Big Data = Big Business?
Auf der vor Kurzem zu Ende gegangenen Black-Hat-Konferenz schien das neue Zauberwort „Artificial Intelligence“ zu sein, künstliche Intelligenz. Das Ziel ist es nicht mehr „nur“, mittels eines intelligenten Algorithmus verwertbare Daten aus den verfügbaren Datenquellen zu gewinnen – sondern auch das automatisierte (Er)finden des passenden Algorithmus.
Hintergrund ist sicherlich auch die Feststellung, dass sich die IT-Seite von Big Data skalieren lässt, die notwendige menschliche Kreativität und Erfahrung dagegen deutlich schwieriger.
Wohin die Reise gehen kann, zeigt die „Cyber Grand Challenge“, deren dem US-amerikanischen Verteidigungsministerium unterstehende Ausrichterin DARPA-Forschungsprojekte verwaltet.
Vereinfacht gesagt soll dieser Wettbewerb autonome Systeme schaffen, die Sicherheitslücken erkennen und schließen können. Was erst mal nach dem „nächsten Heiligen Gral“ der Abwehr von Angriffen auf Sicherheitslücken klingt, gewinnt deutlich an Brisanz, wenn man sich klarmacht, dass die Systeme in einem sogenannten Capture-the-Flag-Szenario gegeneinander antreten – und nicht nur versuchen, automatisiert Sicherheitslücken bei sich zu finden und zu schließen, sondern sie auch bei den anderen zu finden und auszunutzen.
Viele Technologien sind eben nicht eindeutig gut oder böse, entscheidend sind Einsatzszenario und Intention!
Doch auch trotz der Verbindung zum US-Verteidigungsministerium sollte man mit einem Generalverdacht vorsichtig sein. Immerhin entstanden aus öffentlichen DARPA-finanzierten Forschungsprojekten viele Technologien, die wir heute selbstverständlich als „gut“ wahrnehmen.
Prominentestes Beispiel ist das Internet.
Selbst wenn die Ergebnisse von der Cyber Grand Challenge beeindruckend waren, von einem autonomen System, das den Fähigkeiten eines Menschen „in Produktionsreife“ entspricht, sind wir noch weit entfernt. Viel weiter sind da schon die Dual-(Mis-)Use-Szenarien bei Big-Data-Technologien.
Phishing beispielsweise: Jeder kennt wahrscheinlich die gefälschten Mobiltelefonrechnungen oder Paketbenachrichtigungen, die unbedachte Nutzer auf Phishing-Seiten locken sollen.
Im Unternehmensumfeld sind sie sogar noch schlimmer als sogenannte Spear-Phishing-E-Mails – also E-Mails, die eine Person oder Gruppe auf Webseiten locken sollen. Meist als Vorstufe zu einem zielgerichteten Angriff.
Vor diesem Hintergrund verwundert es kaum, dass viele Lösungen für „Big Data based Threat Detection“ sich die Erkennung von Phishing auf die Fahnen geschrieben haben. Man nutzt die Erkenntnisse aus Big-Data-Analysen, getreu dem Motto „Die Guten ins Töpfchen, die schlechten ins Kröpfchen“.
Allerdings lassen sich mit den gleichen Daten auch Rückschlüsse ziehen, welche Personen/Ziele besonders erfolgversprechend sind, welche Phishing-Inhalte besonders oft geklickt werden und in letzter Konsequenz von Sicherheitslösungen auch nicht entdeckt werden!
Genau dieses Szenario skizziert das auf der Black Hat vorgestellte Tool SNAP_R: Es generiert aus öffentlichen Twitter-Daten und einer Liste von Zielpersonen automatisch eine „Hitliste“ lohnenswerter Ziele – und, basierend auf Inhalten in deren Timeline, automatisch Tweets mit Links.
Diese werden nachweislich häufiger als vergleichbare Massen-Phishing-Tweets angeklickt.
Obwohl SNAP_R als Automated-Spear-Phishing-Tool für Penetrationstester entwickelt wurde, sind dem (böswilligen) Einsatz keine Grenzen gesetzt. Unabhängig vom konkreten Werkzeug zeigt sich auch hier:
Eine Technologie ist oft weder eindeutig „gut“ noch „böse“.
Vielmehr lehrt uns die Geschichte, dass es vom Kontext und demjenigen abhängt, der sie einsetzt. Im Kontext der IT-Sicherheit gibt es (aktuell und zukünftig) Technologien, die einerseits helfen können, Angriffe besser zu erkennen und abzuwehren, andererseits aber dazu genutzt werden können, genau diese Angriffe gegen Abwehrmaßnahmen zu optimieren.
Bei aller Liebe zur Technologie sollten wir nicht auf den „Gral der IT-Sicherheit“ warten – sondern verfügbare Technologien nach einer Risikobewertung sinnvoll einsetzen.