„Es besteht kein `Maßnahmenmangel`, sondern ein `Umsetzungsmangel`“ – so das BSI zur Lage der Cybersicherheit in einem Beitrag auf Linkedin.
Woran aber scheitert die Umsetzung von sicherheitsstiftenden Maßnahmen in deutschen Unternehmen?
Das Internet of Things, kurz IoT, nimmt stetig an Bedeutung zu. Immer mehr Geräte, aus dem privaten und professionellen Umfeld, werden mit dem Internet verbunden. Das bietet klare Vorteile wie bessere Produktionsabläufe in der Industrie 4.0.
Neben den Vorteilen, die internetfähige Geräte für Konnektivität, Prozesse und Komfort mit sich bringen, bergen auch diese mögliche Risiken für die Cyberresilienz von Unternehmen und erhöhen die Komplexität interner Netze weiter.
Etliche neue Endpoints werden in die Unternehmensnetzwerke eingebunden. Bislang existieren keine gesetzlichen Vorgaben für Hersteller von internetfähigen Geräten. In einigen Fällen bedeutet das kaum oder sehr leicht überwindbare Sicherheitsfunktionen. Das Einbinden dieser Geräte in ein Netzwerk kann im schlimmsten Fall also zu erheblichem Schaden führen.
Mit dem Cyber Resilience Act geht die EU diesem Problem auf den Grund. Die Regelung soll bis 2026 umgesetzt werden und verlangt von Herstellern von "Produkten mit digitalen Elementen" die Sicherheit über den kompletten Produktlebenszyklus zu gewährleisten. So sollen neben besseren Sicherheitsfunktionen ebenfalls regelmäßige Updates und Patches durch die Hersteller umgesetzt werden.
Um das eigene Netzwerk durch das Einbinden von IoT-Geräten nicht zu gefährden, sind Sicherheitsmaßnahmen in der Netzwerkarchitektur unerlässlich. Für eine bessere IT-Sicherheit trotz komplexer und kleinteiliger Netzwerke müssen Unternehmen sich unbedingt mit “Network Access Control” Lösungen auseinandersetzen.
Gepaart mit der ohnehin hohen Auslastung von Sicherheitsteams und dem Mangel an Fachkräften ist ein derartig gesteigerter Aufwand zum Überwachen des eigenen Netzwerks gefährlich. Um die eigenen Systeme sicher verwalten zu können, spielt KI eine immer größere Rolle. Ein manuelles Auswerten von Daten und Prüfen von Anomalien wird der Komplexität der Netze nicht mehr gerecht.
In Bezug auf Cybersicherheit und KI spricht Gartner von einem „zweischneidigen Schwert“. Unternehmen können sich die Vorteile zunutze machen und mit intelligenten Systemen wie Managed Detection and Response das eigene Netz überprüfen. Allerdings profitieren auch Kriminelle von den Vorteilen der KI-Tools.
Der Aufwand zur Umsetzung von Cyberangriffen wird durch diese Tools immer kleiner. Auch weniger technisch versierte Kriminelle können Angriffe mithilfe von KI relativ einfach umsetzen oder noch problemloser Angriffskampagnen einfach online einkaufen. Insbesondere Ransomware-as-a-Service (kurz RaaS) ist beliebt und für die beteiligten RaaS-Partner äußerst lukrativ:
Hacker können Lösegelder erpressen, ohne selbst Malware entwickeln zu müssen. Die Ransomware-Entwickler ihrerseits profitieren von den Erpressungsgeldern, ohne selbst Angriffe durchführen zu müssen.
In Bezug auf generative KI ist insbesondere das Programm ChatGPT in aller Munde. Um den Missbrauch der Software zu erschweren, werden Eingaben, die offensichtlich eine böse Absicht haben, bei ChatGPT blockiert.
Kriminelle, die sich generative KI zunutze machen wollen, mussten bei den meisten Anwendungen mehr oder weniger aufwändige Umschreibungen finden, um sich beispielsweise Fake Mails generieren zu lassen.
Zukünftig wird das noch einfacher: Mit dem Aufkommen von WormGPT haben Cyberkriminelle ein leichtes Spiel. Ethische Standards, wie bei anderen Anwendungen, existieren hier nicht. Eine Sprecherin des BSI sieht dabei weniger WormGPT selbst als Problem. Vielmehr würde durch dieses und ähnliche Programme die Einstiegshürde für potentielle Kriminelle gesenkt.
Um Unternehmen zu schützen, müssen kritische Prozesse, wie beispielsweise das Delegieren einer Überweisung per Mail, unbedingt durch mehrere Faktoren authentifiziert werden.
Experten haben zudem festgestellt, dass die zunehmende Verweigerung von Lösegeldzahlungen zu einem aggressiveren Vorgehen der Kriminellen führt. Auch das hängt damit zusammen, dass der Aufwand für die Umsetzung eines erfolgreichen Angriffs minimiert ist und Angreifer hierdurch häufig mehr Ausdauer beweisen.
Ein prominentes Beispiel für KI und Kriminalität ist die Geschichte des falschen Johannes. Dabei handelt es sich nicht etwa um eine Abwandlung des Rezepts für einen "falschen Hasen" oder einen hinterlistigen Herren namens Johannes:
Mit "falscher Johannes", besser bekannt als "false Johannes", wird ein spezifischer Hackerangriff aus dem Jahr 2019 gemeint. Cyberkriminelle haben mithilfe der Software Lyrebird einen sogenannten "Deep Fake" erstellt. Dafür haben sie öffentlich zugängliche Daten wie Videos und Interviews genutzt, um die künstliche Intelligenz der Software mit Daten zur Stimme eines Unternehmenschefs, Johannes, zu speisen.
Nachdem die künstliche Intelligenz ausreichend mit Daten versorgt war, war sie in der Lage die Stimme von Johannes zu replizieren und von den Angreifern getippte Sätze akustisch wie der Stimmgeber wiederzugeben. Mit einem Anruf haben diese so den Geschäftsführer einer britischen Tochtergesellschaft von Johannes getäuscht. Der Geschäftsführer war sich sicher Johannes Stimme am Telefon zu erkennen. Er wurde gebeten umgehend eine dringende Zahlung an einen ungarischen Lieferanten auszuführen. In Deutschland sei es dafür bereits zu spät, doch durch die Zeitverschiebung könne die britische Tochtergesellschaft die Zahlung noch rechtzeitig tätigen, um Vertragsstrafen zu entgehen. Am kommenden Montag würde die Summe von 220.000€ zurück überwiesen werden.
Das Geld hat die britische Tochtergesellschaft nie wieder gesehen.