Die künstliche Intelligenz (KI) oder im Detail das Machine Learning (ML), ist ein sehr oft verwendetes Buzzword. Aber wie lernen Maschinen eigentlich? Und wie hilft es bei der notwendigen Security?
In den meisten Fällen lautet die Antwort: Maschinen lernen nicht, sie optimieren. Die ML-Algorithmen obliegen meistens der Anwendungen der automatisierten Optimierung. Die eigentliche Stärke liegt somit im Minimierungsprozess der Datenmengen, Schnelligkeit und Anpassung. So z. B. für das Erkennen von Abweichungen von normalen und veränderten Zuständen. Jedoch sind die neuen, super-schlauen Algorithmen meist nicht so intelligent und „selbstständig“, um daraus gleich Angriffe mit möglichen Schäden zu erkennen. Genauer betrachtet
- benötigt Maschine Learning für die Security ein überwachendes (supervised) Learning,
- gilt es zu unterscheiden, ob der Status des Betriebs (z. B. Austausch einer defekten Komponente) oder ein möglicher Angriff Ursache der Anomalie ist,
- ist das ML möglicherweise auch nicht hundert Prozent genau, denn ein Angreifer versucht natürlich der Erkennung zu entgehen! Die ML-Forschung hat gezeigt, dass es möglich sein kann die Erkennungen zu manipulieren.
Ein wesentlicher Teil einer ML basierten Security Lösung ist somit das “supervised learning“ sowie die “supervised“ Reaktion auf das Erkannte. Die Algorithmen benötigen Hilfestellungen zum Normalbetrieb und Verhalten der Anlagen oder auch zur Überwachung der Ergebnisse. Der Betriebsstatus und die Art des Produktionsprozesses (z. B. Batch- oder Fließfertigung) sind notwendige Informationen.
Aktuelle IT/OT-Security Infrastrukturen benötigen ein automatisiertes Lernen des Verhaltens der vernetzten Steuerungen und eine Anomalieerkennung. Das ML ermöglicht hier eine schnelle Einführung, da durch die Visualisierung die Systeme, der Kommunikationen sowie auch die anlagenspezifischen Besonderheiten durch die Verantwortlichen des Betriebs einfach bestätigt (supervised) werden können. Mögliche akute Angriffe, also das Erkennen von Anomalien, die auf das Verhalten der Anlage wirken, lassen sich so schnell behandeln.
Damit Maschinen lernen können, benötigen siee also recht präzise Vorgaben. Daher ist vielleicht „Mensch-Machine-Learning“ die richtige Beschreibung. Es lohnt sich somit dem Buzzword Maschine Learning nicht blind zu vertrauen, sondern genau nachzufragen was dort wie passiert. Aber eines ist klar, ohne ML zur Anomalieerkennung sind die aktuellen Anforderungen der Cybersecurity nicht mehr zu bewältigen.