.jpg)
Wenn Deep Learning als Maßnahme zur Cybersecurity eingesetzt wird, dann lernt die KI die Guten von der Bösen zu unterscheiden und lässt Letztere gleich beim Eingang ins Unternehmen abblitzen. Kevin Börner, Distinguished Sales Engineer EMEA von Deep Instinct, erklärt im Interview die Methode.
IoT4industry&business: 2022 war das Jahr mit den meisten Cyber-Angriffen. Glauben Sie, dass sich die Angriffe auf einem hohen Niveau einpendeln oder wird dann 2023 das Jahr mit den meisten Angriffen sein?
Kevin Börner: Ich vermute tatsächlich Letzteres. Als ich vor gut zehn Jahren mit dem Thema Cybersecurity angefangen habe, hieß es schon damals, das sei das Rekordjahr der Angriffe. Und ich glaube, je mehr Anwendungen generell digital werden, desto größer ist die Angriffsfläche. Aber ich als unverbesserlicher Optimist gehe davon aus, dass wir es irgendwann schaffen, die geeigneten Schutztechnologien einzusetzen, die das Ganze in einer gewissen Art und Weise stagnieren lassen. Aber es bleibt abzuwarten, ob es tatsächlich so.
IoT: Deep Instinct hat einen Cyber Thread Report herausgebracht. Waren für Sie massive Überraschungen dabei oder haben Sie das genauso erwartet?
Kevin Börner: Aus unserer eigenen Blase heraus versuchen wir zu erzählen, dass es wichtig ist in Security und in neuartige Technologien zu investieren. Und es scheint so zu sein, dass das gerade im Bereich des Mittelstandes – aus welchen Gründen auch immer – noch nicht so angekommen ist. Denn es werden immer noch Unternehmen, von denen man das nicht unbedingt denken würde, Opfer von Cyberangriffen. Und wenn man sich die Hintergründe dazu anschaut – ein User hat auf eine E-Mail geklickt – könnte man denken: Na ja, das hätte man doch besser wissen können. Das ist es, was mich am meisten überrascht hat.
IoT: Welche weiteren Schlüsse ziehen Sie aus dem Report?
Kevin Börner: Wir sehen generell den Trend, dass wir einen größeren Grad an Automatisierung erreichen müssen. Es gibt eine Menge sehr, sehr guter Security-Werkzeuge, die Unternehmen sehr gut schützen können. Vor allem aufgrund des Fachkräftemangels sind diese aber extrem schwierig zu betreiben, da sie zu komplex sind und es an Know-how fehlt. Was wir sehen: Je einfacher selbst das komplexeste Produkt zu benutzen ist und je höher der Grad der Automatisierung ist, desto wahrscheinlicher ist es, dass es auch in seinem vollem Umfang eingesetzt wird und zu seinem vollen Potenzial entfaltet werden kann.
IoT: Deep Instinct bietet Cybersecurity auf Basis von Deep Learning. Wie funktioniert das konkret und auf welcher Basis lernt ihr System?
Kevin Börner: Deep Learning ist an sich ein Teilbereich des sogenannten Maschinellen Lernens und das wiederum ist ein Teilbereich der Künstlichen-Intelligenz-Forschung. Bei Deep Learning geht es vor allem darum, ein bisschen die Wesensart und Denkweise des menschlichen Gehirns nachzustellen. Man spricht dabei von sogenannten Künstlichen Neuronalen Netzen, kurz KNN, die in der Lage sind, komplexe Muster und Beziehungen in sehr großen Datenmengen zu erkennen und daraus Vorhersagen treffen zu können. Das bietet eine ganze Reihe von Anwendungsfällen, die wir auch heute schon tagtäglich benutzen. Computer-Vision zum Beispiel, also die Erkennung von Bildern oder das Einordnen von Bildern, wie etwa die Rückwärtssuche von Bildern bei Google. Ein anderes Anwendungsgebiet ist Spracherkennung, wie bei den Amazon- und Google-Geräten, mit denen Sie sprechen können. Und so gibt es eine ganze Reihe von Anwendungsgebieten, wie eben auch Cybersecurity. Bei Deep Instinct geht es vor allem um die Verhinderung von Angriffen durch Vorhersage. Wir haben vortrainierte Deep-Learning-Modelle, die bei uns in unseren Laboren mit Millionen von Daten trainiert werden. Auf einem Endgerät installiert können sie dann voll autonom agieren und Vorhersagen treffen. Etwa wenn eine neue Software auf den PC kommen soll, dann schaut sich das Deep-Learning-Modell diese Software an und kann aus seinem Wissensschatz auf eine Schadsoftware schließen und die Installation blockieren.
IoT: Wäre es möglich, das System zu hacken, um ihm schlechte Sachen zu lernen, damit es Schadsoftware absichtlich nicht als solche erkennt?
Kevin Börner: Egal in welchem Bereich der Cybersecurity man sich bewegt, es ist immer ein Kopf an Kopf Rennen zwischen dem Angreifer und dem Verteidiger. Im Bereich von Machine bzw. Deep Learing spricht man von adversarischen Methoden um die Systeme auszuheben oder auszutricksen. Beispiele können sogenannte Poisoning Attacken sein. Wir härten unsere Modelle in besonderem Maße gegen diese und weitere Arten von Angriffen ab, durch die das Modell zu anderen Ergebnissen kommen könnte. Wir machen das zum einen dadurch, dass wir unsere Daten nur in unseren Laboren trainieren. Zum anderen ist es für denjenigen, der noch nie auf unser Modell geschaut hat, nicht nachvollziehbar oder überhaupt zu verstehen, wo man überhaupt vergiften muss, um ein anderes Ergebnis zu bekommen.
IoT: Sie müssen dem System ja gewisse Informationen zur Verfügung stellen, damit es lernen kann. Dabei macht der Mensch gewisse Vorgabe bzw. schafft einen gewissen Rahmen, in dem dieses Lernen stattfindet.
Kevin Börner: Das ist vollkommen richtig. Wir als Menschen müssen dem Modell vorgeben, was es eigentlich tun soll. Wir füttern unsere Modelle aber nicht mit völlig unstrukturierten Daten oder sagen dem Modelle: Jetzt schau mal bitte bei Google, was es denn Neues an Schadsoftware gibt. Wir stellen dem Modell einen Katalog an Daten zur Verfügung. Da gibt es zwei Unterscheidungen. Man spricht einmal von Supervised Learning, bei dem man dem Modell klassifizierte Daten mitgibt und zum anderen von Unsupervised Learning, bei dem man dem Modell einen ganzen Haufen an Daten gibt und auf ein Ergebnis wartet. Bei Deep Instinct setzen wir auf Supervised Learning. Dabei treffen unsere Modelle am Ende zwei mögliche Entscheidungen: eine Software ist gut oder schlecht. Sie wird also blockiert oder zur Installation bzw. Ausführung freigegeben. Zur Sicherheit verwenden wir nie dieselben Daten für das Validieren wie wir als Eingangsdaten verwenden. Wir trainieren mit völlig unterschiedlichen Daten.
IoT: Wie weit kommt ein Angreifer mit Deep Instinkt, bevor er erkannt wird? Kann er tatsächlich nur an die Tür zu klopfen und dann heißt es schon: Du kommst hier nicht rein.
Kevin Börner: Ja, so kann man es tatsächlich sagen. Wir verhindern in über 99 % aller Fälle, dass der Angreifer überhaupt durch die Tür kommt. Und für das fehlende Prozent gibt es technische Sicherungsmaßnahmen. Das ist wie bei vielen Dingen und bei Cybersecurity ist das immer so, man versucht das Risiko zu minimieren. Es gibt keinen Schutz, der alles immer zu jederzeit absichern kann. Also versuchen wir es mit einer möglichst hohe Risikominimierung. Und das gelingt uns aus unserer Sicht mit Deep Learning relativ gut.
