Insights
Eine stringente Netzwerkhygiene minimiert Angriffsflächen
Cybererpressung- und Spoofing-Attacken sind teuer und reputationsschädigend. Und längst alles andere als ein Einzelfall: so benennt das Risk Barometer der Allianz für 2020 erstmals Cybervorfälle als das wichtigste Geschäftsrisiko für Unternehmen. Doch nicht nur Cyber-Kriminelle, sondern auch IT Security Experten rüsten ihre Technologie-Arsenale auf. In welchen Handlungsfeldern IT-Entscheider aktiv werden sollten und welche Rolle der Einsatz von Artificial Intelligence (AI) dabei spielen kann, erläutert Dr. Stephan Schwinger, Lead Data Scientist bei genua, im Experteninterview.
Herr Dr. Schwinger, das Risk Barometer nennt menschliche Fehler als häufige Ursache für Cybervorfälle. Welche Fehler sind Ihrer Erfahrung nach typisch?
Stephan Schwinger: Grundsätzlich passieren viele Fehler unter Zeitdruck. Muss etwa eine Web-Applikation rasch an den Start gehen, wird die IT-Sicherheit oftmals vernachlässigt. Das eröffnet Angriffsoptionen, die Angreifer mit Hilfe von Social-Engineering-Techniken schamlos ausnutzen. Zudem kann ein Risiko immer darin bestehen, dass Mitarbeiter ihrem Unternehmen absichtlich Schaden zufügen wollen. Der menschliche Faktor ist insofern nicht zu unterschätzen. In technologischer Hinsicht ist das Datennetz ein ganz zentrales "Risikogebiet". Hier geschehen viele Fehler unabsichtlich, was aber die Gefahrenlage zusätzlich im Verborgenen verschärft. In vielen Unternehmen entwickeln sich Datennetze evolutionär nach dem "Wildwuchs"-Prinzip weiter, ein Server oder ein neuer Chat Client kommt schnell mal hinzu. Durch deren ortsunabhängige Nutzung, eine fehlende Dokumentation sowie Unachtsamkeit bleiben Datenbanken dann auch schon mal ungesichert. Das ist quasi eine Einladung zum Cyberangriff.
Was empfehlen Sie als Präventivmaßnahme zum Netzwerkschutz?
Stephan Schwinger: Ein wichtiger Schritt ist, die Netzwerke zu segmentieren und deren Zugänge zu beschränken. Jedem Benutzer sollen nur die Rechte zugewiesen werden, die er unbedingt braucht. Zu diesen und weiteren Aspekten muss eine stringente Netzhygiene beschlossen und betrieben werden. Das minimiert unserer Erfahrung nach Angriffsfläche zuweilen ganz erheblich.
Die Aufgabe der Netzwerkhygiene liegt in der Regel bei IT-Sicherheitsexperten. Wer kontrolliert deren Arbeit?
Stephan Schwinger: Man muss natürlich Vertrauen in seine Belegschaft haben, sie aber auch schulen und die Arbeitsergebnisse überprüfen. Hier spielt die Firmenkultur eine zentrale Rolle. Bildlich gesprochen: Will eine Abteilung an sensible Informationen im Firmentresor gelangen, wird auch nicht einfach ein Loch gebohrt und danach wieder provisorisch gestopft. Das ist allerdings das physische Gegenstück zu dem, was leider oft in der IT von Unternehmen passiert. Entsprechend sensibilisierte IT-Sicherheitsverantwortliche wissen aber, wie man ein solches Vorgehen verhindert.
Können AI-Technologien bei der Abwehr von Cyberangriffen helfen?
Stephan Schwinger: Genau das tun sie bereits. Die Überwachung des Netzwerk-Traffics ist ein gutes Beispiel, das können Menschen längst nicht mehr leisten. Unsere Lösung ist hier der cognitix Threat Defender, ein Tool, das mit AI-, Data Analytics- und Threat Intelligence-Funktionen eine zweite Verteidigungslinie im Netzwerk errichtet und Firewall-Lösungen ergänzt, die den Datenverkehr an den Schnittstellen kontrollieren und sichern.
Welchen Hürden gibt es beim Einsatz AI-basierter IT Security Tools?
Stephan Schwinger: Eine Herausforderung für AI liegt in der Qualität der Datenbasis. Fehlen Daten, können Modelle nicht ausreichend trainiert werden – und das ist tatsächlich häufig der Fall. So beinhalten etwa Aufzeichnungen von Netzwerkverbindungen, also welche zwischen zwei Servern über ein Protokoll ablaufen, zwar große Datensätze. Diese bilden oft eine geeignete Referenz für den normalen Datenverkehr. Sie dürfen aber ohne Weiteres gar nicht gespeichert oder geteilt werden, da es sich eventuell schon um personenbezogene und damit nach EU-DSGVO geschützte Daten handelt.
Um diese Daten zum Training einer AI zu verwenden, muss ein berechtigtes Interesse vorliegen. Das Argument der IT-Sicherheit ist in diesem Falle zwar ein solches berechtigtes Interesse, aber für das Modelltraining gilt das nur eingeschränkt. Häufig ist man also gezwungen, für das Training von AI eine Datenbasis zu verwenden, die entweder nicht mehr aktuell ist, die Netzwerkrealität nur unzureichend widerspiegelt oder die unter künstlichen Bedingungen generiert wurden.
Produkt von genua
genua bietet mit dem "cognitix Threat Defender" ein AI-basiertes Tool, das den Datenfluss analysiert und die Datenintegrität prüft. Die Lösung geht über die Intrusion Prevention hinaus und baut mittels AI, Data Analytics und Threat Intelligence-Funktionen eine zweite Verteidigungslinie im Netzwerk auf. Der cognitix Threat Defender verspricht eine Grundresilienz gegen Cyberattacken – auch gegenüber fortgeschrittenen Angreifern.
Forschungsprojekt
Wie AI im Cybersecurity-Umfeld eingesetzt werden kann, ohne Privacy-Aspekte zu verletzen, erforscht genua mit weiteren Partnern im vom BMBF geförderten Projekt WINTERMUTE.
Bildquelle: © Seventyfour – stock.adobe.com