IoT-Security Was KI beim Anlagenschutz kann – und was nicht

Ein Gastbeitrag von Udo Schneider*

Der umfassende Einsatz vernetzter Steuerungssysteme macht Industrieanlagen nicht nur wettbewerbsfähig, sondern auch angreifbar. Denn wo industrielle Prozesse gesteuert und überwacht werden, setzen Cyberkriminelle mit Schadsoftware an. KI-basierte Sicherheitssysteme helfen dagegen, oder?

Anbieter zum Thema

Moderne Fertigungssysteme arbeiten heute weitgehend automatisiert, doch die Vernetzung industrieller Steuerungssysteme schafft auch Einfallstore für Cyberangriffe.
Moderne Fertigungssysteme arbeiten heute weitgehend automatisiert, doch die Vernetzung industrieller Steuerungssysteme schafft auch Einfallstore für Cyberangriffe.
(Bild: gemeinfrei / Pixabay )

Fertigungsanlagen und Produktionsstätten sind heute weitgehend automatisiert, Produktionsprozesse werden durch industrielle Steuersysteme überwacht und gelenkt. Diese Systeme sind sehr umfangreich. Sie verbinden nicht nur IT- und OT-Netzwerke, sondern auch verschiedene Standorte und sind vielfach an weitere wichtige Unternehmensbereiche – etwa Forschung und Entwicklung – angeschlossen.

Dass das Begehrlichkeiten bei Kriminellen weckt, liegt auf der Hand. Denn durch den Einsatz von Ransomware lassen sich ganze Anlagen stilllegen und hohe Summen erpressen. Viel Geld lässt sich auch mit dem Verkauf sensibler Entwicklungs-, Produktions- oder Personaldaten im Darknet verdienen, die durch Cyberattacken erbeutet wurden.
Cyberkriminelle schleusen Ransomware daher nicht mehr länger nur in klassische Office-IT ein, sondern zunehmend auch in industrielle Steuerungssysteme, wie eine Studie von Trend Micro bestätigt. Um bei möglichst geringem Aufwand möglichst viel zu profitieren, suchen Kriminelle permanent nach Technologien, die besser sind als aktuelle Sicherheitsanwendungen. Anlagenbetreiber sind gefordert, ihre Sicherheitssysteme auf diese Herausforderung anzupassen, wollen sie finanzielle und ideelle Einbußen vermeiden.

Doch die Nase im Rennen um die IT-Security vorne zu behalten, wird durch mehrere Faktoren erschwert. Einer davon ist, dass IT- und OT-Teams in den Unternehmen vielfach nicht wirklich Hand in Hand arbeiten, um etwa die Kompatibilität von Betriebssystemen und Laufzeitanforderungen zu identifizieren und effektive Sicherheitsstrategien zu erstellen. Ein weiteres Hindernis ist der in Deutschland sehr hohe Anteil an Grayware, also Anwendungen im Bereich zwischen Schadprogrammen und legitimer Software. Im Vergleich zu Ländern wie Japan (4,7 Prozent) oder den USA (9,8 Prozent), die neben Deutschland zu den zehn Ländern mit der größten Anzahl an IT/OT-Netzwerken mit ICS-Endpunkten zählen, beträgt er hierzulande 17,3 Prozent. Und: Industrielle Steuerungssysteme in Deutschland sind weltweit mit der meisten Adware infiziert – was zumeist auf Programme zurückzuführen ist, die mit Software-Tools gebündelt sind.

Malware-Varianten aufspüren und abwehren

Zwar nutzen viel Unternehmen bereits Sicherheitssoftware, die bekannte Bedrohungen und damit mögliche Sicherheitslücken erkennt. Jedoch gelingt es Hackern immer wieder, neue Malware-Varianten zu erstellen und mit diesen Varianten schneller zu sein als die Anwender mit ihrer Suche nach möglichen Bedrohungen. Auch wenn Sicherheitssoftware Suchmuster nutzt, anhand derer sich nicht nur ein Malware-Typus, sondern gleich auch die Varianten dieses Typus ermitteln lassen: Diese Mustererkennung entscheidet zwischen „guten“ und „schlechten“ Auffälligkeiten und ist damit weitgehend binär. Das macht selbst flexible Suchmuster gegenüber Veränderungen der Virentypen schwerfällig und blind gegenüber neuen Malware-Varianten.

Hinzu kommt, dass Cyberkriminellen Untergrunddienste einsetzen, die es deutlich erschweren, einen wirksamen Schutz zu erreichen. Denn diese Untergrunddienste gleichen aktuelle Malware-Varianten mit bekannten Sicherheitslösungen ab und verändern die Malware-Varianten automatisch so, dass sie die Sicherheitssoftware nicht mehr erkennen kann. Das bringt die Angreifer in die Pole Position, denn eine beliebige Anzahl von Malware-Varianten lässt sich heute leicht automatisiert erstellen. Es bleibt ein ungleiches Rennen, denn während die Sicherheitsanbieter versuchen, manuell Erkennungsmuster für Schadware zu erstellen, zaubern die Hacker praktisch mühelos und in kürzester Zeit neue Varianten herbei.

Den Algorithmus fit für neue Bedrohungen machen

Mit Hilfe maschinellen Lernens, auch Machine Learning oder kurz ML genannt, lässt sich dieser Vorsprung jedoch aufholen. Denn ebenso, wie Malware-Varianten automatisiert erstellt werden können, lassen sie sich auch durch bestimmte Merkmale auffinden. Maschinelles Lernen ist als Teil der Künstlichen Intelligenz in der Lage, diese Merkmale zu erkennen.

Dafür greifen zwei Prinzipien: Beim unüberwachten Lernen, dem sogenannten unsupervised Learning, extrahiert ein Algorithmus aus der vorliegenden Datenbasis automatisch Strukturen und ordnet diese Kategorien zu. Jedoch lässt sich bei dieser Methode nicht festlegen, welche Kategorien erkannt werden sollen. Sie ist daher nicht genau genug, um Muster zu erzeugen, anhand derer sich Schadsoftware wirklich gezielt und sicher erkennen lässt.

Viel besser für diese Aufgabe eignet sich das überwachte Lernen, auch supervised learning genannt. Denn hier wird der Algorithmus auf festgelegte Kriterien und auf das gewünschte Ergebnis hin trainiert. Dies versetzt ihn in die Lage, die antrainierten Kriterien auch auf unbekannte Daten anzuwenden. Damit wird der Algorithmus sozusagen selber zu einem Muster.

Maschinelles Lernen bietet nicht nur Vorteile

Maschinelles Lernen erhöht also die Flexibilität und die Zuverlässigkeit, um Sicherheitslücken aufzuspüren und somit Cyberkriminellen einen Schritt voraus zu sein. Ein großer Nachteil ist jedoch, dass für das maschinelle Lernen mehr Ressourcen notwendig sind als für die klassische Mustersuche. Ein weiterer Nachteil ist, dass die Algorithmen, die für das maschinelle Lernen eingesetzt werden, öffentlich und damit auch den Angreifern bekannt sind. Schadsoftware kann prinzipiell also bereits auf diese Algorithmen abgestimmt worden sein. Und darüber hinaus gilt nach wie vor: Ein Algorithmus ist immer nur so gut wie die im zugrundeliegenden Trainingsdaten. Es ist eine umfassende, repräsentative und qualifizierte Datenbasis notwendig, sonst fallen die Lernergebnisse entweder zu speziell oder zu allgemein aus.

Um die Erkennungsrate und die Effizienz zu erhöhen, kombinieren moderne Sicherheitslösungen daher eine Reihe verschiedener Schutztechniken. Zu diesen gehört die klassische Mustererkennung ebenso wie Reputationsdienste und probabilistische beziehungsweise Bayes-Filter oder auch verschiedene Mas-Algorithmen. Schutzkonzepte lassen sich darüber hinaus optimieren, indem verschiedene Techniken an verschiedenen neuralgischen Punkten zum Einsatz kommen. So kann es beispielsweise ratsam sein, Algorithmen in der Cloud zu hosten, um auf den lokalen Endpunkten Ressourcen zu sparen.

Auch wenn maschinelles Lernen hilft, den Abstand zwischen Angreifern und Anwendern zu nivellieren – Künstliche Intelligenz allein ist nicht die Wunderwaffe gegen jede Art von Bedrohung. Sie erkennt die neuesten, millionenfach variierten Schädlinge zwar deutlich besser, es existieren jedoch spezifische Bereiche, in denen ML und KI keinen Mehrwert bieten. Warum sollte man beispielsweise beim Einsatz von Industrie-PC, die Application-Lockdown beziehungsweise Safelisting-Technologien nutzen, eine weitere aufwendige Suche nach gefährlichen Dateien betreiben? Die Anzahl der erlaubten Applikationen ist hier bereits bekannt.

Firewall für zukunftssicheren Schutz

Bei der Entscheidung für maschinelles Lernen in Sicherheitsanwendungen geht es also nicht um ein Entweder-oder. Die Entscheidung, ob ein Algorithmus ausgewählt wird und welcher es sein soll, kann sehr verschieden ausfallen – je nachdem, welcher Schutz erreicht werden soll, welcher Einsatz geplant ist und in welchem Umfang Schutz notwendig ist.

Letzten Endes geht es darum, die Vorteile, die maschinelles Lernen bietet, sinnvoll zu nutzen. Unbestreitbar wird es in Zukunft ohnehin zu einem integralen Bestandteil von Sicherheitslösungen werden. Nur so werden sich Anwendungen der Zukunft – vom selbstfahrenden Auto bis zu smarten Assistenten – weiterhin erfolgreich gegen Angreifer verteidigen lassen.

Dieser Beitrag ist ursprünglicha uf unserem Partnerportal Industry of Things erschienen.

* Udo Schneider arbeitet als IoT Security Evangelist Europe bei Trend Micro.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:47999092)