Archiv

Verteidigungssoftware
Schwachstelle Mensch beim Cyberangriff

Auf der Fachmesse für IT-Sicherheit it-sa in Nürnberg ging es dieses Jahr vornehmlich um intelligente Software zur Abwehr von Cyberangriffen. Angestoßen wurde die Debatte von Sicherheitspolitikern und Cybermilitärs. Damit soll nicht nur dem Mangel an qualifizierten Sicherheitsexperten begegnet werden: Die Software könnte zukünftig Cyberkriege vollautomatisiert führen.

Von Peter Welchering |
    Ursula von der Leyen (CDU) besucht am 14. April 2015 in Tallinn das "NATO Cooperative Cyber Defence Centre of Excellence". Während sich die NATO-Einrichtung als defensiv ausgerichtet gibt, setzt die Verteidigungsministerin auf digitale Angriffsstrategien
    "Auch im Berliner Verteidigungsministerium träumt man davon, den Cyberkrieg der Zukunft von Software vollautomatisch führen zu lassen": Ursula von der Leyen (CDU) besucht im April 2015 in Tallinn das "NATO Cooperative Cyber Defence Centre of Excellence" (Maurizio Gambarini / dpa)
    "Im IT-Sicherheitsbereich ist die Kategorisierung in Gut und Böse sicherlich eines der Hauptthemen beim Thema Machine Learning. Das kann jetzt gutartiger oder bösartiger Code sein. Das können gutartige oder bösartige E-Mails sein oder auch Rechnersysteme, wo einfach Machine-Learning-Systeme so trainiert werden, diese zu unterscheiden."
    Manfred Kloiber: Das sagte Udo Schneider vom IT-Sicherheitsunternehmen Trend Micro auf der it-sa-Konferenzmesse in Nürnberg. Auf der IT-Sicherheitsveranstaltung gab es in diesem Jahr ein alles andere überragendes Thema, nämlich intelligente Software für die Abwehr von Cyberangriffen. Warum kocht das Thema gerade jetzt so hoch, Peter Welchering?
    Peter Welchering: Da sind in erster Linie die Sicherheitspolitiker schuld daran. Die sehen sich nämlich zum einen mit der Forderung konfrontiert, dass für die ganzen Computer-Notfallteams mehr Sicherheitsexperten gebraucht werden. Und da setzen sie ihre ganze Hoffnung auf intelligente Abwehrsoftware, die Trojaner erkennt und unschädlich macht, direkte Hackerattacken abwehren kann und sogar Sicherheitslücken in neu entwickelter Software findet.
    Intelligente Abwehrsoftware soll das schneller machen als der Mensch, soll das präziser machen und sie soll das kostengünstiger machen. Und zweitens pushen die Cyber-Militärs das Thema selbstlernende Sicherheitssoftware ganz entschieden. Auch im Berliner Verteidigungsministerium träumt man davon, den Cyberkrieg der Zukunft von Software vollautomatisch führen zu lassen und dafür keine Cyber-Soldaten mehr zu brauchen. Drittens bietet selbstlernende Sicherheitssoftware die Möglichkeit zu allumfassender Überwachung. Und das finden Sicherheitspolitiker natürlich apart.
    Deshalb ist dieses Thema so hochgekocht.
    Kloiber: Wie die Methoden maschinellen Lernens konkret bei der Entwicklung selbstlernender Sicherheitssoftware eingesetzt wird und vor allen Dingen warum alle Sicherheitsunternehmen so massiv auf die smarte Software für die Cyberabwehr setzen, das haben wir auf der Nürnberger it-sa die Experten zahlreicher IT-Unternehmen gefragt.

    "Lücke von ungefähr 1,5 Millionen Menschen, die im Cyber-Security-Bereich notwendig sind"
    Thomas Hemker von Symantec: "Wir haben ja die Situation, dass wir bis 2020 eine Lücke von ungefähr 1,5 Millionen Menschen haben, die im Cyber-Security-Bereich notwendig sind. Diese Menschen gibt es de facto nicht. Das heißt es ist für uns eine Unterstützung und eine notwendige Unterstützung weil eben die Angreifer immer mehr werden, und die Angriffe werden höher automatisiert, werden immer besser. Und das ist einfach eine zusätzliche Möglichkeit der Verteidigung."
    Hackingangriffe, Computerviren oder mehrstufige Cyberattacken - die Methoden werden immer raffinierter. Und sie laufen oft vollautomatisch und nach ähnlichen Mustern ab. Diese Muster können Computer regelrecht lernen und dann eine Attacke erkennen und abwehren. Im ersten Schritt geht es darum, schädliche Software und bösartige Verhaltensmuster ausfindig zu machen. Udo Schneider vom IT-Sicherheitssteller Trend Micro:
    "Wenn Sie sich Machine Learning anschauen, schicken sie eine große Datenmenge in die Machine-Learning-Algorithmen hinein: Wer hat das Programm geschrieben? Wann wurde es kompiliert? Welche Ressource-Informationen sind vorhanden? Einfach Informationen über die Datei, oder Informationen zur Laufzeit. Das sind alles Informationen, die von Machine-Learning-Algorithmen genutzt werden, um selbstständig Verhaltensweisen, Entscheidungen zu finden, mit denen ich Gut und Böse kategorisieren kann."
    Abermilliarden Messpunkte analysieren Internet und andere Computersysteme
    Selbstlernende Sicherheitssoftware untersucht nicht nur Dateien und ihre Struktur, um die typischen Muster von Schadsoftware zu entdecken. Mit Methoden der Wahrscheinlichkeitsrechnung wird auch ermittelt, wie groß die Möglichkeit eines bestimmten Hacker- oder Virenangriffes ist.
    Je mehr Hacking- und Cyberattacken von der Software gelernt, also ausgewertet wurden, desto besser und früher kann die Software einen Angriff oder ein Sicherheitsproblem erkennen. Dabei werden nicht nur Strukturen und Merkmale von Cyberangriffen gelernt, sondern auch, wie wahrscheinlich sie bislang waren und bei einem kommenden Angriff sein werden.
    Abermilliarden von Messpunkten erfassen dazu, was gerade im Internet und in anderen Netzen sowie Computersystemen passiert. Diese Daten wertet die selbstlernende Sicherheitssoftware aus. Thomas Hemker von Symantec:
    "Der zweite große Bereich, wo das zum Einsatz kommt, ist bei der Auswertung großer Datenmengen. Das heißt, wenn ich viele Telemetrie-Daten habe im Bereich meiner Systeme, mein Netzwerk, was passiert um mich herum, was passiert in der Welt? Und wenn ich das alles zusammen bekommen möchte, um mir eine Lagebilderstellung zu erleichtern, dann brauche ich eben auch diese Technologien, um diese Daten auszuwerten."
    Supercomputer Watson: "Er versteht Ironie und solche Dinge"
    Der IBM Rechner Name "Watson" leuchtet am Montag (28.02.2011) auf einer Anzeige auf der CeBIT im Messegelände in Hannover
    Supercomputer Watson: Das ganze Sicherheitswissen der Welt in der Hand des Großkonzerns IBM - so das Ziel (dpa picture alliance/Caroline Seidel)
    Peter Häufel von der IBM reicht das noch nicht. Er will bei einem Angriff das gesammelte Sicherheitswissen der Welt für die selbstlernende Sicherheitssoftware zur Verfügung haben. Bereitstellen soll das der von der IBM entwickelte Supercomputer Watson:
    "Das können natürlich Texte sein. Das sind Webseiten, das sind Recherchen im Darknet, das sind Blogs, eben das, was normalerweise nur Menschen verarbeiten können.
    Deswegen nennen wir es ja kognitiv, weil diese Informationen in dieser Art und Weise nicht verfügbar sind oder nicht computergestützt zur Verfügung standen. Wir sind jetzt in der Lage, das zur Verfügung zu stellen, also auch Telefonkonferenzen, die Watson mithören kann, er versteht Sprache, er kann sie analysieren. Er versteht Ironie und solche Dinge.
    Und das ist wichtig und entscheidend, das man wie Mensch reagiert und Informationen zusammen sammelt, wie ein weltweit umspannendes Gehirn."

    "Ab einem bestimmten Lerngrad der Maschine hat der Mensch keinen Einfluss mehr darauf"
    Wissenschaftsjournalist Peter Welchering im Gespräch mit Manfred Kloiber
    Manfred Kloiber: Lernen ist in der Künstlichen-Intelligenz-Forschung ja eine nicht ganz ungefährliche Angelegenheit. Haben die Experten für maschinelles Lernen denn genau im Griff, wie selbstlernende Sicherheitssoftware sich entwickelt, nachdem sie trainiert und laufen gelassen wurde?
    Peter Welchering: Es gibt zwei Grundprobleme beim maschinellen Lernen: Stoppt der Analyse- und Trainingsteil zu früh, dann kann die selbstlernende Sicherheitssoftware nicht genau genug entscheiden. Stoppt der Analyse- und Trainingsteil zu spät, dann dreht das System durch, weil es überlernt.
    Kloiber: Mit welchen Methoden kann dieser Lernprozess abgesichert werden?
    Welchering: Es laufen in der Analyse- und Trainingsphase bereits Frühwarnsysteme mit, die ein Überlernen verhindern sollen. Das mathematische Model dafür ist ziemlich kompliziert. Im Prinzip macht man das mit konkurrierenden Algorithmen, die sich in diesem Konkurrenzverhältnis dann gegenseitig kontrollieren.
    Der entscheidende Punkt ist dann, dass die Systemadministratoren in diesem Konkurrenzverhältnis das letzte Wort haben. Das aber ist schwierig. Ab einem bestimmten Lerngrad der Maschine hat der Mensch keinen Einfluss mehr darauf. Der Mensch kann dann nicht mehr prognostizieren, wie die Maschine sich verhält. Er weiß nicht einmal mehr wie die Software dann genau abläuft. Und so weit darf es eben nicht kommen.
    Szene aus Stanley Kubricks Science-Fiction-Klassiker "Odyssee im Weltall"
    In Stanley Kubricks Science-Fiction-Klassiker "Odyssee im Weltall" gerät der Supercomputer HAL 9000 außer Kontrolle. Wäre ein vergleichbares Szenario auch mit "überlernten" Sicherheitssystemen möglich? (imago stock&people)
    "Die Cybermiltärs möchten, dass die Sicherheitssoftware einen Server, der Schadsoftware geschickt hat, gleich abzuschießen kann"
    Kloiber: Was macht selbstlernende Sicherheitssoftware denn bei einem konkreten Hackerangriff?
    Welchering: Wenn beispielsweise einer der Messpunkte im System Daten liefert, denen zufolge von einem Prozess, der zur Office-Software gehört, nachts um 3:00 Uhr von einem Rechner einer Sachbearbeiterin eine Verbindung ins Internet aufgebaut wird, verfolgt die Sicherheitssoftware nach, zu welchem Server da eine Verbindung aufgebaut wurde.
    Denn das ist eine Anomalie. Sie holt sich alle Informationen über den Server und dessen Besitzer zusammen. Ob der schon auf irgendwelchen Blacklists steht, als Kontrollrechner bekannt ist. Dann überwacht sie sehr genau, welche Daten dieser Server auf den Rechner der Sachbearbeiterin schickt, untersucht die Datenstruktur, um herauszufinden, ob es sich um Schadsoftware handelt, kappt gegebenenfalls die Verbindung.
    Und die Cybermiltärs möchten dann auch noch, dass die Sicherheitssoftware darauf trainiert wird, einen Server, der Schadsoftware zum Arbeitsplatzrechner geschickt hat, gleich abzuschießen.
    Kloiber: Welche Informationen liefern denn diese Abermilliarden telemetrischer Messpunkte, die der selbstlernenden Sicherheitssoftware die Daten liefern?
    Welchering: Die liefern im Prinzip eine Komplettüberwachung dessen, was da im Unternehmenssystem oder im Internet abläuft. Deshalb haben ja auch Sicherheitspolitiker ein Auge auf diese selbstlernende Sicherheitssoftware geworfen. Denn mit ihren Analysetools und mit den Prozessdaten der Telemetrie lässt sich so etwas wie Komplettüberwachung im Netz hervorregend organisieren. Und da müssen wir aufpassen.