Mit Cognitive Computing gegen Cyberkriminelle

Diesen Sommer spekulierte die ganze Welt, wie gefährlich Nordkorea ist. Hat Kim Jong-un die Atombombe? Ist sie einsatzbereit? Wird er sie zünden?

Während die Welt zitterte, meldete sich eine Stimme aus dem Silicon Valley per Twitter: «Auf der Liste der zivilisatorischen Risiken gehört Nordkorea nach unten.» Das Land stehe isoliert da und könne schwerlich einen Weltkrieg auslösen. Es gebe etwas viel Gefährlicheres: «Der Wettbewerb unter den Nationen um die Vorherrschaft in der künstlichen Intelligenz verursacht eher den Dritten Weltkrieg.»

Die warnende Stimme gehört Elon Musk, dem Tesla-Erfinder. Er mag ein Exzentriker sein, doch andere Kommentatoren sehen es ähnlich: Die Nation, die führend sei in künstlicher Intelligenz, werde «die Welt beherrschen», sagte der russische Präsident Vladimir Putin kürzlich. Dieser staatlich getriebene Cyberkrieg klingt stark nach Hollywood, nach «Terminator» und «Matrix». Sehr real sind allerdings die Angriffe von Hackern auf natürliche und juristische Personen.

Auch wenn die Hacker noch keine künstliche Intelligenz im Sinne von Elon Musk und Vladimir Putin einsetzen, sind die Schäden verheerend und die Liste der Delikte lang. Angefangen bei Online-Betrug und Phishing reicht sie bis zu einem grossen Stromausfall im ukrainischen Winter und einer Erpressungssoftware, die 200’000 Computer in 150 Ländern befallen hat. Sogar die Präsidentschaftswahlen in Kenia und den USA waren betroffen.

Ginni Rometty, CEO und Präsidentin von IBM, formulierte schon vor zwei Jahren: «Cyberkriminalität ist die global grösste Gefahr für Unternehmen». Hacker entwendeten beim Internetunternehmen Yahoo in zwei virtuellen Diebstählen 500 Millionen (2014) respektive eine Milliarde (2013) Datensätze. 2016 stahlen sie weltweit insgesamt über vier Milliarden Dateneinträge, mehr als 2014 und 2015 zusammen. IBM nannte 2016 deshalb «the year of the mega breach», das Jahr des Mega-Einbruchs. Und erst kürzlich wurde der Einbruch bei Equifax publik, wo zwar «nur» 143 Millionen Datensätze abhandengekommen sind, darunter aber höchst sensible Informationen: Equifax ist die grösste amerikanische Wirtschaftsauskunftei und führt eine umfangreiche Datenbank an personenbezogenen Finanzdaten. Der Börsenkurs brach sofort um ein Drittel ein.

Virtuelle Diebstähle belasten nicht nur den Aktienkurs, sondern auch das Budget. IBM beziffert die durchschnittlichen Kosten pro Einbruch auf USD 3,62 Millionen, das sind USD 141 pro gestohlenem Eintrag. Deshalb geben Unternehmen immer mehr für ihren Schutz aus. Gartner, ein amerikanisches Marktforschungsinstitut, schätzt, dass diese allein 2017 USD 86,4 Milliarden in Sicherheitslösungen investieren werden.

Die gute Nachricht: Im Gegensatz zu den Hackern nutzen die Verteidiger Formen der eingangs erwähnten künstlichen Intelligenz bereits heute – zum Beispiel SIX. Sie eröffnet Anfang 2018 das erste Security Operations Center (SOC) der Schweiz, das auf Cognitive Computing von IBM Watson aufbaut. Mit Sherlock Holmes hat das System übrigens nichts zu tun. Sein Name geht auf den ersten CEO von IBM zurück: Thomas J. Watson.

Knifflige Fälle löst IBM Watson trotzdem. 2011 schlug es in der US-Quizshow Jeopardy zwei frühere Gewinner. Seither setzt IBM Watson breit ein: Es soll zum Beispiel Krebs schneller und präziser als herkömmliche Verfahren diagnostizieren und bessere Wettervorhersagen machen. Kürzlich nutzte ein Hollywoodstudio IBM Watson sogar, um einen Filmtrailer zu schneiden. Mit anderen Trailern als Vorbild reduzierte es zwei Stunden Material auf sechs Minuten. Das senkt den Aufwand für den Cutter um ein Vielfaches. Hier zeigt sich die Stärke von Cognitive Computing. Ein System wie IBM Watson steht dem Anwender beratend zur Seite und unterstützt ihn mit eigenen, immer neuen Recherchen.

SIX betreibt ein Netzwerk, das die Akteure des Schweizer Finanzplatzes miteinander verbindet. Jeder Zugriff auf dieses Netzwerk kann sicherheitsrelevant sein. Um es angemessen zu schützen, betreibt SIX bereits heute ein Sicherheitszentrum, das fortlaufend alle Zugriffe erfasst und aufzeichnet. Pro Tag gibt es über eine Milliarde davon, zu Spitzenzeiten über 30’000 pro Sekunde.

Ein einzelner Zugriff sagt wenig aus. Erst in der Masse ergeben sich Zusammenhänge. Das Sicherheitszentrum erkennt diese und alarmiert bei verdächtigen, also potenziell sicherheitsrelevanten Zugriffen die Security-Analysten von SIX. Diese stehen 24 Stunden am Tag bereit. Ihre Aufgabe ist es, die Zugriffe zu verstehen und zu bewerten. Eine Häufung erfolgloser Login-Versuche könnte von einem Hacker stammen – oder doch nur von einem Smartphone, welches das neue WiFi-Passwort noch nicht kennt.

Hier kommt neu IBM Watson ins Spiel. Es vergleicht die verdächtigen Zugriffe mit externen Daten: Steht hinter dem Login-Versuch eine dubiose IP-Adresse? Verläuft die Anfrage nach einem bekannten Angriffsmuster? Taucht ein einschlägiger Name auf? Musste ein Analyst diese Informationen bisher selbst in Datenbanken nachschlagen und sich den Hintergrund einer IP-Adresse zeitaufwändig erarbeiten, erledigt das IBM Watson nun automatisch. Dazu durchkämmt es auch unstrukturierte Daten und wertet sie aus. Das können beispielsweise Inhalte aus Websites, Blogs oder Newsarchiven sein. IBM Watson lernt so ständig dazu und bringt auch das Wissen anderer Unternehmen ein.

Ein weiterer Vorteil: IBM Watson stellt die Zugriffe grafisch dar und macht so versteckte Zusammenhänge sichtbar. «So können wir Angriffe rascher, genauer und mit weniger Ressourcen beurteilen», sagt Thomas Rhomberg, Head Security Transformation bei SIX. Der Verantwortliche für den Aufbau des neuen SOC erklärt: «Einen Arbeitsschritt, der sonst eine halbe Stunde in Anspruch nehmen würde, kann der Analyst neu mit wenigen Klicks erledigen.»

Heute hilft die Intelligenz von IBM Watson bei der Beurteilung von verdächtigen Zugriffen. Ein Analyst entscheidet danach, wie er die Abwehr am besten orchestrieren will. In naher Zukunft könnte IBM Watson aber auch lernen, selbst Handlungsempfehlungen für die Abwehr zu geben.

Aufbau und Rund-um-die-Uhr-Betrieb eines SOC sind kostspielig und es braucht Zeit, die dafür erforderlichen Analysten zu finden. Das Berufsbild ist neu und es gibterst wenige Arbeitskräfte auf dem Markt. Darum baut SIX ihr neues SOC nicht nur für sich auf. «Ein einzelnes Unternehmen kann seine digitale Sicherheit fast nicht mehr selbstständig gewährleisten», sagt Thomas Rhomberg. SIX werde das neue SOC auch anderen Unternehmen anbieten.

Speziell Banken mussten sich in den letzten Jahren viel zu sehr mit dem Thema Cyber Security beschäftigen. Anfang 2015 erpressten Hacker die Genfer Kantonalbank. Letzten Sommer wurde der Angriff bosnischer Cyberkrimineller auf eine «grosse Bank» am Platz Zürich bekannt. «Kein Sektor ist ein so beliebtes Ziel für Cyberkriminelle wie das Banking», schreibt das Branchenportal finews.ch. Und die FINMA, die schweizerische Finanzmarktaufsicht, sagt, die hiesige Branche weise «Defizite» bei der Identifikation von Bedrohungspotenzialen sowie beim Schutzdispositiv auf. «Wir möchten den Banken ermöglichen, sich wieder auf ihr Kerngeschäft zu konzentrieren, und dabei unseren Beitrag leisten, den Schweizer Finanzplatz sicher zu machen», konkretisiert Thomas Rhomberg.

«Why computers will never be safe» titelte das renommierte britische Wirtschaftsund Politmagazin Economist in diesem Frühjahr – und hat recht: Computer – wie auch Menschen – werden immer ein Sicherheitsrisiko darstellen. Es ist zentral, dass Unternehmen die Gefahren schnell erkennen und sofort reagieren können.