Im Gespräch mit Dennis Monner, CEO von Securcloud

Erst neuronale Netzwerke machen eine IT-Sicherheitslösung wirklich intelligent, sagt Dennis Monner, CEO des IT-Security-Spezi­alisten Secucloud.

com! professional: Herr Monner, wie bewerten Sie den Nutzen, aber auch die Risiken von Künstlicher Intelligenz im Bereich IT-Sicherheit? Denn mittlerweile setzen ja auch Cyberkriminelle diese Technologie ein.

Dennis Monner: Es ist richtig, dass auch Hacker KI zunehmend für ihre Zwecke einsetzen, etwa um Sicherheitslücken zu identifizieren und auszunutzen. Daraus entwickelt sich mehr und mehr ein regelrechter Wettstreit zwischen automatisiertem Hacking und KI-basierten Schutzmaßnahmen. Denn in dem Maß, in dem Cyberkriminelle Künstliche Intelligenz für ihre Zwecke nutzen, müssen auch wir mit entsprechenden Maßnahmen kontern, um in diesem Rennen möglichst immer einen Schritt voraus zu bleiben.

Monner: Gerade Systeme zur kontinuierlichen Analyse des Netzwerkverkehrs (netzwerkbasierte Intrusion-Detection-Systeme) sind weiterhin nur selten mit intelligenten Funktionen ausgestattet. Was sich vielmehr beobachten lässt, ist eine Verarbeitung großer Datenmengen auf Basis von maschinellem Lernen, um auf diese Weise Malware-Signaturen zu erstellen. Dieser Ansatz ist nicht zwingend auf die Nutzung Künstlicher Intelligenz angewiesen.

Monner: Ein Beispiel für ein echtes KI-Szenario in der Security-Branche ist ein selbstlernendes System, das sich auf dieselbe Weise weiterentwickelt, wie wir es von einem künstlichen Gehirn erwarten würden. 

Die Grundlage für ein solches System ist ein neuronales Netz, mit dem sich eine Art Gedächtnis erzeugen lässt: Werden bestimmte Verbindungen zwischen den einzelnen Knoten immer wieder aktiviert, werden diese stärker gewichtet. Auf diese Weise trainiert das neuronale Netz.

Monner: Ein Anwendungsszenario könnte beispielsweise ein netzwerkbasiertes Intrusion-Detection-System (N-IDS) sein, das Sicherheitsverletzungen nicht mehr rein auf Basis bereits bekannter Angriffsmuster erkennt. Stattdessen ist es in der Lage, mit Hilfe eines neuronalen Netzes zu „verstehen“, welche Merkmale unbedenklichen von schädlichem Netzwerkverkehr unterscheiden.

Mit einem solchen neuronalen Netz könnten sich Infrastrukturen schützen lassen, ohne dass eine kontinuierliche Aktualisierung einer Signaturdatenbank erforderlich wäre. Vielmehr würde das System durch die Verarbeitung des Netzwerkverkehrs lernen und sich so im Praxiseinsatz kontinuierlich weiterentwickeln.

com! professional: Wie aufwendig ist es, ein solches neuronales Netzwerk für Anwendungen im Bereich IT-Sicherheit zu trainieren?

Monner: Das Training ist in der Tat ein schwieriges Unterfangen, weil der Netzwerkverkehr heterogen ist und sich daher schwer analysieren lässt. Ein Lösungsansatz findet sich jedoch interessanterweise in einem völlig anderen Einsatzgebiet der KI: der Bild­erkennung. Um beispielsweise eine Katze auf einem Foto zu identifizieren, greifen Suchmaschinen heute auf sogenannte Convolutional Neural Networks zurück. Diese sind darauf spezialisiert, Input visuell zu analysieren. 

Tatsächlich lässt sich auch Netzwerkverkehr visuell darstellen - in Form eines Graustufenbilds, bei dem jedes Byte als ein Pixel dargestellt wird. Konfrontiert man das neuronale Netz nun mit den „Bildern“ von harmlosem und schädlichem Netzwerkverkehr, dann kann das KI-System darauf trainiert werden, die beiden Verkehrstypen voneinander zu unterscheiden.

com! professional: Das hört sich einfach an. Doch welche Hürden sind bei einem solchen Ansatz zu nehmen?

Monner: Zum einen muss der Netzwerkverkehr temporär entschlüsselt werden - etwa mit Hilfe von SSL-Interception. Außerdem ist es notwendig, die einzelnen Protokolle des Datenstroms, wie HTTP, HTTPS oder SMTP, voneinander zu trennen. Erst dann ist ein KI-gestütztes Security-System in der Lage, die einzelnen Schichten zu analysieren. Und drittens sollten die KI-Algorithmen idealerweise in der Cloud implementiert werden. Dies stellt sicher, dass die zur Analyse erforderliche Rechenleistung zur Verfügung steht.

Sind diese Voraussetzungen erfüllt, könnten auf Basis derselben Technologie, die zur Bilderkennung genutzt wird, spezielle KI-Klassifikatoren trainiert werden. Diese wiederum sind dann in der Lage, den Netzwerkverkehr visuell zu analysieren und als unbedenklich oder schädlich einzustufen. Das System würde dabei durch Erfahrung lernen und sich kontinuierlich selbst verbessern.