Cyber-Security muss in Unternehmen viel Aufmerksamkeit zukommen. Durch künstliche Intelligenz können in diesem Bereich große Fortschritte gemacht werden – doch dafür muss die Technologie richtig verwendet werden.
Künstliche Intelligenz stärkt die IT-Abwehrkräfte
Die zunehmende Vernetzung industrieller Kontroll- und Steuersysteme sowie heterogene Kommunikationsprotokolle machen Industrieanlagen komplexer, und damit leichter angreifbar für Cyber-Attacken. Durch den Einsatz künstlicher Intelligenz können Unternehmen eine wirksame Abwehr aufbauen.
Die milliardenfache Anbindung von Sensoren, Aktoren, ICSs (Industrial Control Systems) und SCADA (Supervisory Control and Data Acquisition)-Systemen über Kommunikationsprotokolle ans Internet ermöglicht eine einfache und effiziente Steuerung und Überwachung der Operational-Technology (OT)-Komponenten. Bei ungenügender Absicherung und einem fehlenden Patch-Management sind Fertigungsnetze Cyber-Angriffen schutzlos ausgeliefert.
Darüber hinaus entstehen durch große Heterogenität von Komponenten und die Inkompatibilität von Bauteilen unterschiedlicher Hersteller erhebliche Herausforderungen. Sehr oft findet sich in Produktionsumgebungen aufgrund einer nachträglichen Erweiterung und verschiedener Modernisierungsprojekte ein Mix aus den verschiedensten Kommunikationsprotokollen.
Der Startpunkt für mehr Sicherheit in Fertigungsnetzen ist eine Erfassung aller genutzten Maschinen, Sensoren, Roboter und Smart Tools. Daran anschließend müssen Unternehmen eine Risikoanalyse und -bewertung vornehmen. Einer der nächsten Schritte ist die Konzeption einer verlässlichen Sicherheitsinfrastruktur, zu der beispielsweise eine Netzwerksegmentierung gehört, damit Angreifer nicht von einer gekaperten Maschine andere Systeme erreichen können. Ganz entscheidend ist, dass die Fertigungsnetze und die dazugehörigen Sicherheitsinfrastruktur zu einem integralen Bestandteil einer unternehmensweiten Cyber-Defense-Lösung werden.
Eigenbetrieb oder Managed Security Services?
Dort, wo Unternehmen damit begonnen haben, die Sicherheitsinfrastruktur ihrer Office-Welt besser mit den Security-Maßnahmen im Fertigungsbereich abzustimmen und idealerweise in einem umfassenden Gesamtkonzept zu integrieren, stellt sich für viele die Frage: Sollen die Sicherheitsmaßnahmen weiterhin im Eigenbetrieb erfolgen oder soll ein IT-Sicherheitsspezialist diese Aufgabe als Managed Security Service (MSS) übernehmen?
Da Cyber-Attacken immer komplexer werden, fällt es Unternehmen zunehmend schwer, die Bedrohungslage rund um die Uhr richtig einzuschätzen, Angriffe frühzeitig zu erkennen und schnell zu reagieren. Aber auch verschärfte Datenschutzbestimmungen, wie die DSGVO, haben dazu beigetragen, dass immer mehr Unternehmen die zentrale Rolle von IT-Security und die Vorteile von MSSs erkannt haben und diese für einen besseren Datenschutz und eine höhere Datensicherheit einsetzen.
Früherkennung durch künstliche Intelligenz
Für die schnelle und präzise Erkennung von Cyber-Attacken werden künstliche Intelligenz (KI) und Machine Learning (ML) immer wichtiger. Ein einzelnes Unternehmen kann bei der Identifizierung und Analyse von Angriffen sehr schnell an seine Grenzen stoßen. Managed Security Services, wie sie beispielsweise NTT Security in seinen weltweit verteilten Security Operation Centern (SOC) anbietet, können AI und ML mit anonymisierten Daten einer Vielzahl von Unternehmen sowie Feeds aus dem Internet kombinieren. Damit lässt sich eine Analyse riesiger Datenmengen, die für eine zutreffende Identifizierung von Anomalien und Angriffen notwendig ist, deutlich schneller durchführen. Durch die globale Netzwerkinfrastruktur der NTT Gruppe hat der Managed-Service-Anbieter mit mehreren tausend Sensoren einen Blick auf über 40 Prozent des Internetverkehrs. Von einer derartigen Threat Detection profitieren werden sowohl Systeme der Office-IT-Welt als auch der OT-Komponenten in den Fertigungsnetzen.
Eine ML-basierte Threat Detection hat andere Stärken als signaturbasiere Verfahren. Diese sind, wie beispielsweise Windows Defender, fest in das Betriebssystem integriert. Signaturbasiere Verfahren sichten möglichst viel Malware, kennzeichnen sie mit einem Hash-Wert und hinterlegen diesen in einen Katalog. Mit diesem Hash-Wert identifizieren signaturbasiere Verfahren Malware. Der Schwachpunkt ist offensichtlich: Damit lässt sich nur bereits bekannte Malware identifizieren und abwehren.
Im Unterschied dazu erkennen ML-basierte Verfahren mit mathematisch-statistischen Methoden auch bislang unbekannte sowie eigens mit Verschlüsselung oder Packaging geschützte Malware. Die Stärke von ML-Modellen: Sie unterscheiden nicht nur zwischen schädlichen und nicht schädlichen Dateien, die Angreifer nutzen, sondern identifizieren auch dubiose. Dazu berechnen sie für jede untersuchte Datei im laufenden Betrieb eine „Konfidenzrate“. Die dazu erforderliche Analyse dauert nur wenige Millisekunden und beansprucht geringere CPU- und RAM-Ressourcen als andere Malware-Analyse-Verfahren. Zudem sind keine regelmäßigen Signatur-Updates erforderlich.
Unterschreitet die Konfidenzrate eine zuvor definierte Schwelle, muss ein Security-Administrator entscheiden, wie damit zu verfahren ist: Soll die Datei blockiert, weiter untersucht oder für den Einsatz freigegeben werden? Analysiert der Administrator die Datei eingehend, stellt sich manchmal heraus, dass es sich nicht um Malware im engen Sinne, sondern um Tools handelt, die dazu nicht autorisierte Benutzer verwenden, um Sicherheitsvorschriften zu umgehen. Anders ausgedrückt: Mit ML-basierten Verfahren lässt sich auch die Grauzone zwischen tatsächlicher Malware und Einträgen in einer Whitelist auf verdächtige Aktivitäten hin untersuchen.
Der eigentliche Kern von Machine Learning ist die Entwicklung eines Prognosemodells, das mit den benötigen Daten versorgt wird. Bereitgestellt wird das Modell in einer Engine, die Unternehmen bei Bedarf auch im eigenen Rechenzentrum betreiben können. Es dürfte jedoch nur wenige Unternehmen geben, die eine solche Engine für Threat Detection in ihren Office- und Fertigungsnetzen einsetzen. Als Datenbasis stehen ihnen dann nur die Angriffe auf das eigene Unternehmen zur Verfügung. Eine KI ist aber immer nur so gut wie die Daten, mit denen sie angelernt wurde und täglich „gefüttert“ wird. Nutzen sie dagegen die Managed Security Services eines SOC, steht ihnen das geballte Security-Know-how und die technische Infrastruktur eines international agierenden IT-Security-Spezialisten zur Verfügung.
Trotz aller Stärken der ML-Verfahren verzichten Unternehmen, die ihre IT-Sicherheitsinfrastruktur on-premise betreiben, aber auch SOC Provider, nicht gänzlich auf signaturbasierte Methoden, sondern haben oft einen mehrstufigen Prozess implementiert. Dabei übernimmt beispielsweise eine Client-Endpoint-Security-Komponente die signaturbasierende Vorfilterung und was dabei nicht erkannt wurde untersuchen die ML-Verfahren im Detail. Damit lässt sich das Schutzniveau sehr effizient erhöhen.