Image: Algorithmen im Kampf gegen HackerIM Kampf gegen IoT-Hacker setzen Firmen auf KI oder Machine Learning. | stevanovicigor
TrendIoT-Sicherheit

Algo­rithmen im Kampf gegen Hacker

Lesezeit ca.: 3 Minuten
Jürgen Mauerer

Jürgen Mauerer

freier Journalist

Das Internet of Things (IoT) gerät zunehmend in das Fadenkreuz von Cyberkri­mi­nellen. Um die vernetzten Systeme besser vor Angriffen zu schützen, setzen Firmen auf KI oder Machine Learning. Doch Security Intelligence alleine reicht nicht aus.

18. September 2019

Autos, Windräder, Thermostate und TV-Geräte im Smart Home, Maschinen und Anlagen - das IoT verbindet heute Milliarden von Endgeräten miteinander oder mit der Cloud. Das Problem: Milliarden vernetzte Geräte bedeuten auch Milliarden potenzielle Sicherheits­lü­cken. IoT-Geräte sind daher mittlerweile zum wichtigsten Angriffs­ziel von Cyberkri­mi­nellen geworden, noch vor E-Mail-Servern und Webservices. Das zeigt die Studie „The Hunt for IoT“ von F5 Labs.

Wie also können Firmen ihre IoT-Geräte und -Anwendungen besser absichern? Der Strauß an möglichen Maßnahmen zum Schutz des IoT ist bunt. Er reicht von sicheren Netzwerken, mehr Standards, die Verpflich­tung der Hersteller zu Security by Design bis hin zu Verschlüs­se­lung und sichere Authenti­fi­zie­rung. Etwas neuer sind Anomalie-Erkennungs-Algorithmen auf Basis von maschinellem Lernen.

„Künstliche Intelligenz ist ein sehr guter Ansatz zum Schutz von IoT-Anwendungen. Durch maschinelles Lernen können Systeme nach entsprechendem Training mit Hilfe von KI Muster und Anomalien im Datenver­kehr besser erkennen, Korrelationen herstellen und automati­siert mit entsprechenden Schutzmaß­nahmen reagieren“, sagt Maik Morgenstern, Geschäfts­führer und Technischer Leiter bei AV-Test, einem unabhängigen Forschungs­in­stitut für IT-Sicherheit.

Security Intelligence: Proaktiv handeln

Der Fachbegriff dafür lautet Security Intelligence (SI). Es geht darum, Informationen zu sammeln und zu analysieren, die auf geplante Angriffe, Schwachstellen und andere unerwünschte Aktivitäten in der IoT-Infrastruktur hindeuten. Security Intelligence steht damit in erster Linie für Big Data, da hier riesige Datenmengen zu analysieren sind. Quellen sind beispiels­weise Bedrohungs- und Schwachstellen-Feeds, Konfigura­tions-Dateien, Spam-Bots, URLs von Angriffen, Benutzer- und Netzwerk­sta­tis­tiken, Angriffs­be­richte oder forensische Daten.

Beim maschinellen Lernen wird das SI-System - vereinfacht gesagt - zunächst trainiert und mit Netzwerk-Informationen sowie den oben beschrie­benen sicherheits­be­zo­genen Daten gefüttert. Dabei wird mittels Musterer­ken­nung auch eine Art „Normalver­hal­ten“ definiert, anhand dessen später Anomalien, sprich Abweichungen vom Normalver­halten, erkannt und so Bedrohungen frühzeitig entdeckt werden.

Security Intelligence hat damit einen eher proaktiven Charakter und ermöglicht es, einen Angreifer bereits im Vorfeld auf Basis von Big Data, heuristi­schen Methoden und selbstler­nenden Algorithmen zu blocken. Sie bietet dazu drei grundlegende Funktionen: Detect, Prevent/Protect und Response. Detect steht für die Entdeckung von Malware und Angriffs­ver­su­chen, Prevent/Protect für den grundsätz­li­chen Schutz vor und die Blockade von Angriffen und Response für Handlungs­emp­feh­lungen und konkrete Maßnahmen, wie Firmen auf einen entdeckten Angriff reagieren, der bereits das Netzwerk infiltriert hat.

Ganzheit­liche Sicherheits­stra­tegie

Doch Security Intelligence alleine reicht nicht, um IoT-Anwendungen sicherer zu machen. Firmen müssen IoT-Sicherheit ganzheit­lich betrachten und SI-Lösungen in eine umfassende Security-Strategie sowie eine Vielzahl von Sicherheits­maß­nahmen einbetten. „Dazu gehören beispiels­weise Passwort-Management, die Absicherung der Netzwerke und Clients etwa über eine Next-Generation-Firewall oder Patch-Management. Unternehmen benötigen zudem eine genaue Übersicht zum Status aller Geräte und Endpunkte in ihrem Netzwerk. Ich kann nur das schützen, was ich kenne. Diese Transparenz bildet dann die Basis für weitere Maßnahmen wie etwa die Segmentie­rung des Netzwerks“, erklärt Maik Morgenstern.