Künstliche Intelligenz in der IT-Security

Wie Machine-Learning-basierte SIEM-Lösungen dabei helfen können, die IT-Sicherheit in Unternehmen zu erhöhen

Michael Frühauf, Student, FOM Hochschule für Oekonomie & Management Frankfurt am Main,

Dr. Patrick Hedfeld,

Prof. Dr. Bernd Ulmann

I. Einleitung

Durch Internet of Things (IoT) und Industrie 4.0 nimmt die Vernetzung im Unternehmensumfeld stetig zu. Damit einhergehend steigt auch der Datenverkehr im Unternehmensnetzwerk an; der IT-Security-Aspekt wird dabei allerdings häufig vernachlässigt. Im Hinblick auf die weltweit zunehmenden IT-Security-Vorfälle wird daher eine Überwachung des Datenverkehrs immer wichtiger. Ein SIEM-System kann diese Aufgabe übernehmen. Da stetig neue Bedrohungen hinzukommen – etwa 350.000 bis 400.000 neue Schadprogramme pro Tag^[1] – ist eine rein regelbasierte Überwachung, wie sie in klassischen SIEM-Lösungen üblich ist, inzwischen unzureichend. Moderne SIEM-Lösungen setzen daher auf selbstlernende Algorithmen, besser bekannt als künstliche Intelligenz (KI) oder Machine Learning.

II. Was leistet ein SIEM-System?

1. Aufgaben eines SIEM-Systems

SIEM-Systeme übernehmen das Monitoring sicherheitskritischer Vorgänge des Netzwerkverkehrs. Dazu werten sie Logfiles von verschiedenen Quellen – wie etwa Intrusion Detection Systemen (IDS), Firewalls oder Antivirensoftware – aus und können daraufhin, sofern nötig, Aktionen auslösen. Ein SIEM basiert dabei auf zwei Konzepten: Security Information Management (SIM) und Security Event Management (SEM). Ein SIM übernimmt Aufgaben wie die Langzeitspeicherung von Log-Dateien, Trendanalysen oder historisches Reporting. Ein SEM kümmert sich hingegen um die Echtzeitüberwachung und Korrelation von Sicherheitsvorfällen, sowie das Incident Response. SIEM kombiniert diese beiden Systeme: Es fasst Log-Einträge zusammen, korreliert diese und benachrichtigt über Störungen oder reagiert automatisiert.

2. Welche Vorteile kann KI dabei bringen? [...]
Beitragsnummer: 3051