Wie wirkt sich KI auf Cybercrime aus?
Wie wirkt sich KI in Bezug auf Cybercrime aus und welche neuen Schutzkonzepte müssen erarbeitet werden? Uwe Greis, Country Manager DACH bei Stormshield gibt Antworten.
Cybercrime ist eines der sich am dynamischsten verändernden Kriminalitätsphänomene. Täter passen sich flexibel an technische und gesellschaftliche Entwicklungen an, agieren global und greifen dort an, wo es sich aus ihrer Sicht finanziell lohnt. Aber auch für Kritische Infrastrukturen besteht seit Beginn des Russland-Ukraine-Kriegs in der Ukraine sowie in deren Unterstützerstaaten (auch Deutschland) eine erhöhte Gefährdung, Ziel russischer Cyberangriffe zu werden.
Herr Gries, KI ist aktuell in aller Munde, auch was Cybercrime angeht. Wie wirkt sich das auf Bedrohungen aus und welche neuen Schutzkonzepte muss man erarbeiten?
Uwe Gries: Die verstärkte Nutzung von KI in der Cyberkriminalität hat das Bedrohungsszenario komplexer gemacht. Anfang Februar weckte der Vorfall des Mitarbeiters eines britischen Unternehmens Aufsehen, der nach einer (seltsam anmutenden) Videokonferenz mit seinem Finanzchef insgesamt etwa 25 Millionen US-Dollar auf fünf verschiedene Konten überwies. Doch war der vermeintliche Finanzchef ein Paradebeispiel von Deep Fake zu Zwecken des Chefbetrugs. Solche Fälle zeigen die Tragweite der Bedrohung durch KI: Traditionelle Sicherheitsmaßnahmen sind nicht mehr ausreichend, um diese neuen Angriffsmuster zu erkennen und zu bekämpfen. KI-gesteuerte Angriffe sind in der Lage, sich dynamisch an ihre Umgebung anzupassen, und können sowohl IT-Schwachstellen in Echtzeit ausnutzen als auch das schwächste Glied der Sicherheitskette austricksen: den Menschen. Erforderlich sind deshalb fortschrittliche Analysemethoden, die auf maschinellem Lernen und Verhaltensanalyse basieren, verbunden mit Maßnahmen wie Threat-Hunting und kontinuierlichen Sicherheitsüberprüfungen. Darüber hinaus sind Prozesse erforderlich, die eine Mehrfachauthentifizierung auf unterschiedlichen Kanälen erfordern, besonders wenn es darum geht, solche Beträge zu bewegen.
Die Bedrohungslage wächst stetig. Dabei wird oft verstärkt nach außen geblickt. Aber wie begegnet man den Risikopotentialen von Innentätern?
Gries: Innentäter stellen eine besonders heikle Bedrohung dar, da sie Zugang zu internen Systemen und sensiblen Daten haben, womöglich auch Administratorprivilegien in der Infrastruktur. Im Gegensatz zu externen Angreifern sind sie oft schwerer zu identifizieren, da sie über legitime Zugangsrechte verfügen. Daher ist es entscheidend, nicht nur auf die Verteidigung des Perimeters und der Endgeräte mit herkömmlichen Antiviruslösungen zu setzen. Auch interne Sicherheitsmaßnahmen sind essenziell, darunter die genaue Festlegung der Ressourcen, worauf welche Mitarbeitenden wann zugreifen dürfen und über welche Hardware. Im Fall hybrider Arbeitsmodelle sollte zudem ein Augenmerk auf die Internetverbindung gelegt werden. Eine offene und transparente Unternehmenskultur, die ethisches Verhalten fördert und Mitarbeiter dazu ermutigt, verdächtige Aktivitäten zu melden, ist ebenfalls wichtig, um das Risiko von Insider-Bedrohungen zu minimieren.
Daran anknüpfend die Frage nach dem Zero-Trust-Ansatz. Ist das das Mittel der Zukunft?
Gries: Der Zero-Trust-Ansatz wird als vielversprechende Lösung betrachtet, um die Sicherheit in einer zunehmend vernetzten und dezentralisierten Umgebung zu verbessern. Anstatt davon auszugehen, dass interne Ressourcen, Mitarbeitende oder externe Dienstleister (z. B. mit der Wartung von Maschinen oder Gerätschaften betraute Techniker) vertrauenswürdig sind, geht der Zero-Trust-Ansatz davon aus, dass keine Verbindung oder Identität automatisch als vertrauenswürdig eingestuft werden darf. Diese Modelle erfordern eine granulare Zugriffskontrolle, starke Authentifizierungsmethoden sowie eine kontinuierliche Überwachung und Validierung aller Netzwerkaktivitäten. Selbstverständlich kann dieser Ansatz nur dann erfolgreich und transparent implementiert werden, wenn man über umfassende Sicherheitskonzepte und -lösungen verfügt. Bei Insellösungen ist eine solche Strategie nicht flächendeckend umsetzbar.
Wie plant und realisiert man eine umfassende Sicherheitsstrategie? Gibt es grundsätzliche Vorgehensweisen und was geschieht meist individuell?
Gries: Eine umfassende Sicherheitsstrategie verlangt eine sorgfältige Planung und Implementierung. Zunächst ist eine gründliche Risikobewertung erforderlich, um die spezifischen Bedrohungen und Schwachstellen zu identifizieren, mit denen das Unternehmen konfrontiert ist. Basierend auf dieser Bewertung sollten klare Sicherheitsrichtlinien entwickelt werden, die die Sicherheitsziele und -anforderungen des Unternehmens widerspiegeln. Die Auswahl geeigneter Technologien und Lösungen sollte darauf abzielen, die identifizierten Risiken zu minimieren und die Einhaltung gesetzlicher Vorschriften sicherzustellen. Mitarbeitende sollten zudem regelmäßig geschult und sensibilisiert werden, da sie letzten Endes die erste von Cyberkriminellen zu durchbrechende Mauer sind. Die Implementierung solcher Sicherheitskonzepte erfolgt oft individuell, wobei die spezifischen Anforderungen und die vorhandene Infrastruktur des Unternehmens berücksichtigt werden müssen.
Worauf sollten Unternehmen größeren Wert legen, wenn es um die IT-Sicherheit geht? Wo liegen die größten Versäumnisse?
Gries: Unternehmen sollten einen ganzheitlichen Ansatz zur IT-Sicherheit verfolgen, der Technologie, Prozesse, Mitarbeiter und Lieferketten umfasst. Zu den größten Versäumnissen gehören die Unterschätzung der tatsächlichen Risiken aufgrund komplizierter Infrastrukturen, die über Jahre hinweg heterogen erweitert wurden, vernachlässigte Patching-Prozesse und unzureichende Ressourcenallokation für den Schutz vor Cyberbedrohungen. Darüber hinaus lassen viele Unternehmen nur teilweise Budget-bedingt die Bedeutung einer proaktiven Überwachung und Reaktion auf Sicherheitsvorfälle außer Acht. Das kann zu verzögerter Erkennung und Reaktion auf Angriffe führen, falls man überhaupt über die Kenntnisse und Ressourcen verfügt, um Remediationsmaßnahmen einzuleiten. Ein weiteres Versäumnis ist aus unserer Sicht die geringfügige Wahrnehmung europäischer Richtlinien zur Daten- und IT-Sicherheit. In Europa angesiedelte Anbieter, deren Lösungen von europäischen Sicherheitsagenturen hochgradig zertifiziert sind, sollten als bessere Alternativen zu Produkten aus den Vereinigten Staaten, dem Nahen Osten oder gar Asien berücksichtigt werden.
Der Qualifikations- und Zertifizierungsansatz von Stormshield in Sachen IT-Sicherheit scheint sehr umfassend. Warum ist das mehr als eine vertrauensbildende Maßnahme?
Gries: Die mit ANSSI (dem französischen Pendant des hiesigen BSI) abgewickelten Prozesse zur Zertifizierung unserer Netzwerk- und Endgeräte-Sicherheitslösungen belegen, dass unsere Produkte über ein erprobtes Niveau an Sicherheit und Robustheit verfügen, das weit über die Mindestanforderungen aus den europäischen Richtlinien hinausgeht. Die ANSSI-Zertifizierung oder -Qualifikation erkennt die Wirksamkeit unserer Lösungen im Kampf gegen Bedrohungen wie Malware, Ransomware oder Zero-Day-Exploits. Dadurch trägt sie nicht nur zur Vertrauensbildung bei, sondern stärkt im Endeffekt auch die Widerstandsfähigkeit der Unternehmen, die unsere Produkte einsetzen, gegenüber Cyberbedrohungen.
Passend zu diesem Artikel
Wie kann Künstliche Intelligenz (KI) im Risikomanagement eingesetzt werden? Wie müssen Prozesse und Richtlinien dazu aussehen? Michael Jahn-Kozma, Vorstandsmitglied der RMA Risk Management & Rating Association e.V. und Corporate Risk Manager bei der Kuka AG, gibt Antworten.
Cyberkriminelle sind mittlerweile hochprofessionell organisiert und bieten eine breite Palette an kriminellen Dienstleistungen auch als as-a-Service-Modelle aus dem Darknet heraus an.
Was Hersteller von Medizingeräten tun müssen, um Patienten und ihre Daten vor Cyberangriffen zu schützen