Martin-Luther-Universität Halle
Netzwerksicherheit und KI
"In den vergangenen Jahren sind die Bedrohungen im Cyberraum auch durch globale Konflikte größer geworden. Gleichzeitig haben Künstliche Intelligenzen enorme Sprünge gemacht. Wir wollen diese Fortschritte für die IT-Sicherheit von Kommunen und öffentlichen Einrichtungen nutzbar machen", sagt Projektleiter Dr. Sandro Wefel vom Institut für Informatik der MLU.
Die Grundidee des halleschen Ansatzes: Auf der Netzwerkebene sollen Angriffe der Schadprogramme durch eine KI erkannt und im Idealfall gezielt bekämpft werden. "Wir entwickeln keine Antivirensoftware, sondern eher einen Sensor, der Auffälligkeiten im Datenverkehr erkennt", erklärt Wefel. Diese KI trainiert das Team mit extrem vielen Daten. So soll sie lernen, wie sich mit Schadsoftware befallene Netzwerke vom regulären Netzwerkbetrieb unterscheiden. "Erkennt die KI ein mögliches Problem, untersucht und klassifiziert sie es im Idealfall selbstständig", sagt Wefel. Erkennt das System einen vermeintlichen Angriff, soll dieses nicht das komplette Netzwerk abschalten. Stattdessen könnte die KI gezielt betroffene Dienste einzeln isolieren.
Der Datenschutz ist mit dem Verfahren gewährleistet: Das System wertet lediglich sogenannte Metadaten im Netzwerk aus. Das sind zum Beispiel die Dauer, der Umfang und die Uhrzeit bestimmter Aktionen. Der Inhalt von E-Mails und Dateien ist für diesen Ansatz nicht relevant und wird nicht ausgelesen. "In öffentlichen Verwaltungen sind etwa größere Datentransfers am Wochenende unwahrscheinlich. Zu diesen Zeiten finden aber häufig Angriffe statt, weil in der Regel keine Person im Dienst ist", so Wefel.
In einem zweiten Schritt arbeiten die IT-Forscherinnen und -Forscher der MLU daran, KI-basierte Angriffe gezielt zu erkennen und abzuwehren. "Mit generativen KIs wie ChatGPT ist es ohne große Vorkenntnisse möglich, sehr überzeugende Scam- oder Phishing-Mails zu erstellen. Diese fordern den Empfänger zum Beispiel auf, Dateianhänge zu öffnen, die Schadsoftware enthalten", sagt Wefel. Da der Inhalt oftmals sehr genau auf die Empfänger angepasst ist, werde es immer schwieriger, gefälschte Nachrichten zu erkennen. Hier erforscht das MLU-Team neue Möglichkeiten, um KI-Fälschungen mit Hilfe von Künstlicher Intelligenz zu erkennen. Denkbar sei zum Beispiel, E-Mails anhand ihrer Metadaten herauszufiltern.
Außerdem nutzen die Forschenden die Förderung, um das IT-Sicherheits-Labor an der MLU durch mehr Rechenpower aufzurüsten. Hier lassen sich zum Beispiel einzelne Hardwarekomponenten, Computer und internetfähige Geräte auf Schadsoftware untersuchen. Die Forschenden können den Datenverkehr der Geräte erfassen und mögliche Sicherheitsrisiken aufdecken. Das Labor kommt darüber hinaus in der Lehre sowie für Weiterbildungen zum Einsatz.
Das Vorhaben der MLU ergänzt sich mit Projekten der Universität Magdeburg und der Hochschule Harz zur Cybersicherheit. Diese erhalten ebenfalls eine Förderung aus EFRE-Mitteln. 2019 hatten die drei Hochschulen den "CyberSecurity Verbund Sachsen-Anhalt" gegründet. Ziel ist es, IT-Sicherheitslösungen für öffentliche Einrichtungen und kleine wie mittlere Unternehmen in Sachsen-Anhalt zu entwickeln.
Infrastruktur
- ITSec-Labor des Instituts für Informatik mit Demonstratoren und Werkzeugen zur Untersuchung von Netzwerkkomponenten und Netzwerksicherheitshardware (drahtgebunden und drahtlos), traditionelle IT-Systeme (Desktop-IT, Server) und eingebettete IT-Systeme
- LI-Rechenkapazität (Coder, Jupyter-HUB, SLURM-Jobs)
- Univations Institut für Wissens- und Technologietransfer
- Gründerservice der MLU
- Kollaborative Services