[datensicherheit.de, 04.02.2025] „Mit der zunehmenden Verbreitung von IoT-Geräten, die tief in das tägliche Leben eingebunden werden, steigt der Bedarf an fortschrittlichen, beliebig skalierbaren Sicherheitslösungen in allen Unternehmen und Branchen enorm“, betont Thomas Boele, „Regional Director Sales Engineering CER/DACH“ bei Check Point Software Technologies, in seiner aktuellen Stellungnahme. Herkömmliche Sicherheitsansätze hätten oft mit der begrenzten Leistung von IoT-Geräten zu kämpfen, was die Fähigkeit zur Durchführung umfassender Sicherheitskontrollen einschränke. Diese Herausforderung habe nun den Weg für sogenanntes Eingebettetes Maschinelles Lernen („Embedded ML“ oder „TinyML“ / EML) geebnet – „eine einzigartige Lösung, um die Sicherheitsanforderungen an moderne IoT-Geräte zu erfüllen“.

Foto: Check Point Software Technologies

Thomas Boele erläutert die EML-Rolle als leistungsstarkes Werkzeug für Innovationen im Bereich der IoT-Sicherheit

Neben den Vorteilen intelligenterer und anpassungsfähigerer IoT-Geräte beseitigt EML Sicherheitsbeschränkungen von Systeme mit geringer Leistung

EML verändere das IoT und eingebettete Systeme, „indem es Geräten ermöglicht, Datenanalysen und Entscheidungsfindungen direkt auf dem Gerät durchzuführen“. Diese lokale Verarbeitung verringere die Latenz erheblich und verbessere den Datenschutz, da die Informationen nicht in eine „Cloud“ übertragen werden müssten. Neben den Vorteilen intelligenterer und anpassungsfähigerer IoT-Geräte beseitige EML die Sicherheitsbeschränkungen von Systeme mit geringer Leistung, da es eine maßgeschneiderte, unabhängig arbeitende Intelligenz auf Geräteebene biete.

Boele führt aus: „Da IoT-Geräte jedoch immer intelligenter werden, sind sie auch komplexer und potenziell anfälliger für ausgeklügelte Cyber-Bedrohungen. Cyber-Kriminelle nutzen daher ML-Techniken zur subtilen Manipulation von Eingabedaten, wodurch IoT-Geräte falsch klassifiziert werden oder Fehlfunktionen aufweisen, ohne sie Alarm zu schlagen.“

Darüber hinaus könnte dies zu falschen IoT-Aktionen führen, z.B. zur Fehlinterpretation von Messwerten oder gar zur Abschaltung. Besonders gefährlich sei dies in OT-Umgebungen und Kritischen Infrastrukturen (KRITIS). „Ein Ausfall bedeutet eine teure Unterbrechung des Betriebes. Im schlimmsten Fall drohen Angriffe auf die Energie-Infrastruktur infolge der Anforderungen aus dem ,Solarspitzen-Gesetz’.“

EML quasi als geheime und unsichtbare Sicherheitswaffe

EML nutze die Leistung des Maschinellen Lernens direkt in kleinen IoT-Geräten mit geringem elektrischen Energieverbrauch und ermögliche es ihnen, Bedrohungen lokal auf dem Gerät zu erkennen und zu verhindern. Durch die Einbettung von dieser Sicherheits-Intelligenz direkt in IoT-Geräte meistere EML die wichtigsten Sicherheitsherausforderungen und bietee erhebliche Vorteile für eine Vielzahl von Branchen.

„Eine der überzeugendsten Eigenschaften von EML ist die Fähigkeit, eine unsichtbare Sicherheitsebene zu schaffen, auf der sich IoT-Geräte autonom und ohne menschliches Eingreifen selbst überwachen und vor neuen, aufkommenden Bedrohungen schützen können.“ Dieser unsichtbare Ansatz bedeutet demnach, dass die Sicherheitsmaßnahmen unauffällig im Hintergrund ablaufen, ohne sichtbare Kameras oder aufdringliche Hardware erforderlich zu machen. Dies mache die Lösung ideal für sensible Umgebungen, wie Krankenhäuser bzw. KRITIS, in denen offensichtliche Sicherheitsvorrichtungen unpraktisch oder sogar störend sein könnten.

Für Branchen und Unternehmen biete diese sich selbst überwachende, wartungsarme Verteidigungsarchitektur einen großen Vorteil, da sie den Bedarf an häufigen manuellen Updates oder aktiver Überwachung reduziere. „Die Fähigkeit von EML, unsichtbar zu bleiben, beruht auf seiner nahtlosen Integration in den Gerätebetrieb. Es analysiert leise Daten und passt sich an Bedrohungen an, sobald diese auftauchen“, so Boele.

Mit EML die IoT-Compliance verbessern

Nationale Vorschriften, wie der „Cyber Resilience Act“ (CRA) der EU, schrieben vor, dass sensible Daten sicher und unter strengem Schutz der Privatsphäre verarbeitet werden müssten. EML ermögliche eine lokale Verarbeitung und stelle sicher, dass die Daten zur Analyse nicht an zentrale „Cloud“-Server übertragen werden müssten. Im Falle einer Datenschutzverletzung sähen weitere Vorschriften, wie die DSGVO, strenge Bußen vor, die davon abhingen, „wie ein Unternehmen mit der Sicherheit umgegangen ist“.

EML verbessere die lokale Erkennung und Vorbeugung, d.h.: „Es kann einen Verstoß oder verdächtige Aktivitäten identifizieren, bevor sensible Daten übertragen oder gefährdet werden.“ Diese Sicherheitsmaßnahme verringere das Risiko eines Verstoßes und helfe Unternehmen, die Vorschriften einzuhalten und Geldbußen zu vermeiden.

„Die Einhaltung von Vorschriften in IoT-Umgebungen kann komplex sein, insbesondere wenn die Anzahl der angeschlossenen Geräte steigt. Die schlanke EML-Lösung lässt sich dagegen ohne großen Aufwand in eine große Anzahl von Geräten integrieren und ermöglicht es Unternehmen, die Einhaltung von Vorschriften in großen IoT-Netzwerken effizient zu verwalten.“ Es stelle sicher, dass die Sicherheitsprotokolle auf allen Geräten einheitlich angewandt würden, so dass umfangreiche Compliance-Maßnahmen leichter zu bewältigen seien.

EML-Vorteile auf einen Blick

Die wichtigsten Vorteile des Eingebetteten Maschinellen Lernens lt. Boele:

Lokale Verarbeitung zur Erkennung von Bedrohungen
EML-Modelle könnten Bedrohungen in Echtzeit erkennen, indem sie direkt auf den Geräten ausgeführt würden, wodurch die Verzögerung bei der Erkennung und Reaktion auf potenzielle Angriffe verringert werde. Dies sei von entscheidender Bedeutung für Anwendungen, die eine schnelle Erkennung von und Reaktion auf Bedrohungen erforderten, wie „Smart Home Security“ und industrielle Überwachung, wo Latenz ein Sicherheitsrisiko darstellen könne.

Kostengünstige Möglichkeit zur Skalierung der IoT-Sicherheit für ältere Geräte
Viele Branchen hätten stark in veraltete Geräte investiert, denen es an harten Sicherheitsvorkehrungen mangele und die nur schwer zu aktualisieren seien. Die minimalen Verarbeitungs- und Speicheranforderungen von EML bedeuteten, dass selbst ältere IoT-Geräte mit einer zusätzlichen Sicherheitsschicht ausgestattet werden könnten, ohne eine vollständige Aufrüstung der Hardware erforderlich zu machen. Dies senke die Kosten und verbessere gleichzeitig die netzwerkweite Sicherheit – ein besonders wertvoller Punkt für CISOs, die mit Budget-Beschränkungen oder der Skalierung in großen IoT-Ökosystemen zu kämpfen hätten.

Geringere „Cloud“-Abhängigkeit
Aufgrund seiner Fähigkeit, Aufgaben lokal auszuführen, minimiere EML die Abhängigkeit von der „Cloud“, was den Bandbreiten- und Verbrauch elektrischer Energie reduziere. Dieser lokalisierte Ansatz sei in Szenarien mit eingeschränkter Konnektivität von Vorteil. Diese netzunabhängige Einrichtung sei ideal für die Überwachung in der Landwirtschaft oder beim Schutz der Tierwelt, bei Autonomen Fahrzeugen oder im Untertagebau, da viele dieser Bereiche normalerweise nicht geschützt seien. Außerdem werde der Datenschutz verbessert, da sensible Informationen das Gerät nicht verlassen müssten.

Geringere Bandbreitennutzung
Durch die lokale Verarbeitung von Daten werde die über das Netzwerk übertragene Datenmenge reduziert, was die Bandbreite weniger beanspruche und EML für netzwerkbeschränkte Umgebungen geeignet mache.

Nachhaltigkeit und Energieeffizienz
EML-Modelle seien auf minimalen Energieverbrauch optimiert, so dass batteriebetriebene IoT-Geräte auch bei der Durchführung von Sicherheitsaufgaben eine lange Lebensdauer hätten. Dies sei in Bereichen wie der Umweltüberwachung, in denen Geräte über Monate oder Jahre hinweg ohne menschliches Eingreifen arbeiten soltlen, von entscheidender Bedeutung. Dies unterstütze Nachhaltigkeitsziele, indem die Lebensdauer von IoT-Geräten verlängert und der Energiebedarf gesenkt werde.

Autonomer Betrieb und Ausfallsicherheit
In Kritischen Anwendungen wie dem Industriellen IoT (IIoT) ermögliche EML den autonomen Betrieb von Geräten, „die Unregelmäßigkeiten ohne externe Eingriffe erkennen und behandeln“. Diese Autarkie sei für abgelegene oder gefährliche Umgebungen, in denen menschliches Eingreifen nur begrenzt möglich sei, von entscheidender Bedeutung, da IoT-Geräte auch dann weiter funktionierten, „wenn sie von zentralen Systemen getrennt sind“.

Erleichtert adaptives Lernen
EML-Modelle könnten auf dem Gerät trainiert und feinabgestimmt werden, so dass sich IoT-Geräte an veränderte Umgebungsbedingungen anpassen könnten. In der Intelligenten Landwirtschaft könnten sich die Modelle beispielsweise an unterschiedliche Bodenbedingungen oder Wettermuster anpassen, so dass die Geräte besser auf Veränderungen in der Umwelt reagieren könnten, ohne eine ständige Neuprogrammierung von einem zentralen Server erforderlich zu machen.

Das menschliche Element der IoT-Sicherheit – EML lernt menschliche Verhaltensmuster
Es könne auch menschliche Verhaltensmuster erlernen und analysieren und so die Sicherheit durch das Aufspüren von Anomalien verbessern. „Das mag futuristisch klingen, ist aber sehr praktisch: Zum Beispiel können intelligente Schlösser verdächtige Bewegungen an einer Tür erkennen, oder industrielle Systeme merken, wenn die Anwesenheit von Menschen unüblich erscheint.“ Dies füge der IoT-Sicherheit eine Ebene der Verhaltensanalyse hinzu und verdeutliche, wie sie mit dem Null-Toleranz-Sicherheitsmodell in Einklang gebracht werden könne, „indem sichergestellt wird, dass nur geprüftes und erwartetes Verhalten zugelassen wird“.

Die Zukunft autarker IoT-Sicherheit mittels EML

„EML-Sicherheitsanwendungen bergen ein enormes Potenzial für die Schaffung eines sichereren, widerstandsfähigeren IoT-Ökosystems, indem sie schnelle, energieeffiziente und datenschutzfreundliche Sicherheitslösungen direkt auf der Geräteebene bereitstellen“, unterstreicht Boele. Doch wie bei jeder neuen Technologie, so gebe es auch hier Herausforderungen: Hacker könnten EML-Modelle missbrauchen, um eine Entdeckung zu vermeiden, „was ein Risiko darstellt“. Um diese Bedrohungen einzudämmen, seien kontinuierliche Forschungs- und Entwicklungsanstrengungen erforderlich, um die Integrität und Robustheit der Daten zu gewährleisten und sie vor Angriffen und Manipulationen zu schützen.

Auf Maschinellem Lernen basierte IoT-Bedrohungen könnten grob in zwei Kategorien eingeteilt werden: Sicherheitsangriffe und Verletzungen der Privatsphäre. „Sicherheitsangriffe konzentrieren sich auf die Beeinträchtigung der Datenintegrität und -verfügbarkeit, während Verletzungen der Privatsphäre auf die Vertraulichkeit und den Schutz der personenbezogenen Daten zielen.“ Zu den wichtigsten Beispielen für diese Bedrohungen gehörten die folgenden drei Angriffsarten:

Angriffe auf die Integrität
Integritätsangriffe zielten darauf ab, das Verhalten oder die Ausgabe eines Maschinellen Lernsystems zu manipulieren, indem seine Trainingsdaten oder sein Modell verändert würden. Durch die Einspeisung falscher Daten könnten Angreifer die Genauigkeit des Modells beeinträchtigen und das Vertrauen der Benutzer untergraben, ähnlich wie die Vermischung von minderwertigen Produkten mit hochwertigen Produkten bei Inspektionen die Glaubwürdigkeit insgesamt beeinträchtige. Im Internet der Dinge könne die Manipulation von Sensordaten für die vorausschauende Wartung das Modell in die Irre führen, was zu falschen Vorhersagen oder unsachgemäßen Wartungsmaßnahmen führe, welche die Funktionalität und Zuverlässigkeit der Geräte beeinträchtigten.

Angriffe auf die Verfügbarkeit
Verfügbarkeitsangriffe zielten auf das normale Funktionieren von auf ML basierenden IoT-Systemen, indem sie Unterbrechungen verursachten oder ungenaue Ergebnisse erzeugten, die zu Abstürzen, Dienstunterbrechungen oder fehlerhaften Ergebnissen führten. Ähnlich wie bei Verkehrsstaus oder Kommunikationsstörungen, so überforderten diese Angriffe die Systeme und verhinderten legitime Reaktionen. Auf diese Weise könnten Denial-of-Service-Angriffe auf ein Smart-Home-System dieses mit Befehlen überlasten, „so dass es nicht mehr reagiert, während die Überflutung von Sensornetzwerken mit übermäßigen oder fehlerhaften Daten eine rechtzeitige Entscheidungsfindung verzögern oder verhindern kann“.

Angriffe auf die Vertraulichkeit
„Vertraulichkeitsangriffe zielen auf ML-Systeme ab, um an sensible oder private Daten zu gelangen. Im Internet der Dinge können solche Angriffe zu unbefugtem Zugriff und zur Preisgabe sensibler Daten führen und so die Privatsphäre, Geschäftsgeheimnisse oder sogar die nationale Sicherheit gefährden.“ Angreifer könnten Seitenkanalangriffe nutzen, um Details aus elektrischen Energieverbrauchsmustern aufzudecken, oder Modellinversionstechniken verwenden, um persönliche Informationen zu rekonstruieren, wie Gesichtsmerkmale aus der Ausgabe eines Gesichtserkennungssystems.

Investition in EML kosteneffizienter als herkömmliche „Cloud“-IoT-Sicherheitsmethoden – zudem werden „Cloud-“Abhängigkeit und Bandbreitenanforderungen reduziert

Außerdem gebe es die Angriffe auf die Trainingsdaten von IoT-Szenarien, also Angriffe auf das Modell selbst. In Zukunft würden vielleicht EML-Modelle mit adaptiven, selbstheilenden Fähigkeiten versehen werden, welche sich nach Angriffsversuchen automatisch neu kalibrierten und so die IoT-Sicherheit weiter stärkten.

Die Auswirkung von EML auf das „Smart Edge Computing“ liege in der Fähigkeit, Intelligente Verarbeitung direkt an den „Edge“ zu bringen, so dass IoT-Geräte autonom, effizient und sicher arbeiten könnten. Diese Erweiterung verbessere die Reaktionsfähigkeit, Nachhaltigkeit und Skalierbarkeit von „IoT-Ökosystemen“. Mit der Entwicklung von EML werde sich dessen Rolle im „Smart Edge Computing“ ausweiten und die Innovation in Bereichen fördern, „in denen intelligente IoT-Lösungen mit geringer Latenz und hohem Datenschutzbedarf gefragt sind“.

Die Investition in EML sei nicht nur kosteneffizienter als herkömmliche „Cloud“-IoT-Sicherheitsmethoden, sondern reduziere auch die „Cloud-“Abhängigkeit und die Bandbreitenanforderungen, was zu erheblichen Kosteneinsparungen führe und den ROI erhöhe, insbesondere in großen IoT-Netzwerken, in denen sich die „Cloud“-Kosten schnell summieren könnten. Für Unternehmen stärke die Einführung von EML die IoT-Sicherheit und biete gleichzeitig betriebliche Effizienz und Nachhaltigkeitsvorteile, welche mit den sich entwickelnden Anforderungen an die IoT-Sicherheit übereinstimmten.

EML für Unternehmen mit komplexen IoT-Compliance-Standards von großer Bedeutung

„EML ist für Unternehmen, die mit komplexen IoT-Compliance-Standards zu tun haben, von großer Bedeutung, da es eine lokale Datenverarbeitung ermöglicht, die Datenübertragung reduziert und eine Echtzeit-Bedrohungserkennung bietet“, gibt Boele zu bedenken. Diese Technologie versetze Unternehmen in die Lage, die wichtigsten regulatorischen Anforderungen in Bezug auf Datenschutz, Cyber-Sicherheit und Auditing zu erfüllen, was sie zu einer skalierbaren und effizienten Lösung zur Sicherung von IoT-Systemen unter strengen regulatorischen Anforderungen mache.

„Zusammenfassend lässt sich sagen, dass Eingebettetes Maschinelles Lernen (EML) ein leistungsstarkes Werkzeug für Innovationen im Bereich der IoT-Sicherheit darstellt, das Kosteneinsparungen, die Einhaltung von Vorschriften und einen verbesserten Schutz der Unternehmen bietet.“

Bei der Einführung dieser Technologie sei es jedoch unerlässlich, die ihr zugrundeliegenden Grundsätze der Sicherheit, Integrität und Transparenz zu überdenken. „Die Zukunft der IoT-Sicherheit liegt im ,Edge’-Bereich, und Investitionen in EML sind neben kontinuierlicher Forschung der Schlüssel zu einer verantwortungsvollen und effektiven Umsetzung dieser Strategie!“, kommentiert Boele abschließend.

Weitere Informationen zum Thema:

Spectrum.de SciLogs, Ulrich Greveler, 18.01.2025
BSI hat recht: Unsichere Solar-Steuerungen nicht akzeptabel!

[datensicherheit.de, 19.08.2020] Unternehmen von heute bewegten sich mit großer Geschwindigkeit in Richtung Digitaler Transformation. Die Definition ihres Netzwerks ändere sich dabei ständig – mit Hybrid-Clouds, IoT-Geräten und jetzt auch Heimarbeitsplätzen. Angesichts des wachsenden Datenverkehr am „Rand“ des Netzwerks (Edge) steige indes auch das Sicherheitsrisiko, verbunden mit häufigen, schweren und ausgeklügelten Cyber-Angriffen, warnt Palo Alto Networks nach aktuellen Erkenntnissen.

IoT erfordert radikalen Sinneswandel in der Cyber-Sicherheit

Um sich zu schützen, müssten Unternehmen mehr denn je ihre Abhängigkeit von reaktiven Sicherheitsmaßnahmen und punktuellen Lösungen beenden. Stattdessen gelte es, „eine intelligente, proaktive Netzwerksicherheit einzuführen, die sich auf Maschinelles Lernen (ML) stützt – und einen radikalen Sinneswandel in der Cyber-Sicherheit bewirkt“.

Palo Alto Networks 7 wesentliche Praxis-Beobachtungen zur IoT-Sicherheit:

1. Immer mehr IoT-Geräte seien mit dem Unternehmensnetzwerk verbunden
   „Diese Geräte bergen eine zunehmende Anzahl von Sicherheitsrisiken.“ Etwa 45 Prozent der Unternehmen hätten bereits eine Art von IoT-Bereitstellung im Einsatz und weitere 26 Prozent planten eine IoT-Bereitstellung in den nächsten zwölf Monaten.
2. Der Schutz von IoT-Investitionen sei für das Überleben und Gedeihen von Unternehmen geschäftskritisch geworden
   Die meisten Unternehmen stimmten dem zu, denn für 76 Prozent habe die IoT-Sicherheit höchste Priorität. Nur 16 Prozent fühlten sich jedoch bereit, ihre IoT-Geräte vor Bedrohungen und Exploits zu schützen.
3. IoT-Geräte stellten einzigartige Herausforderungen für Sicherheitsteams dar
   Zudem: Viele IoT-Geräte würden ohne Wissen der IT-Abteilung in Unternehmen eingeführt. Es sei schwierig genug, sie zu schützen, ja sie sogar in erster Linie im Netzwerk zu identifizieren, was allein schon eine gewaltige Aufgabe sei.
4. Der effektivste Weg, Sicherheitsherausforderungen, die sich aus nicht verwalteten Geräten im Netzwerk ergäben, sei tatsächlich, diese zu verwalten
   Eine IoT-Sicherheitslösung identifiziere jedes Gerät, stelle fest, „auf welchen IoT-Geräten kein Endpunktschutz ausgeführt wird, und schützt alle Geräte unabhängig davon“.
5. Eine ideale IoT-Sicherheitslösung verwende einen ML-Ansatz und integriere nahtlos alle fünf Phasen des IoT-Lebenszyklus:
   Von der Erkennung von IoT-Geräten und den damit verbundenen Risiken bis hin zur Unterstützung bei der Bewertung von Schwachstellen und der Implementierung bewährter Verfahren zur Kontrolle neuer Risiken, „wenn diese unweigerlich entstehen“.
6. Eine ideale IoT-Sicherheitslösung versetzt Sicherheitsteams in die Lage, Geräterisiken proaktiv zu überwachen
   Ferner: Anomalien aufzudecken, Richtlinien für die Durchsetzung zu empfehlen und anzuwenden und Bedrohungen zu verhindern. Sie gewährleiste dabei gleichzeitig ein Höchstmaß an Genauigkeit und Transparenz.
7. Die ideale Lösung sei leicht zu implementieren
   Auch konfiguriere sie mit einzigartigen, bereits integrierten Funktionen und Richtlinien-Konstrukten. Sie ermögliche IT-Teams die kontextbezogene Netzwerksegmentierung von Gerätegruppen zur Risikominderung. Sie biete Automatisierung zur Minimierung des manuellen Aufwands und Prävention zur Beseitigung bekannter und unbekannter Bedrohungen.

Weitere Informationen zum Thema:

datensicherheit.de, 07.08.2020
IoT allerorten: Von Türklingeln über Aquarien bis zu Kernkraftwerken / Palo Alto Networks rückt Sicherheit der IoT in den Fokus und betont deren zentrales Merkmal der allgegenwärtigen Konnektivität

datensicherheit.de, 28.07.2020
IoT-Sicherheit für alle Unternehmen existenziell / Palo Alto Networks sieht Potential in lernenden Systemen

datensicherheit.de, 01.07.2020
The IoT is broken – gebrechlich aber heilbar / Neuer TÜV SÜD-Podcast „Safety First“ mit Mirko Ross

[datensicherheit.de, 28.07.2020] Das Internet der Dinge (engl.: IoT) setzt sich offensichtlich im großen Stil durch, weil die potenziellen Vorteile immens erscheinen: Ob es sich um Gebäude- und Straßenlichtsensoren, Überwachungskameras, IP-Telefone, Point-of-Sale-Systeme, Konferenzraumtechnik und vieles mehr handelt – „das IoT ist im Netzwerk und im Unternehmen längst Realität“. Es sei zu einem wesentlichen Teil der Infrastruktur für jedes Unternehmen und jede Branche geworden. Dies hat nach Ansicht von Palo Alto Networks auch erhebliche Auswirkungen auf die Relevanz der damit verbundenen IT-Sicherheit.

IoT-Geräte mit einzigartigen Sicherheits-Herausforderungen

IoT-Geräte stellten Sicherheitsteams vor einzigartige Herausforderungen. Sie seien an das zentrale Netzwerk eines Unternehmens angebunden, doch im Allgemeinen „nicht verwaltet“. Verschiedene IoT-Geräte verwendeten unterschiedliche Hardware, Betriebssysteme und Firmware.
Meistens seien sie auch unreguliert, würden mit unbekannten oder ungepatchten Schwachstellen ausgeliefert, und oft übersteige ihre Nutzungsdauer ihre unterstützte Lebensdauer. Laut dem „2020 Unit 42 IoT Threat Report“ sind 57 Prozent der IoT-Geräte „anfällig für Angriffe mittlerer oder hoher Schwere“ und 98 Prozent des gesamten IoT-Geräteverkehrs würden unverschlüsselt abgewickelt.

IoT-Geräte könnten zur Durchführung von Cyber-Angriffen „bewaffnet“ werden I

Eine der größten Befürchtungen sei, dass diese Geräte zur Durchführung von Cyber-Angriffen „bewaffnet“ werden könnten. IT-Sicherheitsexperten von Palo Alto Networks haben nach eigenen Angaben zuletzt festgestellt, dass die „Sofacy Group“ (auch „Fancy Bear“ oder „APT28“) gängige IoT-Geräte wie VoIP-Telefone, Bürodrucker und Videodecoder kompromittiert habe, um mehrere Unternehmensnetzwerke zu infiltrieren. Dies sei nur einer von vielen solchen IoT-Sicherheitsvorfällen.
Es sei schwer genug, die Risiken einzuschätzen und Richtlinien für IoT-Geräte durchzusetzen, die für Unternehmensprojekte eingesetzt werden. Viele IoT-Geräte würden aber auch ohne das Wissen der IT-Abteilung in Unternehmen eingesetzt. Diese Geräte seien schwierig genug zu sichern, aber hinzukomme, dass die IT-Abteilung sie erst einmal identifizieren müsse – und dies sei „eine ganz eigene Herausforderung“.

Gesamten IoT-Sicherheits-Lebenszyklus mittels Maschinellem Lernen schützen

Die herkömmliche Netzwerk-Perimeter-Verteidigung sei für diese Sicherheitsherausforderungen schlecht gerüstet. Neue Anbieter von IoT-Sicherheitslösungen seien oft nicht in der Lage, diese Probleme vollständig zu bewältigen. Sie beschränkten sich auf die Identifizierung nur bekannter Gerätetypen und verfügten über manuelle, regelbasierte „Richtlinien-Engines“, die nicht skalierbar seien. Sie verwendeten oft eine schwerfällige Implementierung von Einzwecksensoren, die je nach Einsatz die Integration mit anderen Anbietern erfordere. Bestehende Ansätze würden dem Bedarf einfach nicht gerecht.
Der effektivere Weg zur Bewältigung der IoT-Sicherheits-Herausforderungen bestehe darin, den gesamten IoT-Sicherheits-Lebenszyklus zu schützen. Der Kern dieses Ansatzes sei das sogenannte Maschinelle Lernen (ML). Palo Alto Networks hat nach eigenen Angaben im Herbst 2019 „Zingbox“ integriert – eine patentierte dreistufige Plattform für Maschinelles Lernen. Diese soll Unternehmen bei der Entdeckung und Identifizierung nicht verwalteter Geräte im Netzwerk unterstützen.

Automatisch neue IoT-Geräte erfassen, Risiken bewerten und Erkenntnisse in Richtlinien umzuwandeln

Diese Technologie sei mittlerweile um patentierte „App-ID“-Technologie erweitert worden. Dies ermögliche es nun, automatisch neue IoT-Geräte zu erfassen, Risiken zu bewerten und die Erkenntnisse in Richtlinien umzuwandeln, um das IoT schützen.
Durch die Anwendung der umfassenden Präventionsfähigkeiten könne die IoT-Sicherheit mit der gesamten Palette der anderen Cloud-basierten Sicherheitsabonnements kombiniert werden, um alle bekannten und unbekannten, auf IoT- und OT-Geräte abzielenden Bedrohungen zu stoppen.

Vereinfachung der Implementierung von IoT-Sicherheit

Eine Komplettlösung erfordere im Idealfall keine dedizierten Sensoren, kein anderes Produkt für die Durchsetzung, keine manuellen Fingerabdruck-Technologien oder das mühsame Zählen von IoT-Geräten für die Lizenzierung.
Um den begleitenden Aufwand gering zu halten, werde IoT-Security vermehrt als Subskription geliefert. Diese ermögliche es Sicherheitsteams, nicht verwaltete IoT-Geräte mit jedem ML-unterstützten Next-Generation-Firewall-Formfaktor zu erfassen – über Hardware-Appliances, virtualisierte Firewalls oder über Cloud-basierte „Secure Access Service Edge“ (SASE)-Netzwerksicherheitsservices.

Seit Kurzem: IoT-Sicherheit per ML-unterstützter Next-Generation-Firewall

Seit Kurzem böten Hersteller auch IoT-Sicherheit auf ML-unterstützten Next-Generation-Firewalls, die als Sensor und Durchsetzungspunkt dienten. Dies ermögliche auf kosteneffiziente Weise die Erfassung von nicht verwalteten IoT-Geräten und deren Schutz. Hierzu gehöre auch die Durchsetzung von Sicherheitsrichtlinien an Orten, an denen keine Firewalls vorhanden sind, so dass Unternehmen nicht mehr mehrere Produkte kaufen und integrieren oder betriebliche Prozesse ändern müssten, um eine vollständige IoT-Sicherheitslösung zu erhalten.
Unabhängig davon, wie weit ein Unternehmen auf dem Weg zur Einführung des Internets der Dinge bereits ist – für die Sicherheit sei der Schutz der IoT-Investitionen von großer Bedeutung. Wie bei der IT-Sicherheit gelte es dabei nach Ansicht von Palo Alto Networks, „den Angreifern einen Schritt voraus zu sein“.

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT42, 10.03.2020
2020 Unit 42 IoT Threat Report

datensicherheit.de, 07.08.2019
Palo Alto Networks: Sieben Merkmale wirksamer Cloud-Sicherheitslösungen

[datensicherheit.de, 21.01.2020] Sogenannte Künstliche Intelligenz (KI) ist offenbar „in aller Munde“ – obwohl es echte KI derzeit noch gar nicht gibt, wird das bereits nutzbare Maschinelle Lernen fleißig als „KI“ verkauft. „Branding ist nunmal alles.“ Aber egal wie man es nennt: Die Algorithmen sind schon in viele Bereiche des Alltags vorgedrungen und bestimmen damit bewusst oder unbewusst das reale Leben der Menschen.

Foto: Exabeam

Egon Kando: KI und Maschinelles Lernen werden derzeit in vielen Bereichen im Rekordtempo eingeführt…

Folgen unkontrollierter KI-Einsätze bereits in vielen Fällen sichtbar geworden

Dass Technologie nach vorne prescht, ohne sich groß um die Folgen zu scheren, ist in der Geschichte der Menschheit beileibe nichts Neues. Doch die Folgen unkontrollierter Einsätze von KI sind bereits in vielen Fällen sichtbar und hinterlassen sichtbare Schäden – facebook und „Cambridge Analytica“ lassen grüßen.
Um den Wildwuchs und die Gefahren der KI einzudämmen, machen sich viele Organisationen bereits Gedanken, wie der ethische Einsatz von Daten und KI gelingen kann. Den Stand der Dinge beschreibt Egon Kando von Exabeam in seiner aktuellen Stellungnahme:

Daten sind zu einem der wertvollsten Güter geworden

Die „CIOs“ müssten die ethische Nutzung von Daten zu einer Top-Priorität machen, um mit der sich schnell entwickelnden Regulierungslandschaft Schritt zu halten, fordert Kando:
„Wir befinden uns inmitten der vierten Industriellen Revolution. Daten sind zu einem der wertvollsten Güter geworden, nicht zuletzt deshalb, weil Künstliche Intelligenz stark von ihnen abhängt. KI und Maschinelles Lernen werden derzeit in vielen Bereichen im Rekordtempo eingeführt, bei Regierungen, dem Gesundheitswesen, der Landwirtschaft, Polizei und Finanzinstituten.“ Damit machten sich diese Bereiche in Teilen von den Daten abhängig, mit denen ihre Entscheidungsfindung automatisiert werde.

Bedenken über potenziellen Missbrauch könnten nicht einfach ignoriert werden

Die Folgen über den Schaden, den missgeleitete KI-Lösungen anrichten können, zeigten sich beispielsweise im öffentlichen Misstrauen gegenüber Social-Networking-Plattformen. Der Skandal um „Cambridge Analytica“ habe gezeigt, wie u.a. facebook persönliche Informationen nutzten und welche soziale Dimension die Algorithmen der Plattformen bereits einnähmen.
KI-gestützte Werkzeuge könnten also, absichtlich – oder versehentlich, in die Privatsphäre eindringen oder Schaden, Ungerechtigkeit bzw. moralisches Unrecht verursachen. Bedenken über den potenziellen Missbrauch könnten folglich nicht einfach ignoriert werden.

Meilenstein: Weltweit erste Ethikrat für KI aktiv

Der kürzlich von der britischen Regierung gegründete weltweit erste nationale Ethikbeirats für KI sei in diesem Zusammenhang ein wahrer Meilenstein. In Zusammenarbeit mit der Regierung, den Regulierungsbehörden und der Industrie bestehe die Aufgabe des neuen Beirats darin, die Grundlagen für KI zu schaffen, Lücken in der Governance-Landschaft zu antizipieren, sich auf bewährte Praktiken zu einigen und diese zu erläutern.
So könne er dabei helfen, eine ethische und innovative Nutzung der Daten zu lenken und die Regierung hinsichtlich der Notwendigkeit spezifischer politischer oder regulatorischer Maßnahmen zu beraten.

KI wird viele Unternehmen innerhalb der nächsten drei Jahre substanziell transformieren

Für Organisationen, die KI-gestützte Systeme entwickeln oder nutzen, sei dies eine wichtige Entwicklung. Laut einer kürzlich durchgeführten Deloitte-Umfrage gäben 76 Prozent der Führungskräfte an, dass sie erwarteten, dass Künstliche Intelligenz ihre Unternehmen innerhalb der nächsten drei Jahre „substanziell transformieren“ werde.
Gleichzeitig habe ein Drittel der Befragten zugegeben, dass Fragen zur ethischen Nutzung von Daten eine ihrer größten Sorgen seien. Ganz offenbar gebe es in dem Bereich noch viel zu tun.

Zusammensetzung der Datensätze kann Ergebnisse beeinflussen und verzerren

KI-Systeme lernten aus den Datensätzen, mit denen sie trainiert werden. Die Zusammensetzung der Datensätze könne damit die Ergebnisse nicht nur beeinflussen, sondern diese auch verzerren. Ein Beispiel aus der Arbeitswelt habe jüngst gezeigt, wie Datensätze, die aus einem männlich dominierten Bereich stammten, unbeabsichtigt zu einem geschlechtsverzerrten Rekrutierungsinstrument geführt hätten.
In ähnlicher Weise könne ein Mangel an Transparenz über die zur Steuerung von KI-Systemen verwendeten Datenmodelle zu Problemen mit dem ethischen Design, der Entwicklung und dem Einsatz von KI führen.

Ethische Nutzung von Daten ein Wettbewerbsvorteil

Das Vereinigte Königreich habe das Problem wie erwähnt bereits erkannt und gehe mit der Gründung des Ethikbeirats mit gutem Beispiel voran. Insgesamt investiere die britische Regierung neuen Millionen Pfund in diese Initiative.
Der Vorstoß sei nicht ganz selbstlos – die Investition solle ganz offen die Führungsrolle Großbritanniens in diesem Bereich auf der globalen Bühne vorantreiben. Man verspreche sich so Innovationen, „die nicht nur Nutzen versprechen, sondern auch sicher und ethisch unangreifbar sind“. Ein Bericht des Sonderausschusses des britischen Oberhauses über die Auswirkungen der künstlichen Intelligenz auf die Wirtschaft und Gesellschaft Großbritanniens schätzt laut Kando, dass KI den Wert der britischen Wirtschaft bis 2035 um 630 Milliarden Pfund steigern könnte. Die ethische Nutzung von Daten scheine somit ein Wettbewerbsvorteil zu sein.

KI-Datenethik dringend auf die Prioritätenliste setzen!

Durch diesen Vorstoß habe sich die Nation Großbritannien sicherlich einen kleinen Vorsprung gegenüber anderen Regionen geschaffen. Doch auch andere Organisationen hätten bereits eingesehen, dass ethische Urteile darüber getroffen werden müssten, wie wir Daten nutzen und anwenden. Im vergangenen Jahr hätten bereits eine Reihe technologischer Schwergewichte, darunter Google und IBM, ethische Richtlinien für KI veröffentlicht.
Auch die Europäische Kommission habe kürzlich ihre Ethikrichtlinien für vertrauenswürdige KI veröffentlicht. Diese Schritte signalisierten deutlich, dass es für Organisationen jeder Art an der Zeit sei, die Datenethik im Bereich KI auf die Prioritätenliste zu setzen. Der Ruf und Erfolg von Unternehmen werde zukünftig auch davon abhängen, „ob sie ihre Daten nach ethischen Standards verarbeiten“. Um mit der sich schnell weiterentwickelnden Regulierung der ethischen Nutzung von Daten Schritt zu halten, müssten „CIOs“ KI-Ethik zu einer der Prioritäten ihrer Organisation machen.

Weitere Informationen zum Thema:

datensicherheit.de, 11.02.2019
Webbrowser als Sicherheitsrisiko: Verbraucher und Unternehmen im Visier

[datensicherheit.de, 04.12.2019] Vectra meldet, dass als Ergebnis einer internationalen Ermittlung gegen Verkäufer und Benutzer von „Imminent Monitor Remote Access Trojan“ (IM-RAT) das Hosting dieses Hacking-Tools nun abgeschaltet worden sei. Das RAT-Tool habe Cyber-Kriminellen die vollständige Fernsteuerung des Computers eines Opfers ermöglicht.

IM-RAT kann von Käufern nicht mehr verwendet werden

An der von der australischen Bundespolizei (AFP) geleiteten Operation, deren internationale Aktivitäten von Europol und Eurojust demnach koordiniert wurden, waren laut Vectra „zahlreiche Justiz- und Strafverfolgungsbehörden in Europa, Kolumbien und Australien beteiligt“.
Im Zuge der Ermittlungen sei die Verfügbarkeit dieses Instruments beendet worden, „das zuvor bereits in 124 Ländern eingesetzt und an mehr als 14.500 Käufer verkauft worden war“. IM-RAT könne damit von den Käufern nicht mehr verwendet werden.

Netzwerke von 90 Prozent befragter Unternehmen weisen Form bösartigen RDP-Verhaltens auf

„Remote Access Trojaner (RATs) zählen zu einer Reihe von Angriffstools, die in fremde Systeme, Daten und Privatsphären eindringen. Angesichts eines regen legitimen Fernzugriffs über Netzwerke und Hosts hinweg gibt es für RATs viele Möglichkeiten, unentdeckt zu operieren, da sie sich gut verstecken können“, erläutert Andreas Müller, „Director DACH“ bei Vectra.
Es sei zwar erfreulich, dass die Strafverfolgungsbehörden den Verkauf und die Nutzung von RATs durch Kriminelle stoppten, „wobei die Wege und Dienste, die RATs nutzen, für viele Unternehmen offenbleiben und schwer zu überwachen sind“. Es gebe Signaturen für die gängigsten RATs, aber erfahrene Angreifer könnten RATs leicht anpassen oder ihre eigenen RATs mit gängigen Remote-Desktop-Tools wie RDP erstellen. „Dies wurde durch eine kürzlich durchgeführte Analyse von Live-Unternehmensnetzwerken bestätigt, die ergab, dass die Netzwerke von 90 Prozent der befragten Unternehmen eine Form von bösartigem RDP-Verhalten aufweisen“, so Müller.

Modelle des Maschinellen Lernens zum Einsatz gekommen

Bei den Ermittlungen seien Modelle des Maschinellen Lernens zum Einsatz gekommen, „die entwickelt wurden, um das einzigartige Verhalten von RATs zu identifizieren“. Diese Art der Verhaltenserkennung sei effektiver, anstatt zu versuchen, die Signatur jeder RATs perfekt mit dem Fingerabdruck zu erfassen.
Durch die Analyse einer großen Anzahl von RATs könne ein überwachtes Maschinelles Lernmodell eben lernen, „wie sich der Verkehr dieser Tools vom normalen legitimen Fernzugriffsverkehr unterscheidet“. Müller erläutert: „Auf diese Weise lässt sich RAT-typisches Verhalten ohne vorherige Kenntnis des Angriffs oder des individuellen RAT-Codes erkennen.“

Weitere Informationen zum Thema:

VECTRA
INDUSTRY RESEARCH / 2019 Spotlight Report on RDP

datensicherheit.de, 20.04.2017
Cardinal RAT: Aktive Malware zwei Jahre unentdeckt

datensicherheit.de, 16.08.2016
RAT-Trojaner Orcus beliebt bei Cyber-Kriminellen

[datensicherheit.de, 13.08.2019] Künstliche Intelligenz (KI) oder Maschinelles Lernen (ML) sind laut Palo Alto Networks „mittlerweile zu Unterscheidungsmerkmalen geworden, die ein Indikator sein können, ob ein Sicherheitsanbieter mit den neuen Technologien Schritt zu halten vermag“. KI könne jedoch ein verwirrender Begriff sein, denn er werde in Verbindung mit einer ganzen Reihe von Methoden und Technologien genutzt. In der Cyber-Sicherheit gebe es „drei gängige Anwendungen, bei denen der Begriff KI auftaucht“. Unternehmen könnten dadurch erkennen, ob eine Sicherheitslösung tatsächlich KI verwendet, und vor allem, ob sie davon auch profitieren. Palo Alto Networks gibt in seiner aktuellen Meldung einen praxistauglichen Überblick.

Big-Data-Analytik

Die erste Anwendung ist demnach die sogenannte Big-Data-Analytik. Dabei würden statistische Analysen des Datenverkehrs von Websites und E-Mails oder anderer Netzwerkdaten verwendet, um Anomalien zu erkennen, die auf Sicherheitsbedrohungen wie Viren hinweisen könnten. Dieses Verfahren analysiere mehrere Datenformen, wie z.B. in E-Mails die Herkunft der Kommunikation, den eingeschlagenen Weg und den Betreff, „um vorherzusagen, ob es sich wahrscheinlich um eine Bedrohung handelt“.
Der Prozess sei jedoch recht einfach und identifiziert oft „False Positives“, wodurch legitimer Datenverkehr als bösartig eingestuft werde. Um dies zu vermeiden, würden die potenziellen Bedrohungen an menschliche Analysten weitergegeben, um wiederum eine Entscheidung zu treffen. „Dies ist keine ,richtige‘ KI, da die Anwendung letztendlich auf einem hohen Maß an menschlicher Entscheidungsfähigkeit beruht.“

Überwachtes Maschinelles Lernen

Eine schon eher veritable Form von KI sei das Maschinelle Lernen. Hierfür kategorisiere ein Algorithmus die Daten in verschiedene Gruppen. Beim überwachten Maschinellen Lernen werde der Algorithmus trainiert, Daten in Kategorien einzuteilen, „z.B. indem er sie mit kommentierten Bildern von Katzen und Hunden füttert, damit er lernt, diese in Zukunft zu erkennen“. Trainiert mit genügend Daten über die Arten der Kommunikation, die wie Cyber-Bedrohungen aussähen, könnten ML-Algorithmen dann lernen, zwischen Bedrohungen und legitimem Datenverkehr zu unterscheiden.
Überwachtes ML sei wie Big-Data-Analytik „mit Doping“. Es könne genaue Entscheidungen viel schneller treffen als der Mensch. Da die heutigen Bedrohungen aus oft Hunderten von Elementen bestünden, gelte: „Je mehr sich identifizieren und korrelieren lässt, desto besser ist die Qualität der Erkennung.“ Das sei so wichtig, denn Sicherheitspraktiker würden eine Aktion nur dann durchführen, wenn sie das Vertrauen hätten, das Problem richtig erkannt zu haben. „Die Angst, etwas falsch zu machen, bedeutet, dass in vielen Fällen ein Mensch die endgültige Entscheidung treffen muss. Die Fähigkeit, ML zu nutzen, um Cyber-Bedrohungen möglichst zuverlässig zu identifizieren, ist entscheidend.“ Dies gelte insbesondere, wenn automatisierte Maßnahmen eingesetzt werden sollten, „ohne dass die menschliche Validierung den Prozess verlangsamt“.

Unüberwachtes Maschinelles Lernen

Eine noch reinere Form der KI sei das unüberwachte ML. Hierbei analysiere ein Algorithmus Daten und finde seine eigenen Erkenntnisse, ohne trainiert zu werden. „Zum Beispiel, wenn Bilder online betrachtet werden, wird er sich selbst beibringen, dass einige Bilder Kühe und andere Zebras zeigen.“ Dies könne jedoch zeitaufwändig sein.
Wenn man einen unüberwachten Algorithmus des Maschinellen Lernens auf Sicherheitsdaten ansetzt, könne es Jahre dauern, bis man zu einem lohnenden Ergebnis kommt. Allerdings könnten die Erkenntnisse, die daraus hervorgehen, wie z.B. die Identifizierung bestimmter Codezeilen, die mit Viren oder Angriffen verbunden sind, wertvoll sein.

Kochen als einfache Analogie

„Es gibt einen anderen Weg, um über KI nachzudenken, einen, der vielleicht leichter zu merken ist.“ Eine Analogie könne – so Palo Alto Networks – mit dem Kochen hergestellt werden. Big-Data-Analytik sei wie das Zubereiten von Bohnen auf Toast. Es gebe nur zwei einfache Zutaten, „aber wir müssen sicherstellen, dass wir das beste Verhältnis von Bohnen zu Toast haben“. Die Datenanalyse suche nach Beispielen, bei denen das Gleichgewicht nicht stimmt und markiere die Anomalie, um von einem menschlichen Koch behoben zu werden.
Das überwachte ML ermögliche es uns, die Zutatenliste zu erweitern. Es sei wie ein gutes Curry mit vielen Permutationen von Gewürzen. Je mehr Zutaten es gibt, desto höher sei die Anzahl der Permutationen. Überwachtes Maschinelles Lernen mache das, was der durchschnittliche Koch macht: Dieser führe Tausende von Experimenten durch, um die beste Mischung aus Chili und Limette zu erhalten, und wisse dann, was gut schmeckt.

Unerwartetes herausfinden, aber viel Zeit benötigen…

Unüberwachtes ML könne inzwischen mit Rezepten des britischen Experimentalkochs Heston Blumenthal verglichen werden: Es gebe keine Begrenzung für die von ihm verwendeten Inhaltsstoffe und Methoden. „Er hat keine Vorurteile darüber, was akzeptabler Geschmack ist, denn wer bei klarem Verstand würde erwägen, Kies als Kochzutat zu verwenden?“ Heston habe kürzlich vorgeschlagen, „der Suppe Kieselsteine hinzuzufügen, um sie zu verdicken“. Es gebe wenig Einigkeit unter anderen Köchen oder Gästen darüber, „ob dies eine gute Idee ist“. Diese Unsicherheit würde bei der Erkennung von Bedrohungen, bei denen wir eine zuverlässige Antwort benötigen, nicht helfen.
Unüberwachtes Lernen werde nicht durch bestehende Wahrnehmungen eingeschränkt, „und das ist dessen Stärke, aber gleichzeitig kann es viele Iterationen dauern, bis wir ein Rezept entwickeln, das wir verwenden wollen“. Die Ergebnisse könnten viel Zeit in Anspruch nehmen und sehr unterschiedlich ausfallen. Das Positive sei, dass man etwas Erstaunliches finden könnte, woran unser menschliches Gehirn einfach nicht gedacht hätte.

KI kann völlig neues Niveau an Cyber-Sicherheit bieten

Unternehmen sollten nach Meinung von Palo Alto Networks prüfen, „ob eine KI-Cyber-Sicherheitslösung ihren Geschäftsanforderungen entspricht“. Sie müssten berücksichtigen, „wie viele Daten sie produzieren und wie sensibel und wertvoll diese sind“.
In der Analogie: Vielleicht bräuchten sie nur „Bohnen auf Toast“, vielleicht wollten sie ein „Curry“ oder gar ein „ganz neues Geschmackserlebnis“. KI könne ein völlig neues Niveau an Cyber-Sicherheit bieten, um den Betrieb zu rationalisieren. Die Herausforderung bestehe darin, zu entscheiden, „welches Rezept für das eigene Unternehmen am besten geeignet ist“.

Weitere Informationen zum Thema:

datensicherheit.de, 13.07.2019
Cyber-Abwehr: Erfolgsfaktor Künstliche Intelligenz

datensicherheit.de, 21.05.2019
Kryptowährungen und künstliche Intelligenz: Zweite Ausgabe des Deutsch-Französischen IT-Sicherheitslagebilds

datensicherheit.de, 18.09.2018
Künstliche Intelligenz zur Erhöhung der Sicherheit im Netzwerk

Ein Beitrag von Igor Baikalov, Chief Scientist bei securonix

[datensicherheit.de, 25.06.2019] Die an Maschinelles Lernen (ML) geknüpften Erwartungen sind hoch, und das mit gutem Grund. Algorithmen, die auf maschinellem Lernen basieren, erlauben es uns beispielsweise enorme Mengen von Sicherheitsvorkommnissen auf Anomalien hin zu sichten. Also Abweichungen von einem als normal definierten Verhalten zu erkennen, die häufig Anzeichen für böswillige Aktivitäten sind. Die Ergebnisse dieses Sichtungsprozesses werden an einen Analysten übermittelt, der sie durchsieht und gründlich überprüft. Anschließend wird das System mit den Ergebnissen gefüttert um es weiter zu trainieren. Mit mehr und mehr in das System eingespeisten Daten entwickelt es sich sukzessive weiter: Es lernt ähnliche Sicherheitsvorkommnisse zu erkennen und letztendlich deren zugrunde liegende Charakteristika eines böswilligen Verhaltens.

Unsupervised Learning

Der erste Teil dieses Prozesses besteht im Erkennen von Anomalien, und man bezeichnet ihn als „Unsupervised Learning“. Es ist eine kostengünstige Methode, die in Maschinen-geschwindigkeit abläuft und mit der man große Datenmengen sichten kann. Sie erzeugt allerdings auch ein extrem hohes Grundrauschen. Elektronische Signale unterliegen natürlichen Schwankungen. Vor allem dann, wenn sie menschliche Aktivitäten widerspiegeln. Das führt zu gewissermaßen oberflächlichen Anomalien. Leitet man sämtliche dieser Anomalien an einen Analysten weiter, ist er mit dieser Flut potenzieller Events vollkommen überfordert. Das führt in der Praxis nicht selten zu einer gewissen Ermüdung und Desensibilisierung für tatsächliche Anomalien. Eines der bekanntesten Beispiele für so einen Fall ist die Datenschutzverletzung bei der Handelskette Target im Jahr 2013. Hier hatte die Überwachungssoftware zwar die betreffende Malware-Infektion erkannt und gemeldet. Der Alert ging aber in hunderten wenn nicht tausenden weiterer Benachrichtigungen unter und wurde übersehen. Das Ergebnis: 40 Millionen offengelegte Datensätze mit Kredit- und Debitkartennummern.

Es gibt verschiedene Wege die Zahl lästiger False Positives zu senken. Man kann etwa domänenübergreifende Korrelationen (cross-domain correlation) nutzen um ein Vorkommnis aus verschiedenen Blickwinkeln zu betrachten. Eine böswillige Aktivität manifestiert sich potenziell durch unterschiedliche Anomalien. Führt man diese Beobachtungen zusammen, erhält man ein deutlich stärkeres Signal als würde man sie isoliert voneinander betrachten. Diese Art von Analysen läuft typischerweise über komplexe Modellbildungen von Bedrohungen (Threat Modeling) ab. Diese Modelle sind nicht nur in der Lage die Zahl der False Positives zu senken, sie können auch zeitlich getrennt voneinander ablaufende Ereignisse zueinander in Beziehung setzen. Jeder Angriff weist eine typische „Kill Chain“ auf innerhalb der sich das Risiko steigert. Wenn man potenzielle Bedrohungen oder Bedrohungskomponenten in diese typische Kill Chain einordnet, erlaubt das ein deutlich früheres Erkennen eines Angriffs. Und damit haben Sicherheitsanalysten eine weit größere Chance Attacken zu verhindern, bevor diese ein Stadium erreichen, in dem sie erheblich größeren Schaden anrichten.

Eine andere Methode um die Zahl der falschen Positivmeldungen zu senken ist die Vergleichsanalyse, auch Peer-Group-Analyse genannt. Hier bildet man Vergleichsgruppen, in denen man ähnliche Charakteristika oder Aktivitäten zusammenfasst. Dabei geht man von der Annahme aus, dass diese Gruppierungen gemeinsame Funktionen aufweisen, die gemeinsame normale Aktivitäten repräsentieren. Wenn dann ein individuelles Verhalten abzuweichen scheint, wird dies anhand der Vergleichsgruppe überprüft. Bewegen sich die Anomalien innerhalb der Norm der betreffenden Vergleichsgruppe, handelt es sich wahrscheinlich um eine False-Positive-Meldung, die man ignorieren kann.

Supervised Learning

Den zweiten Teil des Trainingsprozesses für das ML-basierende System bezeichnet man als überwachtes oder „Supervised Learning“. Hier gilt es eine Funktion zu finden, mit der man bisher unbekannte Beobachtungen einem Datenset, einer Klasse oder einem Wert zuordnen kann. Dazu werden die Daten mit einem sogenannten Label versehen. Bei der binären Klassifikation kennzeichnet man jedes Event entweder als positiv oder negativ. Üblicherweise übernehmen diese Aufgabe Sicherheitsanalysten. Das ist allerdings nicht nur der teuerste Weg, es ist auch ein sehr zeitaufwendiger und kaum geeignet mit der Menge der zu analysierenden Daten Schritt zu halten. Crowdsourcing ist für sensible Daten keine Option und verbietet sich von selbst. Jüngste Fortschritte im Bereich der generativen Modellbildung machen die menschliche Erfahrung nutzbar um Funktionen zu bilden, die Labels auf hohem Niveau vergeben statt sie auf Einzelfallbasis zuzuweisen (man vermeidet so ein Überwachungsmodell, das Schwächen schon in sich selbst trägt). Heute sind wir an einem Punkt angelangt, an dem diese Funktionen in die Cybersicherheit Eingang gefunden haben. Es gibt auch einige Fälle in denen man das Wissen und die Erkenntnisse einer Domain nutzen kann um ein anderes Dataset zu kennzeichnen. Das ist beispielsweise der Fall, wenn man den Hashwert bekannter Malware-Dateien nutzt, um ein Dataset mit den Verhaltensmerkmalen einer Malware zu kennzeichnen.

Gut durchdachte Bedrohungsmodelle senken die Zahl der False-Positive-Fälle

Im Allgemeinen aber basiert überwachtes Lernen hauptsächlich auf manuell gekennzeichneten Datasets. Gut durchdachte Bedrohungsmodelle senken die Zahl der False-Positive-Fälle, die ein Analyst zu prüfen hat, und machen so den Kennzeichnungsprozess effizienter. Ein aggressiver Trainingsplan mit einem optimalen Mix aus positiven und negativen Beispieldaten hilft ebenfalls den Prozess zu beschleunigen. Bei allem Willen zur Optimierung sollte man aber das Kind nicht mit dem Bad ausschütten. Man kann die Zahl von falschen Positivmeldungen sehr einfach senken, indem man den Grenzwert, also die Detektionsschwelle, nach oben setzt. Damit geht man allerdings gleichzeitig das Risiko ein falsche Negativmeldungen zu produzieren. False Positives bedeuten letztendlich nur mehr Aufwand beim Aufdecken böswilliger Aktivitäten. Falsche Negativmeldungen bedeuten aber nichts anderes, als dass man eine laufende Bedrohung nicht mehr auf dem Radar hat. Nicht unbedingt eine gute Voraussetzung für Cybersicherheit. Wie uns der Fall Target gelehrt hat, kann allerdings auch eine hohe Zahl von False Positives dafür sorgen, dass die eigentliche Warnung untergeht und übersehen wird.

Ein gutes Modell muss nach einer tauglichen Balance zwischen diesen beiden Metriken streben. Es existiert immer ein Kompromiss zwischen den False-Positive- und den False-Negative-Raten, oder zwischen Sensitivität und Spezifität des Verfahrens. Bei der Modellbildung sollte man beide nutzen.

Maschinelles Lernen und Cybersicherheit

Datasets in der Cybersicherheit sind berüchtigt dafür extrem unausgewogen zu sein. Im Klartext heißt das, die Zahl der positiven (bösartigen) Events liegt häufig in einem Bereich von unter 1 % der Gesamtzahl. Schlimme Dinge passieren, wenn auch hoffentlich nicht zu oft. Und wenn die Zahl fehlgeschlagener Anmeldeversuche gegen 50 % geht, braucht niemand mehr maschinelles Lernen um festzustellen, dass man gerade ein ernsthaftes Problem hat. Wie man am besten mit unausgewogenen Datasets in einem Modell umgeht würde den Rahmen dieses Beitrags sprengen. Aber zu wissen, welche Metriken man am besten verwendet, um die Leistungsfähigkeit seines Modells zu messen ist enorm wichtig. Genauigkeit wird uns in diesem Fall eher wenig Informationen bereitstellen, weil sie in einem Bereich von 99%+ angesiedelt ist. Die Receiver Operating Characteristic, kurz ROC, ist ebenfalls ein gern genutztes statistisches Verfahren, mit dem man die Aussagekraft von Laborparametern und Untersuchungsverfahren optimieren und vergleichen kann. Leider eignet sich auch dieses Verfahren wenig für unausgewogene Datasets, weil die False-Positive-Rate irreführend niedrig bleibt während demgegenüber die Zahl der Negatives zu hoch ist. Eine bessere Wahl sind der aus der Bioinformatik kommende „Matthews Correlation Coefficient“ oder „Cohens Kappa“, ein statistisches Maß für die Interrater-Reliabilität von Einschätzungen von (in der Regel) zwei Beurteilern (Ratern), von Jacob Cohen 1960 vorgeschlagen.

Modelle benötigen periodische Aktualisierung

Die meisten Modelle, die auf maschinellem Lernen basieren, müssen periodisch aktualisiert werden. Vorhersagemodelle basieren auf der impliziten Annahme, dass sich das den Daten zugrunde liegende Modell nicht ändert. In vielen Fällen verändern sich aber die Beziehungen auf denen das Modell beruht, was man als „Concept Drift“ bezeichnet. Dann muss man neue Datenpunkte mit aufnehmen. Wie häufig man ein Modell aktualisieren muss hängt von Zahl der Datenänderungen ab, der Größenordnung des Concept Drift, den Präzisionsanforderungen ebenso wie vom Umfang des Modells und der zur Verfügung stehenden Rechnerleistung. Nehmen wir beispielsweise ein Modell, dass auf Domain Generation Algorithm (DGA) Malware-Samples trainiert wurde. Auch wenn jeden Tag Hunderttausende neue DGA-Domänennamen erzeugt werden, bleibt das zugrunde liegende Prinzip immer das gleiche. Das Modell wird vielleicht monatlich aktualisiert oder immer dann, wenn eine neue DGA-Malware-Familie entdeckt wurde. Da dieses Modell nur vergleichsweise selten aktualisiert werden muss, kann man es sich leisten, es von Grund auf neu und auf Basis eines neuerlich ausgeglichen Datasets aufzubauen.

Benutzerverhalten ist eine fließende Größe

Das Benutzerverhalten anderseits ist eine fließende Größe, und die zugehörigen Profile müssen mindestens täglich aktualisiert werden um neue Trends zu erkennen und False Positives zu senken. Überwachte Modelle, die zusätzlich das Feedback von Analysten integrieren, brauchen noch wesentlich häufiger Updates, bevorzugt in Echtzeit. Schon allein um zu verhindern, dass ein Analyst sehr viele gleichartige Fälle untersuchen muss. Diese Anforderungen, gepaart mit dem schieren Volumen der zu analysierenden Daten treibt einen sehr schnell aus der Komfortzone strategischen Lernens hin zu Streaming-Analysen und Online-Lernmodellen wie Mondrian Forest, die sich schrittweise aktualisieren lassen. Einem Modell mehr Daten zur Verfügung zu stellen scheint zunächst ein guter Weg zu sein, um die Qualität des Modells zu verbessern. Das funktioniert allerdings nur solange die neu dazukommenden Daten die Diversität des Datasets erweitern und dem Modell inhaltlich neue Informationen geben. Diversität ist neben durchdachten Funktionen, gut eingestellten Parametern und der Kontrolle der Überanpassung eines Modells, einer der Schlüsselfaktoren für ein verallgemeinerbares Modell.

Doch trotz der pflichtbewussten Trennung von Trainigs- und Testdaten, trotz Kreuzvalidierung und anderen guten Absichten, beschränken sich die meisten verhaltensbasierten Modelle darauf, oberflächliche Funktionsähnlichkeiten wiederzugeben und nicht die zugrundeliegenden Charakteristika böswilligen Verhaltens. Solche Modelle funktionieren ganz wunderbar, wenn sie auf ein Verhalten stoßen anhand dessen sie trainiert wurden. Und sie versagen ganz jämmerlich, wenn sie auf ein Verhaltensmuster treffen, dem sie vorher noch nicht begegnet sind. Will man die Diversität steigern, muss man Daten unterschiedlicher Kunden, verschiedener Branchen und Industriezweige, Unternehmensgrößen und Regionen mit einbeziehen. Durch die Sensitivität von Daten in der Cybersicherheit kann man diese Datasets nicht direkt miteinander kombinieren. Man kann aber einen eleganten Umweg nehmen, den des Federated Learning. Federated Learning erlaubt das kooperative Lernen innerhalb eines geteilten Vorhersagemodells während die dazu notwendigen Trainingsdaten auf den entsprechenden Systemen verbleiben. So lassen sich individuelle Modelle sicher ausbalancieren, ohne dass man ein Master-Modell benötigt. Anders als bei vielen anderen Machine-Learning-Ansätzen braucht man dazu keine zentralisierten Trainingsdaten. Die Vertraulichkeit von Kundendaten bleibt gewahrt.

Glaubwürdigkeit der Resultate entscheidend

Wie bei jeder anderen neuen Technologie, steht und fällt die erfolgreiche Einführung von ML in der Cybersicherheit mit der Glaubwürdigkeit ihrer Resultate. Dazu muss man ein solches Programm von Grund auf aufbauen, von einfachen, leichter zu verstehenden Verhaltensindikatoren hin zu komplexen hierarchisch strukturierten Bedrohungsmodellen, die sich auf die Kill Chain von Attacken anwenden lassen. Die meisten Aspekte von unsupervised Learning wie Cluster, Pattern und Anomalien, sind einfach zu erfassen, zu visualisieren und zu validieren. Komplexe, auf maschinellem Lernen basierende Algorithmen wie Ensemble-Learning- oder Deep-Learning-Algorithmen bleiben potenziell eine Art „Black Box“. Vorhersagen zu erläutern, die auf Basis solcher Algorithmen getroffen wurden ist alles andere als trivial. Selbst für die DARPA (Defense Advanced Research Projects Agency) Anlass genug innerhalb der Community nach “Explainable Artificial Intelligence zu suchen.

Wenn man wie unserem Fall komplett neue Algorithmen entwickelt hat, um Vorhersagen zu erläutern, die unsere Ensemble-Learning-Methoden getroffen haben, ist das ein aufwendiges Verfahren. Aber es zahlt sich aus: Verstehen sorgt für Vertrauen. Das wiederum führt zu mehr Verlässlichkeit von ML-basierenden Ergebnissen, steigert die Produktivität und schaufelt Ressourcen frei, die anderer Stelle für wichtigere Aufgaben dringend gebraucht werden.

Zum Abschluss noch einige praktische Empfehlungen wie Sie maschinelles Lernen innerhalb eines Cybersicherheitsprogramms am besten nutzen:

• Integrieren Sie so viele Verhaltensindikatoren wie möglich um möglichst alle Anzeichen für ein böswilliges Verhalten zu erfassen.
• Nutzen Sie Vergleichsgruppenanalysen und hierarchisch strukturierte Bedrohungsmodelle um die Zahl der False-Positive-Meldungen zu senken.
  Entwickeln Sie Kill Chains anhand bereits bekannter Angriffsszenarien und ein „Catch-all“-Schema für die noch unbekannten.
• Sammeln Sie das komplette Feedback Ihrer Analysten – nicht nur Informationen zu bestätigten Positiv-Meldungen. Erstellen Sie auf dieser Basis Labels für die Datasets für überwachtes und schwach überwachtes Lernen.
• Sie sollten wissen, welche Metriken in den Modellen zum Tragen kommen, aktualisieren Sie Ihre Modelle dementsprechend um einen Concept Drift zu verhindern.
• Streben Sie nach möglich gut zu generalisierenden Modellen mittels durchdachter Funktionen und einer möglichst hohen Diversifizierung der Datasets.
• Einen Schritt nach dem anderen: Bauen Sie ein transparentes, verlässliches und gut verstandenes ML-Ökosystem auf. Schritt für Schritt.

Weitere Informationen zum Thema:

datensicherheit.de, 18.09.2018
Künstliche Intelligenz zur Erhöhung der Sicherheit im Netzwerk

datensicherheit.de, 30.08.2018
Maschinelles Lernen für effektive Netzwerksicherheit

datensicherheit.de, 26.07.2017
Der Mensch als Schlüsselfaktor Cybersicherheit

datensicherheit.de, 26.07.2018
Cybersicherheit: Die Lücke zwischen Schutz und Risiko

datensicherheit.de, 28.06.2018
Vom Menschen lernen: Das lebende Unternehmen

[datensicherheit.de, 25.02.2019] In den vergangenen Monaten hat sich die Zahl von Cyberangriffen durch Formjacking deutlich erhöht, wie mehrere IT-Sicherheitsunternehmen und Experten berichten. Was es damit auf sich hat und was zu beachten ist um sich gegen die Täuschungsmanöver der Kriminellen zu schützen, erklärt Gérard Bauer, VP EMEA bei Vectra. Das Technologie-Startup setzt in Sachen Cybersicherheit auf eine Plattform, die auf Methoden künstlicher Intelligenz und maschinellen Lernens setzt.

Bild: Vectra

Gérard Bauer, VP EMEA bei Vectra

So erklärt Gérard Bauer:

„Als Formjacking werden Man-in-the-Middle-Card-Skimming-Angriffe des MageCart-Typs bezeichnet, die bereits gegen British Airways, Ticketmaster und viele andere Unternehmen und andere E-Commerce-Websites gerichtet waren. Oft werden erste Infektionen wurden über Skripte von Werbenetzwerken ausgelöst. Damit ist Formjacking ein Beispiel für einen Angriff auf die digitale Lieferkette.

Da Cyberangriffe immer fortschrittlicher werden, müssen Unternehmen jede mögliche Schwäche im gesamten Netzwerk berücksichtigen. Hacker manipulieren zunehmend Partnernetzwerke und integrierte Drittanbieterdienste, um sich Zugang zu einem Unternehmen zu verschaffen. Digitale Wertschöpfungsketten schaffen Geschäftsflexibilität, erweitern aber auch dramatisch die Angriffsfläche eines Unternehmens. Ein Beispiel ist das Einschleusen von verstecktem bösartigem Code in Softwaredienste, wodurch die Malware dann an die Abonnenten verteilt wird. So fand auch der Anbieter von Antivirensoftware Avast heraus, als sein Code kompromittiert und dann verteilt wurde. Neben den direkten vor- und nachgelagerten Supply-Chain-Partnern gibt es auch die zunehmende Zahl von ausgelagerten Dienstleistern, die Unternehmen unterstützen und erhebliche Sicherheitsrisiken darstellen, die nicht ignoriert werden dürfen. Das rasante Wachstum von MageCart und anderen Formjacking-Angriffen zeigt, dass Unternehmen sich mit dem Sicherheitsstatus ihrer Lieferkette befassen müssen.

Die Risiken nehmen täglich zu, da die Angreifer immer anspruchsvoller werden. Darüber hinaus steigen im Rahmen der DSGVO die Anforderungen, mit zusätzlichen Meldepflichten, was das Datenmanagement, den Datenschutz und sicherheitsrelevante Ereignisse betrifft. Es ist daher unerlässlich, dass Unternehmen die Datenmanagementprozesse auch auf ihre Lieferkette ausweiten. Angesichts von Bußgeldern von bis zu 4 Prozent des weltweiten Jahresumsatzes wegen Nichteinhaltung ist klar, dass Cybersicherheit eine Priorität auf Vorstandsebene sein muss.

Offensichtlich kann Cybersicherheit nicht mehr nur als ein reines „IT-Problem“ betrachtet werden. Während Unternehmen die Datenverarbeitung oft an Dritte auslagern, haben sie die Pflicht, personenbezogene Daten zu schützen, unabhängig davon, ob sie diese intern oder extern verwalten. Automatisierung ist der beste Weg, dies innerhalb der Lieferkette zu tun, da der Aufwand immer mehr über das Maß, die Komplexität und die Geschwindigkeit hinausgeht, das Menschen allein bewältigen können. Cybersicherheitsexperten können versteckte Bedrohungen durch den Einsatz von KI effizienter erkennen, was bedeutet, dass Daten in der gesamten Lieferkette besser geschützt werden können. Dies wiederum schützt auch die wirtschaftlichen Interessen des Unternehmens.“

Weitere Informationen zum Thema:

datensicherheit.de, 18.10.2018
(ISC)²: Globaler Mangel an 3 Millionen Experten für Cybersicherheit

Von unserem Gastautor Egon Kando, Regional Sales Director Central & Eastern Europe bei Exabeam

[datensicherheit.de, 30.08.2018] Immer häufiger gibt es immer ausgeklügeltere Cyberangriffe auf die Netzwerke der Unternehmen. IT-Manager sind deshalb ständig auf der Suche nach robusteren Sicherheitslösungen zum Schutz gegen interne und externe Bedrohungen. Ein Ansatz, Bedrohungen abzuwehren, ist beispielsweise die Überwachung und das Analysieren von aktiven Datenströmen. Wird eine Anomalie erkannt, soll die Sicherheitslösung Alarm schlagen. Dieser Ansatz hat sich in der Praxis jedoch als wenig erfolgreich erwiesen, was regelmäßige Verletzungen der Unternehmenssicherheit trotz entsprechender Sicherheitslösungen belegen. Der Grund für das Versagen dieses Ansatzes liegt darin, dass Lösungen dieser Art den größten Risikofaktor im Netzwerk ignorieren: Den Anwender.

Ein benutzerzentrischer Ansatz für Lösungen zur Erhöhung der Netzwerksicherheit hat normalen Überwachungslösungen einiges voraus. So kann er Antworten auf so kritische Fragen liefern wie: Wer greift auf das Netzwerk zu? Worauf greift der Benutzer zu? Geschieht dieser Zugriff im Rahmen des normalen Verhaltens dieses Nutzers?

Überblick über Netzwerkzugriffe

Der Gedanke, zu verfolgen, wer auf das Netzwerk zugreift, mag banal klingen. Tatsächlich ist dies in der Praxis heute immer schwieriger, da die meisten Mitarbeiter komplexe Identitäten haben, die aus einer Vielzahl von Nutzerkonten, Anwendungen und Ordnern unter ihrem Namen bestehen. Selbst in einem mittelständischen Unternehmen kann die Identität eines Mitarbeiters eine Standard-Windows-ID sowie zahlreiche weitere Konten für Anwendungen wie SAP, Salesforce und Oracle enthalten, um nur einige zu nennen. Zu dieser Verwirrung trägt auch der Anstieg der BYOD-Richtlinien bei, was bedeutet, dass viele Mitarbeiter auch persönliche Geräte im Unternehmensnetzwerk verwenden. Daher ist es äußerst schwierig, jede ID für jeden Mitarbeiter an einem zentralen Ort effektiv zu verwalten. Noch schwieriger wird es, wenn Konten für bestimmte Dienste von mehreren Personen gemeinsam genutzt werden.

Wie also kann ein Unternehmen die Nutzung aller Dienste einem bestimmten Benutzer zuordnen, wenn es keine Möglichkeit gibt, diese richtig zuzuweisen? Ohne eine Möglichkeit, diese Fragen zu beantworten, ist es unmöglich festzustellen, wer auf das Netzwerk zugreift.

Überblick auf welche Daten zugegriffen wird

Genauso wie die Überwachung der Nutzer auf den ersten Blick einfach erscheint, mag die Verfolgung auf was genau zugegriffen wird simpel sein und sollte ein ziemlich einfacher Teil der täglichen Netzwerksicherheit sein. Tatsächlich ist dies selten der Fall. In vielen Unternehmen weiß man gar nicht so genau, was da alles im Netzwerk gespeichert und zugänglich ist. Dies ist in der Regel auf das Fehlen eines zentralen Asset-Überwachungssystems zurückzuführen. Wer nicht weiß, was für Daten er überhaupt hat, kann auch schwer nachverfolgen, ob auf sie zugegriffen wird.

Der Grund für einen solchen, an sich banalen Fehler, liegt meist darin, dass IT-Sicherheitssysteme im Laufe der Zeit stückweise aufgebaut wurden. Dies führte zu einer Vielzahl unterschiedlicher Lösungen, die auf den ersten Blick eine ähnliche Aufgabe erfüllen, aber alle mit eingeschränkter Funktionalität. Das bedeutet, dass die IT-Abteilung wissen kann, auf welchen Server zugegriffen wird und welcher Mitarbeiter darauf zugreift. Es ist jedoch unwahrscheinlich, dass das IT-Team weiß, welche anderen Informationen sich auf demselben Server befinden oder wie sensibel diese sind.

Analyse des Nutzerverhaltens

Selbst wenn das IT-Team in der Lage ist, effektiv zu verfolgen, wer auf das Netzwerk zugreift und auf was genau, kann die Frage, ob es sich um ein „normales Verhalten“ für die betreffende Person handelt, äußerst schwierig zu beantworten sein. Dies liegt daran, dass der Kontext, der für eine effektive Beurteilung des Nutzerverhaltens erforderlich ist, nicht nur von den Daten des Netzwerkflusses erfasst wird. Als solche ist es oft kaum mehr als eine fundierte Vermutung, ob sich eine Person innerhalb der Grenzen dessen verhält, was als „normal“ angesehen wird, oder ob ihre Handlungen anormal und daher verdächtig sind.

Maschinelles Lernen verleiht der IT-Sicherheit Flügel

Begriffe wie “Data Science” oder “maschinelles Lernen” begannen in der IT-Branche vor langer Zeit als leere Schlagworte. Schon seit einiger Zeit helfen die schlauen Algorithmen jedoch in vielen Bereichen dabei, Muster zu erkennen – und haben auch großes Potenzial, dies in der IT-Sicherheit zu tun. So wünschen sich Sicherheitsexperten, dass maschinelles Lernen dabei helfen könnte, die oben genannten Fragen des Datenzugriffs beantworten zu können. Dieser Wunsch ist in Erfüllung gegangen und maschinelles Lernen kann, richtig eingesetzt, wichtige Zusammenhänge zwischen scheinbar unzusammenhängenden Teilen von Identitäten entdecken. So erhalten IT-Sicherheitsteams eine detaillierte Übersicht der Aktivitäten eines Benutzers, auch wenn verschiedene Identitätskomponenten nicht explizit miteinander verknüpft sind.

Das fehlende Glied: Der Kontext

Ein klassisches Beispiel: Ein Mitarbeiter loggt sich beispielsweise am Computer im Büro mit seinen persönlichen Zugangsdaten ins Netzwerk ein. Später meldet er sich dann über ein persönliches Gerät von Zuhause aus mit einem Admin-Konto an. Normalerweise würden diese beiden Aktionen nicht mit derselben Identität verbunden werden. Mithilfe von Verhaltensdaten können Lösungen aufbauend auf maschinellem Lernen diese nicht nur miteinander verbinden, sondern auch die Aktionen des Mitarbeiters über die Zeit hinweg verfolgen und so einen umfassenden Überblick über seine tatsächlichen Netzwerkaktivitäten gewinnen.

Mit Hilfe von maschinellen Lernalgorithmen können auf diese Art Trends analysiert und normale Verhaltensprofile pro Benutzer erstellt werden. Dies hilft, den dringend benötigten Kontext zu schaffen, um jede Aktivität zu erkennen und zu kennzeichnen, die zu weit von dem abweicht, was als akzeptabel oder normal angesehen wird. Darüber hinaus können verschiedene Techniken des maschinellen Lernens verwendet werden, um genaue Netzwerk-Asset-Modelle zu erstellen, die den IT-Teams ein genaues Bild von aAllem im Netzwerk vermitteln. Dadurch ist es viel einfacher, genau zu verfolgen, was zu einem bestimmten Zeitpunkt abgerufen wird. Entsprechend können Daten von Führungskräften und Vorstandsmitgliedern als “risikoreich” gekennzeichnet werden, das heißt, sie werden einer stärkeren Prüfung und/oder strengeren Sicherheitsmaßnahmen unterzogen.

Effektive Sicherheit im Netzwerk ist nicht optional. Sie ist absolut kritisch.

Die Bedrohung durch Cyber-Angriffe nimmt im Prinzip täglich zu und eine effektive Netzwerksicherheit ist für Unternehmen selbstredend von sehr hoher Bedeutung. Der Einsatz der richtigen Lösungen hilft jedem Unternehmen, genau zu verstehen, wer auf das Netzwerk zugreift, was er tut und ob er es tun sollte. Maschinelles Lernen wird dabei eine wichtige Rolle spielen, indem es nicht nur wichtige Informationen auf eine Art und Weise miteinander verknüpft, die bisher nicht allein durch die Überwachung des Netzwerkverkehrs möglich war, sondern indem es den IT-Teams den Kontext bietet den sie benötigen, um fundierte Sicherheitsentscheidungen zu treffen.

Bild: Exabeam

Egon Kando ist Regional Sales Director Central & Eastern Europe bei Exabeam. Der diplomierte Ingenieur ist seit über 18 Jahren im IT-Security Markt tätig und begann seine Karriere einst bei der BinTec AG in Nürnberg. Im Verlauf seiner Karriere war der erfahrene IT-Spezialist in verschiedenen Rollen bei Internet Security Systems, später IBM ISS, SonicWALL und Imperva beschäftigt.

Weitere Informationen zum Thema:

datensicherheit.de, 26.07.2017
Der Mensch als Schlüsselfaktor Cybersicherheit

datensicherheit.de, 26.07.2018
Cybersicherheit: Die Lücke zwischen Schutz und Risiko

datensicherheit.de, 28.06.2018
Vom Menschen lernen: Das lebende Unternehmen

datensicherheit.de, 29.08.2017
Privilegierte Benutzerkonten ins Visier von Hackern