Mit jedem technologischen Fortschritt ist sicher davon auszugehen, dass kriminelle Akteure dessen Potenzial schnell analysieren, um ihre Ziele zu verfolgen. Ob es sich um Cyberkriminelle handelt, die Ransomware-Angriffe oder Datendiebstahl planen, oder um Staaten, die versuchen, die kritische Infrastruktur ihrer Gegner zu stören – neue Technologien erweitern das Arsenal potenzieller Angriffsformen.
Es gibt zahlreiche Hinweise darauf, dass böswillige Akteure KI, ML und DL nutzen, um ihre Angriffe raffinierter zu gestalten. Während groß angelegte DDoS-Angriffe oft Schlagzeilen machen, ist das Hauptziel der meisten Cyberkriminellen, möglichst lange unentdeckt zu bleiben. Ähnlich wie ein Einbrecher, der sich unbemerkt durch ein Haus bewegt, wollen sich Cyberkriminelle durch Netzwerke bewegen, ohne erkannt zu werden.
Dazu versuchen sie, sich möglichst wie legitime Nutzer oder Geräte zu verhalten. Genau hier wird KI-gestütztes maschinelles Lernen zu einer mächtigen Waffe: Es erlaubt Angreifern, das Verhalten von Nutzern und Geräten im Netzwerk zu analysieren, neue Malware- und Phishing-Strategien zu entwickeln und diese in großem Maßstab einzusetzen. Der einfachste Weg in ein Netzwerk bleibt oft ein Klick auf einen Link – etwa in einer täuschend echten E-Mail, die scheinbar vom Vorgesetzten stammt.
Das Unternehmen Darktrace gilt weltweit als führend im Bereich KI-basierter Cybersicherheit und kennt sich entsprechend gut mit der zunehmenden Nutzung von KI durch kriminelle Gruppen aus. Ein lesenswerter Blogbeitrag des Unternehmens beschreibt, wie Cyberkriminelle KI im gesamten Angriffszyklus nutzen – von Chatbots über gefälschte Social-Media-Profile bis hin zum Einsatz neuronaler Netze zur Identifikation besonders wertvoller Daten.
Die wachsende – und gefährliche – Verbindung zwischen IT und OT
Im selben Beitrag wird auch das Ziel der lateralen Bewegung im Netzwerk hervorgehoben: Der erste Zugangspunkt – etwa ein ungesichertes Gerät an einem abgelegenen Standort – ist selten das eigentliche Ziel. Vielmehr versuchen Angreifer, sich zu sensibleren Bereichen des Netzwerks vorzuarbeiten und dabei Zugangsdaten zu sammeln – insbesondere von privilegierten Nutzern wie Administratoren.
Mit der zunehmenden Vernetzung von Geräten und dem Internet der Dinge (IoT) steigen die Risiken, da sich IT-Netzwerke (für digitale Informationsflüsse) und OT-Umgebungen (für physische Prozesse und Anlagen) immer stärker verzahnen. Für Angreifer, deren Ziel nicht Diebstahl, sondern Sabotage ist, ist der Zugang zur OT entscheidend. Man braucht wenig Fantasie, um sich die möglichen Schäden vorzustellen, die durch den Zugriff auf Maschinen in Kraftwerken, Raffinerien oder Krankenhäusern entstehen könnten.
KI als Werkzeug zur Verteidigung – nicht nur zum Angriff
Nach dieser eher düsteren Darstellung der Möglichkeiten von KI für Angreifer lohnt sich der Blick auf die andere Seite: dieselben Technologien stehen auch den Verteidigern zur Verfügung – und in vielerlei Hinsicht haben sie sogar einen Vorteil.
Jeff Cornelius, Executive Vice President bei Darktrace, erklärt:
„Zunächst einmal: Trotz anderslautender Medienberichte ist die Entwicklung von KI und ML alles andere als einfach. Zwar haben wir es mit mächtigen Gegnern zu tun – kriminellen Gruppen und staatlichen Akteuren – aber wir haben auch einige Vorteile auf unserer Seite.
Der wichtigste: Dank der Einblicke, die uns unsere Kunden gewähren, können wir das gesamte Netzwerkverhalten analysieren – und so ein umfassendes Verständnis für jedes Gerät und jeden Nutzer entwickeln. Im Gegensatz dazu sehen Angreifer immer nur einen kleinen Ausschnitt. Jeder Schritt, den sie nach dem ersten Zugriff machen, ist ein Schritt ins Unbekannte – in eine Umgebung, die wir verstehen, sie aber nicht. Ihr Ziel sind Aktivitäten, die im normalen Geschäftsbetrieb nicht vorkommen. Unsere Aufgabe ist es, Abweichungen im Netzwerkverhalten zu erkennen und zu analysieren – mit einem breiten Fokus, da wir nie wissen, wann oder wo ein Angriff beginnt oder welche Methoden verwendet werden.“
Er vergleicht es so: „Jemand, der meine täglichen Wege von außerhalb meines Hauses beobachtet, kann sich ein gutes Bild meiner Gewohnheiten machen – wann ich das Haus verlasse, welchen Weg ich zur Arbeit nehme, wo ich Mittag esse. Aber ohne Einblick in mein Zuhause wird er beim Versuch, mein Frühstücksverhalten zu imitieren, wahrscheinlich einen Fehler machen, der einem Familienmitglied sofort auffällt. Ähnlich verhält es sich mit Angreifern im Netzwerk: Sie können sich zwar Zugang verschaffen, aber sobald sie ‚am Tisch sitzen‘, fallen sie auf.“
Überwachtes vs. unüberwachtes maschinelles Lernen
„Ein wichtiger Unterschied besteht zwischen überwachtem und unüberwachtem maschinellen Lernen. Beim überwachten Lernen werden Modelle mit bekannten Daten trainiert und vergleichen neue Informationen mit diesen Mustern. In der Cybersicherheit bedeutet das: Die Modelle erkennen bekannte Malware. Doch hier beginnt das eigentliche Wettrennen – denn Angreifer nutzen ML, um ständig neue Varianten von Malware zu entwickeln. Die Zahl dieser Varianten wächst exponentiell, und Sicherheitsanbieter müssen mit neuen Modellen Schritt halten. Es ist, als würde eine Rechtschreibprüfung versuchen, mit einer Welt Schritt zu halten, in der täglich neue Wörter und sogar neue Sprachen entstehen – kaum machbar.
Unüberwachtes maschinelles Lernen hingegen basiert nicht auf bekannten Bedrohungen. Stattdessen analysieren die Algorithmen riesige Datenmengen und erkennen Muster auf Basis der vorhandenen Beweise. So entsteht ein Bild des ‚normalen‘ Verhaltens im Netzwerk – bezogen auf Geräte, Nutzer oder Gruppen. Abweichungen von diesem Muster können auf eine Bedrohung hindeuten. Dieses Frühwarnsystem hilft uns, den Angreifern immer einen Schritt voraus zu sein.“
Das Thema KI und maschinelles Lernen in der Cybersicherheit ist hochspannend – und selbst dieser ausführliche Beitrag kann ihm kaum gerecht werden. Es betrifft weit mehr als nur den Sicherheitsbereich im engeren Sinne. Denn auch netzwerkbasierte Video- und Audiosysteme sind ebenso gefährdet wie jedes andere vernetzte Gerät – und verdienen daher besondere Aufmerksamkeit.
