Kann KI Sicherheitslücken finden?
Warum KI stellt in Sachen Sicherheit ein zweischneidiges Schwert ist
KI kann im Guten wie im Schlechten für die Entdeckung von Sicherheitslücken geeignet sein
Mit den Fortschritten in der künstlichen Intelligenz (KI) suchen Organisationen und Regierungen nach den besten Anwendungen. Während ChatGPT und andere große Sprachmodelle (LLM) die Aufmerksamkeit der Medien auf sich gezogen haben, gehen die potenziellen Anwendungen von KI weit über die Texterstellung hinaus. Ein solches Anwendungsgebiet ist die Sicherheit, insbesondere die repetitive und umfangreiche Aufgabe der Identifizierung von Sicherheitslücken in Software.
Ob KI zu mehr oder weniger Sicherheit führt, hängt davon ab, wer oder was die Sicherheitslücken identifiziert – und zu welchem Zweck.
Die Unvermeidbarkeit von Sicherheitslücken
Manche Fehler in Software sind im Wesentlichen harmlos. Andere Fehler, die als Sicherheitslücken bezeichnet werden, können es jemandem, der sie ausnutzt, ermöglichen, in das System einzudringen und es zu kompromittieren. Ein großer Teil der Cybersicherheitsarbeit ist der Identifizierung und Behebung dieser Sicherheitslücken gewidmet.
Die Zahl der ausgenutzten Sicherheitslücken, die zu einer Kompromittierung geführt haben, ist zu groß, um sie alle aufzuzählen, aber einige Beispiele für bekannte Vorfälle sind:
Der Equifax-Verstoß von 2017, der mit einer ungepatchten Sicherheitslücke begann
Die Sicherheitsverletzung bei LastPass im Jahr 2022 wurde teilweise durch eine Sicherheitslücke in der Software eines Drittanbieters verursacht
Die IT-Systeme der norwegischen Regierung wurden im Jahr 2023 über eine Zero-Day-Sicherheitslücke gehackt
Die Folgen der Ausnutzung von Sicherheitslücken können verheerend sein – von Datenlecks bis hin zu Ransomware-Infektionen, die die Systeme eines Unternehmens lahmlegen. Um dies zu verhindern, müssen Unternehmen Sicherheitslücken so schnell wie möglich identifizieren und patchen.
Automatisiertes Auffinden von Sicherheitslücken
Die Analyse komplexer Softwareprogramme auf der Suche nach Fehlern ist eine repetitive Aufgabe, die sich gut für die Automatisierung eignet. Der bekannte Technologe Bruce Schneier bemerkte: „Den Code Zeile für Zeile durchzugehen ist genau die Art von mühsamer Arbeit, bei der Computer brillieren, wenn wir ihnen nur beibringen, wie eine Sicherheitslücke aussieht.“
Und in der Tat wird maschinelles Lernen (eine Unterart der KI-Fähigkeiten) schon seit Langem eingesetzt, um potenzielle Sicherheitslücken im Code aufzuspüren. GitHub integriert beispielsweise maschinelles Lernen in seiner Code-Scan-Funktion, die Sicherheitslücken im Code aufspürt. Natürlich führt dieser Ansatz manchmal zu falsch-positiven Ergebnissen, aber in Kombination mit einer manuellen Analyse kann ein gut trainiertes maschinelles Lernmodell die Identifizierung von Sicherheitslücken beschleunigen.
Da künstliche Intelligenz rasche Fortschritte macht, besteht die Möglichkeit, diese Technologie so zu trainieren, dass sie Sicherheitslücken noch effizienter erkennt. Tatsächlich hat die US-amerikanische Behörde DARPA im Jahr 2023 ein Programm mit dem Namen Intelligent Generation of Tools for Security – INGOTS angekündigt. (DARPA ist übrigens die Agentur, die das ARPANET, den Vorläufer des Internets, entwickelt hat.)
Das Programm „zielt darauf ab, hochgefährliche, verkettbare Sicherheitslücken zu identifizieren und zu beheben, bevor Angreifer sie ausnutzen können“, indem „neue Techniken zur Messung von Sicherheitslücken auf der Grundlage von Programmanalyse und künstlicher Intelligenz“ eingesetzt werden. INGOTS sucht nach Sicherheitslücken in „modernen, komplexen Systemen wie Webbrowsern und mobilen Betriebssystemen“.
Aber ist KI wirklich gut darin, Sicherheitslücken zu finden? Die DARPA will das herausfinden, aber ihr Programm ist noch recht explorativ.
KI gegen menschliche Hacker: Kann KI Sicherheitslücken finden?
Im Jahr 2016 veranstaltete die DARPA die „Cyber Grand Challenge“, bei der sieben Entwicklerteams autonome KI-Hacking-Programme entwickelten und in einem digitalen „Capture the Flag“-Spiel gegeneinander antraten. Ihr Ziel: Herausfinden, wie gut ein automatisiertes Programm ein gesichertes System hacken kann. Nach mehreren Stunden gewann das Programm „Mayhem“, das von einem Team der Carnegie Mellon University entwickelt wurde.
Die Konferenz DEF CON 2016 fand in der Nähe statt und „Mayhem“ wurde eingeladen, am DEF CON-eigenen „Capture the Flag“-Spiel gegen menschliche Hacker teilzunehmen. Mayhem belegte den letzten Platz, und das Ergebnis war nicht einmal knapp.
Seitdem hat die KI große Fortschritte gemacht, und Forschungsteams veröffentlichen ständig neue maschinelle Lernmodelle, um Sicherheitslücken aufzudecken. Aber selbst mit den neuesten Modellen muss die untersuchte Software immer noch von Menschen überprüft werden, um falsch-positive (oder falsch-negative) Ergebnisse zu vermeiden.
Es ist unbestreitbar, dass KI Sicherheitslücken finden kann. Aber menschliche Penetrationstests haben offenbar immer noch ihren Platz. Dies könnte sich in Zukunft ändern, wenn die KI robuster wird.
Kann KI Sicherheitslücken patchen?
Um eine Sicherheitslücke zu patchen, muss Code geschrieben werden, der die Schwachstelle behebt. KI-Tools können Code generieren. Dazu benötigen sie jedoch spezifische Prompts, die von ihren menschlichen Nutzern erstellt werden.
Selbst INGOTS plant nicht, sich bei der Behebung von Sicherheitslücken vollständig auf automatisierte Prozesse zu verlassen, sondern will „eine Computer-Mensch-Pipeline schaffen, die ein nahtloses menschliches Eingreifen ermöglicht, um hochgefährliche Sicherheitslücken zu beheben“.
Allerdings gilt auch hier der Vorbehalt, dass die KI mit fortschreitender Entwicklung in Zukunft in der Lage sein könnte, Patches schnell und effizient zu erstellen.
Die andere Seite: Angreifer auf der Jagd nach Sicherheitslücken
Wenn ein Tool oder eine Technologie weit verbreitet ist, ist es unvermeidlich, dass die eine Seite sie zum Schutz vor Angriffen nutzt und die andere Seite sie für Angriffe missbraucht.
Wenn KI in der Lage ist, Sicherheitslücken in Software aufzuspüren und zu schließen, werden Angreifer sie sicherlich nutzen, um diese Sicherheitslücken zu finden, bevor sie gepatcht werden, und um Exploits zu schreiben.
Nicht alle Cyberangreifer haben diese Ressourcen. Aber diejenigen, die über diese Ressourcen verfügen, werden wahrscheinlich keine Skrupel haben, die von ihrer KI gefundenen Sicherheitslücken oder die von ihnen geschriebenen Exploits an den Meistbietenden im Dark Web zu verkaufen. Malware-Autoren bauen bereits KI in ihre Tools ein und werden dies mit Sicherheit auch weiterhin tun, wenn sich die KI verbessert.
Es droht ein eskalierendes, KI-gesteuertes Wettrüsten zwischen legitimen Softwareentwicklern und böswilligen Angreifern, bei dem Sicherheitslücken fast augenblicklich identifiziert und ausgenutzt oder (hoffentlich) ebenso schnell gepatcht werden.
Natürlich durchkämmen Angreifer den Code bereits auf der Suche nach unentdeckten Sicherheitslücken – solche „Zero-Day“-Sicherheitslücken sind äußerst wertvoll und können entweder vom Entdecker zum Hacken des Systems genutzt oder auf Schwarzmärkten zu hohen Preisen verkauft werden. Der böswillige Einsatz von KI mag das Spiel verändern, aber es bleibt dasselbe alte Spiel.
Kann KI Exploits für Sicherheitslücken schreiben?
Wie beim Patchen ist dies möglich, aber der Prozess erfordert immer noch menschliche Anleitung. Daher spart es Angreifern möglicherweise keine Arbeit – und viele von ihnen kaufen ohnehin Exploit-Kits, anstatt ihren eigenen Code zu schreiben.
Die Antwort könnte in zehn oder sogar fünf Jahren anders ausfallen, und Sicherheitsverantwortliche sollten sich auf eine Welle vollautomatisierter Sicherheitslücken einstellen.
Zero Trust, ein zukunftssicherer Schutz vor Ausnutzung von Sicherheitslücken
Alle Netzwerke sind anfällig für Sicherheitslücken – mit genügend Zeit und einem entschlossenen Angreifer ist eine Kompromittierung sogar unvermeidlich.
KI eröffnet der Seite, die ihre Systeme schützen will, eine neue Welt der Schwachstellenerkennung. Aber Angreifer werden die gleichen Methoden anwenden, um Schwachstellen zuerst zu finden – oder zumindest bevor sie gepatcht werden können. Für Angreifer wird KI zu einem weiteren Werkzeug in ihrem Werkzeugkasten, genau wie für die „gute Seite“.
Vorausschauende Unternehmen gehen davon aus, dass sie bereits kompromittiert sind: dass ihre Sicherheit versagen könnte, dass ihre Daten in Gefahr sind und dass sich Angreifer bereits im Netzwerk befinden.
Sie gehen davon aus, dass ihre nach außen gerichtete Sicherheit nicht immer perfekt funktioniert, und segmentieren ihre Netzwerke, um zu verhindern, dass Angreifer ihre Reichweite über das eine kompromittierte Segment hinaus ausdehnen. Man kann sich das so vorstellen, als würde man ein Schiff in einzelne wasserdichte Abteilungen unterteilen, um zu verhindern, dass sich ein Leck ausbreitet: Im Idealfall können Sicherheitsteams diesen Ansatz auch zur Eindämmung von Angriffen nutzen.
Dieser Ansatz wird als Zero Trust bezeichnet, und es gibt gute Gründe, warum sich diese Philosophie immer mehr durchsetzt. Da KI-Tools eskalierende Angriffe ermöglichen, kann Zero Trust dazu beitragen, dass diese Angriffe auf einen kleinen Bereich des Netzwerks beschränkt bleiben und Angreifer nie groß genug Fuß fassen können, um wirklichen Schaden anzurichten.
Die Entdeckung von Sicherheitslücken mag sich beschleunigen, aber Zero Trust ist der vielversprechendste Lösungsansatz. Und Cloudflare ist der einzige Anbieter, der Zero-Trust-Technologien wie sichere Web-Gateways, DNS-Filterung und Data Loss Prevention (DLP) in einer einzigen Plattform mit einem einzigen Dashboard vereint – einer Plattform, die weltweit präsent ist. Die verteilte Natur des Cloudflare-Netzwerks ermöglicht die Durchsetzung granularer, standardmäßiger Zugriffskontrolle für Cloud- und On-Premise-Anwendungen, ohne dass die Nutzererfahrung durch Latenz beeinträchtigt wird.
Cloudflare verfolgt sogar einen Zero-Trust-Ansatz, um sein eigenes Netzwerk und seine Mitarbeitenden vor Angriffen zu schützen. Erfahren Sie mehr darüber, wie Cloudflare es Unternehmen ermöglicht, dasselbe zu tun.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträgerinnen und -träger aus der Tech-Branche heute von Bedeutung sind.
Vertiefung des Themas:
Erfahren Sie mehr über Zero Trust in dem Whitepaper Eine Roadmap zur Zero-Trust-Architektur.
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Warum sich KI gut zum Auffinden von Sicherheitslücken eignet – mit einigen Vorbehalten
Wie beide Seiten im Kampf um die Sicherheit die Automatisierung nutzen können, um Sicherheitslücken entweder auszunutzen oder zu patchen
Warum die sicherste Methode darin besteht, von einer Kompromittierung auszugehen