Information und Bildungsarbeit von und für die SAP-Community

Wolf im Husky-Fell? KI und Cybersecurity

Wenn man in diesen Tagen Cybersecurity Konferenzen besucht, scheinen sich alle Hersteller einig: „Artificial Intelligence“ ist die neue Wunderwaffe im Kampf gegen Malware, Hacks, Exploits und die Masern.
Jörg Schneider-Simon, Bowbridge Software
30. August 2018
It-Security
avatar

Blickt man kritisch hinter die Kulissen der Werbebotschaften, stellt man zunächst fest, dass der Begriff „Artificial Intelligence“ in den Marketingabteilungen sehr liberal verwendet wird. „AI-powered“-Produkte setzen in der Regel nur einen Teil-Aspekt von AI ein, nämlich Machine Learning.

Machine Learning ist im Bereich Cybersecurity aber weder besonders neu, noch innovativ.

Bereits seit über 10 Jahren setzen Anti-Malware Hersteller Machine Learning ein, um Unmengen an neuen Malware-Varianten Samples zu analysieren und – mittlerweile vollständig automatisiert – Erkennungs-Signaturen zu generieren.

Im Bereich der SPAM- und Phishing-Erkennung kommen seit nunmehr 20 Jahren Machine Learning-Algorithmen zum Einsatz – wenngleich nicht ausschließlich.

Wichtig ist es, zu verstehen, dass es bei all diesen Anwendungsfeldern in der Regel nicht um „Deep Learning“ geht – also um die Verwendung mehrschichtiger künstlicher neuronaler Netze. Diese sind für den Einsatz auf Server- oder Client-Systemen, deren Haupt-Einsatzgebiet nicht das neuronale Netz sind, noch viel zu Speicher- und CPU-hungrig.

Den Machine Learning Algorithmus für Cybersecurity gibt es nicht: Machine Learning ist sehr gut geeignet, um in einem eng umrissenen Aufgabenfeld zu agieren.

Cybersecurity, und selbst ein kleiner Ausschnitt wie Endpoint Security, deckt eine Vielzahl möglicher Angriffsvektoren und -methoden ab. Es gibt hier keine „One-Size-Fits-All-Lösung“ aus der AI Trickkiste.

Machine-Learning Algorithmen werden mit der Zeit „von alleine“ immer besser? Richtig ist, dass Machine-Learning mit großen Mengen an qualifizierten Daten immer besser wird – eben „lernt“.

Mit qualifizierten Daten ist gemeint, dass der Algorithmus neben den eigentlichen Daten auch die Information benötigt, ob beispielsweise diese Dateien infiziert oder harmlos sind bzw. ob es sich bei einem E-Mail um Ham oder Spam handelt.

Damit scheidet in der Regel ein allein kundenseitiges Training der Algorithmen aus, denn die wenigsten „Normal-User“ sind beispielsweise in der Lage eine Malware-Infizierte Datei von einer sauberen Datei zu unterscheiden – zumindest solange die Malware (z.B. Ransomware) nicht aktiv geworden ist.

Können KI-Lösungen können bereits heute klassische Security-Lösungen ablösen? Auf dieses Pferd sollten nur die sehr, sehr mutigen – oder sehr leichtsinnigen setzen.

Deterministische Verfahren wie klassische IP-Filter und/oder Pattern-Matching Verfahren sind für die weit überwiegende Zahl der Anwendungsfelder sowohl in Performance als auch in Genauigkeit KI-Lösungen noch immer weit überlegen. Abhängig vom Einsatzgebiet ist es zudem möglich und sinnvoll den Einsatz deterministischer Verfahren im Blacklist- oder Whitelist-Verfahren abzuwägen.

Werden mit Machine Learning und Big (Training-) Data die Ergebnisse zwangsläufig besser? Die Qualität der Ergebnisse eines Machine Learning basierten Classifiers, insbesondere im Bereich Deep Learning, hängt nicht nur vom Algorithmus ab, sondern auch – oder sogar viel entscheidender – von den Daten, mit denen dieser trainiert wurde.

Leider können wir User und Endkunden dem Cyber-Security Machine-Learning Algorithmus nicht bei der Entscheidungsfindung zuschauen. Könnten wir dies tun, so wie Wissenschaftler der University of Washington, würden wir möglicherweise Fälle wie den des Huskys entdecken, der fälschlicherweise als Wolf erkannt wurde.

Grund dafür war, dass die meisten Bilder von Wölfen, mit denen das System trainiert wurde, Wölfe im Schnee zeigte. Die Visualisierung der Entscheidungsgrundlagen des Algorithmus zeigte folglich auf, dass das Tier auf dem nur eine untergeordnete Rolle bei der Entscheidung spielte. Das Vorhandensein von Schnee war ausschlaggebend.

avatar
Jörg Schneider-Simon, Bowbridge Software

Jörg Schneider-Simon ist Chief Technical Officer von Bowbridge Software, einem Hersteller von Cybersecurity-Lösungen für SAP-Anwendungen.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 20. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.