KI & Software Security

Der Einsatz von künstlicher Intelligenz (KI) hilft schon jetzt, auf effiziente Art und Weise Sicherheitslücken zu schließen und Cyberangriffe zu vereiteln. Auf der anderen Seite sollte man sich nicht zu sehr auf die KI verlassen, manches steckt noch in den Kinderschuhen und benötigt noch Verfeinerungen. Aber auch die Angreifer bedienen sich dieser Methoden und schaffen so neue Angriffsszenarien. Ich will hier einige Chancen und Herausforderungen ohne Anspruch auf Vollständigkeit aufzeigen.

Chancen

Verbesserte statische Codeanalyse
Künstliche Intelligenz sorgt dafür, dass Programmcode tiefer und genauer analysiert werden kann, ohne dass er wirklich ausgeführt werden muss. So werden Fehler schon während der Entwicklung gefunden und aufgezeigt und bedeutet enorme Kostenersparnis.

Analyse von Userverhalten
Viele Cyberattacken könnte man abwehren, wenn man die Usereingaben und -aktionen überwacht und analysiert. Dabei stößt man aber auf diverse Probleme. Zum einen ist das sehr aufwendig, zum anderen auch datenschutzrechtlich problematisch. Beide Probleme können mittels KI dennoch angegangen werden. Es wird dabei ermöglicht, dass die Checks schnell erfolgen, anonymisiert durchgeführt werden und die gesammelten Daten nur im Alarmfall gespeichert und aufbewahrt werden.

Analyse von Datenströmen
Auch hier kann die KI helfen, Unregelmäßigkeiten und Schwachstellen zu entdecken. Aktuelle Firewalls und Software zum Prüfen von E-Mailverkehr machen jetzt schon Gebrauch von KI. Auch hier kommt unter Umständen das Datenschutzthema zum Tragen, es ist aber mit Sicherheit eher vertretbar, dass solche Kommunikation nach objektiven Kriterien von einer KI beurteilt wird, als dass man menschlichem Securitypersonal Zugriff auf den Inhalt solcher Datenströme gewährt (abgesehen von den wahrscheinlich enormen Datenmengen, die da auf das Securitypersonal zukommt).

Automatisierte Penetrationstests
Der Einsatz von KI in Penetrationstests ist mittlerweile State-of-the-Art. Hier gibt es zwei Herangehensweisen. Die eine erfolgt nach einem Black-Box-Verfahren. Hierbei gibt man lediglich die Adresse des Servers bzw. der zu testenden Anwendung an und die KI sucht selbstständig nach Sicherheitslücken und Durchbruchsstellen. Es gibt aber auch White-Box-Varianten. Hierbei wird der KI auch Zugriff auf den Server selbst gegeben, sodass die KI Informationen sammeln kann, die der Angreifer nicht hätte.
Früher wurden solche Aufgaben ausschließlich von Spezialisten erledigt, die nicht dauernd und mit unbegrenzter Zeit zur Verfügung stehen. Ich will nicht behaupten, dass die KI diese Spezialisten schon ersetzen kann, jedoch können diese Test mittels KI Unterstützung viel häufiger und in einem viel größeren Umfang durchgeführt werden.

Herausforderungen

KI Unterstützung bei Angriffen
Es wird zwar auf diverse Arten von den Herstellern von Security-Software sichergestellt, dass deren Tool nicht für Angriffe genutzt werden können, trotzdem wäre es naiv, anzunehmen, dass die Angreifer nicht auch KI einsetzen. Zum Beispiel gibt es “Crawler”, die selbstständig das Internet nach Sicherheitslücken absuchen und diese an potentielle Hacker melden.
Uns muss also klar sein, dass unsere Applikationen angegriffen werden. Gedanken wie “Wer sollte was von uns wollen?” oder “Wer sollte in so einen Angriff auf uns etwas investieren?” sind mittlerweile absolut falsch am Platz. Der Angriff erfolgt automatisch, ohne a priori ein Ziel zu haben und verursacht beim Angreifer kaum Aufwand.

Eine andere Möglichkeit, KI zu Angriffszwecken zu nutzen, ist Big-Data Analyse von geleakten Daten. Damit wird einerseits das Knacken von Passwörtern einfacher (Es müssen nicht einfach alle Kombinationen durchprobiert werden, sondern die KI kann unterschiedliche Wahrscheinlichkeiten ableiten und so viel besser “raten”), andererseits werden dadurch die “Sicherheitsfragen” (“Wie hieß ihr erstes Haustier?”, “Wie ist der Mädchenname ihrer Mutter”) deutlich unsicherer. Auch “Social Engineering” (Also das Erlangen von vertraulichen Informationen über soziale Interaktionen) wird so einfacher, da man das “Opfer” deutlich besser kennt.
Dies bedeutet, dass wir bei der Auswahl von Passwörtern noch deutlich vorsichtiger werden müssen (oder überhaupt auf andere Identifikationsverfahren ausweichen sollten) . Es muss uns bewusst werden, dass wir, ob wir das wollen oder nicht, immer gläserner werden und niemanden vertrauen sollten, nur weil er uns gut “kennt”.

Anlernen der KI
Damit die KI richtig arbeiten kann, muss sie oft erst mit Informationen gefüttert werden, also sie muss lernen. Dies kann prinzipiell auf 2 Arten erfolgen. Entweder man stellt ihr die Informationen aufbereitet zur Verfügung (z.B. als Musterdaten oder Regeln) oder man lässt die KI arbeiten und gibt ihr Feedback und verbessert sie so ständig. Im Normalfall wird eine Kombination aus beidem sinnvoll sein.
Es erfordert also Spezialisten, die sowohl die KI am Anfang richtig einstellen als auch im Betrieb dann warten und gegebenenfalls korrigieren.

Analysieren und Auswerten der Alarme
Oft sind die KIs so eingestellt, dass eher einmal zu oft “Alarm” geschrien wird als zu wenig. Prinzipiell ist das auch gut so, man muss diese Alarme dann halt richtig interpretieren und weiterverarbeiten. Es wird auch notwendig sein, das Verhalten der KI anzupassen, um die Trefferquote zu erhöhen und die False-Positive-Rate nach unten zu treiben. Sorgfalt und Gewissenhaftigkeit ist hier geboten. Schnell werden manche Überprüfungen einfach abgeschaltet, weil sie dauernd anschlagen, anstatt sie richtig einzustellen und kontinuierlich zu verbessern.

Falsche Sicherheit
Man darf nicht der Versuchung erliegen, die ganze Verantwortung an die KI zu übergeben. Das System ist immer nur so sicher wie das schwächste Glied. Es ist ein gesamtheitliches Security Konzept notwendig. Defensive Programmierung, saubere Serverarchitektur und Aufmerksamkeit bezüglich Social Engineering kann nicht durch KI-gesteuerte Überprüfungen ersetzt werden.