Home
http://www.faz.net/-gy9-74ggu
HERAUSGEGEBEN VON WERNER D'INKA, JÜRGEN KAUBE, BERTHOLD KOHLER, HOLGER STELTZNER

Neue Sicherheitssysteme Mit jeder Cyberattacke wird die Software schlauer

Selbstlernende Sicherheitssysteme sollen Computer sicherer machen. Dafür werden Angriffsmuster ausgewertet. Denn neue Computerviren machen Experten das Leben schwer.

© Damm Vergrößern

Neue Computerviren und ungewöhnliche Hackerangriffe machen den Sicherheitsfachleuten das Leben schwer. Denn oft vergehen Wochen, bis die Angriffsstrukturen erkannt sind und ein Gegenmittel entwickelt werden kann. In Zukunft sollen selbstlernende Sicherheitssysteme Lücken schnell schließen. In Banken, in der Robotik und der Medizin werden Expertensysteme schon seit fast 30 Jahren eingesetzt. Sie machen anhand einzelner Symptome Vorschläge für die Diagnostik und für die Behandlung von Krankheiten oder schätzen die Kreditwürdigkeit eines Bankkunden ab.

Grundlage sind eine umfangreiche Datensammlung zum Beispiel über die Symptome, die Ärzte bisher festgestellt haben, oder kreditrelevante Verhaltensdaten von Antragstellern sowie Algorithmen für das maschinelle Lernen. „Beim maschinellen Lernen wird mit aussagekräftigen Merkmalen gearbeitet“, sagt der Tübinger Computerwissenschaftler Pavel Laskov. Dabei hat er herausgefunden, dass diese Merkmale nicht nur Krankheitssymptome, Wetterdaten oder Daten über das Verhalten von Bankkunden sein können, sondern auch Merkmale von Hackerangriffen oder Computerviren.

Software für die Verhaltensanalyse von Bankkunden

“Mit Hilfe von maschinellem Lernen kann man effizient große Mengen sicherheitsrelevanter Daten analysieren“, erläutert Laskov. Eine Software für die Verhaltensanalyse von Bankkunden lässt sich prinzipiell auch auf andere Gefahrenbereiche übertragen. Der Informatiker Konrad Rieck und seine Kollegen von der Universität Göttingen haben das bei Computerviren ausprobiert. „Das ist im Prinzip reine Mustererkennung“, beschreibt Rieck die Methode, wie ein selbstlernendes Sicherheitssystem einen neuen Computervirus erkennen kann. Denn Angriffe werden zwar raffinierter, aber sie laufen oft nach ähnlichem Muster ab. Diese Muster können Computer regelrecht lernen.

“Bisher läuft Computersicherheit so, dass Menschen Schadsoftware und Angriffe analysieren“, sagt Rieck. Diese Sicherheitsexperten müssen - mitunter im Schichtdienst - 24 Stunden am Tag Tausende von Dateien anschauen und analysieren, um Schadsoftware und Computerangriffe erkennen zu können. Das maschinelle Lernen ist schneller. Dafür muss die selbstlernende Sicherheitssoftware nicht nur die Angriffsprozesse der Hacker und die Struktur der Schadsoftware sowie der Sicherheitslücken analysiert und gelernt haben. Sie muss auch berechnen, mit welchen Wahrscheinlichkeiten welche Dateistruktur bei einem Computervirus vorkommt und wie wahrscheinlich es ist, dass ein bestimmter Hackingangriff in genau beschriebenen Phasen abläuft. Je mehr Attacken ausgewertet und gelernt werden, desto treffsicherer kann die Software eine Attacke erkennen. Neben den Strukturen und Merkmalen von Cyberangriffen lernt die Software bei jedem Angriff, wie hoch die Wahrscheinlichkeit war, dass gerade diese Viren oder Angriffsschritte genutzt wurden. So kann sie auch prognostizieren, wie wahrscheinlich sie bei künftigen Angriffen sein werden.

Abwehrsoftware kann die Sicherheitslücken schließen

Stellt die Analysesoftware Merkmale oder Strukturen fest, die auf einen Cyberangriff hindeuten, kann die Prognosesoftware sofort berechnen, mit welcher Wahrscheinlichkeit der Angriff wann ausgeführt werden wird. Die Abwehrsoftware kann die Sicherheitslücken schließen, die ein Strukturmerkmal dieses berechneten Cyberangriffs sind, und den Angriff abwehren. Erste Labortests zeigen, dass auch in kritischen Sicherheitsfällen Entscheidungen über die Gegenmaßnahmen zur Abwehr eines Cyberangriffs von der selbstlernenden Sicherheitssoftware in Echtzeit getroffen werden können. Außer einer umfangreichen Datenbank mit genauen Strukturbeschreibungen verschiedener Angriffe und einer statistischen Datenbasis zur Berechnung der Wahrscheinlichkeiten hängt der Erfolg der Abwehrmaßnahmen von der programmierten Entscheidungslogik der selbstlernenden Sicherheitssoftware ab.

“Die Entscheidungsbäume, mit denen Angriffsarten unterteilt werden, dürfen nicht zu groß werden“, sagt Laskov. Sonst müsste zur Bestimmung der Abwehrmaßnahme der gesamte Entscheidungsbaum mit allen Fallunterscheidungen abgearbeitet werden. Die Sicherheitssoftware wäre zu langsam.

Mehr zum Thema

Wird die Struktur der Entscheidungsbäume dagegen komplex angelegt, um nicht allzu viele Fallunterscheidungen treffen zu müssen, besteht die Gefahr, dass das Expertensystem „überlernt“ und hilflos reagiert. „Die Kunst besteht also darin, die Entscheidungsbäume so groß zu machen, dass alle notwendigen Optionen bei einem Cyberangriff bewertet werden können, und gleichzeitig nur so komplex anzulegen, dass diese Optionen sofort erkannt werden können“, meint Laskov. Das setzt regelrechte Kalibrierungsläufe voraus, mit denen die Größe der Entscheidungsbäume eingestellt werden muss. Hier sei noch ein Forschungsbedarf vorhanden, meint Doug Tylor von der Universität von Kalifornien in Berkeley. Nach seiner Ansicht werden fünf oder sechs Jahre vergehen, bis selbstlernende Software robust genug ist, um auch raffinierteste Attacken aus dem Netz abwehren zu können.

Quelle: F.A.Z.

 
 ()
   Permalink
 
 
 

Hier können Sie die Rechte an diesem Artikel erwerben

Weitere Empfehlungen
Stiftung Warentest Kostenpflichtige Sicherheitssoftware schützt am besten

Kriminelle Hacker greifen auch Privatcomputer an. Um den Rechner vor Viren zu schützen, verwenden viele Nutzer Sicherheitssoftware. Doch die sollte am besten etwas kosten, sonst taugt sie nicht viel, fand jetzt die Stiftung Warentest heraus. Mehr

26.03.2015, 12:06 Uhr | Finanzen
Ukraine Krise geht mit Internet-Krieg weiter

Es ist ein unerklärter Krieg, der jeden Tag im Internet stattfindet. Die IT-Sicherheitsfirma Virtual Systems in Kiew schützt mit eigener Software vor Hackerangriffen. Es ist ein Kampf gegen unsichtbare Windmühlen, der immer umfangreicher und mit immer mehr technischem Aufwand betrieben werden muss. Mehr

17.12.2014, 12:00 Uhr | Wirtschaft
Nach zwanzig Jahren Microsoft schafft den Internet Explorer ab

Unrühmliches Ende für eine Institution des Internets: Im kommenden Betriebssystem Windows 10 verzichtet Microsoft offenbar auf den Internet Explorer – und setzt seine Hoffnungen in einen ganz neuen Browser. Mehr

17.03.2015, 22:50 Uhr | Technik-Motor
Cyberangriff vermutet Nordkorea vom Internet abgeschnitten

Die ohnehin störanfälligen Internetverbindungen in Nordkorea sind am Montag offenbar völlig zusammengebrochen. Erst nach neuneinhalb Stunden sei die Verbindung am Dienstag wiederhergestellt worden, teilte das auf Internetsicherheit spezialisierte amerikanische Unternehmen Dyn Research mit. Die Gründe für den Ausfall waren zunächst unklar. Ein Mitarbeiter von Dyn Research vermutete eine Netzwerk-Attacke. Mehr

23.12.2014, 07:42 Uhr | Politik
Hirnforschung, was kannst du? Schlaf kann ein Neuanfang sein

Lernstoff festigt sich maßgeblich im Schlaf. Das Gedächtnis kann in diesen Ruhephasen optimiert werden. Und auch eine Reprogrammierung riskanter Verhaltensweisen scheint möglich, was Chancen für Suchtkranke birgt. Mehr Von Jan Born

29.03.2015, 23:46 Uhr | Wissen
   Permalink
 Permalink

Veröffentlicht: 23.11.2012, 10:42 Uhr

Ein Herz für Raucher

Von Boris Schmidt

Es ist irgendwie schon vergessen, aber in älteren Filmen kann man es noch sehen: Früher hat wirklich fast jeder geraucht, und der Zigarettenanzünder im Auto war so selbstverständlich wie das Radio. Mehr 1 2

Hinweis
Die Redaktion