Mit Künstlicher Intelligenz gegen Hacker kämpfen
"KI erhöht die Erkennungsrate um den Faktor 100"
Christian Nern ist Head of Security Software DACH bei IBM. Im Interview erklärt er, was IBM unter Security Intelligence versteht, wie Watson for Cybersecurity mit Künstlicher Intelligenz die Sicherheit erhöht und warum der Mensch wichtig bleibt.
Online PC: Threat Intelligence und Security Intelligence sind in aller Munde. Was verstehen Sie darunter?
Christian Nern: Threat Intelligence (TI) meint das Sammeln und die Analyse von Daten über Schwachstellen oder Angriffe in der IT-Umgebung, das Erkennen von Mustern in Angriffen oder dem Nutzerverhalten. TI ist damit eine wichtige oder sogar die Kernkomponente von Security Intelligence (SI), bei der es um das Erkennen und Vermeiden von Angriffen geht. SI-Lösungen bilden eine neue Generation intelligenter Systeme, die nahezu alles über die IT-Landschaft und deren Bedrohungen, Angriffe und Sicherheits-Events wissen. Und je mehr ich weiss, desto präziser kann ich regelbasierte und (teil-)automatisierte Gegenmassnahmen ergreifen.
Online PC: Welche Funktionen sollte eine SI-Lösung denn auf jeden Fall mitbringen?
Nern: Sie sollte aus der grossen Menge an Daten Muster auch von komplexen Angriffen erkennen, flexibel auf Hackerangriffe reagieren, Handlungsempfehlungen geben und Warnungen proaktiv aussprechen. Idealerweise sind SI-Lösungen modular aufgebaut, damit man sie schrittweise erweitern kann. Und sehr wichtig ist der Plattformgedanke, das heisst, Security Intelligence darf keine Insellösung sein, sondern muss über Schnittstellen auch mit den Lösungen anderer Hersteller zusammenarbeiten.
Online PC: Sie haben die grossen Datenmengen angesprochen, die SI-Lösungen verarbeiten. Aus welchen Datenquellen stammen die Inhalte?
Nern: IBM hat selbst 300 Security Operations Center (SOCs) für Grosskunden, in denen wir Informationen wie Sicherheits-Events und Warnungen, Logs und Konfig-Daten, Benutzer- und Netzwerkstatistiken, Bedrohungs- und Schwachstellen-Feeds sammeln. Diese Daten werden alle fünf Minuten aktualisiert.
Dank Watson for Cybersecurity können wir in unseren SOCs jetzt auch neue Quellen wie forensische Analysen, Angriffsberichte, Forschungsuntersuchungen, Whitepaper, Tweets, Blogs, Wikis und Webseiten mit Security-Inhalten auswerten. Insgesamt speisen wir Watson mit Informationen aus rund zehn Milliarden Knoten beziehungsweise Referenzquellen. So erhalten wir ein umfassendes Bild der Security-Lage in Unternehmen. Denn viele Firmen nutzen im Schnitt nur 8 Prozent des Sicherheitswissens.
Online PC: Sie sprechen im Zusammenhang mit Watson for Cybersecurity immer von kognitiver IT-Sicherheit. Was meinen Sie damit?
Nern: Mit Watson setzen wir auch maschinelles Lernen und Künstliche Intelligenz ein, um die Sicherheit von Unternehmen zu erhöhen. Dazu trainierten und fütterten IBM-Experten das System seit Anfang 2016 mit über einer Million sicherheitsbezogener Dokumente. Dank der kognitiven Technologie können wir Cyberbedrohungen schneller und effizienter abwehren. Unternehmen erleben im Schnitt 200.000 sicherheitsrelevante Ereignisse pro Tag. Das zeigt, dass die IT-Fachkräfte Unterstützung von intelligenten Maschinen brauchen.
Online PC: Welche Vorteile bringen KI und Machine Learning für den Schutz von Unternehmen?
Nern: Sie erhöhen deren IT-Sicherheit enorm. Das zeigen 40 Beta-Tests von Watson for Cybersecurity in Unternehmen. Zum einen analysiert und wertet Watson umfangreiche Datenmengen fast in Echtzeit aus, in Sekunden statt Minuten. Die Maschine findet Angriffe, Threats oder sicherheitsrelevante Ereignisse um das Fünf- bis Zehnfache schneller als andere Systeme. Da Watson for Cybersecurity die Relationen von Threats und Events visualisiert und neu erkannte Bedrohungen andersfarbig markiert, vereinfacht sich die Arbeit der Security-Experten. Auch die Erkennungsrate von verdächtigen Ereignissen und damit der Ausschluss von False Positives ist um den Faktor 100 gestiegen. Watson erkennt auch komplexe Angriffe, zeigt deren Konsequenz für den betroffenen Endpunkt und gibt auf Basis von Logik Handlungsempfehlungen für Sicherheitsmassnahmen.
Online PC: Wie sehen diese Handlungsempfehlungen aus?
Nern:
Hier muss ich vorausschicken, dass Watson for Cybersecurity Teilmodul einer integrierten, vernetzten Sicherheitslösung mit IBM QRadar als Kernstück ist. Watson erstellt die Handlungsempfehlung auf Basis von Best Practices, sprich den wahrscheinlichsten und bisher besten Reaktionen auf entsprechende Angriffe. So rät Watson etwa, den betroffenen Client zu isolieren oder einen Patch aufzuspielen. Die verknüpfte Lösung IBM BigFix Detect setzt die empfohlene Reaktion dann regelbasiert und teilweise automatisiert um. Bei vielen Lösungen läuft dieser Prozess zum Teil noch manuell ab.
Online PC: Können kognitive Technologien Security-Experten ersetzen?
Nern: Nein, natürlich nicht. Selbst wenn Security Intelligence installiert ist, sind Unternehmen noch nicht sicher. SI funktioniert nur, wenn in den Firmen Security-Prozesse vorhanden sind auf Basis von Risikoanalyse, Sicherheits-Policies, Notfallplan oder Schulung der Mitarbeiter. SI-Lösungen unterstützen die Security-Mitarbeiter mit Auswertungen und Handlungsempfehlungen bei Angriffen. Dies wird zukünftig noch relevanter, da die Menge der Security-Daten weiter steigt.
Unternehmen müssen wissen, was bei ihnen passiert. Sie sollten auch ihre Sichtweise von Security ändern: Es reicht nicht mehr, sich mit Firewalls, Proxies oder Gateways abzuschotten und Mauern hochzuziehen. Stattdessen benötigen sie intelligente Systeme mit KI, die vernetzte Plattformen bilden anstelle von Insellösungen, die nicht zusammenarbeiten.