Registrieren Anmelden
RegistrierenAnmelden
Breadcrumb-Navigation
Mit <kes>+ lesen

Der Wunsch nach Hirn vom Himmel : Über fehlgeleitete Hoffnungen und überhöhte Erwartungen an die künstliche Intelligenz (KI)

Die Grenzen des KI-Einsatzes in der Informationssicherheit hat die jüngst in mehreren Beiträgen ausgelotet und für einen realistisch geplanten Einsatz geworben. Dennoch lohnt ein erneuter augenzwinkernder Blick darauf, wie stark die aktuelle Form der KI-Debatte und die seltsam hitzigen Diskussionen um ihr Für und Wider einer effektiven Arbeit mit der viel, aber eben nicht alles versprechenden KI im Weg stehen.

Johannes Wiele
Lesezeit 8 Min.

Techies lieben Plug&Play: Es ist noch gar nicht lange her, da machte sich die IT-Branche mit der Suche nach Plug&Play-Mitarbeitern lächerlich: höchstens 17-jährige Hochschulabsolventen mit mindestens 3 Auslandssemestern, 2 Fremdsprachen, 5 einschlägigen Praktika und selbstverständlich erster Projekterfahrung. So hat sie denn auch die vollgepackten Master-Studiengänge und eine nie gekannte Schmalspurigkeit der Ausbildungsgänge mit heraufbeschworen. Aktuell folgt Wunschdenken 2.0: Jetzt will die IT-Security künstliche Plug&Play-Intelligenz (KI) auf CISO-Niveau von der Stange – KI, die alles kann, nichts lernen muss, keine Konfiguration benötigt und schon gar keine Wartung. Wenn „Machine-Learning“, dann bitteschön „selbstlernend“ – schau zu, aber nerv nicht mit Fragen!

Diskussionen über den KI-Einsatz in der Informationssicherheit können deshalb zu den nervigsten Erlebnissen gehören, die die Branche derzeit bietet. Selten liegt der Grund dafür in einer kategorischen Ablehnung der KI – meist sind es extrem überzogene positive Erwartungshaltungen oder ebenso extreme Ansichten über die beste Ausprägung der brandneuen Systeme, die eher nüchterne Mitstreiter schier auf die Palme bringen können. KI scheint technische Fantasien auszulösen – und je schwerer es fällt, die Technik zu verstehen, desto halsstarriger hängen die Disputanten an ihren Meinungen über das Phänomen.

Ursachenunterstellung

Was den Grund der in die Irre führenden KI-Einschätzungen betrifft, so seien schon zum Einstieg zwei Thesen erlaubt:

  • These eins ist einfach und unspektakulär: KI soll dort zum Zuge kommen, wo es an hoch qualifizierten Fachkräften fehlt und die Spezialisten entsprechend teuer sind. Darüber reden muss man nur, weil die Erwartungshaltung in diesem Bereich die Tatsache verkennt, dass Intelligenz immer Lernprozesse und Anleitungen benötigt – gleich, ob sie nun menschlich oder künstlich ist.
  • These zwei ist interessanter: Techniker wünschen sich KI gerne an Stellen, wo sie selbst zur Erfüllung einer Aufgabe in komplexe Interaktionen mit dem Management und/oder „normalen“ Anwendern treten müssten. Hier hofft man wohl, das alte Kommunikationsproblem an der User-Techniker-Schnittstelle einfach durch eine super ausgefeilte Technik überwinden zu können – und ergeht sich deshalb in teils skurrilen Anwendungsideen.

Das Erkennungswunder

Wie schon in [1] ausführlich dargestellt, eskaliert bei der Planung von KI-Einsätzen in der Angriffserkennung gern der Streit darüber, ob Anomalie-Detektion oder regelbasiertes Aufspüren von schädlichen Verhaltensweisen besser sei. „Besser“ heißt dabei: mit weniger Aufwand für Konfiguration und Lernphasen verbunden. Das Thema ist deshalb virulent, weil eine Angriffs-Erkennungs-KI die Teams in Security-Operations-Centers (SOCs) entlasten soll, wo diese wegen des Fachkräftemangels häufig mit zu geringer Personalstärke arbeiten. Mithin trifft hier These 1: KI als Ersatz für Personal, das nicht zu bekommen ist.

Dabei ist schon die Erwartung falsch, „Ersatz“ zu bekommen: KI sollte den menschlichen SOC-Kräften beim Erledigen von für Menschen ungeeigneten Tätigkeiten helfen, nicht aber als vollwertiger Mitarbeiter 4.0 zwischen ihnen sitzen (siehe [2]). Dass man dies trotzdem erwartet oder erhofft, mag daran liegen, dass bei einer echten Kooperation zwischen Mensch und KI wieder Kommunikationsvorgänge und Umstellungen in der Arbeitspraxis anstünden, die man genauso gern hat wie … na, sagen wir mal, wie man minderbemittelten PC-Anwendern die Welt erklärt.

Was erwarten die Leute denn? Soll die KI einfach als der Über-Nerd daherkommen, dem man nichts erklären muss und der alles, was menschliche IT-Freaks umtreibt, einfach mal von Anfang an versteht? Bloß nicht ausbilden müssen! Die Arbeitgeber-Allergie gegen Lernbedarf trifft heute einfach die künstlichen Mitarbeiter.

Lustig ist dann der Wettstreit zwischen der Anomalie- und der Regelfraktion. Man kann es hier kurz machen: Die Anomalie-Vertreter erwarten, dass eine Erkennungslogik eine komplexe IT-Umgebung einfach eine Weile beobachtet, das Gesehene dann als normal ansieht und fortan immer dann Alarm schlägt, wenn sich etwas Ungewöhnliches tut. Dass auch „gute“ Anomalien zu Warnungen führen, sodass ohne Feinjustierung leidige False Positives entstehen, wird tapfer ausgeblendet. Die Verheißung eines Wächters, den man nicht erst in seine neue Arbeitswelt einführen muss, ist einfach zu schön.

Die Regel-Enthusiasten gehen hingegen davon aus, dass ihre Korrelationsmaschinen von außen einfach „Indicators of Compromise“ (IoC) und Verhaltensmuster eingespeist bekommen, die jeden denkbaren Angriff abdecken. Da keine allgemeine Anomalie-Erkennung erfolgt, sollte es, so meinen sie, auch wenig False Positives geben – so kann man sich im SOC entspannt zurücklehnen. Dumm nur, wenn dann ein Angreifer kommt, der eine individuelle und kreative Vorgehensweise wählt – denn der schlüpft dann durch die Maschen dieser Erkennungstechnik.

„Da könnte man doch …“, möchten Sie jetzt als interessierter Leser vielleicht einwerfen, „… einfach beides kombinieren?“ – Nein, niemals, auf keinen Fall! Spalter! Wo käme man denn da hin, das wäre ja ein Kompromiss, igitt! Wie diese schwammige Idee der „ausgewogenen Ernährung“ beim Menschen. So etwas ganz ohne scharfe Abgrenzung und Konsequenz – so ein Gemenge kann ja wohl nicht optimal sein!

Es ist kaum nachvollziehbar, mit welcher Vehemenz die Vertreter beider Lager an ihrer Lieblingstechnik hängen – fast so wie Veganer und Fleischesser oder Kohlenhydrathasser und Fettvermeider bei der Einschätzung und Verteidigung ihrer Vorlieben. Der Mensch neigt offenbar einfach dazu, schlichte Ansätze gegenüber mehrdimensionalen zu bevorzugen. Allerdings darf man auch nicht vergessen, dass der Kombinationsgedanke zumindest teilweise die Lieblingsidee von der schnell einsetzbaren Technik ohne Konfigurations- und Lernbedarf unterwandern würde.

Der Streit wird wohl bleiben, bis sich Kombilösungen auf dem Markt durchsetzen und zeigen, was sie können. Schade, dass das ein Trend ist, der sich an den Streithähnen vorbeimogeln muss!

Die Discovery-Utopie

Mindestens ebenso spannend sind die himmelhohen Erwartungen mancher Informationssicherheitsspezialisten an die Discovery-Fähigkeiten von KI – oder spezifischer von semantischen Suchmaschinen à la IBMs Watson. Folgendes soll sie „mal eben“ bewerkstelligen können:

  • Aufspüren und Klassifizieren unstrukturierter Daten im ganzen Netz
  • Aufspüren und Klassifizieren von Informations- und Infrastruktur-Assets für eine Konfigurationsdatenbank (CMDB)
  • Aufspüren von Policy- und Standard-Dokumenten nebst Prüfung auf Konsistenz

Schaut man sich die Aufgabengebiete an, fällt sofort auf, dass es sich ausschließlich um Tätigkeiten handelt, bei denen die IT-Security eng mit Fachabteilungen, Information- und Application-Owners, Risiko-Managern und anderen Menschen zusammenarbeiten müsste, die nicht zum auserwählten Kreis der Security-Nerds gehören. Ohne KI sind allgemeinverständliche Erklärungen und intensive Kommunikation nötig, um die Aufgaben zu bewältigen. Und nicht nur das: Für Klassifizierungen und den Betrieb einer CMDB müsste man regelmäßige Kommunikationsvorgänge planen und einhalten – eine gewaltige Anstrengung für so manchen Bit-und-Byte-Strategen.

Aber was ist falsch daran, hier auf KI zu setzen? Nun ja: Für alle genannten Vorgänge müsste die dazu eingesetzte KI erst einmal lernen, woran sie erkennt, was sie klassifizieren oder auswerten soll. Sicherlich ist es auf einem gewissen Niveau möglich, unstrukturierte Dokumente automatisch – etwa anhand von Stichwörtern – zu rubrizieren. Je genauer dies aber erfolgen soll, desto mehr Musterdokumente für unterschiedliche Typen von Informationen müsste die Such- und Klassifizierungsmaschine zuvor verinnerlichen. Dazu müssten Menschen sie füttern – und das müsste wiederum in Kooperation mit den Mitarbeitern aus den Fachabteilungen geschehen, denen man (und hier kommt die Krux) diese Aufgabe und die Klassifizierungstechnik zuvor erst einmal erklären müsste. Kein Plug&Play, sorry!

Und dann ist da noch das Big-Brother-Dilemma: Wie kommt die Discovery-Engine an die Rechte, sich überall im Netz umzusehen? Wie verhindert man, dass sie etwas aufbereitet, was sie womöglich nicht einmal sehen dürfte, oder – gottbewahre! – sich von Dritten für deren Zwecke einspannen lässt?

Völlig abgehoben ist die Idee der quasi automatisierten CMDB-Befüllung: Technisches Discovery mag ja noch möglich sein, aber an der treffsicheren Bewertung von Assets, Informationen und Risiken scheitert heutige KI kläglich. Hier ist der Vater des Gedankens definitiv die Verzweiflung der IT-Abteilungen angesichts der Komplexität und kommunikativen Vielschichtigkeit des Aufbaus einer brauchbaren CMDB. Tatsächlich könnte KI den Menschen dabei helfen, aber eben nur in Assistenzfunktion und ohne Beseitigung der abteilungsübergreifenden Kommunikation, die für diese Aufgaben notwendig ist. Und wieder leiten die Anwender die Entwicklung der KI für den entsprechenden Einsatzzweck eventuell in die falsche Richtung.

Fazit

Plug&Play hat Grenzen: Baby Regenwurm kann sich noch ohne Schule und Erziehung durchs Gartenbeet pflügen – Baby Katze und Baby Hund brauchen schon die Tierfamilie zum Abgucken (und für ein weniger wildes Leben auch menschenkompatible Erziehung). Spätestens ab Orang Utan wird mühsam gelernt, wie man zum Beispiel mit Werkzeug arbeitet. Und Menschen gehen nicht grundlos in Kindergarten, Schule, Uni – je mehr Intelligenz, desto größer der Lernbedarf! IBMs Watson wurde etwa von hoch spezialisierten Hochschulteams trainiert, bevor man ihn auf die IT-Security losgelassen hat. Bei KI gibt es nur Train&Play, nicht Plug&Play!

Das Faszinosum KI braucht offenbar noch etliche Erfolge und Misserfolge, bis es von Anwendern (und zwar den professionellen!) richtig eingeschätzt wird. Die derzeitige Diskussion zeigt jedenfalls alle Merkmale der Auseinandersetzung um ein Phänomen, zu dem zwar viele theoretische Überlegungen, aber nur wenig praktische Erfahrungen existieren. Was überwiegt, ist die Hoffnung, Lästiges auf die neuen „künstlichen Kollegen“ einfach abwälzen zu können. Bis sich der Assistenzgedanke durchsetzt, dürfte noch einige Zeit vergehen.

Dr. Johannes Wiele (johannes@wiele.com) ist freier Autor sowie GDD-geprüfter Datenschutzbeauftragter und arbeitet als Senior-Manager in der Cybersecurity-Beratung.

Literatur

[1] Bettina Weßelmann, Johannes Wiele, KI braucht Zuwendung, Über die Arbeit mit regelbasierter und anomaliegestützter Bedrohungserkennung, <kes> 2019#3, S. 70 [2] Bettina Weßelmann, Johannes Wiele, Künstlich muss nicht menschlich sein, Über die „anderen“ Grenzen von Security-KI, <kes> 2019#4, S. 13

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.