Am 3. Mai 2022 fand nach zweijähriger Corona-Pause endlich das 50. BremSec-Forum in Präsenzform in der Handelskammer Bremen statt. Dabei stand das Thema Künstliche Intelligenz (KI) auf der Tagesordnung, welches uns heutzutage in vielen verschiedenen Kontexten begegnet. Im BremSec-Forum stand dabei der Nutzen der KI-Verfahren in der IT-Sicherheit im Vordergrund. Aber auch Gefahren durch die Nutzung von KI-Algorithmen sollten beleuchtet werden. Diese gehen einher mit Fragen nach Angreifbarkeit und Resilienz sowie Nachvollziehbarkeit von Ergebnissen. Die DECOIT^® GmbH war vor Ort und beteiligte sich aktiv an den entstandenen Diskussionen, da durch das eigene SIEM-System Berührungspunkte bestehen.

Am Anfang der Veranstaltung gab es einen kleinen Rückblick auf 15 Jahre BremSec-Forum, das im Jahr 2004 zum ersten Mal durchgeführt wurde. Das damalige Motto lautete: „Wenn Bremen wüsste, was Bremen weiß.“ Initiator dieses Forums, alles ehemalige Siemens-Mitarbeiter aus dem Bereich der IT-Sicherheit, kamen bereits vier Jahre zuvor auf die Idee ein solches Instrument ins Leben zu rufen. Da der damalige Arbeitgeber wenig Interesse zeigte diesen Bereich auszubauen, fingen Stefan Menge und Rolf Blunk an, Kontakte zur nahegelegenen Universität Bremen zu knüpfen. Dr. Karsten Sohr, damals neuer Professor dort, hatte u.a. die Aufgabe den Technologietransfer zur Wirtschaft voranzutreiben. So entstand ein erster Arbeitskreis bei Siemens mit der Universität Bremen, aus dem sich dann das BremSec-Forum bildete. Die Themen wurden dabei zuerst sehr technisch vorgetragen, wandelten sich dann aber immer mehr in Richtung Management. Im Jahr 2007 entstand dann das Freie Institut für IT-Sicherheit (IFIT), welches das BremSec-Forum auf professionellere Beine stellte. Dabei wurde auch die Zusammenarbeit mit der Handelskammer intensiviert. Das IFIT ist ein Verein, der ein Kompetenznetzwerk zur IT-Sicherheit anbietet und dem auch die DECOIT^® GmbH seit diversen Jahren angehört. Hier kommen Experten zahlreicher Disziplinen mit unterschiedlichsten Hintergründen zusammen, um für sich neue Lösungsansätze zu finden und eigene Erfahrungen weiterzugeben. Abschließend zu diesem Rückblick wurde von Rolf Blunk ein Strauß an Stefan Menge für die erfolgreichen BremSec-Veranstaltungen überreicht.

Weiter ging es mit dem Fachvortrag von Prof. Dr. Dieter Hutter, stellvertretender Leiter beim Deutschen Forschungszentrum für Künstliche Intelligenz (DFKI) im Forschungsbereich Cyber-Physical Systems. Hier führte er aus, dass Maschinelles Lernen (ML) auf Mitte der 1950er Jahre zurückgeht und durchaus kein „neues“ Thema mehr ist. Als These wurde damals herausgegeben, dass sich im Grunde jeder Aspekt des Lernens und jedes Merkmal von Intelligenz beschreiben lässt. Dies hat die heutige Forschung aber widerlegt. Die Ausprägung von ML sind dabei überwachtes Lernen (lernen mit Hilfe annotierten klassifizierten Daten), nichtüberwachtes Lernen (Lernen mit Hilfe von Rohdaten bzw. nicht klassifizierter Daten) und das Reinforcement Learning (Lernen von Aktionen für die einzelnen Zustände und Belohnung (Reinforcement) nach erfolgter korrekter Aktion). Dabei kommt der Qualität der Rohdaten eine entscheidende Rolle zu bzw. diese könnten ggf. auch manipuliert werden, so dass Anomalien nur noch als Normalzustand erkannt werden können. Daher weichen auch Hersteller auf die regelbasierte Klassifikation aus, bei der Daten mit Hilfe expliziter Regeln in Klassen unterteilt werden. Diese beinhaltet einen einfachen Algorithmus zur sequentiellen Abdeckung des Datenraums. Es wird mit einer leeren Regelmenge gestartet – solange die Daten nicht durch eine Regel abgedeckt werden, generiert man neue Regeln und entfernt die davon betroffenen Daten. Eine andere Technik mit mehr „Intelligenz“ nennt sich Support Vector Machines (SVM). Sie kommt bei Intrusion Detection Systems (IDS) vermehrt zum Einsatz. Hierbei wird die Datenmenge in zwei Klassen aufgeteilt (z.B. kritischer/unkritischer Zustand) und die Daten durch verschiedene Dimensionen repräsentiert.

Danach wurden die Vorläufer des Deep Learnings (DL) besprochen, die sich aus Neuronen und Neuronalen Netzen (NN) entwickelt haben. Auch dieser Ansatz ist älter, denn das Prinzip basiert auf einem Modell von 1959. Hier lassen sich verschiedene Vernetzungsstrukturen unterscheiden, wie Convolution (CNN), Recursion (RNN), Generative Adversarial (GAN) und Graph Convolutional Network (GCN). Die Netze müssen trainiert werden, um einen Vergleich der erhaltenen Resultate mit dem Wunschergebnis zu erhalten. Die Anpassung des Ergebnisses wird durch Änderung der Gewichtung erzeugt. Der Erfolg von Deep Learning wird daher durch verschiedene Aspekte begründet:

• Riesige Datenmengen (Big Data) ermöglichen die Produktion großer Trainingsdaten.
• Die Rechenkapazität ist seit den 1970er Jahren um mehrfache Zehnerpotenzen gestiegen.
• Bessere statistische Verfahren zur Anpassung der Netze

In der IT-Sicherheit sollen Anomalien durch ML erkannt werden, aber es fehlen dafür bisher präzisere Regeln. Zudem können kleine Änderungen der Eingabe zu unerwarteten Ergebnissen in der Ausgabe führen. So wurde ein Video gezeigt, in dem eine KI-Software eine automatische Personenerkennung durchführen sollte. In dem einen Fall klappte dies sehr gut, während die KI-Lösung bei der anderen Person versagte, weil sie ein Bild vor sich hertrug. KI-Algorithmen lassen sich folglich noch zu leicht täuschen.

Abschließend stellte Norbert Heuermann vom LKA Bremen die aktuelle Cybersicherheitslage vor. Die deutsche Wirtschaft bleibt demnach Angriffsziel mit einem Schaden von mehr als 220 Milliarden Euro pro Jahr. 9 von 10 Unternehmen wurden laut Statistik bereits Opfer. Erpressung, Systemausfälle, Betriebsausfälle sind tägliches Geschäft und haben sich vervierfacht. Dabei kommen viele Täter nicht mehr nur aus dem Ausland, denn 43 % sollen aus Deutschland heraus agieren. Verwendet werden Angriffe wie Malware-as-a-Service (Dienstleister bieten Schadsoftware an oder passen sie an), Mobile Security (Angriffe auf Home-Office nimmt zu), Malware Suiten (Einsatz von aufeinander abgestimmten Schadsoftware-Typen) und Server-Administration (schlecht administrierte Server sind häufiges Einfallstor). Als Angriffsvarianten kommen Ransomware (u. a. Emotet, WannaCry), Exploits (u. a. SonicWall, Sudo-Schwachstelle), Software-Schwachstellen (Zero-Day-Exploit), Supply-Chain-Angriffe (gezielte Angriffe auf IT-Dienstleister) und IoT-Zugänge (Netzwerkdrucker, Überwachungssysteme, Türöffner etc.) zum Einsatz. Der Ukraine-Krieg hat bisher noch kein sicherheitstechnisches Erdbeben ausgelöst. Die auftretenden Sicherheitslücken bei Windkraftwerken waren eher das Ergebnis von nicht gezielten Attacken. Aber das kann sich natürlich ändern.

Insgesamt war es eine sehr interessante Veranstaltung, die die KI-Befürworter etwas auf den Boden der Tatsachen zurückgebracht hat. Es kam in der Diskussion sogar die Befürchtung auf, dass die aktuellen Marketingmaßnahmen zu einer Abschwächung der KI-Verbreitung führen werden, weil die KI-Lösungen noch nicht das halten können, was versprochen wird. Aus diesem Grund setzt auch die DECOIT^® GmbH bislang auf regelbasierte Anomalie-Erkennungsverfahren. Im abschließenden Come-Together gab es dann noch einmal genug Gelegenheiten die unterschiedlichen Thesen zu diskutieren. Das nächste BremSec-Forum ist für den 14. September 2022 geplant und wird dann hoffentlich auch wieder ohne größere Einschränkungen stattfinden können.