Künstliche Intelligenz in der IT-Sicherheit
Künstliche Intelligenz (KI) wird für die IT-Sicherheit immer wichtiger. Es gibt in der Cybersicherheit mit Stand September 2019 drei gängige Anwendungen: Big Data Analytik, überwachtes und unüberwachtes maschinelles Lernen.
Big Data Analytik
Hierbei verwendet die implementierte KI statistische Analysen aus E-Mails und aus dem Datenverkehr von Webseiten, um Anomalien zu identifizieren. Diese würden Sicherheitsbedrohungen durch Malware anzeigen. Das Verfahren analysiert mehrere Faktoren. In E-Mails gehören dazu beispielsweise der Absender, der Betreff und der Kommunikationsweg (von welchem Server kommt die Mail). Mithilfe von KI lässt sich schon daraus ein mögliches Bedrohungsszenario mit einer gewissen Wahrscheinlichkeit prognostizieren. Da dieser Prozess aber inzwischen als simpel gilt, führt er zu häufigen Fehlermeldungen: Legitimer Datenverkehr gilt dann plötzlich als bösartig, die Empfänger erhalten auch Mails von vertrauenswürdigen Absendern nicht mehr. Daher ist es über den KI-Einsatz hinaus bei diesem Verfahren inzwischen erforderlich, die Sortierung durch menschliche Analysten nachprüfen zu lassen. Die zweite Anwendung automatisiert hingegen den Prozess deutlich mehr.
Überwachtes maschinelles Lernen
Bei dieser veritablen KI-Form kategorisiert ein Algorithmus alle erfassten Daten in Gruppen. Das überwachte maschinelle Lernen trainiert ihn darauf, Daten bestimmten Kategorien zuzuordnen. Nach ausreichendem Training erkennt er mit relativ hoher Wahrscheinlichkeit, wie Cyberbedrohungen prinzipiell aussehen. Gute Algorithmen des überwachten maschinellen Lernens unterscheiden inzwischen recht genau Bedrohungen von legitimem Datenverkehr. Im Grunde setzen sie auf der Big Data Analytik auf und treffen darüber hinaus durch die Rechnerleistung die Entscheidungen deutlich schneller als ein menschlicher Analyst. Das ist wichtig, weil gegenwärtige Bedrohungen mehrere Hundert Elemente enthalten können. Diese gilt es zu identifizieren und zu korrelieren. Das steigert den Erkennungsgrad. Die menschliche Validierung ist meistens nicht mehr erforderlich, sodass der Prozess deutlich schneller abläuft als mit bloßer Big Data Analyse.
Unüberwachtes maschinelles Lernen
Als KI in Reinkultur gilt das unüberwachte maschinelle Lernen. Dabei analysiert der Algorithmus zunächst die Daten und ordnet sie dann selbstständig bestimmten Kategorien zu, um sie anschließend korrelieren zu können. Das klingt höchst modern und grenzt an die Fähigkeit der menschlichen Intelligenz, solche Kategorien zu bilden, es führt aber auch zu Irrtümern. Experten für IT-Security gehen daher mit dieser höchsten Stufe des KI-Einsatzes bislang eher behutsam um. Unüberwachtes maschinelles Lernen wird beispielsweise schon recht häufig in Softwareprogrammen für das Recruiting von Job-Bewerbern eingesetzt, doch einige Unternehmen haben sich davon (vorläufig) wieder verabschiedet. So hatte ein prominenter Online-Händler mithilfe eines solchen Programms für eine ausgeschriebene Stelle plötzlich nur noch männliche Kandidaten vorgefunden. Der Grund: Die KI hatte ermittelt, dass der vorherige Job-Inhaber ein Mann gewesen war und daraus den Schluss gezogen, alle eingehenden Bewerbungen nach Geschlecht zu sortieren und Männer zu präferieren. Das bedeutet keinesfalls das Aus für unüberwachtes maschinelles Lernen, doch diese KI-Form steht offenkundig noch am Anfang ihrer Entwicklung und dürfte sich in einem sehr sensiblen Bereich wie der IT-Security nur in ausgereifter Form durchsetzen. Derzeit berichten Fachleute, dass unüberwachte Algorithmen unter Umständen Jahre für das Erlernen von Bedrohungsszenarien brauchen könnten – für die schnell wechselnden Bedrohungen der IT viel zu lange.
Fazit zur KI in der IT-Security
KI wird sich unweigerlich durchsetzen, um Online-Bedrohungen automatisiert zu blocken, doch die Entwicklung steckt prinzipiell noch in den Kinderschuhen. Zudem ist zu befürchten, dass auch die Angreifer KI einsetzen werden, was dann auf einen „Kampf der Maschinen“ hinausläuft.
