{"id":25294,"date":"2023-11-08T09:19:35","date_gmt":"2023-11-08T08:19:35","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=25294"},"modified":"2023-10-26T09:30:27","modified_gmt":"2023-10-26T07:30:27","slug":"multimodaler-datenschutz-benoetigt-kuenstliche-intelligenz","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=25294","title":{"rendered":"Multimodaler Datenschutz ben\u00f6tigt k\u00fcnstliche Intelligenz"},"content":{"rendered":"\n

Autor\/Redakteur: Sam Curry, VP & CISO von Zscaler<\/a>\/gg<\/p>\n\n\n\n

Das Risiko der Cyber-Sicherheit unterscheidet sich von anderen IT-Gefahren dadurch, dass es Unternehmen mit einem anpassungsf\u00e4higen und menschlichen Gegner zu tun haben. Im Allgemeinen muss sich die IT mit Risiken erster Ordnung auseinandersetzen, die mit Chaos einhergehen, vergleichbar mit Wirbelst\u00fcrmen in der Meteorologie oder Viren in der Biologie. Bei Risiken erster Ordnung handelt es sich um komplexe und gef\u00e4hrliche Bedrohungen, wie fehlgeschlagene Prozesse, defekte Teile und andere nat\u00fcrliche und kontrollierbare Ausf\u00e4lle \u2013 die nicht mit einem denkenden Element verbunden sind. Im Gegensatz dazu m\u00fcssen sich Unternehmen bei der Cybersicherheit mit Risiken zweiter Ordnung auseinandersetzen. Bei diesen Risiken handelt es sich um chaotische Systeme mit Bedrohungen, die sich intelligent an Abwehr- und Gegenma\u00dfnahmen anpassen, und damit mit \u00e4hnlichen Vorgehensweisen wie in einem Vertriebsprozess oder einem Rechtsstreit einhergehen. Auf einen Schritt folgt eine Reaktion, auf die sich die gegnerische Partei einstellen muss.<\/p>\n\n\n\n

\"\"<\/a>
Bild: Zscaler<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Schon heute m\u00fcssen es IT-Sicherheitsteams allerdings im Bereich der Cybersicherheit mit einem weiteren Gegenspieler aufnehmen: mit der k\u00fcnstlichen Intelligenz. Dann reicht das herk\u00f6mmliche Muster von Cyber-Angriff und Incident-Response der Verteidigung nicht mehr aus, den es sind vielschichtigere Auswirkungen von Datenverlusten und Datenschutz mit zu ber\u00fccksichtigen. Diese Folgen erfordern eine multimodale Verteidigungsmethodik, bei denen die k\u00fcnstliche Intelligenz ebenfalls einen entscheidenden Einfluss auf den Ausgang des Konflikts nehmen kann.<\/p>\n\n\n\n

Die Intelligenz des Siliziums<\/strong><\/strong><\/p>\n\n\n\n

Nehmen wir das Beispiel eines Hackathon, bei dem Mitarbeitende aufgefordert werden, eine einzigartige Datenzeichenfolge aus einem Unternehmen zu extrahieren und sich daf\u00fcr in die Vorgehensweise von Angreifern hineinversetzen m\u00fcssen. Im Rahmen eines solchen Planspiels werden einerseits Punkte f\u00fcr die F\u00e4higkeit vergeben, diese Zeichenfolge zu stehlen, aber auch f\u00fcr die Originalit\u00e4t der Methode an die Daten zu gelangen. Wird eine Methode dabei nur von einer Person eingesetzt, werden mehr Punkte vergeben, als wenn zwei oder drei Mitspielende auf den gleichen Pfad setzen. Bei einem solchen \u201eDurchl\u00e4ssigkeitstest\u201c schl\u00fcpfen gew\u00f6hnliche Mitarbeitende in die Rolle von Insidern und es ist zu erwarten, dass sich die Teilnehmenden an Kreativit\u00e4t zu \u00fcbertrumpfen suchen. Der Nebeneffekt dieses Bewertungsmodells mit dem Bonus f\u00fcr Originalit\u00e4t liegt in der Zusammenarbeit bei der Bew\u00e4ltigung der Aufgabenstellung und kann weitere positive Auswirkungen hinsichtlich eines Innovationsschubs haben.<\/p>\n\n\n\n

Eine solche \u00dcbung verdeutlicht dar\u00fcber hinaus zwei wichtige Aspekte:<\/p>\n\n\n\n

Es hilft, sich in das Mindset eines b\u00f6swilligen Angreifers beim Pl\u00e4neschmiden einzudenken, um eine bestimmte Nachricht so zu ver\u00e4ndern, so dass sie unbemerkt exfiltriert werden kann. Die zu stehlende Nachricht ist dabei nicht notwendigerweise an ein bestimmtes Medium f\u00fcr den Vorgang des Exfiltrierens gebunden und gibt Spielraum f\u00fcr Kreativit\u00e4t: Wi-Fi, Mobiltelefon, Browser, Drucker, FTP, SSH, AirDrop, Steganographie, Screenshot, BlueTooth, PowerShell, versteckt in einer Datei, \u00fcber eine Messaging-Anwendung, in einer Konferenzanwendung, \u00fcber SaaS, in einem Speicherdienst sind nur ein paar der M\u00f6glichkeiten f\u00fcr das Abflie\u00dfen der gesuchten Datei. Um erfolgreich zu sein und Punkte beim Hackathon zu erhalten, muss bewusst nach einer Methode gesucht werden, um die Nachricht in einem unerwarteten Medium zu transportieren und zeitgleich sollten die Gegenspieler und deren Toolkit im Auge behalten werden.<\/p>\n\n\n\n

Zweitens wird ein helles K\u00f6pfchen ben\u00f6tigt, um die gesuchte Zeichenfolge in ihren verschiedenen Formen oder Modi \u00fcberhaupt erst zu erkennen. Die klassische Data Loss Prevention (DLP) und der Datenschutz arbeiten dabei mit voneinander unabh\u00e4ngigen Vorgehensweisen: Es wird nach einem Datentyp mit eindeutigen Erkennungsmerkmalen und einem erwarteten Musterdatentyp und -format gesucht. Diese Merkmale k\u00f6nnen einfach sein und dem Schema von Kreditkartennummern oder Sozialversicherungsnummern in http folgen. Oder die Suche kann sich komplex gestalten, wenn nach einem bestimmten Datentyp in einem Email-Anhang geforscht wird, der einen Vertrag enth\u00e4lt. Hierbei ist es ungleich schwieriger, die verborgene Zeichenfolge im allgemeinen Datenfluss unter Ber\u00fccksichtigung aller Kommunikationstypen aufzusp\u00fcren und das ben\u00f6tigt gegebenenfalls unendlich viel Zeit und Geduld f\u00fcr einen Einzelnen.<\/p>\n\n\n\n

Hier kommen f\u00fcr die Erkennung bestimmter Daten oder Inhalte die Vorteile der k\u00fcnstlichen Intelligenz ins Spiel mit maschinellem Lernen (ML), Deep Learning (DL) und Large Language Models (LLMs). Um sensible Daten im Grundrauschen aller Datenstr\u00f6me zu erkennen und vor dem unbeabsichtigten Abflie\u00dfen (nicht nur w\u00e4hrend eines Hackathons) zu sch\u00fctzen, bedarf es eines multimodalen Ansatzes. Ein solcher Ansatz spielt in Punkto Geschwindigkeit der Erkennung bestimmter Daten seine Vorteile aus, die den F\u00e4higkeiten des einzelnen Menschen bei Weitem \u00fcberlegen sind. Es ist an der Zeit, die menschliche Intelligenz um die Intelligenz des Siliziums zu erg\u00e4nzen auf der Suche nach dem fehlgeleiteten Signal, das wiederum intelligente Angreifer \u00fcber alle zur Verf\u00fcgung stehenden Kan\u00e4le zu erbeuten versuchen.<\/p>\n\n\n\n

Mit KI die \u00dcberwachung verbessern<\/strong><\/p>\n\n\n\n

Die Fortschritte des letzten Jahrzehnts haben zu einer Explosion von KI-Anwendungen in den Bereichen Text, Analyse, Grafik und zielgerichtete Anwendungen gef\u00fchrt. Durchbr\u00fcche in der Architektur, Modellen und Datenanalyse sowie Vorgehensweisen zum Training der Systeme sind von entscheidender Bedeutung und sehr langwierig. Obwohl das Thema der k\u00fcnstlichen Intelligenz nicht neu ist, wurden erst in den letzten f\u00fcnf Jahren wirklich gro\u00dfe Fortschritte gemacht, die die k\u00fcnstliche Intelligenz nachhaltig ver\u00e4ndert hat. Die akademische und praktische Forschung findet nicht mehr in Silos statt, sondern Disziplin-\u00fcbergreifend. In der Folge ist die KI-Forschung heute universeller aufgestellt und damit f\u00fcr ehemals getrennte Forschungsbereiche anwendbar, wie Text- oder Sprachverarbeitung oder Bildbearbeitung und so weiter.<\/p>\n\n\n\n

Das bedeutet, dass multimodales Monitoring und damit angewandte k\u00fcnstliche Intelligenz, die medien\u00fcbergreifend nach Basissignalen suchen kann, zur Realit\u00e4t f\u00fcr die Cybersicherheit wird. Es geht nicht mehr nur um BERT oder GPT-Anwendungen, sondern um Large Language Models, die f\u00fcr den ausdr\u00fccklichen Zweck entwickelt und trainiert wurden, Daten zu erkennen, die exfiltiert werden, auch wenn sie dazu ver\u00e4ndert oder versteckt werden. Dabei lassen sich die Modelle auch performant f\u00fcr gro\u00dfe Datenmengen unterschiedlichster Art anwenden und damit handelt es sich um fortschrittliche Data Loss Prevention, die sich von den Modellen der Vergangenheit deutlich abhebt.<\/p>\n\n\n\n

K\u00fcnstliche Intelligenz kann heute auch eingesetzt werden, um den Anwendungsverkehr zu erkennen und die Art der Interaktionen zu analysieren. Das bedeutet, dass nicht nur Daten, sondern auch bestimmte Arten von \u201eGespr\u00e4chen\u201c erkannt werden k\u00f6nnen. Wenn beispielsweise eine Richtlinie besagt, dass LLMs nur auf eine bestimmte Art und unter bestimmten Umst\u00e4nden verwendet werden d\u00fcrfen, kann der multimodale Datenschutz so eingesetzt werden, dass er alle LLM-\u00e4hnlichen Konversationen aufsp\u00fcrt und mit hoher Wahrscheinlichkeit auch solche erkennt, die \u00fcber ungew\u00f6hnliche Kommunikationskan\u00e4le aktiv verschleiert werden. Zus\u00e4tzlich sorgen klassische Filter mit Erlauben-Funktion dann f\u00fcr den letzten Schliff. Die M\u00f6glichkeiten sind also heute gegeben, die Angreifer mit ihren eigenen Waffen zu schlagen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Das Risiko der Cyber-Sicherheit unterscheidet sich von anderen IT-Gefahren dadurch, dass es Unternehmen mit einem anpassungsf\u00e4higen und menschlichen Gegner zu tun haben. Im Allgemeinen muss sich die IT mit Risiken erster Ordnung auseinandersetzen, die mit Chaos einhergehen, vergleichbar mit Wirbelst\u00fcrmen in der Meteorologie oder Viren in der Biologie. Bei Risiken erster Ordnung handelt es sich um komplexe und gef\u00e4hrliche Bedrohungen, wie fehlgeschlagene Prozesse, defekte Teile und andere nat\u00fcrliche und kontrollierbare Ausf\u00e4lle \u2013 die nicht mit einem denkenden Element verbunden sind. Im Gegensatz dazu m\u00fcssen sich Unternehmen bei der Cybersicherheit mit Risiken zweiter Ordnung auseinandersetzen. Bei diesen Risiken handelt es sich um chaotische Systeme mit Bedrohungen, die sich intelligent an Abwehr- und Gegenma\u00dfnahmen anpassen, und damit mit \u00e4hnlichen Vorgehensweisen wie in einem Vertriebsprozess oder einem Rechtsstreit einhergehen. Auf einen Schritt folgt eine Reaktion, auf die sich die gegnerische Partei einstellen muss.<\/p>\n","protected":false},"author":81,"featured_media":25296,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[1015,8220,17345,10986,5551],"class_list":["post-25294","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-datenschutz","tag-ki","tag-llm","tag-ml","tag-zscaler"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/25294","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=25294"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/25294\/revisions"}],"predecessor-version":[{"id":25297,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/25294\/revisions\/25297"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/25296"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=25294"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=25294"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=25294"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}