Page - 74 - in Künstliche Intelligenz - Technologie | Anwendung | Gesellschaft

74 A Technologie ML gegen Schadprogramme Beim Schutz von IT-Systemen besteht eine der wesentlichen Herausforderungen darin, neue Schadprogramme möglichst schnell abzuwehren oder sogar voraus- schauend zu handeln. Antivirenprogramme kombinieren dafür im Allgemeinen meh- rere Verfahren. Eines davon umfasst die Identifizierung und Verwaltung von Schad- programm-Signaturen. Signaturen sind kurze Byte-Folgen, die aus den Schadpro- grammen extrahiert werden9. Die Signatur-Datenbanken müssen ununterbrochen aktualisiert werden. „Es kommen mehr als 100.000 Signaturen von Schadsoftware täglich hinzu.“10 Solche Zahlen sind Schätzungen und sollen teilweise noch deutlich höher liegen. Basierend auf einer Analyse der AV-Test GmbH schätzt Heise.de, dass „täglich über 390.000 neue Schadprogramme, also über 16.000 pro Stunde bezie- hungsweise 4 bis 5 neue pro Sekunde“ 11 auftreten (vgl. auch BSI 2017, S. 22). Diese enorm hohen Zahlen ergeben sich allerdings vor allem daraus, dass Malware ständig „mutiert“ (polymorphe Malware). Signatur-Datenbanken verwalten aus Effi- zienzgründen Signaturen in Form sogenannter Hashwerte, oft in hexadezimaler Dar- stellung, die mit Hilfe von Hashfunktionen berechnet werden 12 . Geringste Änderun- gen eines Schadprogramms führen zu neuen Hashwerten. So entstehen immer wie- der ähnliche, aber nicht identische „Schädlinge“13, die in den Datenbanken als quasi neue Schädlinge trotzdem mit verwaltet werden. An dieser Stelle kommt ML ins Spiel: Auf Signaturen aufbauende Virenprogramme arbeiten oft regelbasiert. „Aufgrund ihrer Komplexität und der Anfälligkeit für eine verschobene Gewichtung sind regelbasierte Anti-Malware-Systeme sehr anfällig dafür, eine Bedrohung zu übersehen.“ (Juniper 2016, S. 3). Heute versucht man, diese regelbasierten Ansätze mit Methoden des ML zu überlagern, um Regeln zu gewichten und zu optimieren (Juniper 2016, S. 4). Strobel (2017) erläutert einen Ansatz, den der Anbieter Cylance verfolgt. Danach nutzt Cylance zwar die vorgesehene Windows-Schnittstelle für Virenschutz, aber die 9 https://www.bsi-fuer-buerger.de/SharedDocs/Glossareintraege/DE/V/Virensignatur.html, zuletzt geprüft am 22.06.2018 10 http://www.deutschlandfunk.de/antiviren-software-neue-methoden-der-malware-erken- nung.684.de.html?dram:article_id=379868, zuletzt geprüft am 22.06.2018 11 https://www.heise.de/newsticker/meldung/Zahlen-bitte-Taeglich-390-000-neue-Schadpro- gramme-3177141.html, zuletzt geprüft am 22.06.2018 12 https://www.datenschutzbeauftragter-info.de/hashwerte-und-hashfunktionen-einfach- erklaert/, zuletzt geprüft am 22.06.2018 13 https://www.heise.de/newsticker/meldung/Zahlen-bitte-Taeglich-390-000-neue-Schadpro- gramme-3177141.html, zuletzt geprüft am 22.06.2018