Der Hackerangriff auf den Bundestag Ende des vergangenen Jahres und die Cyberattacke „Wanna Cry“ auf die Deutsche Bahn im Mai 2017 sind nur zwei Beispiele für Angriffe auf IT-Systeme des Staates und der Wirtschaft. Im Jahr 2017 belief sich der durch Wirtschaftsspionage, Sabotage oder Datendiebstahl entstandene Schaden in Deutschland auf 55 Milliarden Euro, so eine Studie des Bitkom. Mit der zunehmenden Vernetzung von Unternehmen und öffentlichen Einrichtungen im Zuge der Digitalisierung wächst deren potenzielle Verwundbarkeit durch Cyber-Angriffe. Und die rasanten Fortschritte im Bereich der Künstlichen Intelligenz (KI) und des maschinellen Lernens sorgen für eine neue Dynamik bei der IT-Sicherheit.
KI kann die Sicherheit von IT-Systemen verbessern. Generell gilt: Ein Schutz nur an den Außengrenzen eines komplexen IT-Systems reicht nicht aus. Denn wir müssen auch reagieren können, wenn ein Teil des IT-Systems von einem Angreifer übernommen wurde. Hierfür brauchen wir eine verlässliche Angriffserkennung und genau dort werden KI-Systeme ihr großes Potential ausspielen können und die Sicherheit substantiell erhöhen. Auch ist es möglich, IT-Systeme vorausschauend gegen Angreifer zu härten, indem man das System von KI-Systemen angreifen lässt und so Schwachstellen entdeckt, bevor es in die Anwendung geht. Um das volle Potenzial der Künstlichen Intelligenz für die IT-Sicherheit auszuschöpfen, müssen wir aber erst verstehen können, warum eine KI dies oder jenes tut, denn bei der IT-Sicherheit wollen wir belastbare Garantien geben. Daher brauchen wir dringend weitere Forschung und Einblicke in die „Blackbox“ der KI, bevor wir uns auf die Entscheidungen von KI-Systemen in kritischen Situationen verlassen kann. Ein Weg könnte sein, dass klassische Algorithmen die Vorschläge der KI überprüfen. Eine weitere Möglichkeit wären KI-Systeme, die nicht nur Entscheidungen ausgeben, sondern auch den Grund für die Entscheidung nennen.
Cyberkriminelle werden KI nutzen
Eines muss uns aber ganz klar sein: KI hat wie viele Technologien einen Dual-Use-Charakter. So kann die Anwendung von KI einerseits IT-Systeme „härten“. Andererseits kann das Angreifen mit KI zu einem neuen Wettlauf zwischen Angreifern und Verteidigern führen. Denn auch Cyberkriminelle werden Künstliche Intelligenz zu ihren Zwecken nutzen. Hier werden zwei Effekte auftreten. KI-Systeme können völlig neue Verwundbarkeiten aufdecken und Angriffsmöglichkeiten erkennen. Beispiele sind im Internet der Dinge mit seinen Abermilliarden von Systemen zu finden: hier entstehen Massen an Daten – teilweise auch durch unzureichende Schutzmechanismen und verwaiste Geräte – die mittels KI Angreifern Informationslecks und Angriffspunkte präsentieren. Gleichzeitig werden aufwendige Angriffe, die bisher nur menschliche Experteninnen und Experten durchführen können, in Zukunft automatisiert von statten gehen und daher in viel größerer Zahl vorkommen.
Ich denke hier vor allem an das Social Engineering. Hier geht es darum, Menschen durch geschickte Täuschung zu veranlassen etwa ihre Bankdaten preiszugeben. KI-Systeme können ebenso maßgeschneiderte Phishing-Mails automatisieren, wie in echt wirkenden Telefonanrufen vortäuschen, Menschen zu sein, denen man dringend das Passwort geben muss. Noch weiter gedacht lassen sich Menschen mit Social Engineering auch gezielt durch Halbwahrheiten oder Fake News beeinflussen. Hier ist es besonders beunruhigend, dass KI-Systeme schon automatisiert Video- und Audiodateien verfälschen können – Menschen aber das, was man sieht oder hört, als sehr glaubwürdig empfinden. Wie sich solche Einfallstore für neue Bedrohungen schließen lassen, ohne sich die Chancen der KI für die IT-Sicherheit zu verbauen, erörtern Sicherheitsfachleute mit Vertreterinnen und Vertretern aus Wissenschaft, Wirtschaft sowie Gesellschaft in der Plattform Lernende Systeme.
KI-Technologien müssen im Studium integriert werden
Wenn wir den Wettlauf gegen die neuen hocheffektiven Mensch-Maschine-Teams, die die Sicherheit von IT-Systemen bedrohen, gewinnen wollen, brauchen wir einen systematischen ingenieurwissenschaftlichen Zugang zur IT-Sicherheit unter Berücksichtigung der Möglichkeiten der KI. Dies bedeutet, dass wir KI-Technologien von Anfang an in der Forschung und Lehre, also bereits im Studium, integrieren müssen. Und dies bedeutet auch, dass wir in der Industrie bei der Entwicklung von Produkten KI wie selbstverständlich als Teil des Entstehungsprozesses ansehen, die bei jedem Schritt „mitgedacht“ werden muss. Dies gilt vor allem in einer immer komplexeren Welt, in der nicht stets klar ist, ob die KI Freund oder Feind ist.
Holger Hanselka ist Lenkungskreismitglied der Plattform Lernende Systeme und Präsident des Karlsruher Instituts für Technologie (KIT).