Page - 77 - in Künstliche Intelligenz - Technologie | Anwendung | Gesellschaft

iit-Themenband – Künstliche Intelligenz 77 ML zur sichereren Kommunikation vernetzter IT-Systeme in Unternehmen Eine weitere Herausforderung bei der Absicherung vernetzter IT-Systeme in Unter- nehmen besteht darin, dass eine enorm große Menge an Daten beim Monitoring der Netzwerke entsteht. Industrieunternehmen arbeiten häufig mit sehr heterogenen Teilsystemen und Komponenten, womit eine Vielfalt an Schnittstellen und Netzwerk- protokollen einhergeht. Es handelt sich um Systemlandschaften aus EDV, SCADA- Systemen (Supervisory Control and Data Acquisition), eingebetteten Systemen und Produktionsmaschinen sowie Bussystemen, Internettechnologien, Firewalls und Netzwerktechnologie, um nur einen kleinen Ausschnitt zu nennen. Mit der Automa- tisierung von Prozessen aller Art steigt der Vernetzungsgrad ständig an. Der Schutz durch Firewalls und Antiviren-Programme reicht heute nicht mehr aus, und es wur- den deshalb zusätzliche Alarmtechnologien entwickelt, darunter Intrusion Detection Systems (IDS) oder Honeypot.s.22 Die Erkennung von Einbrüchen (Intrusion Detection) in solche vernetzten System- landschaften basiert im Wesentlichen auf der Analyse der Netzwerkkommunikation, um Angriffsmuster zu identifizieren.23 Dafür zeichnen Sensoren möglichst umfassend Datenpakete auf (Logging). Das anfallende Datenvolumen stellt allerdings eine Her- ausforderung für die Auswertung dar, einerseits hinsichtlich der Schnelligkeit, ander- seits hinsichtlich der potenziellen Zusammenhänge zwischen den an den verschiede- nen Sensoren erfassten Daten. Die in den Logdaten identifizierten potenziellen Angriffe erzeugen eine sehr hohe Anzahl an Angriffsalarmen. Dies ergibt sich einerseits daraus, dass diverse Alarme ausgelöst werden, obwohl es sich gar nicht um einen Angriff handelt (false positive), andererseits aber auch aus der puren Menge der meist automatisch generierten Angriffe durch Hacker. Ein Sicherheitsanalytiker kann jedoch mit etwa 30 Warnun- gen pro Tag nur einen Bruchteil dieser Alarme bearbeiten (Patel 2017). KI und ML sind also dringend notwendig, um diese Analysen zu unterstützen oder zu automatisieren. Die Nutzung von ML-Verfahren ist jedoch aufwendig, da sie im Regelfall umfangreich parametrisiert oder trainiert werden müssen. Der IT-Sicher- heitsanbieter Symantec sammelt dafür Bedrohungs- und Angriffsdaten aus 175 Mil- lionen Endgeräten und 57 Millionen Angriffssensoren. Nach deren Angaben resultie- ren daraus knapp vier Billionen Beziehungen, die ununterbrochen überwacht wer- 22 https://de.wikipedia.org/wiki/Honeypot, zuletzt geprüft am 22.06.2018 23 https://de.wikipedia.org/wiki/Intrusion_Detection_System , zuletzt geprüft am 22.06.2018