Cyber-Security im KI-Zeitalter: Ein gutes Unternehmen ist ein wackeliges Unternehmen

Hackerangriffe bereiten Unternehmen schon heute große Bauchschmerzen. Der Global Risk Report des World Economic Forum untermauert diesen Zustand: Er benennt Cyber-Angriffe als eine der größten Gefahren für unseren Wohlstand. Zeit, sich zu rüsten? Nein. Zeit, sich einzustellen. Angriffe sind unvermeidbar.

Um ein Unternehmen online anzugreifen, benötigt es nicht sonderlich viel Expertise. Schwachstellen lassen sich in der Regel leicht und teilweise automatisiert identifizieren und ausnutzen. Allein, weil in vielen Unternehmen oft die einfachsten Sicherheitsmaßnahmen keine Anwendung finden. Letztere Annahme gilt insbesondere für den Mittelstand, weil dort sowohl Wissen als auch Ressourcen fehlen, sich gegen Hacker-Angriffe zu wehren. Aber auch große Unternehmen geraten andauernd in das Visier von Cyber-Kriminellen. Aus der- artigen Angriffsmanövern hat sich inzwischen ein florierendes Geschäftsmodell entwickelt. Im Unterschied zum Mittelstand sind sich große Unternehmen indes bewusst, welche Risiken von Hackern ausgehen: Sie investieren hohe Beträge in die Abwehr von Cyber-Angriffen, unter anderem auch in den Einsatz von Machine Learning und Künstlicher Intelligenz.

Bestehende Lösungsansätze werden durch Machine Learning ersetzt oder verbessert

‍

Insbesondere bemerkbar macht sich das im Bereich von Antiviren-Einsätzen. Um sich gegen Viren zu wappnen, setzen Unternehmen zunehmend auf Lösungen, die nicht nur vorher bekannte, sondern auch bis dato unbekannte Schadcodes erkennen und unschädlich machen. Hier gilt: Vorbeugung ist die beste Medizin, wenn man nicht selbst Opfer von Schadprogrammen wie WannaCry und Petya werden will.

Auch Angreifer passen sich an

Auf Machine Learning und Artificial Intelligence haben unterdessen nicht nur Unternehmen Zugriff: Auch Cyber-Kriminelle richten sich darin ein bzw. wissen sie vielleicht sogar früher zu antizipieren. Hacken an sich impliziert die andauernde und unermüdliche Adaption neuer Technologien.

Konkret kann das dann so aussehen: Technologien wie Machine Learning führen z.B. Spear-Phishing- Angriffe (Betrugsmasche per elektronischer Kommunikation) auf sogenannte High Value Targets zu einem größeren Erfolg. So lassen sich mit Spear-Phishing- Angriffen auf Basis eines Trainingssets von über zwei Millionen Tweets und durch den Einsatz eines Long- Short-Term-Memory-Modells anstelle eines Markov- Chain-Modells höhere Klickraten erzielen. Der Einsatz moderner Technologien wie dem Machine Learning bedeutet nicht die Ablöse von älteren Angriffstechniken, aber es gestaltet sie effizienter. Und darauf kommt es am Ende des Tages an.

Wider das Wettrüsten

Daraus ließe sich schließen, ein ewiges Wettrüsten sei unumgänglich. Auf der einen Seite die Unternehmen, die in neueste Technologien investieren und ihren Security-Experten weitere Tools an die Hand geben, um letztere bei ihrer Arbeit zu unterstützen. Auf der anderen Seite die Angreifer, die versuchen, eben jene Tools und Technologien, die von Unternehmen präventiv eingesetzt werden, zu umgehen.

Die schlechte Nachricht ist: Dass Hacker die IT-Security eines Unternehmens unterwandern, ist nicht zu verhindern. Cyber-Kriminelle sind in diesem Wettkampf deutlich bevorteilt: Sie müssen weder Legacy-Systeme betreuen noch ihre IT durch eine Third-Party managen lassen. Vor allem sind sie nicht an die Werte eines Unternehmens gebunden. Sie sind vielmehr vogelfrei.

Die Wackelpuddingstrategie

Die Quintessenz? Cyber Security als starres System zu verstehen, ist der falsche Ansatz. Vielmehr müssen sich Führungsebenen darüber bewusst werden, dass auch der Einsatz modernster Technologie Angriffe auf ihre Unternehmen nicht verhindern wird. Insbesondere nicht in einem Szenario, in dem sich Hacker Technologien wie der Künstlichen Intelligenz bedienen.

Unternehmen sollten sich vielmehr darauf einstellen, für den Fall eines Angriffs ihre wichtigsten und kritischsten Unternehmensprozesse aufrechtzuerhalten zu können. Aus Cyber Security wird Cyber Resilience. Es geht nicht mehr um den reinen Schutz, sondern um die Erhöhung der Widerstandsfähigkeit. Unternehmen müssen wie Wackelpudding sein: Schlägt darin ein Pfeil ein, bleibt der Wackelpudding immer noch recht stabil. Er fällt nicht in sich zusammen. Ganz im Gegenteil zu einem trockenen Keks: Schlägt der Pfeil in ein solch starres Konstrukt ein, fällt es in sich zusammen und liegen die Krümel – nun nicht mehr zu einem Ganzen reparierbar – am Boden.

Der Artikel erschien im Original als Sonderveröffentlichung im Handelsblatt als Beilage am 20.03.2019 - https://veranstaltungen.handelsblatt.com/journal/kuenstliche-intelligenz-download/

‍

Foto von Thorsten Jochim - https://www.linkedin.com/in/thorsten-jochim/

‍