Künstliche Intelligenz in Schadsoftware verändert die Art und Weise von Angriffen auf Systeme – warum der Weg zur Künstlichen Intelligenz so spannend ist und was den Einsatz bei Angriffen mit Schadsoftware so interessant macht, beschreibt der folgende Beitrag.
Der Inhalt im Überblick
Oft im Einsatz bei Angriffen: Schadsoftware
Nahezu jeder hat schon mal eine Geschichte erzählt bekommen, wobei ein System mit einer schadhaften Software infiziert wurde. Die Erscheinungsformen sind dabei vielfältig und entwickeln sich stetig weiter. Schadsoftware wird komplexer, zielgerichteter, aggressiver. Sie unterliegt ständiger Modifikation, lässt sich an nahezu jegliche Intention anpassen und einmal losgelassen, ist sie oft nur mit viel Aufwand zu stoppen – falls sie überhaupt erkannt wird.
KI: Wenn Siri plötzlich versteht, was man will
Das Stichwort hinter einer immer zunehmenden Unberechenbarkeit von Schadsoftware lautet „KI“ – Künstliche Intelligenz. Schon oft gehört und doch ist sie wenig greifbar. Dabei begegnet sie uns im Alltag zuhauf und wird dabei besser und zuverlässiger. Etwa
- in Sprachassistenten,
- in der Medizin,
- bei Gesichtserkennungen,
- in Navigationssystemen,
um nur einige wenige Beispiele zu nennen.
Sie soll lernen, urteilen und Probleme lösen durch Eigenentwicklung intelligenten Verhaltens. Und das tut sie auch. Sie erleichtert uns das Leben, wenn sie nach unseren Bedürfnissen und Interessen handelt. Aber wie sieht es aus, wenn die Intention beim Einsatz böswilliger Natur ist?
Künstliche Intelligenz + Schadsoftware = Angriff 4.0
Ein Stichwort der Künstlichen Intelligenz ist das sogenannte Machine Learning, zu Deutsch: Maschinelles Lernen. Hierbei lernen Systeme, eigenständig Muster und Zusammenhänge aus Daten zu erkennen. Das Lernen impliziert hierbei bereits, dass sie sich dabei verbessern. Und zwar selbstständig. Hierfür gibt es in der Regel vorangestellte Lernphasen mit mehreren Bausteinen und Aufgaben, die aufeinander aufbauen. Alle daraus resultierenden Erkenntnisse können dann auch für tiefergehende Problemstellungen und Aufgaben genutzt werden.
Nun nehme man eine Schadsoftware, die so agiert, wie eben beschrieben. Die sich immer wieder an neue Gegebenheiten, Scans und Schutzmechanismen anpasst und intelligent ringsherum agiert, um unerkannt zu bleiben und dann gezielt zuzuschlagen – nach anfänglicher Initiierung und Zielsetzung ohne weiteres Zutun durch menschliche Hand. Die Auswirkungen und Effizienz des Einsatzes von Machine Learning zeigt das prominente Beispiel Emotet. Die Malware soll sich der Technologie bedient haben, um die Erfassung von potentiellen Angriffszielen gerichteter durchzuführen. So konnten bei der Zielauswahl Honeypots und Botnet-Tracker gezielt umgangen werden. Damit verändert der Einsatz von Künstlicher Intelligenz in Schadsoftware die Art und Weise von Angriffen auf Systeme.
Bis zur Zerschlagung der Emotet-Infrastruktur im Januar 2021 ist laut BKA
„alleine in Deutschland […] durch Infektionen mit der Malware Emotet oder durch nachgeladene Schadsoftware ein Schaden in Höhe von mindestens 14,5 Millionen Euro verursacht worden.“
Weltweit wird der Schaden von Polizeibehörden irgendwo zwischen mehreren hundert Millionen und 2,5 Milliarden Dollar verortet. Noch im Jahr davor identifizierte die Sicherheitslösung von G DATA alleine über 800.000 Versionen der Malware. Diese Zahlen lassen das gewaltige Ausmaß und Potenzial intelligenter Schadsoftware erahnen.
KI nicht nur auf der dunklen Seite der Macht
Doch was auf der einen Seite geht, geht aber ja auch auf der anderen. Es geht um Inferenz. Das Ziehen von logischen Schlüssen und die Gewinnung von Erkenntnissen. Erkenntnisse können auch für gute Zwecke gewonnen werden. KI lässt sich sinnvoll einsetzen bei der Bekämpfung von durch Täter initiierten Angriffen mit (KI-)Schadsoftware. Detektion und Reaktion basieren dabei genau wie vorher beschrieben auf Lerneffekten. Die KI erlernt den Normalzustand und erkennt Abweichungen. Was man sich dabei eher fragt, ist: Welche Seite ist denn besser und schneller darin, ihr Ziel zu erreichen?
Ich gucke zu, kenne aber die Spielregeln nicht
Klassifizierung von Daten, Verstehen von Mechanismen, Erkennen von Lücken. Nach welchen Kriterien eine KI dabei vorgeht, ist im Laufe der Entwicklung ein Geheimnis. Wenn man diese Szenarien weiterspinnt, wäre es in einigen Jahren, vielleicht auch Jahrzehnten, ein Kampf zwischen KI und KI, wo der Mensch nur noch die Spielwiese bereitstellt und ansonsten als stiller Beobachter fungiert, der zuguckt, aber die Regeln des Spiels nicht vollständig erfassen kann.
Vorzustellen ist es sich vom Aufbau her als Schachspiel. Dabei ist kein Platz für eine dritte Person. Auch nicht, wenn die beiden anderen Akteure keine Personen in dem Sinne sind. Es ist ein Eins-gegen-Eins. Es gibt daneben maximal die Person, die die Zeit stoppt und das Geschehen beobachtet. Aber eben nur zwei Akteure, die das Spielgeschehen beeinflussen. Allerdings hat dieses Schachspiel seine eigenen Regeln und Rahmenbedingungen. Die nur den Akteuren bekannt sind und die sich stetig ändern.
Eine IT-Infrastruktur besteht im besten Falle aus mehreren Komponenten. Jede der Komponenten erfüllt eine andere Funktion, aber alle arbeiten zusammen, mit dem Ziel, die Kronjuwelen des Unternehmens abzusichern. Alles dreht sich um die zu schützenden Daten, bzw. den König auf dem Schachbrett. Hier spielen die Bauern, Läufer, Türme und Springer zusammen. Die Firewall, die Passwort-Policy, Endpoint-Protection und die Netzwerksegmentierung als Beispielkomponenten sind alles essenzielle Spielfiguren.
Es geht im Schach nicht um die Erzielung von Punkten. Darauf ist dieses Spiel nicht ausgelegt. Es geht um Sieg und Niederlage durch eine überlegte Vorgehensweise und die richtigen Züge zur richtigen Zeit – Schachmatt. Und dann geht es aufs Neue los. Und wieder und wieder. Vielleicht gibt es zwischenzeitlich auch ein Remi. Aber nur so lange bis die Rahmenbedingungen verändert werden und es weiter geht.
Die Rolle des stillen Beobachters
Gerade in Zeiten von Big Data ist der Einsatz von KI interessant. Hohe Datenmengen sind unter richtiger Verwendung von Standardalgorithmen und automatisierten Prozessen fassbar, KI kann zusätzlich aufzeigen, welche Daten wie aggregiert werden können und dies auch selbstständig erledigen. Dass die Menschliche Auffassungsgabe diese Datenmengen jedoch verarbeiten soll, ist nicht umsetzbar.
Es stellt sich hierbei häufig die Frage: Welche Rolle hat der Mensch in einer Welt mit KI? Wie kann ich etwas einsetzen, was ich selbst nicht vollständig verstehen kann?
Dabei ergibt sich auch die zentrale Fragestellung in der IT, ob ich noch erkennen kann, ob es sich um einen menschlichen Angreifer oder eine KI handelt. Im Anschluss daran: Wie muss ich mein Verhalten gegenüber einer KI als Angreifer anpassen? Dies bedingt auch die zu treffenden Gegenmaßnahmen und vermutlich auch die Wahrscheinlichkeit, den eigentlichen Täter zu identifizieren. Selbst, wenn der Mensch der Initiator des Angriffes bleibt. Eine KI wird deutlich effizienter dabei sein, wenig Spuren zu hinterlassen und hinterlassene Spuren zu verwischen.
Ein Wettlauf gegen die Zeit
Viele dieser Ausführungen sind zurzeit noch theoretischer Natur. Es ist denkbar, wird aber aktuell noch nicht in Regel so betrieben. Künstliche Intelligenz in Schadsoftware verändert die Art und Weise von Angriffen auf Systeme. Schadsoftware, die sich verändert, um Detektionsmechanismen aus dem Weg zu gehen, gibt es. Systeme, die diese Modifizierung bemerken, gibt es ebenfalls. Doch das ist ein winzig kleiner Bruchteil von dem, was denkbar ist. Über Freisetzung, Ausbreitung und Nachwirkungen von Schadsoftware. Es ist ein Wettlauf gegen die Zeit. Welche Seite den Vorsprung beim Einsatz von Künstlicher Intelligenz hat, wird sich zeigen.