Mit künstlicher Intelligenz das Mark aus den Daten quetschen: Das Unternehmen CrowdStrike zähmt mit Hilfe von Cloud, KI und menschlicher Expertise riesige Datenmengen. Einen Blick auf die Sicherheit wirft Dr. Sven Krasser, Senior Vice President und Chief Scientist bei CrowdStrike.
Sie holen die Werte aus riesigen Datenmengen: Wie machen Sie das?
Wir bei CrowdStrike sind Experten im Bereich Machine Learning und KI-Forschung. Vereinfacht gesagt, quetschen wir mit Hilfe von KI die Quintessenz aus den vorhandenen Daten heraus – und davon haben wir eine ganze Menge. Pro Tag zentralisieren wir zirka zwei Billionen Ereignisse zur Analyse in unserer Security Cloud. Um Herr über diese Datenmenge zu werden, ist die Verbindung von KI und menschlicher Expertise besonders wichtig. Der Mensch alleine kann die heutigen Datenmengen nicht bewältigen. KI hilft dem Menschen, nicht nur mit dem Volumen, sondern auch mit der Komplexität zurechtzukommen – denn die KI kann in diesen komplexen Daten Muster erkennen, die die menschliche Auffassungsgabe überschreiten.
Dr. Sven Krasser,
Senior Vice President und Chief Scientist
bei CrowdStrike
Findet die KI ein kritisches Angriffsmuster, dann wird dieses sofort gestoppt. Menschlichen Experten, den sogenannten Threat Huntern, wird die KI-Analyse zur Prüfung vorgelegt, die der KI hierzu dann Feedback geben und damit das Trainieren des nächsten KI-Modells unterstützen. Wir bezeichnen das als »virtuous circle«, einen positiven Kreislauf. Aus diesem Grund spricht man in diesem Zusammenhang auch vom maschinellen Lernen. Es wird aktiv etwas gelernt, denn wenn es nichts zum Lernen gibt, dann ist das Spiel vorbei. Deswegen ist das menschliche Feedback so extrem wichtig, um kontinuierlich die Modelle zu verbessern. Das beste KI-Modell zeichnet sich durch den dahinter liegenden Prozess aus, der das Modell durch die Daten, die im Betrieb des Modells generiert werden, stetig verbessern sollte. So holen wir das Beste aus den vorhandenen Daten raus.
Sie erforschen und entwickeln unter anderem KI- und ML-Cyber Security-Technologien für die Zukunft. Was heißt das?
Bei der Forschung gibt es eine Gegenwarts- und eine Zukunftskomponente. Wir erforschen eigene KI-Algorithmen, um das Wesentliche aus riesigen Datenmengen herauszufiltern, aber auch, um zu verstehen, wohin die Reise zukünftig geht. Was kann man mit KI machen? Wie müssen die KI-Algorithmen trainiert werden? Was versuchen die Angreifer? Wie kann man neue Angriffsmethoden abwehren?
Warum sollen Unternehmen KI einsetzen? Wie können sie damit Angriffe abwehren?
Unternehmen sollten heutzutage auf KI-basierte Sicherheitslösungen setzen. Allerdings ist für viele Unternehmen, vor allem im Mittelstand, der Aufbau einer eigenen KI-Operation im Security-Bereich nicht trivial – das erfordert einiges an Know-how. Zudem müssen jede Menge Daten zur Verfügung stehen, um eine KI erfolgreich trainieren zu können. Wir aggregieren und analysieren die Daten für unsere Kunden daher auf einem globalen Niveau und setzen dann KI ein, um diese komplexe Aufgabe zu lösen, damit auch kleinere Unternehmen – dank des globalen Wissens, das wir über die Threat Landscape haben – genauso sicher sein können wie Enterprises. Die Funktionsweise vergleiche ich gerne mit dem Robert-Koch-Institut. Wenn jede lokale Arztpraxis feststellt, dass Leute Husten oder Fieber haben, erkennt man noch keine Pandemie. Erst die zentrale Aggregierung dieser Daten zeigt, was da draußen wirklich passiert. Dies ist eine Besonderheit unserer Cloud-basierten Lösung, die für Unternehmen zahlreiche Vorteile mit sich bringt.
Wohin marschiert denn gerade die Cyberkriminalität?
Die Angreifer sind heute nicht nur vielfältiger, sondern auch wesentlich fortschrittlicher als früher. So versuchen beispielsweise, nationalstaatliche Akteure weiterhin durch ausgeklügelte Cyberangriffe ihrem Land durch Daten- und Technologiediebstähle Vorteile zu verschaffen, wohingegen E-Crime-Akteure den finanziellen Gewinn im Blick haben und beispielsweise Unternehmen jeder Größe im Rahmen von Ransomware-Kampagnen erpressen. Dabei hat sich im E-Crime-Sektor mittlerweile eine ganze Industrie entwickelt, die kriminelle Dienstleistungen wie etwa Ransomware-as-a-Service anbietet. Früher ging es oft nur um den Triumph, ein Unternehmen erfolgreich gehackt zu haben. Heute ist das Geld die treibende Kraft für E-Crime-Aktivitäten.
Wie sieht der Ansatz von CrowdStrike aus, um sich gegen Bedrohungen zu wappnen und gegebenenfalls Angriffe zu stoppen?
Unsere Lösung ist Cloud-basiert, aber nicht Cloud-abhängig. So sind die Endpoints, wie beispielsweise Laptops, durch unseren Sensor auch offline sicher. Besteht eine Verbindung, können wir wesentlich mehr Daten zur Findung von Sicherheitsverletzungen nutzen, als alleine auf dem Computer zur Verfügung stehen. Die Cloud ermöglicht es, ein wesentlich weiteres Feld zu erfassen. Bei dem enormen Datenvolumen und der Komplexität der Daten ist es sehr attraktiv, sie mit KI auszuwerten.
Hinzu kommt ein weiterer wichtiger Aspekt: der Mensch. Er spielt eine zentrale Rolle, insbesondere bei der Feedbackschleife mit der KI. Unsere KI-Systeme können Bedrohungen zwar ohne menschlichen Einfluss stoppen, jedoch wird das Ergebnis immer den Experten zur Evaluierung vorgelegt. Das Feedback daraus nutzen wir, um die KI stetig zu optimieren. Jeden Tag, jede Woche, jeden Monat haben wir so bessere KI-Modelle als am Vortag, in der Vorwoche oder im Vormonat.
Ein weiterer Aspekt sind die KI-Sicherheitsmerkmale. Denn auch KI-Modelle lassen sich täuschen. Daher greifen wir in sogenannten Red-Teaming-Prozessen unsere eigene KI an, um sie gegen spezielle KI-basierte Angriffe zu trainieren. Hinzu kommen weitere technische Möglichkeiten, die wir nutzen, um Sicherheitsverletzungen aufzuspüren, allem voran sogenannte »Indicators of Attacks«. Das sind Beschreibungen von Sicherheitsverletzungen auf einem abstrakten Niveau, die nicht wie
KI statistisch veranlagt sind. Ein Beispiel: Wenn ich nachts aufstehe und jemand steht mit einer Taschenlampe und einer Brechstange an meinem Aktenschrank, dann brauche ich kein KI-Modell, das die statistische Wahrscheinlichkeit bewertet. Ein Fremder mit Taschenlampe und einer Brechstange – das ist ein Einbruch! Genauso funktioniert ein »Indicator of Attack«. Kombiniert man das mit KI, kann man eine vielschichtige Verteidigung aufbauen. Durch diese Strategien gelingt es uns, die Sicherheit unserer Kunden zu gewährleisten.
Welchen Stellenwert hat der Faktor Mensch dabei für Sie?
Man muss stets den Faktor Mensch berücksichtigen. Viele Angriffe wie beispielsweise Phishing sind von statistischer Natur und es genügt, wenn ein einzelner Mitarbeiter einen Fehler macht und auf den Link klickt. Hier zeigt sich wiederholt, wie hilfreich unser Cloud-Ansatz ist. Für das einzelne, kleine Unternehmen sieht es nach einem unwesentlichen Zwischenfall aus. Werden aber mehrere mittelständische Unternehmen angegriffen, können wir dies sofort als Kampagne aufdecken und global unterbinden.
Darüber hinaus ist es unerlässlich, den »Silent Failure« zu verhindern – also die Situation, in der ein Angriff stattfindet, man diesen aber nicht erkennt. Diese Problematik hat CrowdStrike erkannt und deshalb das, was wir heute in der Industrie als EDR bezeichnen, erfunden. Wir stellen sicher, dass ein Angriff – auch wenn er einige Verteidigungsperimeter durchdringen sollte – noch als solcher erkannt wird. Dieses neue Wissen wird sofort zurück in das KI-Modell eingespeist und weitere Angriffe dieser Art werden sofort vereitelt – und das für alle Kunden. Das zeigt, wie wichtig die Fusion zwischen KI und Mensch ist.
Auch die Angreifer sind Menschen, die immer neue Ideen entwickeln, um an ihr Ziel zu gelangen. KI hilft uns dabei, diese Ideen schnell abzuwehren. Wenn die KI etwas Ungewöhnliches erkennt, helfen wieder Experten bei der Einordnung. So messen wir empirisch die Effizienz unserer KI auch gegen die arglistigsten neuen Angriffsmethoden und verbessern deren Erkennung ständig. Ohne das Feedback der menschlichen Experten wäre das nicht möglich.
Vielen Dank für das Gespräch.