.
Der IT-Security-Markt bildet dabei keine Ausnahme. Wer seine Produkte nicht möglichst bald mit künstlicher Intelligenz aufpeppen kann, hat schon verloren, so der allgemeine Tenor. Den Vorteil, den die Anbieter heute noch haben, ist, dass das KI-Wissen auf Kundenseite im Allgemeinen noch sehr beschränkt ist bzw. von zahlreichen Missverständnissen geprägt ist. Das beginnt schon bei der Frage, wann man überhaupt von KI sprechen kann und wann nicht. Diese Frage in insofern wichtig, als einige Security-Unternehmen das Buzzword für ihre Produkte nutzen, ohne wirklich KI einzusetzen. „Man könnte auch sagen, dass einige Firmen die Definition von künstlicher Intelligenz erheblich ausdehnen“, schreibt Roger Grimes von unserer Schwesterpublikation CSO Online.
Um eine Antwort auf diese Frage zu finden, muss man sich den Unterschied zwischen KI und regelbasierten Systemen vergegenwärtigen. „Regelbasierte Systeme funktionieren wie signaturbasierte Antivirus-Lösungen“, sagt Laurent Gil, Chief Product Officer von Zenedge, im Gespräch mit CSO. „Eine Menge Researcher sieht sich an, was in der Vergangenheit passiert ist. Auf Basis dieser Beobachtungen werden ‚Wenn-dann‘-Regeln erstellt, die bekannte Malware identifizieren können. Die Regeln sind also nur so gut wie die Researcher und ihr Wissen über die Hacker-Community. Hacker gewähren allerdings keine Vorschau auf das, was sie planen – man hinkt also immer einen Schritt hinterher.“
Bei echter künstlicher Intelligenz gehe es hingegen um die Zukunft, so Gil weiter. Der wesentliche Unterschied bestünde im Fokus: „Künstliche Intelligenz von regelbasierten Systemen zu unterscheiden, ist eigentlich ganz einfach: Regelbasierte Engines sind nicht in der Lage, sich selbständig zu verbessern – erst muss jemand die Regeln auf den neuesten Stand bringen. KI-Systeme werden immer genauer und besser, je länger sie in Benutzung sind.“
Die „Ausdenhung der KI-Definition“ lässt sich natürlich auch in anderen Bereichen beobachten. Ein aktuelles Beispiel sind die heute typischen Chatbots, die regelbasiert agieren und damit Intelligenz vermissen lassen. Daher wundert es wenig, dass laut einer Pegasystems-Studie nur 16 Prozent der befragten Konsumenten von einer guten Erfahrungen mit Chatbots berichten.
Ein weiteres Beispiel, das die Unterscheidung zwischen KI und regelbasierten Systemen sehr schön illustriert und auch die Überlegenheit von ersterem zeigt, kommt aus der Welt des Schachs. Mit AlphaZero hat die Google-Tochter DeepMind ein KI-System entwickelt, das jedes bis dato entwickelte Schachprogramm in den Schatten stellt. Während traditionelle Lösungen auf menschlichem Input (Eröffnungs- und Endspieltheorie, Stellungsbeurteilung etc.) basieren, lernte AlphaZero selbstständig, indem es Millionen von Partien analysierte. Nach nur vier Stunden Training konnte das DeepMind-Produkt den regierenden Schachcomputerweltmeister vernichtend schlagen.
Security-Produkte mit KI-Anspruch
Ein weiterer Unsicherheitsfaktor auf Kundenseite ist, dass KI in der IT-Security-Branche – und nicht nur hier – als Sammelbegriff für mehrere Technologien verwendet wird, worauf das Whitepaper „Welche Rolle spielt künstliche Intelligenz in Cyber Security-Konzepten?“ von Axians IT Security hinweist. Dazu zählen vor allem Machine Learning und Deep Learning. Bei Machine Learning geht es im Wesentlichen um Algorithmen mit der Fähigkeit zu lernen, ohne explizit programmiert zu sein. Deep Learning wiederum ist Teil des maschinellen Lernens, bei dem sich künstliche neuronale Netze an große Datenmengen anpassen und daraus lernen.
Führende Anbieter von Cyber-Security-Lösungen setzen diese und weitere KI-Komponenten mittlerweile in ihrer Software ein. Die Ansätze unterscheiden sich jedoch deutlich. „Während einige Lösungen eine Art Assistenz für Cyber Security-Teams darstellen, versprechen andere Produkte einen annähernd vollständig automatisierten Schutz von Netzwerken“, so die Experten von Axians.
Als Beispiel nennt Axians SandBlast von Check Point. Das Produkt ermöglicht einen Schutz vor Zero-Day-Attacken und gezielten Angriffen. Die Software nutzt eine intelligente Malware-Erkennungstechnik, um Exploits zu untersuchen, die den Versuch unternehmen, Kontrollmechanismen des Betriebssystems zu umgehen. Zudem entfernt die Lösung schädliche Inhalte, um Endnutzern im Anschluss sichere Dateien zur Verfügung zu stellen.
Bei Cisco Cognitive Threat Analytics wiederum handelt es sich um eine Cloud-basierte Lösung zum Erkennen von Bedrohungen innerhalb eines Netzwerks. Hier werden Protokolldateien vom WebProxy in die Cloud hochgeladen und analysiert. Die Besonderheit: Das System lernt, neue Bedrohungen eigenständig zu identifizieren. Es lernt auch aus Vorfällen und passt sich fortlaufend an neue Anforderungen an.
Darktrace ist der Anbieter der „Immunsystem-Technologie“ für Unternehmen. Mit „Antigena“ hat Darktrace ein Produkt entwickelt, das Machine Learning für Netzwerke nutzt und sie damit in die Lage versetzt, sich automatisch selbst zu verteidigen. „Erstmals stellt damit ein Anbieter einen Ansatz zur Verfügung, der ohne definierte Regeln oder Informationen aus früheren Attacken funktioniert. Antigena erkennt Bedrohungen und ‚impft‘ in Echtzeit gegen sie, während eine Verbreitung innerhalb des Netzwerks stattfindet. Gefahren werden innerhalb kürzester Zeit gebannt“, so Axians.
Ein prominentes Beispiel für eine KI-basierende Cyber Security-Lösung ist „IBM Watson for Cyber Security“. Anhand dieses Beispiels lässt sich gut aufzeigen, wie moderne KI-Systeme arbeiten. Bevor KI-Lösungen eingesetzt werden können, müssen sie mit umfangreichen Informationen versorgt werden. Im Falle von IBM Watson wurde die Software mit mehr als einer Million Sicherheitsdokumenten gespeist, um aus ihnen zu lernen. Kombiniert werden Informationen aus Forschungsunterlagen, Webseiten, Blogs und Datensätzen zu IT-Security-Vorfällen.
Vectra Cognito ist eine Plattform für Bedrohungserkennung und Response. Aus technischer Sicht nutzt Cognito neben Machine Learning umfangreiche Metadaten (Traffic im Netzwerk, Authentifizierungs- und System-Logs, Indicators-of-Compromise), um Verhaltensanalysen durchzuführen und die Auswirkungen abzuschätzen. Risiken werden anhand ihres Gefährdungspotenzials und ihrer Wahrscheinlichkeit automatisch priorisiert und an die Cyber-Security-Mitarbeiter übermittelt. Zudem werden dank der Algorithmen angegriffene Hosts identifiziert und Angriffsstrategien aufgedeckt.
Die wenigen Beispiele zeigen, dass KI und subsumierte Technologien auch im Security-Umfeld Fuß gefasst haben. Da das KI-Zeitalter aber erst angebrochen ist, müssen Kunden heute genau hinsehen, um nicht falschen Versprechen auf den Leim zu gehen.
Be the first to comment