Mit Künstlicher Intelligenz gegen Hacker kämpfen

"KI erhöht die Erkennungsrate um den Faktor 100"

von - 18.05.2017
Christian Nern
Head of Security Software DACH bei IBM Deutschland
(Quelle: IBM )
Christian Nern ist Head of Security Software DACH bei IBM. Im Interview erklärt er, was IBM unter Security Intelligence versteht, wie Watson for Cybersecurity mit Künstlicher Intelligenz die Sicherheit erhöht und warum der Mensch wichtig bleibt.
com! professional: Threat Intelligence und Security Intelligence sind in aller Munde. Was verstehen Sie darunter?
Christian Nern: Threat Intelligence (TI) meint das Sammeln und die Analyse von Daten über Schwachstellen oder Angriffe in der IT-Umgebung, das Erkennen von Mustern in Angriffen oder dem Nutzerverhalten. TI ist damit eine wichtige oder sogar die Kernkomponente von Security Intelligence (SI), bei der es um das Erkennen und Vermeiden von Angriffen geht. SI-Lösungen bilden eine neue Generation intelligenter Systeme, die nahezu alles über die IT-Landschaft und deren Bedrohungen, Angriffe und Sicherheits-Events wissen. Und je mehr ich weiß, desto präziser kann ich regelbasierte und (teil-)automatisierte Gegenmaßnahmen ergreifen.
com! professional: Welche Funktionen sollte eine SI-Lösung denn auf jeden Fall mitbringen?
Nern: Sie sollte aus der großen Menge an Daten Muster auch von komplexen Angriffen erkennen, flexibel auf Hackerangriffe reagieren, Handlungsempfehlungen geben und Warnungen proaktiv aussprechen. Idealerweise sind SI-Lösungen modular aufgebaut, damit man sie schrittweise erweitern kann. Und sehr wichtig ist der Plattformgedanke, das heißt, Security Intelligence darf keine Insellösung sein, sondern muss über Schnittstellen auch mit den Lösungen anderer Hersteller zusammenarbeiten.
com! professional: Sie haben die großen Datenmengen angesprochen, die SI-Lösungen verarbeiten. Aus welchen Datenquellen stammen die Inhalte?
Nern: IBM hat selbst 300 Security Operations Center (SOCs) für Großkunden, in denen wir Informationen wie Sicherheits-Events und Warnungen, Logs und Konfig-Daten, Benutzer- und Netzwerkstatistiken, Bedrohungs- und Schwachstellen-Feeds sammeln. Diese Daten werden alle fünf Minuten aktualisiert.
Dank Watson for Cybersecurity können wir in unseren SOCs jetzt auch neue Quellen wie forensische Analysen, Angriffsberichte, Forschungsuntersuchungen, Whitepaper, Tweets, Blogs, Wikis und Webseiten mit Security-Inhalten auswerten. Insgesamt speisen wir Watson mit Informationen aus rund zehn Milliarden Knoten beziehungsweise Referenzquellen. So erhalten wir ein umfassendes Bild der Security-Lage in Unternehmen. Denn viele Firmen nutzen im Schnitt nur 8 Prozent des Sicherheitswissens.
com! professional: Sie sprechen im Zusammenhang mit Watson for Cybersecurity immer von kognitiver IT-Sicherheit. Was meinen Sie damit?
Nern: Mit Watson setzen wir auch maschinelles Lernen und Künstliche Intelligenz ein, um die Sicherheit von Unternehmen zu erhöhen. Dazu trainierten und fütterten IBM-Experten das System seit Anfang 2016 mit über einer Million sicherheitsbezogener Dokumente. Dank der kognitiven Technologie können wir Cyberbedrohungen schneller und effizienter abwehren. Unternehmen erleben im Schnitt 200.000 sicherheitsrelevante Ereignisse pro Tag. Das zeigt, dass die IT-Fachkräfte Unterstützung von intelligenten Maschinen brauchen.
com! professional: Welche Vorteile bringen KI und Machine Learning für den Schutz von Unternehmen?
Nern: Sie erhöhen deren IT-Sicherheit enorm. Das zeigen 40 Beta-Tests von Watson for Cybersecurity in Unternehmen. Zum einen analysiert und wertet Watson umfangreiche Datenmengen fast in Echtzeit aus, in Sekunden statt Minuten. Die Maschine findet Angriffe, Threats oder sicherheitsrelevante Ereignisse um das Fünf- bis Zehnfache schneller als andere Systeme. Da Watson for Cybersecurity die Relationen von Threats und Events visualisiert und neu erkannte Bedrohungen andersfarbig markiert, vereinfacht sich die Arbeit der Security-Experten. Auch die Erkennungsrate von verdächtigen Ereignissen und damit der Ausschluss von False Positives ist um den Faktor 100 gestiegen. Watson erkennt auch komplexe Angriffe, zeigt deren Konsequenz für den betroffenen Endpunkt und gibt auf Basis von Logik Handlungsempfehlungen für Sicherheitsmaßnahmen.
com! professional: Wie sehen diese Handlungsempfehlungen aus?
Nern:
IBM X-Force Command Center: Security Analysten bei der Arbeit.
(Quelle: Feature Photo Service  )
Hier muss ich vorausschicken, dass Watson for Cybersecu­rity Teilmodul einer integrierten, vernetzten Sicherheitslösung mit IBM QRadar als Kernstück ist. Watson erstellt die Handlungsempfehlung auf Basis von Best Practices, sprich den wahrscheinlichsten und bisher besten Reaktionen auf entsprechende Angriffe. So rät Watson etwa, den betroffenen Client zu isolieren oder einen Patch aufzuspielen. Die verknüpfte Lösung IBM BigFix Detect setzt die empfohlene Reaktion dann regelbasiert und teilweise automatisiert um. Bei vielen Lösungen läuft dieser Prozess zum Teil noch manuell ab.
com! professional: Können kognitive Technologien Security-Experten ersetzen?
Nern: Nein, natürlich nicht. Selbst wenn Security Intelligence in­stalliert ist, sind Unternehmen noch nicht sicher. SI funktioniert nur, wenn in den Firmen Security-Prozesse vorhanden sind auf Basis von Risikoanalyse, Sicherheits-Policies, Notfallplan oder Schulung der Mitarbeiter. SI-Lösungen unterstützen die Security-Mitarbeiter mit Auswertungen und Handlungsempfehlungen bei Angriffen. Dies wird zukünftig noch relevanter, da die Menge der Security-Daten weiter steigt.
Unternehmen müssen wissen, was bei ihnen passiert. Sie sollten auch ihre Sichtweise von Security ändern: Es reicht nicht mehr, sich mit Firewalls, Proxies oder Gateways abzuschotten und Mauern hochzuziehen. Stattdessen benötigen sie intelligente Systeme mit KI, die vernetzte Plattformen bilden anstelle von Insel­lösungen, die nicht zusammenarbeiten.
Verwandte Themen