News

Cyberattacken explodieren. Homeoffice-Umgebungen erleichtern sie. Neue KI basierte Systeme schaffen proaktiv Sicherheit selbst gegen neuartige Angriffe. Um den Kunden den Weg in die Digitalisierung zu erleichtern, werden Datensicherheit, Zugriffskontrolle und Verwaltung aller Endgeräte zusammengeführt.

KI basierte Cyber Defense vs. Pattern basierte Antiviruslösung

Das Bessere ist der Feind des Guten: Voltaire prägte dieses Wort bereits in der 2. Hälfte des 18. Jahrhunderts. Ähnlich könnte auch die Beschreibung der aktuellen Situation im Bereich der Anti-Virus-Systeme lauten – wie man früher Anwendungen nannte, die Cyber- bzw. Hacker-Angriffe aller Art abwehren sollen. Im Folgenden wollen wir auf den Unterschied dieser beiden Herangehensweisen betrachten, wie man eine IT-Umgebung einer Organisation am besten gegen die Gefahr aus dem Cyberraum wappnet.

Die Gefahrenlage im Cyberraum

Die Bedrohung durch Cyberattacken wird leider immer noch unterschätzt. Das Ärgerliche ist dabei, dass sie stetig zunimmt: in der Anzahl, der Vielfältigkeit, beim Einfallsreichtum und in der Professionalität. Es geht längst nicht mehr nur darum, durch Erpressung und die Geiselnahme kompletter Datenverarbeitsumgebungen oder Teile der IT an das Geld der Nutzer, Firmen, Organisationen und Institutionen zu kommen. Vielmehr geht es immer öfter um Wirtschaftsspionage und das Verschaffen von Wettbewerbsvorteilen. Oder auch, und alles zugleich, um staatlich initiierte regelrechte Cyberkriegsschlachten. Der aktuelle Gefahrenbericht von BlackBerry Cylance listet die Bedrohungen auf.

Welcher Geschäftskunde in Gefahr ist, einer solchen Attacke ausgesetzt zu sein, hat BlackBerry in einem gerade erst veröffentlichten Bericht aufgezeigt. Man sollte sich nicht ins Boxhorn jagen lassen und meinen, iOS-Geräte seien nicht betroffen, wie das aktuelle iOS Native Email Zero Day Exploit zeigt.
Auch iOS ist nicht gegen Angriffe dieser Art gefeit. Wie ein aktueller Bericht zeigt, hat auch das Update auf das Release 13.5 die Problematik leider nicht endgültig beseitigt.

Die Liste der Berichte und täglichen Meldungen ist schier endlos. Wer sich in Sicherheit wiegt, ist schon lange nicht mehr nur naiv; er handelt zunehmend verantwortungslos: Dass die ganze Sache richtig gefährlich und teuer werden kann, zeigt beispielsweise der aktuelle Allianz Risk Report. Die BBC meldete im April 2020, dass Google z.B. jeden Tag 18 Mio. Corona Scam Mails blockiert.

Man sieht, das ist kein Spaß mehr. Das ist – leider! – bitterer Ernst und eine Gefahrenlage, für die es dringend eine Lösung braucht.

Was heißt das eigentlich – Cyberabwehr mit Künstlicher Intelligenz (KI)?

Künstliche Intelligenz ist ein Begriff, der auf den ersten Blick in die Irre führt. Ein Rechner kann nicht einfach Intelligenz eingepflanzt werden. Dafür ist immer noch zuerst einmal der Entwickler zuständig, der das Programm schreibt, das nach Durchsicht großer Datenbestände „schlau“ oder sogar „immer schlauer“ wird. Letztlich dient KI in der Abwehr von Cyberangriffen dazu, bei der Durchsicht großer Bestände an Daten über das Systemverhalten einen Zustand zu ermitteln, der „normal“ ist und um den herum das System in einer gewissen Bandbreite das System in seinem Verhalten schwanken darf. Diese Bandbreiten legen fest, ob das System „gesund“ und „normal“ oder „ungesund“ und damit „infiziert“ ist. Ein KI-System wird auch als lernendes System bezeichnet. Die Kybernetik hat damit Eingang in die Abwehr von Cyberattacken gefunden.

Man könnte also sagen, dass ein KI System so schlau ist wie die Mathematik, auf der die Messung des Normalzustandes neben den vom System erzeugten durchleuchteten und sich im laufenden Betrieb stetig verändernden Datenbeständen beruht. In der Tat ist es heute so, dass viele KI Systeme im Laufe der Zeit schlauer werden, als sie am Anfang waren, und es dazu nicht unbedingt einer neuen Sammlung von Formeln bedarf, um die Messungen immer besser zu machen. Das dabei eingesetzte Verfahren nennt man Deep Learning. Das Programm entwickelt sich durch die Messungen und seine Prüfergebnisse selbst weiter und wird in seinen automatisierten Diagnosen immer genauer.

Darüber hinaus haben KI basierte Cyber Defense Systeme die Fähigkeit, nicht nur Angriffe zu erkennen, die von außen eingetragen werden. Sie können auch Attacken aus dem Inneren einer Organisation aufdecken, sei es durch User, durch sogenannte Schläfersysteme, die bereits früher unerkannt eingetragen wurden oder von in Innen in das Corporate Intranet geladen worden sind. Sie können zusätzlich auch noch recht zuverlässig diagnostizieren helfen, welcher Art der Angriff ist, welche Systeme abgeschaltet oder abgetrennt werden sollten und welche Systeme und Daten befallen sind bzw. wurden.

Das erklärt auch, warum KI-basierte Systeme in einer ersten Phase eine IT-Umgebung einmessen müssen. Ihr wirkliches Potential entfalten sie, wenn eine kritische Datenmenge angelegt ist und nach Verhalten und Korrelationen durchsucht wurde. Deshalb werden sie mit einem gewissen Grundschutz ausgeliefert. Ihr großer Vorteil ist u.a., dass KI Systeme Attacken selbst dann äußerst zuverlässig als Attacken erkennen, wenn sie mit gänzlich neuen Methoden und Wegen in die gesicherte Umgebung eindringen.

Was ist das eigentlich – ein Pattern-basiertes Antivirensystem?

Die „alten“ Antivirensysteme gehen nach der Methode vor, aus jeder neuen Art der Attacke eine Immunisierung zu erzeugen, indem sie den Code und das Verhalten des Angriffs untersuchen und aus den Erkenntnissen ein Verfahren entwickeln, um die Schadsoftware und den Angriffsweg zu unterbinden. Diese Erkenntnisse werden in Patterns implementiert, die danach in Paketen an die Kunden des jeweiligen AV-Systems per Up- oder Download verteilt werden. Danach sind die Systeme der Kunden wieder sicher. Es versteht sich, dass ein Angreifer in der Regel wenigstens bei einem Kunden erfolgreich sein musste, um damit die Vorlage für die Analyse und die Pattern-Herstellung zu liefern. Erst dann waren wieder alle Kundensysteme sicher.

Man könnte dieses Verfahren mit der Entwicklung eines Impfstoffes und einer nachherigen Impfung vergleichen. Die Analogie mit Lebewesen ist nicht ohne Grund gewählt. Letztlich hat man dieses aus der Medizin bekannte Konzept durchaus erfolgreich auf die Datenverarbeitungssysteme übertragen.

Nicht nur Viren, die krank machen, auch Computerviren „mutieren“, werden also genau so stark verändert, dass sie an den bei den Angriffsopfern vorhandenen Immunisierungen vorbeischlüpfen können. Diese Verfahrensweise gleicht dem Hase-Igel-Rennen, bei dem der Igel durch einen Trick permanent die Nase vorn hat. Wenn ein AV-System allerdings den aktuellen Patternstand hat, ist es relativ sicher.

Warum KI-basierte Cyber Defense meistens die Nase vorn haben

Es bedurfte schneller Rechner, schneller Datenbanken, der Sammlung großer Datenmengen und der entsprechenden Mathematik, um KI-basierte Cyber Defense überhaupt möglich zu machen. Diese Gegebenheiten sind heute in allen IT-Umgebungen vorhanden.

Der Vorzug der KI ist es, dass sie „aktiv“ oder „pro-aktiv“ agiert. Verhält sich ein System nicht, wie es soll, wird ein Alarm ausgelöst und i.d.R. die Aktion selbst dann unterbunden, wenn der Angriff „neu“ ist, also in dieser Form bisher nicht bekannt war. Die KI erkennt auch den Angriff von Innen mit großer Zuverlässigkeit.

Pattern-basierte Systeme sind aufgrund ihrer Architektur immer reaktiv. Erst wenn ein neuer Angriff analysiert und die entsprechende „Impfung“ entwickelt wurde, können Systeme gegen diese Art des Angriffs wieder sicher gemacht werden. Die kleinste Mutation, also Veränderung, des Angriffs kann aber die Gefahr wieder reaktivieren.

Warum das Verwalten der Endpunkte, das Zugriffs- und Identitätsmanagement sowie die Cyber Security aus einer Hand kommen sollten

Die Analysten von Gartner haben in einer Untersuchung ermittelt, dass die Trennung der Verwaltung von Endgeräten, der Sicherung der Endpunkte, das Administrieren von Identity und Access Management sowie die Sicherung der IT-Umgebung von Organisationen in einer Hand liegen sollte. Gegenstand ist die Zukunft der Verwaltung von allen Endpunkten inkl. Wearables und IoT-Sensoren und -Steuerungen und deren unausweichliches Zusammenwachsten mit einem integrierter Cyber-Defense-Service.

Der Hintergrund ist, dass nur auf diesem Weg ein echtes und durchgängiges Zero Trust Konzept in Verbindung mit einer Zero Touch Erfahrung für den Benutzer erreicht werden. Nur dann werden die Benutzer diese Systeme gern einsetzen und nicht versuchen, im Sinne der Bequemlichkeit die Sicherheit umgehen.

Diese Umgebung kann mit dieser Verfahrensweise zusätzlich mit einer verhaltensbasierten Authentifizierung auf den Endgeräten gehärtet werden, so dass selbst der Diebstahl der User Credentials einen Zugriff auf die ihm zugeordneten Systeme und Umgebungen, seien es Cloud, Intranet oder hybride Infrastrukturen, dauerhaft ermöglicht. Zusätzlich erlauben es solche Auslegungen, dass Usern genau der Datenzugriff regional, zeitraumbasiert und use-case-zentrisch per Policies gewährt wird, den sie zur Erledigung ihre Aufgaben tatsächlich benötigen.