10-10-2016 Gedruckt am 24-03-2017 aus www.monitor.co.at/index.cfm/storyid/16985

IBM Watson für Cyber Security

KI als virtueller Ratgeber in Sicherheitsfragen

IT-Sicherheit ist heute eines der wichtigsten Themen überhaupt. Das Internet der Dinge, Industrie 4.0, die Digitale Transformation – all das braucht eine stabile und sichere Basis. Doch die Bedrohungen durch kriminelle Organisationen nehmen ständig zu. Was also tun? IBM schickt im Kampf gegen Cybercrime seine künstliche Intelligenz Watson ins Feld.

Rudolf Felser

Gregor Schinke, IT Security Architect bei IBM (c) Rudolf Felser

 Das Geschäft mit Malware ist erwachsen geworden. Kriminelle Organisationen nutzen die selben Tools wie jedes andere Unternehmen. Auch Business Intelligence ist für Cyberkriminelle kein Fremdwort mehr. Sie haben hochentwickelte Dashboards, mit denen Sie den Erfolg ihrer Malwarekampagnen überprüfen können. Es gibt einen CEO, der sich um den Unternehmensaufbau kümmern, es gibt einen CFO der die Gelder freimacht, es gibt sogar eine Supportorganisation für Kunden, die Ransomware-, Malware- oder Fraud-as-a-Service bestelle. Manche Malware ist modular aufgebaut und hat ein Lizenzmodel integriert. Wie soll man gegen so professionelle Angreifer bestehen können?
 
Die Antwort von IBM darauf heißt "Cognitive Security" – oder genauer "Watson for Cyber Security" – eine Sicherheitslösung, die Bedrohungen erkennen, verstehen, Schlüsse ziehen und aus diesen lernen soll. "Der Kampf ist nicht ausgewogen. Während wir versuchen die perfekte Mauer zu bauen, muss auf der anderen Seite nur eine kleine Schwachstelle gefunden werden", bringt es Gregor Schinke, IT Security Architect bei IBM, gegenüber monitor.at auf den Punkt. Er koordiniert seit 2016 das Competence Team Europa für Cognitive Security und war Anfang Oktober für den Kundenevent IBM BusinessConnect, der ganz im Zeichen der "Cognitiven Ära" stand, in Wien.
 

Balance herstellen

Mit Cognitive Security will IBM die Balance wieder herstellen und die zeitnahe Reaktion auf hochintelligente Angriffe ermöglichen. Schinke führt aus: "Wir wollen aus der schieren Datenflut von Millionen Events jene erkennen, die herausstechen. Die Events, die normalerweise ein Senior Analyst aufgrund seiner Erfahrung erkennt. Es geht um das Zusammenspiel vorhandener Technologien wie Security-Information-and-Event-Management-Systemen (SIEM), Endpoint Protection, Anti-Viren-Programmen, Intrusion-Detection- und -Prevention-Systemen, die wir zusammen in ein – wir nennen es 'Immunsystem' – bringen. Diese Erkenntnisse, die aus der internen Infrastruktur kommen, bringen wir dann mit Watson in eine Analyse."
 
 
Neben diesen intern im Unternehmen gesammelten Daten gibt es noch gigantische Mengen an Informationen, die von Security-Experten rund um den Globus generiert werden: Podcasts, Videos, Researchdokumente, Screenshots, Tweets oder Blogs. Für die meisten Suchmaschinen und automatisierten Systeme sind diese wertvollen Inhalte weiterhin ein Buch mit sieben Siegeln. Selbst der engagierteste Security Analyst hat keine Chance, hier immer auf dem Laufenden zu bleiben und nichts zu verpassen. "Was Cognitive Security macht ist, die strukturierten Daten, die wir jetzt schon haben – in SIEM-Systemen oder Threat Intelligence Feeds – mit der Riesen-Welt an von Menschen erstelltem Wissen in Form unstrukturierter Daten zu verbinden und zu analysieren", erklärt der Security-Profi.
 

Intelligenter Hinweisgeber

Hinzu kommt, dass gerade bei KMU oft die personellen Ressourcen knapp sind. In einem kleinen, schlagkräftigen IT-Team ist oft kein Platz für IT-Sicherheits-Experten. Das bestätigt auch Schinke: "Wir sehen, dass Security-Analysten in mittelständischen Unternehmen entweder nicht existieren oder eine Art Job-Sharing betreiben –zur Hälfte klassisches Operating und Ticket Response, gepaart mit Incident Response. Watson for Cyber Security ist der 'Trusted Advisor', der dem Mitarbeiter zur Seite steht und auf ungewöhnliche Vorfälle aufmerksam macht, für deren Erkennung man normalerweise sehr viel Erfahrung braucht." Damit schlägt man zwei Fliegen mit einer Klappe: Erstens werden Angriffe erkannt, die sonst vielleicht später oder nie auf dem Radar aufgetaucht wären, und zweitens lernen die Mitarbeiter dadurch, solche Ereignisse auch selbst einzuschätzen und auf sie zu reagieren.
 
 
Wer jetzt hofft, dass Watson, Cognitive Security und künstliche Intelligenz die Lösung aller Security-Probleme darstellen, wird leider enttäuscht. Das "Katz und Maus"-Spiel zwischen den kriminellen Angreifern und den Verteidigern geht aller Voraussicht nach weiter. Aber: "Wenn wir in der Lage sind zeitnah auf Vorfälle zu reagieren beziehungsweise sie überhaupt zu erkennen, wozu wir momentan teilweise gar nicht fähig sind, oder Ransomware-Attacken frühzeitig abzufangen, dann sind wir schon einen wesentlichen Schritt weiter. Wir versuchen die Reaktionszeiten von Tagen und Wochen auf wenige Minuten bis Stunden zu reduzieren", so der Security Architect.
 

Trusted Advisor aus der Cloud

Außerdem ist das Ende der Security-Fahnenstange noch nicht erreicht. Watson könnte sich in Zukunft auch an anderer Stelle nützlich machen. Schließlich lassen sich Sicherheits-Lücken im Code nur dann ausnutzen, wenn sie auch vorhanden sind. Künstliche Intelligenz könnte also schon in der Produktionsphase von Software eingesetzt werden, um die Programme sicherer zu machen. Laut Gregor Schinke ist das aber noch Zukunftsmusik. Derzeit gehe es noch darum, das System für seine Aufgabe als unterstützenden Security-Analysten zu trainieren. "Natürlich können wir uns auch im Bereich Application Security vorstellen, dass Technologien wie beispielsweise Machine Learning neben dem klassischen Code Scanning unterstützen, um Schwachstellen zu finden und Ratschläge zu geben."
 
 
Watson for Cyber Security ist derzeit noch im Beta-Stadium, soll aber im Laufe des nächsten Jahres auf den Markt kommen, wie monitor.at in Erfahrung bringen konnte. Wann genau steht noch nicht fest.
 
Den "Trusted Security Advisor" werden sich Unternehmen als Software-as-a-Service ins Haus holen können, als Ergänzung zu ihren SIEM-Systemen und weiterer Security-Infrastruktur. Gerade im Mittelstandsbereich eignet sich das Angebot nicht nur für einzelne Firmen, sondern im Besonderen für Managed-Security-Anbieter, die viele kleinere Kunden betreuen.