Maschinelles Lernen und Künstliche Intelligenz finden ihren Weg in die IT-Sicherheit. Die Auswirkungen sind nicht immer nur gut, wie der Security-Hersteller Palo Alto an einem nicht ganz ernst gemeinten Beispiel erläutert.
Künstliche Intelligenz umfasst eine ganze Reihe von Methoden und Technologien. Palo Alto Networks zeigt anhand von drei Varianten auf, wie Unternehmen erkennen, ob eine Sicherheitslösung Künstliche Intelligenz verwendet, und ob sie davon profitieren.
1. Big-Data-Analytik lässt im Zweifel den Menschen entscheiden
Die erste Anwendung Künstlicher Intelligenz ist die Big-Data-Analytik. Dabei kommen statistische Analysen des Datenverkehrs von Websites und E-Mails oder anderer Netzwerkdaten zum Einsatz, um Anomalien zu erkennen, die auf Sicherheitsbedrohungen hinweisen. Dieses Verfahren analysiert beispielsweise in E-Mails die Herkunft, den eingeschlagenen Weg und den Betreff, um vorherzusagen, ob es sich um eine Bedrohung handelt.
Der Prozess ist recht einfach und identifiziert oft False Positives, wodurch legitimer Datenverkehr als bösartig eingestuft wird. Um dies zu vermeiden, werden die Analysen im Zweifelsfall an menschliche Experten weitergeleitet, die dann eine Entscheidung fällen. Dies ist dann keine reinrassige Künstliche Intelligenz. Schließlich beruht die Anwendung in hohen Maß auf menschlichen Entscheidungen.
2. Überwachtes maschinelles Lernen ist schneller als der Mensch
Eine weitere Erscheinungsform Künstlicher Intelligenz ist das maschinelle Lernen. Hier kategorisiert ein Algorithmus die Daten in verschiedene Gruppen. Beim überwachten maschinellen Lernen wird der Algorithmus trainiert, Daten in Kategorien einzuteilen. Er bekommt beispielsweise kommentierte Bildern von Katzen und Hunden, damit er diese in Zukunft unterscheiden kann. Mit genügend Daten über Cyberbedrohungen kann Machine Learning zwischen Sicherheitsrisiken und dem legitimen Datenverkehr sicher unterscheiden.
Überwachtes maschinelles Lernen ist wie Big-Data-Analytik mit Doping. Diese Technologie trifft Entscheidungen viel schneller als der Mensch. Die heutigen Bedrohungen bestehen oft aus Hunderten von Elementen. Je mehr sich identifizieren und korrelieren lassen, desto besser ist die Qualität der Erkennung. Sicherheitspraktiker führen eine Aktion nur dann durch, wenn sie genau wissen, dass sie ein Problem richtig erkannt haben. Daher muss in vielen Fällen ein Mensch die endgültige Entscheidung treffen. Die Fähigkeit, mit Machine Learning Cyberbedrohungen möglichst zuverlässig zu identifizieren, ist dennoch von Vorteil. Dies gilt insbesondere dann, wenn automatisierte Maßnahmen eingesetzt werden, ohne dass menschliche Validierung den Prozess verlangsamt.
3. Unüberwachtes maschinelles Lernen ist die langsamste Variante
Beim unüberwachten maschinellen Lernen findet ein Algorithmus seine Erkenntnisse, ohne dafür trainiert zu werden. Er bringt sich beispielsweise selbst bei, dass einige Bilder Kühe und andere Zebras zeigen. Dies ist zeitaufwändig. Setzt man einen unüberwachten Algorithmus auf Sicherheitsdaten an, kann es Jahre dauern, bis sich ein lohnendes Ergebnis vorliegt. Die daraus hervorgehenden Erkenntnisse, etwa die Identifizierung bestimmter Codezeilen, die mit Viren oder Angriffen verbunden sind, können allerdings sehr wertvoll sein. Der Algorithmus könne etwas Erstaunliches finden, an das unser menschliches Gehirn gar nicht gedacht hätte.
Eine Analogie aus der Küche soll die Bewertung erleichtern
Palo Alto Networks schlägt einen Weg vor, um Künstliche Intelligenz abseits aller Technologie zu klassifizieren. Helfen soll dabei eine Analogie aus der Küche: Big-Data-Analytik sei wie das Zubereiten von Bohnen auf Toast oder das Kochen von Nudeln mit Tomatensauce. Es gebe nur zwei einfache Zutaten, aber der Koch müsse sicherstellen, dass er das beste Verhältnis von Bohnen und Toast hat. Die Datenanalyse suche nach Beispielen, bei denen das Gleichgewicht nicht stimmt und markiere die Anomalie, damit ein menschlicher Koch den Fehler beheben kann.
Das überwachte maschinelle Lernen ermögliche es, die Zutatenliste zu erweitern. Es sei wie ein gutes Curry mit vielen Gewürzen. Je mehr Zutaten es gebe, desto höher ist die Anzahl möglicher Kombinationen. Überwachtes maschinelles Lernen führe wie ein Koch sehr viele Experimente durch, um die beste Mischung zu erhalten.
Kieselsteine in der Suppe als Experiment
Unüberwachtes maschinelles Lernen lasse sich mit Rezepten des britischen Experimentalkochs Heston Blumenthal vergleichen. Dort gebe es keine Begrenzung für die Inhaltsstoffe und Methoden. Der Koch habe auch keine Vorurteile darüber, was akzeptabler Geschmack ist. Kürzlich habe er sogar vorgeschlagen, eine Suppe mit Kieselsteinen zu verdicken. Es gebe wenig Einigkeit unter anderen Köchen oder Gästen, ob dies eine gute Idee ist. Beim Erkennung von Bedrohungen würde eine derartige Unsicherheit wenig helfen. Hier sei eine zuverlässige Antwort nötig.
Um zu prüfen, ob eine Sicherheitslösung auf Basis Künstlicher Intelligenz ihren Geschäftsanforderungen entspricht, sollten Unternehmen laut Palo Alto Networks berücksichtigen, wie viele Daten sie produzieren und wie sensibel und wertvoll diese sind. Vielleicht brauchten sie lediglich Bohnen auf Toast, vielleicht wollen Sie ein Curry oder gar ein ganz neues Geschmackserlebnis. Künstliche Intelligenz biete ein völlig neues Niveau der Cybersicherheit. Die Herausforderung bestehe darin, zu entscheiden, welches Rezept jeweils am besten passt. Jürgen Frisch
