HANNOVER MESSE 2019, 01.-05. April
wechseln zu:
646_18_hm19_Adrian_Janotta

Adrian Janotta

Der gute Hacker nutzt KI

Adrian Janotta hatte alles – eine Freundin, einen Beruf, Freunde und wenige Sorgen. Bis sich alles änderte, als seine Freundin ihn betrog, er anfing zu trinken, es im ­Beruf Probleme gab. Er verlor den Job, Freunde besuchte er nur selten und sein neues Hobby war Hacken, alleine, daheim. Er brauchte Geld und Anerkennung und hatte es auf Onlineshops abgesehen.

Es funktionierte, bis eine Polizeistreife ihn für eine Routinekontrolle auf der Landstraße überprüfte und die Beamten beim mit Laptops gefüllten Kofferraum stutzig wurden. „Aufgeflogen ist meine Straftat durch eine Verkehrskontrolle – nicht, weil ich unvorsichtig beim Hacken war.“ Es folgt das Gefängnis – mehrere Jahre, weit weg von der Familie, von den Freunden, die ihm blieben. „Die Zeit im Knast war für mich eine lehrreiche Zeit.“

"Der Businessplan entstand zwei Zellen weit entfernt von Uli Hoeneß."

Adrian Janotta

Er fing neu an. „Ich habe während meiner Strafe Betriebswirtschaftslehre studiert. Da ich viel Zeit hatte, habe ich im Gefängnis auch einen Businessplan ausgearbeitet – zwei Zellen neben Uli Hoeneß. Am Tag der Entlassung habe ich dann mein Gewerbe angemeldet.“ Heute schützt er Banken, mehrere Mittelständler, Maschinenbauer und Forschungsinstitute vor Cyberangriffen. „Die Mehrzahl der ­Unternehmen sind sehr blauäugig, wenn es um Cybersicherheit geht“, berichtet Janotta. Aber es sind nicht nur die Kunden selbst, sondern auch die Sicherheitsfirmen. „Sie versprechen Sicherheit, die sie nicht einhalten können. Stellen Sie sich vor: Sie kaufen eine Firewall, weil Sie denken, dass Sie Ihre Netzwerke schützt. In ein paar Wochen werden Sie gehackt, klar, dass der Sicherheitshersteller Ihnen Sicherheit versprochen hat, die er nicht einhalten konnte. Das passiert leider ständig und diese Fälle wird sicherlich auch der ein oder andere Leser kennen. Dieses Szenario lässt sich auch auf Anti-Viren-­Software-Hersteller übertragen. Computer sind trotz dieser Virenwächter voller Spionagesoftware“, behauptet Janotta.

646_18_hm19_Adrian_Janotta
Adrian Janotta (Foto: privat)

Doch seine Sorge geht noch weiter: Künstliche Intelligenz (KI) als Waffe. „Der normale Durchschnitts-Angreifer nutzt KI sicherlich noch nicht, aber das Militär setzt KI-Methoden für Angriffe auf Stromnetze, Fabriken, Steuerungsanlagen oder die Trinkwasserversorgung schon ein.“ KI-Angriffe sind effizient, denn die Systeme greifen nicht nur eine Schwachstelle an, sondern finden Tausende von Eingängen in die virtuelle Welt. „Je nach Software, die für die Angriffe verwendet wird, kann dies in wenigen Stunden, Minuten oder Tagen bereits Erfolg versprechend sein. Aber noch brauchen Sie keine Angst zu haben, denn solche Software wird noch nicht offiziell zum Verkauf angeboten“, erklärt Janotta, der für die Industrie damit erst einmal Entwarnung gibt. Wie funktioniert so eine Attacke? „Das System simuliert digitale Angriffe, lernt aus Misserfolgen und erfolgreichen Angriffen und entwickelt so für eine bestimmte Attacke auf ein Netzwerk oder einzelne Rechner konkrete Angriffsstrategien. Der methodische Lernweg bei den KI-Angriffssystemen sieht etwas anders aus“, erklärt Janotta.

Zum Aufspüren von Sicherheitslücken setzen die Angriffsalgorithmen nicht nur Mustererkennung ein, sondern auch traditionelle Suchmethoden wie Fuzzing. Fuzzing-Software erzeugt zufällige Daten und gibt sie an das zu untersuchende Zielsystem weiter. Eine zeitgleich mitlaufende Monitoring-­Software überwacht und protokolliert, wie das zu untersuchende System auf die zufällig generierten Daten reagiert, erläutert Janotta seinen Kunden. Danach wählt das System die beste Angriffsmethode – die typische Hackersammlung Metasploit. „Diese Werkzeuge hat das Angriffssystem gelernt und kann nun entscheiden, welches Werkzeug sich bei einer gefundenen Sicherheitslücke am ehesten für einen erfolgreichen Angriff eignet. Hochkomplexe Angriffssoftware setzt aber Supercomputer mit Billiarden von Rechenoperationen in der Sekunde voraus“, meint Janotta. „KI-Angriffe sind für Fabriken natürlich zu überdimensioniert, aber stellen Sie sich vor, ein Staat oder ein Angreifer würde die komplette Infrastruktur eines Landes übernehmen wollen. Er infiziert alle Anlagen, Maschinen, Fabriken und Roboter in einer Fabrik und dies tausendfach in einem Land.“ Geht nicht? „Doch, Angreifer finden jedes Gerät, jede Maschine, die im Netz hängt. Standardpasswörter oder gar Werkpasswörter bei Steuerungen machen es den Bösen noch leichter.“

Doch KI kann auch helfen. „Wir nutzen KI-Methoden, um Penetrationstests zu fahren.“ Penetrationstests simulieren Angriffe auf IT-Systeme, aber Pentests können sehr ineffizient sein, da sie alle Signaturen ausführen, heißt es in einem Bericht des Security-Experten Adrian Janotta. Zwingend erforderlich seien auch noch immer menschliche Pentester und die Erfolgsaussichten sind von Pentester zu Pentester verschieden, so Janotta. Sein Weg: KI nutzen. Bei seinen Deep-Learning-Algorithmen für Penetrationstests können die selbstlernenden Algorithmen unüberwachte Lernaufgaben selbst durchführen. Dies ist ein Vorteil gegenüber manuellen Penetrationstests, da unmarkierte Daten häufiger vorkommen als beschriftete Daten, so der Experte. Beispiele für tiefe Strukturen, die unbeaufsichtigt Sicherheitstests unterzogen werden können, sind Software, Netzwerke oder Server-Infrastrukturen. Bei jedem vollautomatischen Scan, der durchgeführt wird, lernt der Algorithmus zu erwartende Schwachstellen automatisch hinzu und prüft autonom das System auf Sicherheitslücken.

Doch die Kunden sind skeptisch. „Sie vertrauen immer noch dem Menschen mehr als der KI“, berichtet Janotta. Aber in Sachen Security geht noch mehr, meint Janotta. „Es ist allerdings eine Zukunftsvision, dass sich zum Beispiel eine Software selbst schützt. Stellen Sie sich vor, das Windows-Betriebssystem würde sich ständig selbst angreifen und so Sicherheitslücken automatisiert auffinden und schließen können.“

Was rät er bis dahin? „Heute verlässt sich leider jeder Zweite auf ein Anti-Viren-Programm oder auf die minimalen Anforderungen der Behörden. Er wird dann trotzdem gehackt. Die viel bessere Lösung ist, selbst Hacker zu beauftragen, die nach Schwachstellen und Sicherheitslücken im System suchen, sei es auf technischer oder eben auf sozialer Ebene, denn Social Engineering ist und bleibt das einfachste und gefährlichste Einfallstor.“