Website
Aktuelles
Montag, 28.06.2021

Forschung

Mit Künstlicher Intelligenz Schwachstellen von IT-Systemen finden

Bildnachweis: Andrey Suslov

Das Bundesministerium für Bildung und Forschung (BMBF) unterstützt die Institute für IT-Sicherheit und Informationssysteme der Universität zu Lübeck mit 900.000 Euro

Durch die digitale Transformation erhöht sich die Abhängigkeit sämtlicher Lebensbereiche von immer komplexeren, vernetzten Computersystemen. Regelmäßige IT-Sicherheitstests sind dabei essentiell für einen umfassenden Schutz vor Cyberangriffen und Datenmissbrauch. Eine sehr effektive und weitverbreitete Methode sind sogenannte Penetration-Tests, bei denen ein Team von erfahrenen Sicherheitsexpertinnen und -experten gezielt versucht, Schwachstellen in IT-Systemen zu finden.

Penetration-Tests sind sinnvoll, aber teuer

Allerdings sind die Kosten für umfassende Penetration-Tests hoch, da die Arbeit sehr zeit- und personalintensiv ist. „Aufgrund des schnell wachsenden Bedarfs an Sicherheitsüberprüfungen, der stetig zunehmenden Zahl sensibler digitaler Anwendungen und vernetzter Computersysteme mit hoher Komplexität, entwickelt sich eine steigende Diskrepanz zwischen der begrenzten Anzahl qualifizierter Penetration-Tester und der Anzahl der zu testenden Anwendungen“, erläutert Florian Sieck vom Institut für IT-Sicherheit der Universität zu Lübeck.

Lübecker Lösungsansatz: Weiterentwicklung autonomer Techniken

Deshalb beschäftigen sich Forschende des Instituts für IT-Sicherheit und des Instituts für Informationssysteme der Universität zu Lübeck mit der Weiterentwicklung autonomer Techniken, die eine kontinuierliche und möglichst umfassende Überwachung moderner IT-Systeme auf neuste Sicherheitslücken ermöglichen. „Unser Ziel ist, ein autonomes System zu befähigen, Techniken zum Eindringen in Systeme von Angreifern zu erlernen und durch Anwendung der von Angreifern erlernten Techniken entsprechende Systemanalysetechniken für neue Systeme zu generieren, um potentielle Schwachstellen in zu unter-suchenden Systemen automatisch zu finden und zu beheben“, sagt Prof. Thomas Eisen-barth vom Institut für IT-Sicherheit.

Honeypot-System

Dazu entwickelt das Projektteam eine Kombination aus automatisiertem Penetration-Testing und einem sogenannten Honeypot-System, dessen interne Verhaltensaufzeichnungsdaten als Grundlage für das autonome Lernen von Penetrationstechniken aus Angreiferverhalten dienen. Ein Honeypot ist ein kontrolliertes System, das für Angreifende wie ein attraktives Ziel erscheint. Der Honeypot wird an die Infrastruktur des Computersystems angepasst und ermöglicht es, Angriffe zu beobachten und sie – quasi aus dem System heraus – zu analysieren. Somit kann das Verhalten neuer Schadsoftware erkannt und automatisierte Rückschlüsse bezüglich neuer Angriffstechniken gezogen werden. Damit ermöglicht ein Honeypot ein nachhaltiges automatisiertes Penetration-Testing, das wiederum von der Gegenseite – also aus Sicht der Angreifenden – Schwachstellen automatisch identifiziert.

Zusammenspiel verschiedener Komponenten wird erprobt

Das Zusammenspiel der beiden Komponenten, Lernen aus Honeypot-Verhaltensaufzeichnungsdaten und dem daraus generierten Penetration-Testing-Verfahren, wird im Projekt erforscht und die Einsatztauglichkeit der IT-Sicherheitslösung in einem Demonstrator erprobt. Einerseits sollen vom Honeypot neu entdeckte Angriffsmuster automatisch in das Penetration-Testing übernommen werden. Andererseits können in einem Penetration-Test gefundene Schwachstellen in Interaktion mit dem Honeypot weiter analysiert und die Anwendbarkeit auch auf andere Systeme übertragen werden.

Ist das Penetration-Testing einmal angelernt, kann es weitgehend automatisiert verwendet und sogar kontinuierlich eingesetzt werden. Die IT-Sicherheit kann so durchgängig verbessert und auf einem ak-tuellen Stand gehalten werden. “Das gesammelte Wissen lässt sich umgebungsübergreifend einsetzen, so dass auch Netzwerke kleinerer Unternehmen und Bereiche, in denen wenig oder kein Personal für solche Tests vorhanden ist, vom gesamten Erfahrungsschatz der entwickelten Sicherheitslösung profitieren können”, stellt Prof. Ralf Möller vom Insti-tut für Informationssysteme fest.

Über das Projekt

Das Projekt „PeT-HMR: KI-gestütztes Penetration-Testing“ hat am 1. April 2021 offiziell begonnen und wird unter dem Förderkennzeichen 16KIS1334K im Programm „Künstliche Intelligenz für IT-Sicherheit“ (Bekanntmachung 2187) des Bundesministeriums für Bildung und Forschung gefördert. Das Projekt endet am 31. März 2024 nach einer dreijährigen Projektlaufzeit. Die Gesamtfördersumme für das BMBF-Projekt beträgt knapp 2 Millionen Euro, davon gehen mehr als 900.000 Euro an die Institute für IT-Sicherheit und für Informationssysteme der Universität zu Lübeck. Das Forschungsvorhaben wird in Zusammenarbeit mit den Industriepartnern X41 D-Sec GmbH, Lufthansa Industry Solutions AS GmbH und der NetU-SE AG durchgeführt.

Prof. Thomas Eisenbarth, Universität zu Lübeck

Prof. Ralf Möller, Universität zu Lübeck