Die Grenzen KI-basierter Sicherheit

Die Grenzen von KI

Security-Unternehmen werben derzeit stark mit Begriffen wie Künstliche Intelligenz (KI) oder Machine-Learning (ML). Sie stellen sich damit dem Fakt, dass die aus der Vergangenheit bekannten klassischen Lösungen keine vollständige Sicherheit bieten. Das betrifft gleichermaßen Intrusion-Prevention-Systeme, Antiviren-Tools und ihre Weiterentwicklungen, die sogenannten Next-Generation-Antiviren-Produkte, oder Next-Generation-Firewalls. Solche Lösungen können neue Zero-Day-Attacken, Advanced Persistent Threats oder Ransomware-Trojaner nicht zuverlässig aufspüren, da sie auf die Erkennung von Schadsoftware angewiesen sind – etwa unter Nutzung von Signaturen, Verhaltensanalysen oder heuristischen Methoden. Bei bisher unbekannter, neuer Malware stoßen sie damit schnell an ihre Grenzen, wie Koehler auf funkschau.de erläuterte.

Doch sind KI- oder ML-basierte Sicherheitslösungen nun der Ausweg aus dem Dilemma? Hier muss zunächst eine Differenzierung und Begriffsbestimmung vorgenommen werden. Echte KI ist von rein regelbasierten Systemen zu unterscheiden. Bei Letzteren wird auf Basis des gespeicherten Expertenwissens nach dem klassischen „Wenn-dann“-Ansatz verfahren. Sie setzen somit – wie eine herkömmliche Antivirus-Lösung auch – letztlich auf die signaturbasierte Erkennung. KI-gestützte Sicherheitssysteme hingegen nutzen unter anderem auch lernbasierte Verfahren, Mustererkennungen oder statistische Prognosemodelle.

KI oft “nur” regelbasierte Systeme

Im Hinblick auf das aktuelle Marktangebot ist festzuhalten, dass viele IT-Sicherheitsprodukte mit dem Label KI lediglich regelbasierte Systeme sind. Nur die wenigsten sind echte KI-gestützte Lösungen, die allerdings auch keine 100-prozentige Erfolgsquote bieten – noch nicht einmal für bereits bekannte Angriffe. Sicherheitssoftware-Hersteller sind mit dem KI-Einsatz zwar in der Lage, Maßnahmen zu automatisieren: KI-Programme können zum Beispiel gigantische Datenbanken durchforsten und nach immer feineren Angriffsmustern oder Anomalien suchen, um sie völlig selbstständig abzuwehren. Allerdings ist nicht garantiert, dass sie diese auch finden. Und darüber hinaus darf nicht vergessen werden, dass auch Angreifern die KI-Nutzung offensteht. Es ist davon auszugehen, dass sie den Vorsprung der Angreifer vergrößern und nicht verringern wird.

Folglich ist man gezwungen, über neue Methoden zur Verteidigung von Hacker-Attacken nachzudenken, ansonsten wird der Kampf gegen einen immer schlagkräftigeren Gegner aussichtslos. Wenn keine zuverlässige Erkennung möglich ist, muss zwangsläufig eine andere Lösungsoption gewählt werden – und zwar eine, die nicht auf Detektion, sondern auf Isolation setzt. Das technische Hilfsmittel der Wahl ist dabei die Virtualisierung.

Isolation als Mittel zum Zweck

In der Virtualisierung sehen inzwischen mehrere Softwareanbieter einen Ausweg aus dem Sicherheitsdilemma. Sie sind damit in einem noch jungen, aber stark wachsenden Markt unterwegs. Mit Virtualisierung und Isolation aller Aktivitäten, die das Unternehmens- oder Behördennetz potenziell gefährden, können die Sicherheitslücken, die prinzipbedingt bei traditionellen Lösungen vorhanden sind, geschlossen werden. Virtualisierungslösungen bieten im Hinblick auf die Clients ein neues, bisher unbekanntes Schutzniveau. Einen Virtualisierungsansatz verfolgt etwa Bromium bei seiner Lösung Secure Platform. Sie erzeugt Hardware-isolierte Micro-VMs für alle riskanten Anwenderaktivitäten mit Daten aus fremden Quellen, das heißt, sie isoliert gängige Browser sowie Office- und PDF-Dokumente aus E-Mail-Anhängen und portablen Speichermedien – und schützt damit Endgeräte und das Netzwerk vor einer Kompromittierung über diese viel genutzten Angriffspfade.

Komplementäres Element

Auch wenn Virtualisierung die Begrenztheit herkömmlicher Sicherheitslösungen überwindet, überflüssig werden sie dadurch nicht. Natürlich müssen etwa Antiviren-Tools für die Erkennung bekannter Schadsoftware elementarer Bestandteil jeder Sicherheitsarchitektur bleiben. Und auch KI-gestützte Sicherheitssysteme haben ihre Berechtigung, gerade im Netzwerkbereich, in dem es um die Analyse großer Datenmengen geht. Aber das Entscheidende ist, dass diese Lösungen letztlich nur eine komplementäre Ergänzung darstellen, und zwar von Lösungen, die einen gezielten Schutz auch vor unbekannter Malware bieten.