AI als digitaler Azubi: Hybride Security-Abteilungen organisieren

Fehler sind menschlich, besonders in hochkomplexen Jobs wie der Software-Programmierung. Und nicht jede Nachlässigkeit in der Codezeile sorgt gleich für ein sicherheitsrelevantes Problem. Nur: Wer kontrolliert und entscheidet das in IT Security Teams, die ihre knappen Ressourcen auf andere Prioritäten konzentrieren müssen?

Diese Aufgabe können IT-Entscheider an eine Artificial Intelligence (AI) übertragen. Schließlich ist die Technologie unschlagbar darin, in kurzer Zeit eine große Menge von Daten zu prüfen. Beispiel Microsoft: Mit einem maschinellen Lernsystem will das Unternehmen die monatlich ca. 30.000 Fehler seiner rund 47.000 Entwickler kennzeichnen und priorisieren (siehe Blogbeitrag vom 16. April 2020). Das Ziel: Fehler als nicht-/relevant sowie un-/kritisch für die Sicherheit zu klassifizieren – mit einem Genauigkeitsgrad, der dem eines Sicherheitsexperten möglichst nahekommt.

Um ein solches Ziel zu erreichen, ist nicht nur die Datenbasis entscheidend. Sondern auch, wie IT-Security-Experten die AI mit ihrer Expertise „ausbilden“. Das erwies sich auch im Microsoft-Projekt als Erfolgsfaktor für die Ergebnisgenauigkeit der AI.

Exakt dieser Erfahrungswert ist spannend. Denn er steht für eine Entwicklung, für die es keinerlei historische Vorbilder oder methodische Blaupausen gibt: den Aufbau von Teams aus IT-Security-Verantwortlichen und „digitalen Auszubildenden“, also Technologien, die menschliche Aufgaben mit einem mehr oder weniger hohen Grad an „Intelligenz“ und Entscheidungskompetenz übernehmen. Das beschränkt sich nicht nur auf die Fehlerklassifikation: Eine spezialisierte und gut trainierte AI kann z. B. auch besser unentdeckte Bedrohungen wie Zero-Day-Angriffe oder Advanced Persistent Threats identifizieren als der Mensch.

Diese und weitere Aufgabenstellungen sind in der Regel der Ausgangspunkt für IT-Security-Verantwortliche, sich mit dem Potenzial einer AI-Unterstützung zu beschäftigen. Worauf sollte man bei der Organisation einer „hybriden“ Security-Abteilung achten, die menschliche Mitarbeiter und Artificial Intelligence integriert? Aus unseren Projekten können wir die folgenden Erfahrungswerte bzw. Richtlinien teilen:

Welche Unterstützung soll die AI konkret leisten: Soll sie Bedrohungen aufdecken, für Malware-Prävention zuständig sein oder in einem anderen Bereich der IT-Sicherheit zum Einsatz kommen? Je genauer die Aufgabenbeschreibung, desto höher ist die Wahrscheinlichkeit, dass die Lösung optimale Ergebnisse erzielt. Produkte von genua, die Artificial Intelligence einsetzen, werden in dem Wissen der Grenzen dieser Technologie designt und entwickelt. Unsere Schwerpunkte liegen dabei in der Robustheit gegen Manipulationen und der Nützlichkeit der angewandten Verfahren, um die gewohnte Qualität der Produkte auch gegen weit fortgeschrittene Angreifer zukünftig zu gewährleisten. Außerdem ist ein klarer Nutzwert wichtig, etwa wenn die AI Vorschläge zur Klassifizierung von Netzwerkgeräten nach Verhalten oder zur Verbesserung der Security Policies macht.

Fehler sind nicht nur menschlich – als statistischer Ansatz weist auch AI stets eine Fehlerquote auf. Dies werden auch Angreifer ausnutzen wollen, um die AI und nachfolgend den Nutzer zu falschen Entscheidungen zu bewegen, welche die Sicherheit unterwandern. Dieses Risiko lässt sich etwa mithilfe mehrerer AI reduzieren, die miteinander kooperieren bzw. synchronisiert arbeiten und sich gegenseitig verifizieren und überprüfen. Außerdem wird es auch auf lange Sicht Einsatzfelder geben, in denen die AI nur die Rolle der Unterstützungstechnologie spielen kann und das letzte Wort beim Menschen liegen muss. Das ist insbesondere bei Aufgaben der Fall, die eine Person erfordern, die Entscheidungen nicht nur treffen, sondern auch verantworten und ggf. dafür haftbar gemacht werden kann. Diese und weitere Einsatzfelder sollte man bei der Konzeption eines hybriden IT-Sicherheitsteams klar voneinander abgrenzen, um unrealistische Zielsetzungen zu vermeiden.

Wenn die AI in Sekundenschnelle richtige Entscheidungen treffen soll, erfordert das ein entsprechendes Training. Hier ist das geeignete Data Set auszuwählen: Sowohl der „Normalzustand“ als auch die zu erkennenden Arten von Abweichungen müssen erkennbar und vorhanden sein, denn die AI lernt durch Beispiele. Hierfür sollten Unternehmen einen längeren Zeitraum einkalkulieren, der auch mehrere Wochen umfassen kann. Außerdem muss die AI regelmäßig nachtrainiert werden. Schließlich ändern sich die äußeren Gegebenheiten mit der Zeit. Für die menschlichen Kollegen ist das ein automatischer Lernprozess im Alltag, aber bei der AI muss dies schon in der Planung und Konzeption einbezogen werden. Die hier investierte Zeit zahlt sich später aus, wenn die AI dauerhaft gute Ergebnisse liefert und die Anwender nachhaltig unterstützt.

Aktuell mag der Einsatzfokus von AI in hybriden Sicherheitsabteilungen noch darauf liegen, komplexe Informationsflüsse zu erkennen und automatisiert zu ordnen. Aber wir stellen in unseren Projekten fest, dass sich das Aufgabenspektrum klar weiterentwickelt. Eine eindeutige Stoßrichtung ist die Weiterentwicklung der AI-Rolle vom „Werkzeug zum „Unterstützer“, etwa bei bereits in der Praxis eingesetzten Lösungen wie cognitix Threat Defender. In dieser Funktion liefert die AI Vorschläge zur Umsetzung und Verbesserung von Sicherheitsmaßnahmen, um bestmöglichen Schutz in einem komplexen und dynamischen Umfeld sicherzustellen. Ob AI aber zukünftig tatsächlich als „Arbeitskollege“ wahrgenommen wird, hängt natürlich auch von anderen Faktoren wie einer performanten Kombination mit Technologien wie Sprachsteuerung, Avataren bzw. Interfaces ab. Und vielleicht auch davon, ob sie mal ganz „menschlich“ einen – verzeihbaren – Fehler macht.