Security Insider – CYBERRISIKEN 2025

WWW.SECURITY-INSIDER.DE 10/2024

Preis: 16,50 €

CYBER-ANGRIFFE 2025

WAS AUF UNTERNEHMEN ZUKOMMT

INVASION DER DIGITALEN DOPPELGÄNGER

DEEPFAKE-PROBLEMATIK

DROHT ZU ESKALIEREN

IM VISIER DER CYBERKRIEGER

UNTERNEHMEN IM DIGITALEN

FADENKREUZ

Künstliche Intelligenz hebt Cyberangriffe auf ein neues Niveau. Angreifer nutzen KI um Schwachstellen schneller und präziser auszunutzen.

RISIKO QUANTENCOMPUTER

Was Unternehmen jetzt wissen sollten

HACKER AM SHOPFLOOR

IT-Security für IIoTund OT-Systeme

CYBER-REGULIERUNGEN

Das kommt nach NIS2, DORA und CRA!

LIEBE LESERINNEN UND LESER,

ein Sturm zieht auf, und deutsche Unternehmen stehen mittendrin. Ransomware, Phishing und Hackerangriffe nehmen weiter zu – das kennen wir. Aber jetzt wird es richtig ernst: Künstliche Intelligenz hebt Cyberangriffe auf ein neues Niveau. Angreifer nutzen KI, um Schwachstellen schneller und präziser auszunutzen oder durch Deepfakes Millionen zu ergaunern.

Auch die deutsche Industrie ist stärker gefährdet denn je. Vernetzte Produktionsstätten und Industrie 4.0-Technologien eröffnen Cyberkriminellen neue Einfallstore, besonders durch unsichere IoT-Geräte und verwundbare Lieferketten. Angriffe auf industrielle Kontroll_ systeme können ganze Produktionslinien lahmlegen und bei kritischen Infrastrukturen sogar die Bevölkerung treffen.

Mit der wachsenden Gefahr steigt außerdem der Druck durch neue Regulierungen. IT-Sicherheitsgesetz 2.0, NIS2 und der EU Cyber Resilience Act verschärfen die Sicherheitsanforderungen, Meldepflichten und Haftungsrisiken. Unternehmen müssen also nicht nur ihre IT-Sicherheit stärken, sondern auch komplexen Vorschriften gerecht werden – das kostet Zeit und Ressourcen.

Wer allerdings trotz der steigenden Cyber-Gefahr weiter auf „Business as usual“ setzt, riskiert bald den Anschluss zu verlieren. Investieren Sie nicht nur in Technik, sondern sensibilisieren Sie auch Ihre Mitarbeitenden. Teilen Sie dieses Heft über „Cyber-Risiken 2025“ mit Kolleginnen, Kollegen und Freunden – gemeinsam können wir den Cyberkriminellen das Leben schwer machen.

Viel Spaß beim Lesen! Herzlichst, Ihr

Peter Schmitz Chefredakteur Security-Insider

Cyber-Angriffe 2025: Was auf Unternehmen zukommt

Wie sollen Unternehmen reagieren, wenn sie von staatlichen Akteuren angegriffen werden?

Nationalstaaten als Cybercime-Akteure

Post-Quanten-Kryptographie, Quantum Key Distribution und Co. Risiko Quantencomputer: Was Unternehmen jetzt wissen sollten

Künstliche Intelligenz als Gegner Wie Cyberkriminelle KI für ihre Zwecke nutzen

Deepfake-Problematik droht zu eskalieren

Invasion der digitalen Doppelgänger

Angreifer nutzen bereits künstliche Intelligenz und haben die Nase vorn Unternehmen müssen bei der Cyberabwehr auf KI setzen!

92

IT-Security für IIoT- & OT-Systeme Leichtes Spiel für Hacker am Shopfloor

Maßnahmen für KRITIS-Betreiber

Kritische Infrastruktur gegen Hackerangriffe und Cyberbedrohungen schützen

128

Cyber-Regulierungen und kein Ende?

Das kommt nach NIS2, DORA und CRA!

140

Die Zukunft des Datenschutzes Wird der Datenschutz zu einem Unternehmensrisiko?

Sanktionen, Bußgelder und Haftungsrisiken

Werden Gesetze zum größten Cyberrisiko überhaupt? 114

Minimierung der 5 wichtigsten modernen Active Directory-Bedrohungen 100

Eingebaute Sicherheit für Verschlusssachen mit Samsung Knox Native 108

Die gefährlichsten Cloud-Angriffsmethoden 110

Warum die Geschäftsleitung jetzt handeln muss 120

Cyberangriffe auf Lieferketten – wenn die eigene Sicherheit nicht ausreicht 124

Die Konvergenz von OT und IT – Herausforderungen für die Cybersicherheit 136

IMPRESSUM

Anschrift Max-Josef-Metzger-Str. 21 86157 Augsburg / Telefon +49 (0) 821/2177-0

Web Security-Insider.de Geschäftsführer Tobias Teske, Günter Schürger Idee & Projektleitung

Markus Späth, Co-Publisher Layout & Gestaltung Alexander Preböck, AD Chefredakteur Peter Schmitz, V.i.S.d.P., peter.schmitz@vogel.de

Sales insider.sales@vogel.de Erscheinungstermin Oktober Titelbild A. Preböck (M) / stock.adobe.com Haftung Für den Fall, dass Beiträge oder Informationen unzutreffend oder fehlerhaft sind, haftet der Verlag nur beim Nachweis grober Fahrlässigkeit. Für Beiträge, die namentlich gekennzeichnet sind, ist der jeweilige Autor verantwortlich. Copyright Vogel IT-Medien GmbH. Alle Rechte vorbehalten. Nachdruck, digitale Verwendung jeder Art, Vervielfältigung nur mit schriftlicher Genehmigung der Redaktion.

ANGRIFFE 2025: UNTERNEHMEN

ZUKOMMT

DIE ZAHL DER CYBERANGRIFFE NIMMT SEIT

JAHREN ZU. DAS IST AUCH WIEDER 2024 SO

UND ES SIEHT SO AUS, ALS OB ES 2025

NOCH SCHLIMMER WIRD. DENN ANGRIFFE

DURCH RANSOMWARE UND PHISHING WERDEN

DANK KI IMMER RAFFINIERTER UND

STELLEN UNTERNEHMEN IN DEUTSCHLAND VOR IMMENSE HERAUSFORDERUNGEN.

Die Zahl der Cyber-Angriffe nimmt weiter zu. Der Thales Threat Report 2024 zeigt, dass IT-Fachleute zunehmend besorgt über die Zunahme von Sicherheitsbedrohungen sind. 93 Prozent der Befragten sehen entweder eine Zunahme des Ausmaßes oder der Schwere. Dies ist ein deutlicher Anstieg gegenüber 47 Prozent im Vorjahr. Ransomware-Angriffe haben international um 27 Prozent zugenommen, in Deutschland sogar um 32 Prozent.

E-Mails, Phishing und Ransomware

Interessant ist auch, dass laut dem Cyber Security Report 2023 von Check Point 83 Prozent der Cyberangriffe mit E-Mails begannen. Prognosen zeigen, dass im Jahr 2026 weltweit täglich 392,5 Milliarden E-Mails versendet und empfangen werden. Dies unterstreicht die Bedeutung der E-Mail als Kommunikationsmittel, aber auch als Gefahrenpotenzial, mit dem sich insbesondere große Unternehmen intensiv auseinandersetzen müssen.

Der aktuelle Bedrohungsindex von Check Point zeigt, dass beispielsweise RansomHub nach wie vor die führende Ransomware-Gruppe ist. Eine Analyse aktueller Telemetriedaten von Kaspersky zeigt, dass Unternehmen durchschnittlich mehr als zwei schwerwiegende Sicherheitsvorfälle pro Tag erleben, wobei öffentliche Einrichtungen, IT- und Finanzunternehmen

sowie die Industrie am stärksten betroffen sind.

KASPERSKY TELEMETRIEDATEN ZEIGEN DIE GRAVIERENDE ANZAHL AN ATTACKEN PRO TAG UND UNTERNEHMEN. BILD: KASPERSKY

Zu den häufigsten Angriffen zählen Phishing in Verbindung mit Ransomware, Identitätsdiebstahl und Datendiebstahl. Das BSI stellt in seinem Lagebericht zur IT-Sicherheit in Deutschland 2023 fest: „Insgesamt zeigt sich im aktuellen

Berichtszeitraum eine angespannte bis kritische Lage. Die Gefährdungslage im Cyberraum ist so hoch wie nie zuvor. Ransomware bleibt die größte Bedrohung. Einen vollständigen Schutz vor Ransomware-Angriffen gibt es nicht, da die Angreifer auch neue Angriffswege nutzen können, für die noch keine Erkennungs- und Abwehrmethoden entwickelt wurden“.

Unternehmen sollten sich auf weiter steigende Angriffe vorbereiten

Die EU-Kommission steuert bereits gegen und will mit der neuen Richtlinie Netz- und Informationssysteme 2 sicherstellen, dass Unternehmen auf die kommenden Jahre vorbereitet sind. Kennzeichnend ist, dass es bei NIS2 nicht darum geht, Cyber-Angriffe zu verhindern, da dies in den meisten Fällen kaum mehr möglich ist. Der Schwerpunkt von NIS2 liegt auf der Widerstandsfähigkeit. Vereinfacht ausgedrückt soll NIS2 dafür sorgen, dass Unternehmen Cyber-Angriffe besser überstehen, ohne Schaden zu nehmen. Organisationen müssen lernen, in Zukunft noch besser mit Cyber-Angriffen umzugehen, sie nach Möglichkeit zu verhindern und vor allem dafür zu sorgen, dass Cyber-Angriffe keinen großen Schaden anrichten und den Geschäftsbetrieb nicht wesentlich stören.

Im Jahr 2023 zeigte der Cisco Cybersecurity Readiness Index , dass nur zehn Prozent der deutschen

Unternehmen als optimal auf moderne Cyberbedrohungen vorbereitet galten. Ein Jahr später zeigt der Index für 2024 eine deutliche Verschlechterung: Nur noch weniger als zwei Prozent der Unternehmen in Deutschland erreichen diesen Vorbereitungsgrad.

Dies zeigt, dass Unternehmen gegensteuern sollten, vor allem, um den immer besser werdenden Cyber-Angriffen entgegenzuwirken. KnowBe4 ist ein Anbieter von Security Awareness Trainings und Phishing-Simulationen. Der Anbieter hat in seinem „2023 Phishing by Industry Benchmarking Report“ gezeigt, dass ein Drittel aller Nutzer immer noch anfällig für gefährliche Links in E-Mails sind. Cyberkriminelle nutzen Schwachstellen aus und verwenden moderne KI-Tools, um immer raffiniertere Nachrichten zu erstellen, die darauf abzielen, Benutzer zu täuschen. Dieser Trend wird vermutlich in den nächsten Jahren weiter ansteigen.

ERGEBNISSE DES CISCO CYBERSECURITY READINESS INDEX ZEIGEN DIE NICHT OPTIMALE VORBEREITUNG AUF CYBERATTACKEN IN DEUTSCHLAND. BILD: CISCO

KASPERSKY

TELEMETRIEDATEN

ZEIGEN DIE GRAVIERENDE ANZAHL AN ATTACKEN PRO TAG UND UNTERNEHMEN.

BILD: KASPERSKY

Die NIS2-Richtlinie ist bereits in Kraft und Unternehmen sollten sich dringend damit befassen. Die NIS2-Richtlinie wurde am 27. Dezember 2022 im EU-Amtsblatt veröffentlicht und die Mitgliedstaaten haben bis Oktober 2024 Zeit, NIS2 in nationales Recht umzusetzen. Die Richtlinie ist also bereits in Kraft, allerdings ist in Deutschland die gesetzliche Grundlage, das NIS2-Umsetzungsgesetz (NIS2UmsuCG), noch nicht durch den Bundestag. Höchste Zeit also für Unternehmen zu reagieren und die NIS2-Konformität umzusetzen. Es werden keine Informationen an die Unternehmen verschickt, sondern jede Organisation muss selbst prüfen, ob sie unter NIS2 fällt. Viele Unternehmen sind sich ihrer Einstufung als kritische Infrastruktur nicht bewusst und verfügen noch nicht über die notwendigen Sicherheitsvorkehrungen. Dies ist ein wichtiger Faktor, denn bei Nichteinhaltung der NIS2 drohen empfindliche Strafen, auch für

Geschäftsführer und Vorstände. Der „State of Cybersecurity Report 2024“ von Ivanti zeigt in diesem Zusammenhang, dass Cybersicherheit in deutschen Unternehmen durchaus relevant ist. Leider fehlt es aber in den Chefetagen an der nötigen Expertise. Drei Viertel der befragten Unternehmensleiter glauben, dass sie Vulnerability Management verstehen, 63 Prozent bestätigen dies für das Konzept Zero Trust. Allerdings attestieren nur 40 Prozent der Sicherheitsverantwortlichen ihrem Management ein tiefes Verständnis dieser beiden zentralen Sicherheitsthemen, was die Unterstützung von Sicherheitskonzepten hemmen kann.

KI und Quantencomputing verschärfen das Problem Auch Angreifer nutzen zunehmend KI-Technologien. Dadurch werden die Angriffe professioneller und umfassender. Kriminelle nutzen KI, um Angriffe vorzubereiten, und

übernehmen dann den Datendiebstahl und die Übertragung von Ransomware. Auch Videokonferenzen und Telefongespräche sind durch Deep Fakes nicht mehr sicher, da KI nahezu perfekt Bilder und Audioübertragungen fälschen kann. Es ist davon auszugehen, dass diese Art von Angriffen weiter zunehmen wird.

Professionelle, zum Teil staatliche Akteure bieten zudem immer häufiger Phishing-as-a-Service, Malware-as-a-Service oder Ransomware-as-a-Service an. Die Erstellung von Malware/Ransomware wird dadurch deutlich professioneller. Die Dienste können von Cyberkriminellen gebucht und für eigene Angriffe genutzt werden. Das Niveau der Cyberangriffe steigt also, die Hürde, sie zu nutzen, sinkt. Dies ist eine gefährliche Situation für Unternehmen, Behörden und andere Organisationen, die in den nächsten Jahren noch zunehmen wird.

In diesem Zusammenhang ist auch die Entwicklung von Quantencomputern von Bedeutung. Angreifer können diese Technologie nutzen, um Verschlüsselungen in kurzer Zeit zu knacken. Hinzu kommt, dass für den Einsatz von Quantencomputing keine dedizierte Hardware notwendig sein wird, sondern hier zeichnet sich ab, dass Rechenkapazitäten ähnlich wie bei der KI über Cloud-Dienste gebucht werden können. Besonders gefährlich ist hier der Ansatz „Harvest

now, decrypt later“. Das bedeutet, dass Cyberkriminelle über gängige Cyberangriffe bereits Daten abgreifen, speichern und warten, bis die Hardware in der Lage ist, die Daten zu entschlüsseln.

Hier kommen auch Phishing- und Ransomware-Attacken zum Einsatz. Oftmals bewegen sich die Angreifer mehrere Monate in den Netzwerken, um Daten zu stehlen, bis schließlich die Verschlüsselung und Erpressung mittels Ransomware erfolgt. Kaspersky hat im Rahmen einer Studie eine Versechsfachung der Installation von Infostealer-Malware festgestellt.

Infostealer sind Schadprogramme, die Geräte infiltrieren, um vertrauliche Anmeldeinformationen zu stehlen und im Darknet zu verbreiten. Gleichzeitig stieg der Anteil der neuen Infostealer von vier auf 28 Prozent. Die gestohlenen Daten landen häufig im Darknet, wo sie von weniger erfahrenen Cyberkriminellen gekauft und für weitere Angriffe genutzt werden können. Auch hier zeigt sich, dass der As-a-

KASPERSKY ZEIGT DIE STEIGENDE ANZAHL AN CYBERATTACKEN AUCH MIT INFOSTEALERN. BILD: KASPERSKY

Service-Ansatz bei Cyberangriffen in den nächsten Jahren weiter zunehmen wird. Erfahrene Angreifer entwickeln die Angriffe, weniger erfahrene nutzen die Tools oder kaufen Daten, um weitergehende Angriffe durchzuführen. Dies bedeutet zwangsläufig, dass die Zahl der Cyberangriffe weiter steigen wird. Der Kaspersky Incident Response Analyst Report 2023 zeigt, dass im vergangenen Jahr mehr als ein Fünftel (22 Prozent) der Cyberangriffe auf Unternehmen und Organisationen länger als einen Monat dauerten. In diesem Zeitraum können Angreifer, oft unentdeckt, Daten stehlen. Die Entschlüsselung kann später über die Nutzung von Quantencomputern oder anderen Ressourcen erfolgen.

Auch DDoS-Angriffe nehmen zu Neben den Gefahren durch Phishing und Ransomware spielt natürlich auch die immer größer werdende Anzahl vernetzter Geräte eine wichtige Rolle. Das Internet der Dinge (Internet of Things, IoT) wächst unaufhaltsam und rasant. So prognostiziert IDC, dass bis 2025 über 55,7 Milliarden IoT-Geräte mit dem Internet verbunden sein werden. IDC prognostiziert auch, dass die gesamte Datenmenge im Jahr 2025 rund 163 Zettabytes betragen wird. Dort, wo Daten erzeugt, verarbeitet und gespeichert werden, vergrößert sich auch die Angriffsfläche einer IT-Infrastruktur erheblich.

Angreifer können diesen Angriffsvektor nutzen, um Infrastrukturen der IIoT anzugreifen. Die Sicherheitsforscher von Check Point berichten in diesem Zusammenhang von einem starken Anstieg von DDoS-Angriffen . Seit dem Ausbruch des Konflikts zwischen Russland und der Ukraine haben Tsunami-DDoS-Angriffe von staatlich unterstützten Akteuren und „Hacktivisten“ sowohl an Häufigkeit als auch an Raffinesse zugenommen.

CHECK POINT VISUALISIERT DIE STEIGENDE ANZAHL AN DDOS-ATTACKEN

BEI UNTERNEHMEN. BILD: CHECK POINT

Check Point beobachtet eine Zunahme von Vorfällen, bei denen massive Layer-7-Web-DDoS-Angriffe mit groß angelegten NetzwerkLayer-Angriffen (L3/L4) kombiniert werden. Diese komplexen Angriffe zeichnen sich durch ihre Ausdauer und Dauer aus. Der Radware Global Threat Analysis Report zeigt, dass die Zahl der Cyberangriffe weiter zunimmt. Im Vergleich zu 2023 sind die DDos-Angriffe im Jahr 2024 um mehr als 265 Prozent gestiegen. Im Bereich der DNSDDoS-Aktivitäten gab es eine Ver-

fünffachung der Angriffe zwischen dem ersten Halbjahr 2023 und dem ersten Halbjahr 2024. Auch hier ist davon auszugehen, dass sich dieser Trend in den nächsten Jahren noch verstärken wird. Moderne DDoS-Angriffsprofile haben sich weiterentwickelt und kombinieren mehrere Vektoren, um sowohl die Netzwerk- als auch die Anwendungsschicht zu treffen.

Diese komplexen Angriffe nutzen Verschlüsselung und innovative Techniken wie dynamische IP-Adressierung, um legitimen Daten -

verkehr zu imitieren.

Auch QR-Code-Angriffe nehmen zu Quishing, auch bekannt als QR-Code-Phishing, ist eine sich schnell entwickelnde Bedrohung. Seit letztem Jahr ist laut einer Studie von Check Point ein deutlicher Anstieg dieser Art von Angriffen zu verzeichnen. Dabei hat

CYBERKRIMINELLE

GREIFEN IMMER

MEHR ÜBER

QR-CODES AN.

BILD: CHECK POINT

sich die Art der QR-Code-Angriffe deutlich verändert. Was mit Standardabfragen zur Multi-Faktor-Authentifizierung (MFA) begann, hat sich über Conditional Routing zu gezielten Angriffen entwickelt.

Kriminelle nutzen immer intelligentere Wege, um an Unternehmensdaten zu gelangen oder Malware

Diese personalisierte Taktik erhöht die Erfolgschancen der Angreifer erheblich, zumal viele Sicherheitstechnologien QR-Codes nicht ausfiltern können.

auf Endgeräten zu installieren. Sicherheitsforscher von Check Point Research haben aufgedeckt, wie Betrüger mit einer Kombination aus QR-Code-Betrug und Phishing-Kampagnen versuchen, an Finanzdaten zu gelangen. Ein in die E-Mail eingebetteter QR-Code leitet die Phishing-Opfer auf speziell personalisierte Websites.

Security-Experten haben bereits Kampagnen entdeckt, bei denen der QR-Code nicht als Bild, sondern aus HTML und ASCII-Zeichen erstellt wird. In diesen E-Mails erscheinen die QR-Codes zunächst unauffällig, doch der Unterschied liegt im Detail: Der eine Code ist ein Bild, der andere wird mittels HTML generiert. Dies stellt eine Herausforderung dar, da herkömmliche optische Zeichenerkennungssysteme (OCR) diese Codes nicht als solche erkennen können. Die Angreifer verwenden kleine Blöcke im HTML-Code, die in der E-Mail wie ein QR-Code erscheinen. Für OCR-Systeme bleibt der Code jedoch unsichtbar. Es gibt Websites, die solche Codes automatisch generieren und die weiterhin mit bösartigen Links konfiguriert werden können. Diese Art von Angriffen wird wahrscheinlich zunehmen, da sich Sicherheitssysteme damit leicht austricksen lassen.

Thomas Joos

Cyberrisiken 2025

79% der IT-Security-Verantwortlichen fühlen sich von der Geschäftsleitung unter Druck gesetzt, Cyberrisiken zu verharmlosen.

Eine Kommunikationslücke bleibt

der Befragten glauben, dass die Führungsebene die Cyberrisiken vollständig versteht.

sehen die Cybersicherheit nur als ITRisiko und nicht als Geschäftsrisiko.

glauben, dass nur ein ernsthafter Sicherheitsvorfall die Geschäftsführung zum Handeln bewegt.

In einer zunehmend vernetzten Welt wird IT-Sicherheit immer herausfordernder. Zum einen entwickelt sich die Bedrohungslage stetig weiter: Cyberkriminalität wächst mit Hilfe neuer, kreativer Angriffsmethoden und institutionalisiert sich mit einem immer größeren Angebot an Cybercrimeas-a-Service und staatlich gesteuertem Hacking:

Die i-Soon Leaks sind ein aktuelles Beispiel für die Industrialisierung von Cyberspionage. Hinzu kommt, dass Organisationen jeglicher Art sich immer digitaler aufstellen und somit mehr Angriffsfläche bieten. Gleichzeitig steigt die Menge an sensiblen Daten im digitalen Raum, die entsprechend geschützt werden müssen.

Wie gehen IT-Abteilungen mit diesen Herausforderungen um?

Für die oben genannte Vielzahl potenzieller Angriffsflächen existieren ebenso zahlreiche Verteidigungslösungen auf dem Markt.

Diese Vielfalt macht Unternehmen das Leben schwer: Oft führt sie zu Insellösungen, die nicht optimal miteinander arbeiten, und erhöht Komplexität wie auch Verwaltungsaufwand. In Zeiten von Fachkräftemangel können es sich Unternehmen jedoch nicht leisten, dass sich Security-Teams mit zahlreichen Admin-Tätigkeiten beschäftigen, statt effektiv die IT-Sicherheit des Unternehmens zu erhöhen.

Die dynamische und komplexe Bedrohungslandschaft verlangt von Unternehmen nicht nur schnelle Reaktionen, sondern auch einen strategischen und integrierten Ansatz für effektiven und mühelosen Schutz.

ZUKUNFTSSICHER GEGEN

CYBERCRIME: WIE DER PLATTFORM-ANSATZ

KRIMINELLE AUSBREMST

Eine zentrale cloud-basierte

Security-Plattform, die verschiedene Sicherheitsfunktionen bündelt, erleichtert die Verwaltung und das effektive Zusammenspiel der Security Controls

erheblich. Mit der DriveLock HYPERSECURE Platform erhalten Security-Teams eine ganzheitliche Sicherheitslösung, die Sicherheitskontrollen wie Device und Application Control, Detect & Response Funktionen sowie Verschlüsselungslösungen und Security Awareness Maßnahmen zu effektiven Schutzmaßnahmen vereint. Zudem können Nutzer Microsoft Security Tools wie Bitlocker Management in der zentralen Plattform verwalten.

Human Risk & Awareness analysiert und optimiert die Schulung von Mitarbeitenden auf sicheres Verhalten und stärkt so die Human Firewall im Unternehmen.

Ein entscheidender Vorteil der DriveLock HYPERSECURE Platform ist ihre Flexibilität. Unternehmen können die Plattform individuell auf ihre Anforderungen zuschneiden und neue Sicherheitsmodule

problemlos einbinden. Darüber hinaus setzt DriveLock nicht nur auf die eigenen Security Controls sondern integriert komplementäre Lösungen ausgesuchter europäischer Security-Hersteller. DriveLock setzt dabei auf fortschrittliche Technologien, um Bedrohungen frühzeitig zu erkennen und Cyberangriffe dort zu lassen, wo sie hingehören –außen vor!

Die DriveLock HYPERSECURE Platform ermöglicht es Unternehmen, ihre Sicherheitsinfrastruktur zu zentralisieren, den Verwaltungsaufwand zu reduzieren und ihre Cyberabwehr zu stärken. Eine Plattform, eine Konsole und ein Agent vereinfachen die Sicherheitsverwaltung und bieten einen einheitlichen und optimierten Ansatz für den Endgeräteschutz.

WIE SOLLEN UNTERNEHMEN REAGIEREN, WENN SIE VON STAATLICHEN AKTEUREN

NATIONALSTAATEN ALS CYBERCIME-AKTE

IMMER HÄUFIGER TRETEN STAATEN ALS AKTEURE

BEI CYBERANGRIFFEN AUF. NEBEN BEHÖRDEN

GEHÖREN AUCH UNTERNEHMEN ZU IHREN OPFERN, DENN ZUSÄTZLICH ZUM DATENDIEBSTAHL SIND

AUCH RANSOMWARE-ATTACKEN AN DER TAGESORDNUNG.

ANGEGRIFFEN WERDEN?

URE

Angriffe

von staatlichen Akteuren nicht unterschätzen

Nationalstaaten treten zunehmend als aktive Akteure im Bereich der Cyberkriminalität auf. Während der Fokus traditionell auf Cyberkriminellen oder Hackergruppen lag, ist nicht erst seit des Ukraine-Russland-Kriegs eine wachsende Bedrohung durch staatlich geförderte und organisierte Cyberangriffe zu beobachten. Diese Entwicklung hat erhebliche Auswirkungen auf IT-Sicherheitsstrategien, da die Angriffe oft technisch ausgefeilt und gut finanziert sind.

Im Jahr 2024 gab es mehrere bedeutende Cybervorfälle, die staatlichen Akteuren zugeschrieben wurden. Im Februar 2024 wurde ein groß angelegter Angriff auf kritische Infrastrukturen in Europa bekannt, bei dem eine bisher wenig bekannte, aber hoch entwickelte Hackergruppe, die mutmaßlich mit dem chinesischen Staat in Verbindung steht, gezielte Angriffe auf Stromnetze und Kommunikationssysteme in mehreren Ländern durchgeführt haben soll.

BITKOM ZEIGT DIE HERKUNFTSLÄNDER VON CYBERATTACKEN

BILD: BITKOM

Ebenfalls im Frühjahr 2024 führte eine iranische Hackergruppe, die unter dem Namen „OilRig“ bekannt ist, eine Reihe von Cyberangriffen auf Unternehmen im Nahen Osten durch, bei denen Daten gestohlen und Systeme sabotiert wurden. Ein weiterer Vorfall ereignete sich im

Juni 2024, als nordkoreanische Hacker erfolgreich in Kryptowährungsbörsen eindrangen und digitale Vermögenswerte im Wert von mehreren hundert Millionen Dollar entwendeten, was als Teil der Strategie Nordkoreas zur Umgehung internationaler Sanktionen angesehen wird. Diese Angriffe zeigen, wie vielfältig und global verteilt die Bedrohung durch staatliche Cyberakteure ist und wie breit gefächert ihre Ziele sein können.

Deutsche Experten warnen eindringlich vor den zunehmenden Cyberangriffen durch staatliche Akteure. Die Vizepräsidentin des Bundeskriminalamtes, Martina Link, betont, dass die finanzielle Bedrohung durch solche Angriffe enorm sei und für Unternehmen oft existenzbedrohend sein könne. Besonders problematisch sei, dass ein Großteil der Angriffe aus dem Ausland, insbesondere aus Russland, komme und die tatsächliche Zahl der Vorfälle oft unterschätzt werde.

Das Londoner Cybersecurity-Unternehmen Performanta hat kürzlich eine Analyse veröffentlicht, die aufzeigt, wie sich das Vorgehen staatlicher Akteure insbesondere auf Entwicklungsländer auswirkt. Die Studie deckt bestimmte Muster und Strategien hinter den Ransomware-Angriffen auf. Laut Guy Golan, CEO und Präsident von Performanta, dienen die BRICS-Staaten und insbesondere der afrikanische Kontinent als Testfeld für Angriffe auf Nationalstaaten. Afrika könne somit als Brücke in den Westen dienen, indem Methoden zunächst dort erprobt und später in den entwickelten Ländern eingesetzt werden.

Motive und Ziele staatlicher Akteure

Staatliche Akteure verfolgen meist geopolitische Ziele. Sie nutzen Cyberangriffe, um Spionage zu betreiben, kritische Infrastrukturen zu sabotieren oder die politische Destabilisierung in anderen Ländern voranzutreiben. In den letzten Monaten haben zum Beispiel CDUPolitiker vermehrt Phishing-E-Mails erhalten, die von Sicherheitsforschern des Google-Unternehmens Mandiant russischen Akteuren zugeordnet werden Hinter den Angriffen soll die Hackergruppe APT29 stecken, die auch unter den Namen Cozy Bear, Midnight Blizzard, Nobelium oder The Dukes bekannt ist. Ziel des Phishing-Angriffs ist die Übertragung einer neuen Variante des Backdoors WINELOADER. Diese Operation ist das erste bekannte Interesse von APT29 an politischen Parteien. Es wird vermutet, dass die Gruppe direkt von der russischen Regierung unterstützt wird.

NATIONALSTAATEN

GREIFEN AUCH DEUTSCHE BEHÖRDEN

AN, IM AKTUELLEN BEISPIEL DIE CDU

BILD: GOOGLE

Methoden und Techniken:

Fortgeschrittene

Persistente

Bedrohungen

Es gibt aber auch Ausnahmen von dieser Regel. So versuchen Hackergruppen aus Nordkorea oder dem Iran durch gezielte Angriffe finanzielle Mittel zu beschaffen, um beispielsweise eigene Rüstungsprogramme zu finanzieren. Beispiele für staatlich unterstützte Angriffe sind der Diebstahl geistigen Eigentums, das Eindringen in Regierungsnetzwerke oder die Manipulation von Wahlergebnissen. Die Motivation reicht von wirtschaftlichen Vorteilen über militärische Dominanz bis hin zu politischer Einflussnahme.

Cyberkriminelle setzen eine Vielzahl von Techniken ein, die oft weit über das hinausgehen, was gewöhnliche Cyberkriminelle verwenden. Dazu gehören Zero-Day-Exploits, die noch nicht öffentlich bekannte Schwachstellen ausnutzen, sowie ausgefeilte Phishing-Methoden und Malware/Ransomware, die speziell auf bestimmte Ziele zugeschnitten ist. Im Jahr 2023 hat Google laut seiner Studie 97 Zero-Day-Attacken identifiziert . Im Jahr 2022 waren es noch 62 Schwachstellen. Der Trend zeigt, dass auch diese Art von Angriffen weiter zunimmt, teilweise durch staatliche Akteure.

ZERO DAY-ATTACKEN

NEHMEN ZU UND

STELLEN WEITER EINE

GROSSE GEFAHR DAR

BILD: GOOGLE

Der Bericht hebt hervor, dass sich die Angreifer auf Komponenten und Bibliotheken von Drittanbietern konzentrieren. Er zeigt auch, dass vermehrt unternehmensspezifische Technologien ins Visier genommen werden und dass die Aktivitäten von kommerziellen Überwachungsanbietern und staatlich unterstützten Gruppen, insbesondere aus China, zugenommen haben. Die Erforschung von Zero-Day-Schwachstellen ist nach wie vor entscheidend für den Schutz von Endnutzern und Online-Ökosystemen.

CYBERANGRIFFE VON NATIONALSTAATEN SIND

EINE WACHSENDE GEFAHR

BILD: ADOBE_STOCK/ NEGRO ELKHA

Staatliche Akteure verfügen über umfangreiche Ressourcen, um gezielte Angriffe über einen längeren Zeitraum zu planen und durchzuführen. Dies kann sowohl durch den Einsatz eigener Spezialisten als auch durch die Beauftragung externer Hackergruppen, die im Auftrag des Staates handeln, geschehen. Ein weiteres Mittel sind „Advanced Persistent Threats“ (APT), die darauf abzielen, unbemerkt in Netzwerken zu bleiben und kontinuierlich Informationen zu exfiltrieren oder Systeme zu manipulieren. Solche APTGruppen sind in der Lage, sich an neue Sicherheitsmaßnahmen anzupassen und ihre Angriffe über Monate oder sogar Jahre fortzusetzen. Laut einer Untersuchung von Microsoft haben im Laufe des Jahres 2024 (und wahrscheinlich schon früher) staatliche Akteure bekannte Sicherheitslücken in Windows genutzt, um Daten zu stehlen und Systeme zu kompromittieren. Obwohl Microsoft oft schon Updates zur Verfügung stellt, werden diese auf vielen Rechnern nicht installiert. Im aktuellen Fall können Angreifer zuerst ihre Privilegien erhöhen und dann Malware übertragen.

Die bekannten staatlich unterstützten Cyberoperationen umfassen eine Vielzahl weiterer Angriffe. So wird die Hackergruppe „APT29“, die Verbindungen zu russischen Geheimdiensten haben soll, für Angriffe auf westliche Regierungen und Unternehmen verantwortlich gemacht. Ein weiteres Beispiel ist die Gruppe „APT33“, die mit dem iranischen Staat in Verbindung gebracht wird und Angriffe auf Unternehmen im Energiesektor durchgeführt haben soll.

Auch China wird häufig als Akteur im Bereich der Cyberkriminalität genannt. Gruppen wie „APT10“ haben sich auf den Diebstahl geistigen Eigentums in Branchen wie Technologie und Pharmazie spezialisiert. Die Angriffe sind Teil einer Gesamtstrategie, um wirtschaftliche und militärische Vorteile zu erlangen. Nicht zu vergessen sind auch die Angriffe der NSA aus den USA auf die Smartphones hochrangiger Regierungsmitglieder wie Angela Merkel im Jahr 2021. Das Zitat „Staaten haben keine Freunde, nur Interessen“ von Charles de Gaulle ist hier durchaus zutreffend. In einer Einschätzung betont Greg Austin vom International Institute for Strategic Studies, dass die digitalen Fähigkeiten von Staaten wie den USA, China und Russland ein entscheidender Faktor in der internationalen Politik sind. Er weist darauf hin, dass Länder wie China ihre Cyberfähigkeiten vor allem für groß angelegte Spionage nutzen und diese Fähigkeiten sowohl in Friedens- als auch in Kriegszeiten einsetzen, um sich strategische Vorteile zu verschaffen.

Die Bedrohung durch staatlich geförderte Cyberangriffe stellt IT-Experten vor große Herausforderungen. Der Digitalverband Bitkom hat festgestellt, dass Cyberangriffe vor allem aus Russland und China stark zugenommen haben. Durch diese Angriffe entsteht der deutschen Wirtschaft jährlich ein Schaden von rund

Besonders aktiv sind Hacker aus Russland, China, Iran und Nordkorea.

Konsequenzen für IT-Sicherheitsstrategien

DER SCHADEN BEI UNTERNEHMEN DURCH CYBERATTACKEN

STEIGT AN BILD: BITKOM

206 Milliarden Euro . Experten sehen in diesen Angriffen zunehmend ein Instrument geopolitischer Auseinandersetzungen, was die Notwendigkeit verstärkter Sicherheitsmaßnahmen unterstreicht.

Auch das BSI registriert im Jahr 2024 zahlreiche Cyber-Angriffe, die täglich auf die Netze von Regierungen und regierungsnahen Organisationen abzielen. Laut BSI-Präsidentin Claudia Plattner gehen pro Tag durchschnittlich 775 E-Mails mit Schadprogrammen ein und rund 370 Webseiten werden gesperrt. Dabei komme es vor allem zu Massenangriffen auf die Bundesverwaltung. Eine große Gefahr sieht Plattner derzeit auch in den immer besser werdenden Deep Fakes. Laut Plattner ist davon auszugehen, dass Cyber-Angriffe in diesem und den nächsten Jahren weiter zunehmen werden und auch Unternehmen davon betroffen sein können. Die Verantwortlichen sollten prüfen, ob ihre Netzwerke ausreichend geschützt und die Nutzer auf KI-gestützte Angriffe vorbereitet sind.

Unternehmen und Organisationen müssen ihre Sicherheitsstrategien anpassen, um der erhöhten Bedrohung durch KI zu begegnen. Dies erfordert Investitionen in fortschrittliche Erkennungs- und Abwehrmechanismen sowie

DER SCHADEN BEI UNTERNEHMEN DURCH CYBERATTACKEN

STEIGT AN BILD: BITKOM

Vorbereitung

auf Angriffe

staatlicher Akteure:

Strategien und Maßnahmen

eine kontinuierliche Überwachung und Analyse der Netzwerkaktivitäten. Besonderes Augenmerk sollte auf die Früherkennung von APTs gelegt werden, da diese den größten Schaden anrichten können.

Darüber hinaus sind internationale Kooperationen und der Austausch von Bedrohungsdaten sinnvoll, um die Abwehr von staatlich unterstützten Angriffen zu verbessern. Wichtig ist auch, dass Sicherheitsmaßnahmen regelmäßig aktualisiert und an neue Bedrohungen angepasst werden. Ein proaktiver Umgang mit IT-Sicherheit in Kombination mit einem tiefen Verständnis der Taktiken staatlicher Akteure ist entscheidend, um der wachsenden Bedrohung durch Cyber-Angriffe von Nationalstaaten zu begegnen.

Unternehmen sollten sich auf Angriffe durch staatliche Akteure vorbereiten, indem sie ihre Sicherheitsstrategie auf eine umfassende und tiefgreifende Verteidigung ausrichten. Während herkömmliche Angriffe oft opportunistisch und kurzfristig sind, erfordern staatlich unterstützte Angriffe eine proaktive und langfristige Sicherheitsarchitektur. Unternehmen sollten fortschrittliche Threat Intelligence Services nutzen, um frühzeitig Hinweise auf mögliche Bedrohungen zu erkennen und entsprechende Gegenmaßnahmen einleiten zu können.

AUTOR: Thomas Joos

Darüber hinaus ist es unerlässlich, die Sicherheitsrichtlinien kontinuierlich zu aktualisieren und die Widerstandsfähigkeit der Systeme gegen hochentwickelte Angriffe durch gezielte Penetrationstests zu überprüfen. Ein wesentlicher Unterschied zu herkömmlichen Angriffen besteht darin, dass komplexen Bedrohungen mit einem mehrstufigen, eng verzahnten Abwehrsystem begegnet werden muss, das von Intrusion Detection Systemen über Endpoint Protection bis hin zu umfassenden Incident Response Plänen reicht. Dies erfordert nicht nur technologische Investitionen, sondern auch regelmäßige Schulungen und Sensibilisierung der Mitarbeiter, um das Sicherheitsbewusstsein auf allen Ebenen des Unternehmens zu verankern.

Sophos: Der MDR-Anbieter, dem die meisten Kunden vertrauen.

Stand: 1. Juli 2024 (644 Bewertungen) 4,8 durchschnittliche Bewertung

Mehr erfahren unter sophos.de/mdr

IN EINER WELT, IN DER NACHRICHTEN ÜBER CYBERATTACKEN GENAUSO ZUM ALLTAG GEHÖREN WIE DER WETTERBERICHT, STEHT DER MITTELSTAND VOR EINER BESONDERS KNIFFLIGEN HERAUSFORDERUNG. DIE ABWEHR VON CYBERANGRIFFEN IST EIN FULLTIME-JOB UND VERLANGT IT-MITARBEITERN HÖCHSTE EXPERTISE

AB. DOCH WAS KANN MAN TUN, WENN DIE PERSONELLEN UND FINANZIELLEN RESSOURCEN LIMITIERT SIND? MANAGED DETECTION AND RESPONSE (MDR) SERVICES BIETEN EINEN PASSENDEN LÖSUNGSWEG.

Endpoint Detection and ResponseLösungen (EDR) für KMU oft unpassend

Selbst Unternehmen mit dedizierten Sicherheitsteams stehen vor der Herausforderung, die ständig wachsende Menge an Security-Daten zu verarbeiten, um potenzielle Bedrohungen rechtzeitig zu erkennen und darauf zu reagieren. Die von vielen Experten geforderten EDR-Lösungen sind gerade für kleine und mittlere Unternehmen (KMU) oft

nicht praktikabel und die Kosten fast unerschwinglich. Die Implementierung, der Betrieb und die Wartung solcher Lösungen erfordern erhebliche Ressourcen und Fachkenntnisse, die viele KMUs nicht haben. Nur eine Minderheit ist in der Lage, Sicherheitsvorfälle innerhalb kürzester Zeit zu identifizieren und zu beseitigen.

Managed Detection and Response (MDR) als Rettungsanker Doch es gibt eine Lösung: Man betreibt EDR nicht in Eigenregie, sondern legt die eigene IT-Sicherheit in die Hände externer Dienstleister. Das sogenannte „Managed Detection and Response“ erfreut sich dabei immer größerer Beliebtheit.

Dahinter verbirgt sich ein Ansatz zur Sicherung von IT-Systemen und Daten vor Cyberbedrohungen. Im Wesentlichen handelt es sich dabei um einen externen

kann die Dienstleistung angeboten werden. Managed Detection and Response ist kein in Stein gemeißelter Service, sondern wird vom Anbieter individuell zusammengestellt. Zudem unterstützt MDR Unternehmen dabei, Datenschutz- und Sicherheitsvorschriften oder die Anforderungen von Cyberversicherungen einzuhalten.

Für

wen eignet sich MDR?

Service, der von spezialisierten Anbietern bereitgestellt wird und eine umfassende Überwachung, Erkennung und Reaktion auf potenzielle Sicherheitsvorfälle beinhaltet. MDR-Provider nutzen fortschrittliche Technologien wie künstliche Intelligenz, maschinelles Lernen und Verhaltensanalysen, um verdächtige Aktivitäten in Echtzeit zu identifizieren und Maßnahmen einzuleiten. Je größer dabei der Anteil von eingesetzter Künstlicher Intelligenz (KI) ist, desto kostengünstiger

MDR ist im Allgemeinen eine gute Wahl für Organisationen wie KMUs, Unternehmen mit komplexen IT-Infrastrukturen und Kritischen Infrastrukturen, die eine umfassende Sicherheitsüberwachung benötigen, ohne die gesamte Verantwortung intern zu tragen. Die externe Dienstleistung ermöglicht die Konzentration auf das Kerngeschäft, während Experten die Sicherheit überwachen.

Fazit

Wenn Cyberangriffe immer raffinierter und zielgerichteter werden, müssen Unternehmen mit hochwertigen SecurityMaßnahmen kontern. Durch die Auslagerung der Sicherheitsüberwachung und -reaktion an spezialisierte Dienstleister für Managed Detection and Response erzielen Unternehmen ein starkes Sicherheitsniveau und das bei überschaubaren Kosten.

eset.com/de

„MDR ist ein elementarer Baustein für ein hohes Sicherheitsniveau zum Schutz vor wachsenden Cyberbedrohungen“

Peter Neumeier Director of Channel Sales DACH bei ESET.

ZUSAMMENARBEIT IST DER SCHLÜSSEL ZUR VERTEIDIGUNG GEGEN CYBERCRIME

DIE HERAUSFORDERUNGEN FÜR IT-ABTEILUNGEN IM KAMPF GEGEN CYBERKRIMINALITÄT WACHSEN STETIG: NEUE BEDROHUNGEN, RAFFINIERTE ANGRIFFSSTRATEGIEN UND KOMPLEXE IT-INFRASTRUKTUREN ERSCHWEREN ES, DEN ÜBERBLICK ZU BEHALTEN. VIELEN UNTERNEHMEN FEHLEN DIE PERSONELLEN MITTEL UND DAS NOTWENDIGE KNOW-HOW, UM SICH AUSREICHEND GEGEN STÄNDIG STEIGENDE GEFAHREN ZU SCHÜTZEN.

Zeit und Ressourcen sind knapp Der Fachkräftemangel macht es schwierig, qualifiziertes Personal zu finden, und die Gehälter steigen. Auch gelingt es IT-Abteilungen nur selten, sich kontinuierlich weiterzubilden und neue Technologien einzuführen. Selbst mit internen IT-Security-Teams gibt es immer Schwachstellen, die Angreifer ausnutzen: Ungepatchte Systeme, falsch konfigurierte Netzwerke oder menschliches Fehlverhalten. Ein 100-prozentiger Schutz ist in der Praxis niemals erreichbar – ein Restrisiko bleibt immer.

Die Tücken der IT-Sicherheit

Um Angriffe zu erkennen und abzuwehren, sind fundierte Kenntnisse und ein tiefes Verständnis für das eigene Netzwerk nötig. In der Praxis bedeutet das, riesige Mengen an Log-Daten zu analysieren. Doch wer hat die Zeit, diese Daten anzuschauen und echte Bedrohungen von harmlosen Fehlalarmen zu unterscheiden? Schnell droht eine Überlastung durch zu viele Warnungen, bei der echte Bedrohungen übersehen werden.

MXDR: IT-Sicherheit auf dem nächsten Level

Hier kommen MXDR (Managed Extended Detection and Response) Lösungen ins Spiel. Durch eine Rund-um-die-Uhr-Dienstleistung zur Überwachung der IT-Infrastruktur gewinnt das Unternehmen zusätzliches Fachwissen, um Angriffe frühzeitig zu erkennen und abzuwehren. Die externen Experten

agieren im Idealfall als virtuelle Team-Mitglieder, die immer auf dem neuesten Stand der Technik sind. Lediglich in kritischen Fällen wird die IT-Abteilung hinzugezogen. Alles andere, wie zum Beispiel False Positives, wird eigenständig abgehandelt.

Verlässlicher Support und starke technologische Basis

Die beiden Faktoren bei der Auswahl des IT-Security-Partners sind Mensch und Technologie. Man benötigt unbedingt einen direkten und persönlichen Support mit kurzen Reaktionszeiten und hoher Fachkompetenz. Call Center sind für sensible und komplexe Dienstleistungen grundsätzlich kritisch zu sehen. Außerdem ist eine solide technologische Grundlage wichtig, die stetig weiterentwickelt wird. Anbieter, die zugekaufte Technologie bedienen, können Mängel bei der Erkennung und beim Support aufweisen.

Partnerschaft für die IT-Sicherheit

Angesichts der zunehmenden

Bedrohungen ist es wichtiger denn je, einen Partner zu haben, dem man vertrauen kann und der effektiv zur Verteidigung der eigenen IT-Infrastruktur beiträgt. Mit G DATA 365 | MXDR erhalten

Unternehmen eine umfassende Lösung für ihre IT-Sicherheit, die durch hohe Fachkompetenz, schnellen Support und den Standortvorteil Deutschland überzeugt.

Die KI-gestützte Cybersecurity-Plattform zum Schutz des gesamten Unternehmens

„Man

vs. Machine Threat Hunting Challenge“

KI-gestützte Cybersecurity live auf der it-sa vom 22. - 24. Oktober 2024 erleben.

Vereinbaren Sie noch heute einen Gesprächstermin und sichern Sie sich Ihr kostenloses Gastticket.

POST-QUANTEN-KRYPTOGRAPHIE, QUANTUM KEY DISTRIBUTION UND CO.

RISIKO QUANTENCOMPUTER:

Was Unternehmen jetzt wissen sollten

QUANTENCOMPUTER STEHEN IN DEN STARTLÖCHERN UND UNTERNEHMEN SOLLTEN SICH JETZT DARAUF VORBEREITEN! DIE NEUE GENERATION VON COMPUTERN KANN VERSCHLÜSSELUNGEN UND ANDERE SICHERHEITSTECHNOLOGIEN FAST OHNE WIDERSTAND ÜBERWINDEN. AUS DIESEM GRUND IST EIN ÜBERGANG ZU QUANTENSICHEREN UMGEBUNGEN ZEITNAH WICHTIG. DAFÜR GIBT ES MEHRERE GRÜNDE.

Derzeit sind Quantencomputer noch nicht allgemein verfügbar, aber es gibt bereits funktionierende Geräte, die ständig weiterentwickelt werden. Leistungsfähige und praktisch einsetzbare Quantencomputer werden bis Ende der 2020er Jahre erwartet. In Hamburg ist bereits ein industrietauglicher Quantencomputer des Konsortiums NXP, ParityQC, eleQtron und DLR QCI im Einsatz .

können, um sie später mit Quantencomputern, eventuell in Verbindung mit KI, zu entschlüsseln. Dieser Ansatz wird als „Harvest now, decrypt later“ (Heute ernten, morgen entschlüsseln) bezeichnet. Auch darauf gehen wir in diesem Beitrag näher ein. Hier liegt eine besonders große Gefahr für Behörden, Unternehmen und andere Organisationen.

IN HAMBURG IST BEREITS EIN QUANTENCOMPUTER IM EINSATZ. BILD: QSEA

KONSORTIUM/ SICHTPLAN

Experten gehen davon aus, dass in Zukunft Unternehmen, Nationalstaaten und leider auch Cyberkriminelle Zugang zu den Systemen haben werden. Es ist zu erwarten, dass Quantencomputer bei großen Anbietern laufen, die die Ressourcen dann an Kunden weitergeben. Dies geschieht bereits heute mit KIDiensten. Das bedeutet, dass die Einstiegshürden für den Einsatz von Quantencomputern nicht so hoch sind, wie viele glauben. Wenn Cyberkriminelle die Rechenleistung von Quantencomputern in Verbindung mit KI nutzen, entsteht ein enormes Risikopotenzial für Unternehmen und Behörden. Bereits heute sammeln Angreifer Daten, die sie (noch) nicht entschlüsseln

QUANTENCOMPUTER BEFINDEN SICH NOCH IN DER FORSCHUNG, SIND ABER WAHRSCHEINLICH SCHON IN WENIGEN JAHREN BREITER VERFÜGBAR.

BILD: ADOBE_STOCK

Quantencomputer sind eine Chance, aber zuerst kommt die Bedrohung

Quantencomputer basieren auf den Prinzipien der Quantenmechanik, die völlig neue Rechenansätze ermöglichen. Im Gegensatz zu klassischen Computern, die Informationen in Bits als 0 oder 1 speichern, arbeiten Quantencomputer mit so genannten Qubits, die sich in einer Überlagerung mehrerer Zustände befinden kön -

QUANTENCOMPUTER: Was Unternehmen jetzt wissen sollten

nen. Diese Überlagerung ermöglicht es, viele Rechenoperationen gleichzeitig auszuführen, was die Effizienz bei bestimmten komplex

QUANTENCOMPUTER ARBEITEN MIT QUBITS. BILD: MICROSOFT

en Problemen erheblich steigert. Darüber hinaus nutzen Quantencomputer die Verschränkung, bei der Qubits unabhängig von ihrer räumlichen Trennung miteinander korrelieren. Diese Effekte ermöglichen es Quantencomputern, exponentiell viele Zustände parallel zu verarbeiten und so in kurzer Zeit Berechnungen durchzuführen, die mit herkömmlichen Computern nicht möglich sind.

Die Hauptvorteile von Quantencomputern liegen in ihrer enormen Rechenleistung und ihrer Fähigkeit, komplexe Probleme effizient zu lösen, die für klassische Computer nahezu unlösbar sind. Für Unternehmen eröffnen sich dadurch zahlreiche Möglichkeiten, insbesondere in den Berei -

chen Optimierung, maschinelles Lernen und Materialforschung. Quantencomputer können komplexe Optimierungsprobleme, wie sie in der Logistik, im Finanzwesen oder im Supply Chain Management auftreten, in Bruchteilen von Sekunden lösen. Sie verbessern auch maschinelle Lernverfahren, indem sie große Datenmengen schneller analysieren und Muster effizienter erkennen. In der Materialwissenschaft und Pharmazie könnten Quantencomputer die Entwicklung neuer Materialien und Medikamente beschleunigen, indem sie Molekülstrukturen simulieren, die für klassische Computer zu komplex sind.

Quantencomputer stellen aber auch eine fundamentale Bedro -

VERSCHRÄNKUNGEN VON QUBITS SIND EINE WICHTIGE BASIS FÜR DIE LEISTUNG VON QUANTENCOMPUTERN. BILD: MICROSOFT

hung für heutige kryptographiesche Systeme dar, insbesondere für asymmetrische Verschlüsselungsverfahren wie RSA und Elliptische Kurven-Kryptographie (ECC). Diese Systeme basieren auf

„Harvest now, decrypt later“ macht Quantencomputer schon heute zur Gefahr

CYBERANGRIFFE AUF

KI-SYSTEME SIND EINE WACHSENDE GEFAHR. ZENTRALES PROBLEM

IST DIE MANGELNDE TRANSPARENZ

VIELER KI-MODELLE.

BILD: ADOBE_STOCK

Die Gefahr, die von Quantencomputern ausgeht, beschränkt sich jedoch nicht auf zukünftige Angriffe. Nach dem Konzept „Harvest now, decrypt later“ oder „Store now, decrypt later“ können Angreifer bereits heute verschlüsselte Daten abfangen und speichern,

in der Erwartung, dass in naher Zukunft leistungsfähige Quantencomputer entwickelt werden. Sobald diese zur Verfügung stehen, können die Angreifer die Daten in kurzer Zeit entschlüsseln und sensible Informationen preisgeben. Dies stellt ein erhebliches Risiko dar, insbesondere für Daten mit langfristigem Schutzbedarf wie Staatsgeheimnisse, medizinische Daten oder andere kritische Informationen, deren Vertraulichkeit auch nach Jahrzehnten noch gewahrt werden muss. Diese langfristige Perspektive macht „Harvest now, decrypt later“ oder auch „Store now, decrypt later“ zu einer realen Bedrohung, die nicht erst in der Zukunft, sondern bereits heute besteht und die Notwendigkeit eines sofortigen Übergangs zu quantensicheren Verschlüsselungsverfahren verstärkt.

RISIKO QUANTENCOMPUTER: Was

Post-Quantum-Kryptographie ist ein Ansatz zum Schutz vor CyberKriminellen

Um diesen Gefahren zu begegnen, werden derzeit Verfahren der Post-Quantum-Kryptographie (PQK) entwickelt. Diese Algorithmen basieren auf mathematischen Problemen, die auch von Quantencomputern nicht effizient gelöst werden können, wie Gitterprobleme, mehrdimensionale

Polynomgleichungen oder code basierte Kryptosysteme. Das USamerikanische National Institute of Standards and Technology (NIST) treibt die Standardisierung solcher Algorithmen voran und hat bereits mehrere Kandidaten ausgewählt , die den strengen Anforderungen an Sicherheit und Effizienz genügen sollen. Auch das BSI beschäftigt sich bereits mit dem Thema.

von PQC zu ermöglichen und gleichzeitig die Sicherheit zu erhalten. Ein weiteres kritisches Thema ist die Zertifizierung und der Nachweis der Sicherheit von Post-Quantum-Algorithmen. Da viele dieser Verfahren auf neuen mathematischen Problemen basieren, sind ihre Sicherheitsannahmen weniger erforscht und getestet als bei etablierten Algorithmen wie RSA oder ECC.

Was Unternehmen jetzt wissen sollten

Ein weiterer Aspekt der PostQuantum-Kryptographie ist die praktische Umsetzung und Integ ration in bestehende Infrastruktu ren. Hier stellen sich verschiedene Herausforderungen: Zum einen ist die Schlüssellänge vieler PQC-Al gorithmen deutlich größer als die heutiger Systeme, was zu höheren Anforderungen an Speicher und Rechenleistung führt. Zum ande ren müssen bestehende Protokol le wie TLS (Transport Layer Securi ty) angepasst werden, um PQC-kompatible Algorithmen zu unterstützen, ohne die Interope rabilität mit älteren Systemen zu gefährden.

Darüber hinaus ist es notwendig, hybride Ansätze zu entwickeln, die sowohl klassische als auch PostQuantum-Kryptographie verwen den, um eine sichere Kommunika tion während der Übergangszeit zu gewährleisten. Dies wird auch als „hybrider Modus“ bezeichnet und ist eine wesentliche Strategie, um die schrittweise Einführung

Proaktive Strategien

ten. Eine gründliche Krypto-Inventarisierung, die die verwendeten Verschlüsselungsprotokolle, -bibliotheken und -geräte detailliert erfasst, bildet die Grundlage für diesen Übergang. Dabei sollten

Unternehmen die besonders gefährdeten sensiblen Daten priorisieren, um eine gezielte Migration zu post-quantitativen Kryptoverfahren durchzuführen. Wichtig ist auch die Einrichtung eines Proofof-Concept-Labors, um die Auswirkungen der neuen Technologien auf Performance und Sicherheit zu testen. Gegenwärtig können Unternehmen durch Maßnahmen wie die Migration auf TLS 1.3 und die Verwendung größerer Schlüssellängen Zeit gewinnen, bis postquantum sichere Verfahren implementiert werden können.

Ist Quantum Key Distri -

bution der Weg zu besserer Verschlüsselung?

Quantum Key Distribution (QKD) bietet eine neue Methode zur Verteilung von Schlüsseln außerhalb des herkömmlichen Kommunikationskanals und schützt so vor Bedrohungen durch Quantencomputer. QKD nutzt physikalische Prinzipien der Quantenmechanik, um Schlüssel über eine optische Verbindung zu verteilen, wodurch Manipulationen sofort erkennbar werden. Diese Technologie eignet sich besonders für den Einsatz in

hochsensiblen Bereichen wie Finanzen, Verteidigung oder Telekommunikation, wo sichere Siteto-Site-VPNs erforderlich sind.

BEISPIEL DER QUANTUM KEY DISTRIBUTION.

BILD: CARRASCO-CASADO, ALBERTO & MARMOL, VERONICA & DENISENKO, NATALIA. (2016). FREE-SPACE QUANTUM KEY DISTRIBUTION. 10.1007/978-3-319-30201-0_27

Allerdings ist die Reichweite von QKD aufgrund fehlender photonischer Verstärker begrenzt, was den Einsatz auf Entfernungen von einigen hundert Kilometern beschränkt. Lösungen wie SatellitenQKD oder Trusted Relays können diese Entfernungsprobleme teilweise lösen, während softwarebasierte Ansätze mehr Flexibilität bieten. Um QKD erfolgreich in bestehende Infrastrukturen zu integrieren, gibt es Standards wie ETC 014, die eine einfache Implementierung mit VPN-Konzentratoren ermöglichen. Trotz der Einschränkungen in Bezug auf Reichweite und Kosten bietet QKD eine vielversprechende Lösung, um kritische Daten sicher vor zukünftigen Quantenangriffen zu schützen.

Quantum Random Number Generators schützen Daten vor Angriffen mit Quantencomputern

Quantum Random Number Generators (QRNGs) bieten eine Alternative zu herkömmlichen Zufallszahlengeneratoren, indem sie auf den Prinzipien der Quantenmechanik basieren. Während herkömmliche Pseudozufallszahlengeneratoren (PRNGs) und echte Zufallszahlengeneratoren (TRNGs) anfällig für Manipulationen und Schwächen durch deterministische Prozesse oder physikalische Störungen sind, erzeugen QRNGs Zufallszahlen, die nicht auf mathematischen Formeln, sondern auf zufälligen quantenphysikalischen Prozessen wie der Streuung von Photonen basieren. Diese Schlüssel sind daher resistent gegen Angriffe von Quantencomputern. Trotz ihrer überlegenen Sicherheit sind QRNGs im Vergleich zu PRNGs mit Herausforderungen wie höheren Kosten und geringerer Verbreitung konfrontiert. Für Unternehmen, die sensible Daten langfristig schützen wollen, stellen QRNGs jedoch eine vielversprechende Technologie dar, die in Kombination mit Post-Quantum-Kryptographie eingesetzt werden kann, um sicherzustellen, dass Daten auch in einer PostQuantum-Computing-Zukunft sicher bleiben.

POST-QUANTEN-KRYPTOGRAPHIE, QUANTUM KEY DISTRIBUTION UND CO.

Thomas Joos

RISIKO

– Chance und Risiko zugleich für die

digitale Sicherheit

Künstliche Intelligenz entlastet Mitarbeitende im Arbeitsalltag und hilft Cybersicherheitsprozesse zu optimieren. Dabei ermöglicht KI es Unternehmen, in Echtzeit auf sich verändernde Bedrohungen zu reagieren. Durch die schnelle Analyse großer Datenmengen können sie proaktiv auf

Sicherheitsvorfälle reagieren und Schäden minimieren. Doch KI revolutioniert nicht nur Branchen, sondern auch die Cyberkriminalität. Phishing-Angriffe, Ransomware-as-a-Service und andere Cyberbedrohungen stellen Unternehmen und Privatpersonen vor immense Herausforderungen.

Eine aktuelle Studie von Hornetsecurity und YouGov unter deutschen Führungskräften, veröffentlicht im AI-Security Report 2024, zeigt, dass 54 % der Befragten

KI-gestütztes Phishing als größte Bedrohung ansehen, gefolgt von Deepfakes mit 39 % und allgemein skalierbaren KI-Angriffen mit 37 %.

Die Umfrage verdeutlicht, dass Entscheidungsträger die Komplexität der modernen Cyberbedro -

stützte Services, die alle Aspekte des Security- und Datenschutz-Ma nagements von Microsoft 365 auf das nächste Level heben, einschließlich E-Mail-Security, Backup und Recovery, Compliance, Berech tigungsmanagement und Security Awareness. Mithilfe von KI sorgt u. a. Advanced Threat Protection dafür, dass schädliche E-Mails Ihre Postfächer nicht erreichen können. Secure Links, eine Komponente von ATP, nutzt Deep Learning und Machine Learning, um eingehende Links zu überprüfen und umzuschreiben. So schützt ATP Benutzer vor dem Aufrufen gefälschter Webseiten und dem Download von Malware. Ein weiterer Bestandteil von

robuste Sicherheitslösungen zu investieren und die eigenen Mitarbeiter für die Risiken von Cyberangriffen zu sensibilisieren.

KI-gestützte Lösungen können Sie bei dem Aufbau Ihrer Cybersecurity unterstützen. 365 Total Protection Plan 4 von Hornetsecurity liefert genau das. Die umfassende Lösung kombiniert leistungsstarke Sicherheitsfunktionen mit Benutzerfreundlichkeit und bietet KI-ge -

Szenarien geschult und das vollautomatisch.

Wenn Sie mehr über unsere Cybersecurity-Lösungen erfahren möchten, besuchen Sie uns auf der it-sa Expo&Congress in Halle 6!

www.hornetsecurity.com/de

KÜNSTLICHE INTELLIGENZ ALS GEGNER

Cyberkriminelle

WIE CYBERKRIMINELLE für ihre Zwecke nutzen

KÜNSTLICHE INTELLIGENZ ENTWICKELT SICH RASANT UND WIRD IN IMMER MEHR BEREICHEN EINGESETZT. DAS BIRGT JEDOCH NICHT NUR POTENZIALE FÜR UNTERNEHMEN UND FORSCHUNG, SONDERN AUCH ERHEBLICHE RISIKEN IM BEREICH DER CYBERKRIMINALITÄT. ANGREIFER NUTZEN KI, UM IHRE ANGRIFFE ZU AUTOMATISIEREN, EFFIZIENTER ZU GESTALTEN UND SICHERHEITSMECHANISMEN ZU UMGEHEN. DIES FÜHRT ZU EINER VERSCHÄRFUNG DER BEDROHUNGSLAGE UND STELLT NEUE HERAUSFORDERUNGEN AN SICHERHEITSSTRATEGIEN.

KI wird nicht nur in Unternehmensanwendungen und in der Forschung eingesetzt, auch Cyberkriminelle nutzen zunehmend künstliche Intelligenz. Das Ergebnis sind wesentlich effektivere Cyberangriffe, die auch von weniger erfahrenen Kriminellen durchgeführt werden können. Die leichte Zugänglichkeit und die geringen technischen Hürden machen die Bedrohung durch generative KI besonders gefährlich, da sie von einer breiten Masse missbraucht werden kann, ohne dass tiefgreifende technische Kenntnisse erforderlich sind. Dazu kommt, dass auch KI-Systeme selbst von Kriminellen angegriffen und für ihre Zwecke missbraucht werden können. Auch diese Attacken besprechen wir in diesem Beitrag ausführlicher.

Automatisierung von Angriffen und

Überwindung von Abwehrsystemen

NACH EINER

UMFRAGE SEHEN

UNTERNEHMEN

BEI KI IN DER IT-SICHERHEIT

EHER EINE GEFAHR.

BILD: BITKOM

Ein zentraler Aspekt der KI-gestützten Cyberkriminalität ist die Automatisierung von Angriffen. Mithilfe von Algorithmen des maschinellen Lernens können Angreifer Muster von Abwehrsystemen analysieren und Schwachstellen schneller und genauer erkennen. Diese Systeme können automatisch Schwachstellen in Netzwerken und Software identifizieren und ausnutzen, bevor ein Patch verfügbar ist. Dadurch verkürzt sich der Zeitraum, in dem Cyberkriminelle eine Sicherheitslücke ausnutzen können, erheblich. Darüber hinaus werden Schwachstellen schneller erkannt und umfassender ausgenutzt, manchmal sogar durch die Kombination verschiedener Schwachstellen.

KI kann nicht nur zur Verbesserung von Angriffen eingesetzt werden, sondern auch zur Umgehung herkömmlicher Sicherheitssysteme. Moderne Abwehrmechanismen wie Firewalls, Intrusion Detection Systeme (IDS) oder Antivirensoftware basieren häufig auf bekannten Signaturen oder Heuristiken. KI-basierte Angriffe sind jedoch in der Lage,

Verhaltensmuster zu erlernen und sich dynamisch anzupassen, wodurch sie herkömmliche Sicherheitsmaßnahmen leicht umgehen können. Solche „intelligenten“ Schadprogramme agieren nicht starr nach einem vorprogrammierten Muster, sondern analysieren das Netzwerk in Echtzeit und passen sich an, um unentdeckt zu bleiben. Ein Beispiel sind polymorphe Schadprogramme, die durch KI ihre Struktur ständig verändern und so eine signaturbasierte Erkennung nahezu unmöglich machen. Diese Art von Malware entwickelt sich ständig weiter und erschwert die Erkennung und Abwehr für klassische Sicherheitslösungen erheblich.

Laut einer aktuellen Studie von OpenAI und Microsoft nutzen Hacker aus Ländern wie China, Russland und Nordkorea künstliche Intelligenz, um ihre Cyberangriffe zu optimieren. Experten weisen darauf hin, dass KI derzeit eine temporäre Überlegenheit auf Seiten der Angreifer schafft. Besonders problematisch ist, dass neben großen Technologieunternehmen wie Microsoft auch kleinere, offene KI-Systeme für Cyberangriffe missbraucht werden können. Staaten wie Russland und China können eigene KI-Plattformen zur Unterstützung ihrer kriminellen Aktivitäten entwickeln, was die Bedrohungslage weiter verschärft.

Eine weitere Gefahr besteht darin, dass KI für automatisierte Angriffe auf IoT-Geräte eingesetzt wird. KI-Algorithmen durchsuchen Netzwerke nach ungesicherten Geräten, die dann von Botnetzen für DDoS-Angriffe (Distributed Denial of Service) genutzt werden. Immer häufiger wird KI auch für Credential-Stuffing-Angriffe eingesetzt, bei denen gestohlene Zugangsdaten automatisiert bei verschiedenen Online-Diensten ausprobiert werden. KI erhöht hier die Effizienz, indem sie Anpassungen in Echtzeit vornimmt und Sicherheitsmaßnahmen umgeht. Darüber hinaus wird KI zur Entwicklung von Malware eingesetzt, die sich dynamisch an Sicherheitsumgebungen anpasst und dadurch schwerer zu erkennen ist.

CHATGPT-CODE KI KANN AUCH FÜR DIE PROGRAMMIERUNG GENUTZT WERDEN UND NACH ETWAS MANIPULATION AUCH ZUM ENTWICKELN VON MALWARE. BILD: JOOS

Human Hacking: KI-unterstützte

Phishing-Angriffe stellen eine große

Gefahr dar

Das Prinzip des „Human Hacking“ beschreibt den Einsatz künstlicher Intelligenz durch Cyberkriminelle, um menschliches Verhalten zu beeinflussen und Sicherheitsmaßnahmen zu umgehen. KI-basierte Angriffe wie Advanced Phishing und Deep Fakes zielen darauf ab, Vertrauen zu missbrauchen und an vertrauliche Daten zu gelangen. Dabei werden gezielt menschliche Schwächen ausgenutzt, indem täuschend echte Nachrichten und Inhalte erzeugt werden, die nur schwer von legitimen Informationen zu unterscheiden sind.

So sind KI-gesteuerte Phishing-Angriffe besonders gefährlich. Auf Basis gesammelter Daten können

UNTERNEHMEN

SIND NICHT IDEAL

FÜR KI-ANGRIFFE

VORBEREITET, ZEIGT

EINE AKTUELLE

UMFRAGE DES BITKOM.

BILD: BITKOM

KI-Systeme E-Mails verfassen, die extrem personalisiert wirken und kaum von legitimen Nachrichten zu unterscheiden sind. Die Angreifer sammeln große Mengen an Daten aus sozialen Netzwerken oder öffentlich zugänglichen Quellen, um diese in ihre Angriffe einfließen zu lassen. Laut einer Studie von Barracuda Networks machen Spear-Phishing-Angriffe nur 0,1 Prozent aller E-Mail-basierten Angriffe aus, sind jedoch für 66 Prozent der Datenpannen verantwortlich .

Da der Prozess vollständig automatisiert ist, kann die Zahl der Angriffe ohne nennenswerten Mehraufwand dramatisch ansteigen. PhishingAngriffe werden immer raffinierter und professioneller, beispielsweise durch den Einsatz von KI-Bots und Deep Fakes. Selbst IT-Profis können darauf hereinfallen, wie ein Cyberangriff auf einen Microsoft-Ingenieur im Jahr 2023 zeigt.

Deep Fakes als Bedrohung

Eine weitere gefährliche Form des KI-Einsatzes sind Deep Fakes. Mit diesen Angriffsmustern können täuschend echt aussehende Videos oder Audiodateien erstellt werden, die von echten Aufnahmen kaum zu unterscheiden sind. Cyberkriminelle nutzen Deep Fakes, um Identitäten zu fälschen, Social-Engineering-Angriffe zu verstärken oder Erpressungsszenarien zu schaffen. Die Gefahren von Deep Fakes reichen von der Diskreditierung von Personen bis hin zur Verbreitung von Desinformationen, die Unternehmen und politischen Organisationen erheblichen Schaden zufügen können. Sogar das Hacken ganzer Videokonferenzen ist möglich. Mit Deep-Fake-Technologien können beispielsweise gefälschte Video- und Audiodateien erstellt werden, die Manager oder andere vertrauenswürdige Personen imitieren, um finanzielle Transaktionen oder vertrauliche Informationen zu erlangen.

Die Präsidentin des BSI, Claudia Plattner, sieht in einem Interview mit dem Magazin Stern eine große Gefahr in den immer besser gemachten Deep Fakes. Immer ausgefeiltere KI-Tools können Nachrichten und Videos in immer besserer Qualität fälschen. Der zunehmende Einsatz von KI bei Cyberattacken wird laut Plattner dazu führen, dass die Angriffe in diesem Jahr weiter zunehmen werden. Hier sollten die Verantwortlichen prüfen, ob ihre Netzwerke ausreichend geschützt sind und die Nutzer auf KI-basierte Angriffe vorbereitet sind.

DEEP FAKES STELLEN EINE GROSSE GEFAHR FÜR ANWENDER DAR. BILD: BRGFX / MACROVECTOR / FREEPIK ZUSAMMENSTELLUNG: BSI

Hacker greifen APIs mit KI an

Programmierschnittstellen (APIs )sind ein weiteres attraktives Ziel für Cyberangriffe. Cyberkriminelle nutzen künstliche Intelligenz, um systematisch Schwachstellen in API-Schnittstellen zu identifizieren und auszunutzen. Ein typischer Angriff ist die API-Injection, bei der Schadcode in API-Anfragen eingeschleust wird, um unberechtigten Zugriff

CYBERANGRIFFE AUF

KI-SYSTEME SIND EINE WACHSENDE GEFAHR. ZENTRALES

PROBLEM IST DIE MANGELNDE TRANSPARENZ VIELER KI-MODELLE. BILD: ADOBE_STOCK

auf Systeme und Daten zu erhalten. KI-basierte Tools testen automatisch verschiedene Eingabewerte und Aufrufmuster, um Sicherheitslücken zu finden.

Ein weiteres Angriffsszenario betrifft die Umgehung von API-Ratenbeschränkungen. Durch den Einsatz von KI können Angreifer API-Abfragen so steuern, dass die festgelegten Abfragelimits unbemerkt umgangen werden. Dies ermöglicht den massenhaften Zugriff auf sensible Daten. Darüber hinaus zielen KI-gestützte Angriffe häufig auf die Authentifizierungsmechanismen von APIs ab, um Tokens zu stehlen oder Sitzungen zu kapern. Durch automatisierte Tests können unzureichende Authentifizierungs- oder Autorisierungsmechanismen erkannt und gezielt ausgenutzt werden.

KI-Systeme in Unternehmen sind unsicher und können für Cyberangriffe ausgenutzt werden

Neben der Nutzung von KI für Cyberangriffe stellen auch Angriffe auf KI-Systeme selbst eine zunehmende Gefahr dar. Ein zentrales Problem ist die mangelnde Transparenz vieler KI-Modelle. Oft ist nicht klar, wie ein KI-System zu einer bestimmten Entscheidung kommt, was es schwierig macht, Fehlentscheidungen oder Missbrauch zu erkennen und zu korrigieren. Dies wird als Black-Box-Problem bezeichnet.

Angreifer können KI-Modelle manipulieren, indem sie gezielt falsche Daten eingeben oder „Adversarial Attacks“ durchführen. Dabei werden minimale Eingaben, die für menschliche Benutzer und Administratoren kaum erkennbar sind, verändert, um das Modell in die Irre zu führen. Ein KI-gesteuertes System, das beispielsweise in der Gesichtserken -

nung oder Verkehrsüberwachung eingesetzt wird, kann so manipuliert werden, dass es falsche Entscheidungen trifft oder Sicherheitsmechanismen umgeht.

Insbesondere in sicherheitskritischen Umgebungen, in denen KI-Modelle zur Erkennung von Bedrohungen eingesetzt werden, kann ein adverser Angriff fatale Folgen haben. Angreifer können das KI-System beispielsweise durch minimal veränderte Eingangsdaten wie modifizierte Netzwerkpakete oder verschleierte Malware-Signaturen täuschen, so dass Bedrohungen nicht erkannt oder legitime Aktivitäten fälschlicherweise als Bedrohung eingestuft werden. Eine besondere Herausforderung ist dabei, dass solche Angriffe oft schwer zu erkennen sind, da sie gezielt auf Schwächen im Entscheidungsprozess der Modelle abzielen, die von klassischen Sicherheitsprüfungen nicht erfasst werden.

Besonders gefährlich ist, dass diese Angriffe zwischen verschiedenen Domänen übertragbar sind. Das bedeutet, dass ein Modell, das gegen einen bestimmten Angriff trainiert wurde, anfällig bleiben kann, wenn derselbe Angriff gegen ein leicht verändertes Modell oder in einer anderen Anwendung eingesetzt wird. Dies führt zu einem grundsätzlichen Vertrauensproblem bei den Schutzmechanismen maschineller Lernmodelle, da ihre inhärente Anfälligkeit in kritischen Cybersicherheitsanwendungen wie Intrusion Detection Systemen (IDS) oder Anomalieerkennung ausgenutzt werden kann.

Schwachstellen in KI-Systemen und die wachsende Bedrohung durch

Jailbreaking

Aktuelle Berichte zeigen, dass selbst die komplexesten KI-Modelle von Hackern kompromittiert werden können. Insbesondere White-Hat-Hacker, die aus ethischen Gründen Sicherheitslücken aufdecken, haben es geschafft, die Sicherheitsvorkehrungen großer KI-Modelle von Mic -

EIN KI-GESTEUERTES SYSTEM KANN SO MANIPULIERT WERDEN, DASS ES FALSCHE ENTSCHEIDUNGEN TRIFFT ODER SICHERHEITSMECHANISMEN UMGEHT. BILD: ADOBE_STOCK

BEIM „DATA POISONING“ SCHLEUSEN

ANGREIFER MANIPULIERTE DATEN IN DEN TRAININGSDATENSATZ

EIN, UM EIN KIMODELL SO ZU TRAINIEREN, DASS ES FALSCHE ENTSCHEIDUNGEN TRIFFT.

BILD: ADOBE_STOCK

rosoft, OpenAI und Google zu umgehen. Durch „Jailbreaking“ bringen sie KI-Systeme dazu, verbotene Aufgaben wie das Schreiben von Malware oder das Erstellen von Phishing-Skripten auszuführen. Dies zeigt die enorme Verwundbarkeit aktueller KI-Systeme, die sich noch in einem experimentellen Stadium befinden.

Ein Prompt-Injection-Angriff nutzt die Schwäche großer Sprachmodelle aus, indem manipulierte Eingaben (Prompts) verwendet werden, um das Verhalten der KI zu beeinflussen und sie dazu zu bringen, unerwünschte oder schädliche Aktionen auszuführen. Diese Art von Angriff ähnelt der sozialen Manipulation von Menschen, bei der Vertrauen ausgenutzt wird, um die gewünschte Reaktion zu erhalten. Prompt-Injection-Angriffe können jedoch noch weitreichendere Folgen haben, wie etwa die Erstellung von Malware oder das Durchsickern sensibler Daten. Ein großes Problem ist, dass in KI-Systemen oft keine klare Trennung zwischen Eingabe und Programmierung besteht, was solche Angriffe erleichtert. Um solche Bedrohungen zu bekämpfen, müssen KI-Modelle kontinuierlich überwacht, Eingabedaten sorgfältig geprüft und menschliche Überprüfungen in sicherheitskritische Prozesse integriert werden.

Angriffe durch Datenvergiftung und Modelldiebstahl

Eine Herausforderung beim Einsatz von KI in der Cybersicherheit ist die potenzielle Manipulation der zugrunde liegenden Trainingsdaten, das „Data Poisoning“. Dabei schleusen Angreifer gezielt falsche oder manipulierte Daten in den Trainingsdatensatz ein, um das Modell so zu trainieren, dass es falsche Entscheidungen trifft. Insbesondere bei Machine-Learning-Modellen, die auf großen Mengen ungelabelter Daten basieren, kann diese Art von Angriff schwer zu entdecken sein. Der Angreifer muss nicht einmal einen signifikanten Anteil der Trainingsdaten verändern, eine kleine Menge „vergifteter“ Daten kann ausreichen, um die Zuverlässigkeit eines Modells zu untergraben.

Dies wird noch komplexer durch den Trend zu „Federated Learning“Architekturen, bei denen Modelle dezentral auf verschiedenen Geräten oder Systemen trainiert werden, ohne dass die Rohdaten selbst zentral gesammelt werden. Hier vergrößert sich der Angriffsvektor, da ein Angreifer nur einen oder wenige Teilnehmer im dezentralen Netzwerk kompromittieren muss, um das gesamte Modell zu beeinflussen. Hinzu kommt die Problematik der „Model Stealing Attacks“, bei denen Angreifer durch wiederholte Interaktion mit einem öffentlich zugänglichen Modell, zum Beispiel über die bereits erwähnten APIs, versuchen, das Modell selbst oder dessen Entscheidungslogik zu rekonstruieren. Dies ermöglicht es ihnen, das Modell lokal nachzubilden und dann gezielte Schwachstellenanalysen durchzuführen, ohne auf die eigentliche Infrastruktur des Opfers zugreifen zu müssen. Solche Angriffe können insbesondere in Cloud-Umgebungen, in denen KI-Modelle häufig als Service (MaaS, Model as a Service) bereitgestellt werden, zu einer kritischen Sicherheitslücke führen.

SELBST DIE KOMPLEXESTEN KI-MODELLE KÖNNEN VON HACKERN KOMPROMITTIERT WERDEN. BILD: ADOBE_STOCK

Ein weiterer Aspekt ist die Gefahr der „Model Inversion“. Hierbei greifen Angreifer auf die Ausgabe eines Modells zu und rekonstruieren aus diesen Daten potenziell sensible Informationen, die ursprünglich zur Erstellung des Modells verwendet wurden. Dies stellt insbesondere bei der Verarbeitung personenbezogener oder unternehmenskritischer Daten ein ernsthaftes Risiko dar. Angreifer können durch wiederholte Anfragen an ein KI-System personenbezogene Daten extrahieren, die im Modell versteckt sind, wie medizinische Daten, Kundeninformationen oder Geschäftsgeheimnisse.

Thomas Joos

Schützen Sie Ihre AD-Assests

Minimieren Sie moderne Active Directory-Bedrohungen effektiv, mit diesen wichtigen AD-Sicherheitsstrategien

HUMAN RISK MANAGEMENT: Mitarbeiter als stärkste VERTEIDIGUNG

Mitarbeiter sind die größte Angriffsfläche von Unternehmen. Allzu lang wurde die menschliche Komponente der Cybersicherheit vernachlässigt. Mitarbeitende sind trotz erheblicher Sicherheitsmaßnahmen und -technologien noch immer verwundbar. Sie stellen ein leichtes Ziel für Cyberkriminelle dar. Nach Angaben des VERIZON DATA BREACH INVESTIGATIONS REPORTS 2024 ist der Faktor Mensch an 68 Prozent der Datenschutzverletzungen beteiligt. Damit dies nicht so bleibt ist die Bestärkung des Menschen einer der wohl wichtigsten Hebel, den Unternehmen zur Verfügung haben, um Phishing und dadurch Cyberangriffe wirksam zu begegnen.

Starke Sicherheitskultur fördern

Die Entwicklung einer starken Sicherheitskultur geht über die traditionelle Sensibilisierungsschulung eines Security Awareness Trainings weit hinaus. Mit verschiedenen Inhalten wie auch Formaten können Mitarbeitende besser über Cyberrisiken informiert und aufgeklärt werden. Materialien wie Videos, Fotos, Poster aber auch Comics helfen bei der Vermittlung komplexer Themen und holen Mitarbeitende mit unterschiedlichen Interessen ab. Am Ende muss der Funken überspringen und zu einer

langfristigen Verhaltensveränderung führen. Wer einmal auf einen Phishing-Versuch hereinfällt, aber die roten Flaggen kennt und weiß, dass er die E-Mail an die ITAbteilung weiterleiten muss, wird es beim nächsten Mal besser machen. Wenn sich Mitarbeiter dann auch noch untereinander helfen und bestärken, dann entsteht eine Sicherheitskultur, die zu einem besseren Schutz des menschlichen Elements führt. Sogenannte Security Champions sind eine ideale Lösung, um als verlängerter Arm der Sicherheitsabtei lung

DR. MARTIN J. KRAEMER,

mit Rat und Tat bei schwierigen Themen zur Seite zu stehen. Diese sechs Schlüsselelemente unterstützten Sicherheitsteams und Security Awareness-Beauftragte beim Aufbau einer solchen stärkeren Sicherheitskultur:

1. Umfassende Schulung: Regelmäßige, ansprechende und aktuelle Sicherheitsschulungen, die ein breites Spektrum von Bedrohungen und bewährten Verfahren abdecken.

2. Realistische Simulationen: Phishing-Simulationen und andere Übungen, die reale Szenarien imitieren, helfen den Mitarbeitern, Bedrohungen zu erkennen und darauf zu reagieren.

3. Praktische Übungen am Arbeitsplatz: Integration von Sicherheitspraktiken in die täglichen Arbeitsabläufe, damit sicheres Verhalten zur Gewohnheit wird und nicht erst im Nachhinein entsteht.

4. Gemeinsame Verantwortung: Förderung eines Umfelds, in dem jeder für die Cybersicherheit verantwortlich ist, nicht nur die ITAbteilung.

5. Befähigung: Den Mitarbeitern die Werkzeuge an die Hand geben, die sie benötigen, um in ihrem Arbeitsalltag und im Privatleben gute Sicherheitsentscheidungen zu treffen.

6. Kontinuierliches Feedback: Zeitnahes, konstruktives und kontextbezogenes Feedback, um bewährte Verfahren zu stärken und verbesserungswürdige Bereiche anzusprechen.

Sicherheitskultur lässt sich auch messen. Allerdings müssen Unternehmen über die traditionellen Messgrößen wie Abschlussquoten von Schulungen oder Quiz-Ergebnisse hinausgehen. Sie alle bieten zwar einen guten Start, was ihnen jedoch fehlt ist die Messbarkeit langfristiger Verhaltensveränderung. Darüber hinaus lassen sie den Faktor vermissen, der für die Sicherheitslage des Unternehmens wichtig ist.

Wichtiger und besser eignen sich eine Messung des tatsächlichen Verhaltens mit entsprechenden Werkzeugen, die mit generativer KI arbeiten und bei der Entscheidungsfindung automatisch unterstützten. Sie helfen verdächtige EMails zu identifizieren, gefährliches Verhalten aufzuzeigen und Tipps zur Abhilfe zu geben. Die Anzahl der gemeldeten verdächtigen E-Mails ist eine gut messbare Größe. Wie oft bestimmte Sicherheitsverfahren angewendet wurden, ist eine weitere.

Anhaltspunkte zur weiteren Messung gibt Security Culture Maturity Model. KnowBe4 hat Milliarden von Datenpunkten aus Schulungskampagnen, Phishing-Simulationen und Mitarbeiterumfragen gesammelt. Bei dem Modell handelt es sich um ein evidenzbasiertes Framework für das Verständnis und das Benchmarking des aktuellen sicherheitsbezogenen Reifegrads einer Organisation, einer vertikalen Branche,

einer Region oder einer beliebigen messbaren Gruppe. Es gibt fünf Stufen, die vom niedrigsten bis zum höchsten Reifegrad reichen: grundlegende Compliance, Grundlage für Sicherheitsbewusstsein, programmatisches Sicherheitsbewusstsein und -verhalten, Management des Sicherheitsverhaltens und nachhaltige Sicherheitskultur.

Schlüsselfaktoren für die Verhaltensveränderung

Die Änderung von Verhaltensweisen und der Aufbau neuer Sicherheitsgewohnheiten ist ein schwieriger Prozess, der Zeit und konsequente Bemühungen erfordert. Der Erfolg hängt dabei von drei Schlüsselfaktoren ab:

• Überzeugung: Die Mitarbeiter müssen von der Bedeutung der Cybersicherheit und ihrer Rolle darin überzeugt sein.

• Fähigkeit: Sie brauchen das Wissen und die Fähigkeiten, um Bedrohungen zu erkennen und auf sie zu reagieren.

• Gelegenheit: Unternehmen müssen ein Umfeld schaffen, das sicheres Verhalten unterstützt und fördert.

Indem sie sich mit diesen Faktoren befassen, können Unternehmen eine Sicherheitskultur erschaffen, in der die Mitarbeitenden nicht nur mehr über Cybersicherheit wissen, sondern sich auch motiviert und befähigt fühlen, um aktiv zu ihrer Verteidigung beizutragen.

Fazit

Das menschliche Element wird zwar von Cyberkriminellen als größte Schwäche der Cybersicherheit eines Unternehmens angesehen, gleichzeitig ist sie jedoch auch das größte Asset für ihre Effektivität. Investieren und kultivieren Unternehmen diese Maßnahmen zu einer starken Sicherheitskultur, werden ihre Mitarbeitenden sich untereinander unterstützen und besser auf Cyberattacken vorbereitet sein. Aus der vermeintlichen größten Schwäche wird dann die größte Stärke.

DEEPFAKE -PROBLEMATIK DROHT ZU ESKALIEREN

INVASION

INVASION DER DIGITALEN DOPPELGÄNGER

MITTELS KÜNSTLICHER INTELLIGENZ (KI) KÖNNEN SELBST TECHNISCH WENIG VERSIERTE ÜBELTÄTER TEXTE, BILDER, AUDIO- UND VIDEOMATERIAL TÄUSCHEND ECHT MANIPULIEREN.

SOLCHE FÄLSCHUNGEN, DEEPFAKES GENANNT, EBNEN DEN WEG FÜR HOCH SKALIERBARES PHISHING UND SPEAR-PHISHING, FINANZBETRUG, IDENTITÄTSDIEBSTAHL UND DESINFORMATIONKAMPAGNEN. BESONDERS BRISANT:

AUF DEEPFAKE-ERKENNUNGSTECHNIK IST NICHT ZU 100 PROZENT VERLASS – UND AWARENESS-TRAININGS STOSSEN AN GRENZEN.

DAS WORLD ECONOMIC FORUM (WEF) STUFT „FALSCH- UND FEHLINFORMATIONEN“ ALS KURZFRISTIG DRÄNGENSTES RISIKO WELTWEIT

EIN. MITTELFRISTIG DOMINIEREN DIE RISIKEN DES KLIMAWANDELS. „CYBERUNSICHERHEIT“ SCHAFFT ES IN BEIDEN ZEITRAHMEN

UNTER DIE TOP TEN.

BILD: WORLD ECONOMIC FORUM: THE GLOBAL RISKS REPORT 2024, S. 11.

Im Spielfilmklassiker „Der Clou“ erleichtern zwei Kleinkriminelle, gespielt von Paul Newman und Robert Redford, einen Mafiaboss um 500.000 Dollar. Dazu inszenieren sie ein komplettes Wettbüro, inklusive Dutzender Komparsen, vorgeblichem Pferderennen-Informanten und fingierter Polizei-Razzia. Bei dieser werden die beiden vor den Augen des Betrogenen zum Schein erschossen, damit der Mafioso sie nicht verfolgt. Geschickt eingefädelt, aber recht aufwendig in der Orchestrierung.

Der Kriminelle von heute hat’s da leichter. Denn die IT-Branche hat ihm KI-Tools beschert. So kann er mit wenig Aufwand Deepfakes produzieren, also Aussehen, Stimme sowie Sprech- und Schreibstil von Menschen imitieren. Wettbüro, Komparsen, Informanten, Polizisten und nicht zuletzt Opfer und Täter selbst sind im Nu für eigene Zwecke zurechtgebogen. Und so rollt heute jene Angriffswelle heran, vor der Fachleute seit Jahren warnen: Eine Heerschar digital generierter Doppelgänger bedroht Unternehmen, Privatleute und letztlich – via Fake News, Kursmanipulation und Propaganda in sozialen Medien – sogar Wirtschaftsleben und Demokratie.

VON SYNTHETISCHEN MEDIEN

ZU DEEPFAKES

Schon seit den 1990er-Jahren arbeiten Forschende an KI-generierten Darstellungen von Menschen. Derlei synthetische Medien können auf vielerlei Weise nützlich sein. Beispiel: Durch KI-gestütztes Dolmetschen samt Synchronisation der Lippenbewegung sprechen Personen in Videokonferenzen scheinbar die Landessprache ihres Gegenübers. Und die kleine Emilia kommt vielleicht von der fünf in Englisch runter, wenn ihr nicht der strenge Lehrer, sondern ein Avatar von Taylor Swift das Present Perfect erklärt.

Doch wo neuer Nutzen lockt, da lauert neuer Missbrauch, im Fall synthetischer Medien also Deepfakes („Deep“ vom KI-Verfahren Deep Learning, „Fake“ = „Fälschung“). Im Web wimmelt es von DeepfakeTools und -Services, auf GitHub, 4Chan, 8Chan oder Reddit teilen Deepfake-Communities Quellcode und Tipps – und im Darkweb werden illegale Deepfake-Tools gehandelt. Laut dem Identitätsverifizierer Onfido haben Deepfake-Angriff im Jahr 2023 um 3.000 Prozent zugenommen.

IM DARKWEB BIETEN KRIMINELLE AKTEURE CHATBOTS AN, DIE ETHISCHE ODER RECHTLINE SCHRANKEN IGNORIEREN, IN DER REGEL ALS „JAILBREAK AS A SERVICE“-ANGEBOTE, ALSO DURCH AUSTRICKSEN OFFIZIELLER KI-SERVICES.

IM BILD DAS INTERFACE DES CYBERCRIME-CHATBOTS LOOPGPT.

KRIMINELLE KÖNNEN EIN KI-SPRACHMODELL MIT ÖFFENTLICHEN INFORMATIONEN ZU ZIELPERSONEN (HIER: ABGEORDNETE IM BRITISCHEN PARLAMENT) UND DEREN E-MAILKONTAKTDATEN FÜTTERN, UM AUTOMATISIERTSPEARPHISHING-MAILS ZU GENERIEREN.

BILD: MOZES, MAXIMILIAN ET AL.: USE OF LLMS FOR ILLICIT PURPOSES: THREATS, PREVENTION MEASURES, AND VULNERABILITIES, S. 6

BILD: TREND MICRO, „BACK TO THE HYPE: AN UPDATE ON HOW CYBERCRIMINALS ARE USING GENAI“, MAI 2024.

VERFAHREN DER

DEEPFAKE-ERSTELLUNG

Das KI-generierte Doppelgängertum unterteilt sich in visuelle (Bild oder Video), Audio- und Text-Deepfakes. Diverse Verfahren kommen zum Einsatz, hier die wichtigsten:

• Text-Deepfakes kennen wir alle von ChatGPT: Eine KI, die Shakespeare-Sonette zu beliebigen Themen verfasst, schreibt natürlich auch schöne Phishing-Mails. Geschickte Formulierung der Prompts, etwa als Rollenspiel, umgehen Limitierungen seitens des Betreibers OpenAI. Und „Jailbreak as a Service“-Angebote im Darkweb versprechen, ethische oder gesetzliche Schranken der offiziellen KI-Werkzeuge auszuhebeln, wie es Trend Micro in einem aktuellen Report beschreibt.

• Für Audio-Deepfakes gibt es zwei Ansätze: Bei Text-to-Speech erlernt eine KI Stimmprofile und kann so aus einem Text Audiosignale erzeugen, die sich wie Aussagen einer Zielperson anhören. Beim Voice-Cloning oder Voice-Swapping (Stimmentausch) erhält die KI eine Sprachaufzeichnung und konvertiert sie in die gewünschte Stimme.

• Beim Face-Swapping (Gesichtertausch) erlernt eine KI die Charakteristika von Gesichtern, erkennt diese dadurch in Bildern und kann so das vorhandene Gesicht durch das gewünschte ersetzen.

• Beim Face Reenactment erlernt eine KI die Mimik und Kopfbewegungen einer Person und kann so Face-Swapping auf Bewegtbilder ausdehnen. Per Lip-Sync (Lippensynchronisation) lassen Angreifer Personen in gefälschten Videos beliebige Texte sprechen.

• Synthetische Personen: Natürlich kann KI auch künstliche Personen schaffen, die in der realen Welt nicht existieren.

Um Deepfakes zu erstellen, sind zwei KI-Konzepte wichtig: Autoencoder lernen, aus dem Datenpool relevante Merkmale zu abstrahieren, um z.B. Gesichter oder Stimmen zu erzeugen. Generative Adversarial Networks (GANs) wiederum lassen zwei KIs gegeneinander antreten: Eine KI erzeugt z.B. ein möglichst realistisches Gesicht, die zweite versucht, dieses als KI-generiert zu entlarven. Dies trainiert die Erzeuger-KI darauf, die „Detektiv-KI“ zu überlisten (und umgekehrt).

SCHÖNER ANGREIFEN DANK KI

Deepfakes erleichtern es Kriminellen damit, altbekannte Angriffsvektoren mit deutlich weniger Aufwand zu bedienen – und durch neue Angriffsvarianten zu ergänzen. Für Privatpersonen rangieren die Deepfake-Risiken von Bauernfängerei bis zu „Revenge Porn“ (aus Rache erzeugtes pornografisches Material). So verbreiteten sich letzten Winter KI-generierte anzügliche Bilder des Popstars Taylor Swift rasant per Social Media. Und in puncto Betrug machte erst jüngst ein Fall Schlagzeilen , bei dem Prominente – der Politiker Friedrich Merz, SAP-Mitbegründer Dietmar Hopp und ARD-Experten – ein „revolutionäres“ Finanzprodukt zu bewerben schienen. Zugleich verschärfen Deepfakes einige Risiken für Unternehmen:

• Phishing: Mit erfolgreichem Phishing beginnen die meisten Kompromittierungen von Unternehmensnetzen. Text-Deepfakes lassen Phishing-Mails deutlich realistischer erscheinen. Und packt der Angreifer ein wenig Recherche zum Zielunternehmen dazu, droht sogar semi-automatisiertes Spear-Phishing.

• Business E-Mail Compromise (BEC): Eine Mail, die scheinbar vom Chef kommt, fordert z.B., Betrag X dringend auf das Konto Y zu überweisen. Deepfakes machen diese Betrugsvariante glaubwürdiger. Auch können Angreifer Mails mit Audio- oder Video-Messages anreichern oder ersetzen, um der Forderung Nachdruck zu verleihen.

• Social Engineering: Bei Telefonaten oder Videokonferenzen imitieren Kriminelle einen Vorgesetzten (CEO Fraud), etwa für Finanzbetrug oder Industriespionage.

• Aushebeln von Biometriesystemen: Insbesondere Finanzinstitute, die für Transaktionen auf Stimmerkennung oder Video-Identifikation setzen, sind anfällig für Voice-Cloning und Face-Reenactment.

• Fake Reviews: Angreifer „beweisen“ mit Fake-Videos z.B. angebliche Fehlfunktionen von Produkten. Dann steht der Hersteller in der Pflicht, das als Fälschung zu entlarven.

• Verleumdung: Legen Angreifer einem Manager oder Vorstand Ungebührliches in den Mund, kann dies dem Ruf der Person und des Unternehmens schaden, bis hin zu Börsenverlusten.

• Desinformationskampagnen: Verbreiten staatsnahe Akteure kurz vor Wahlen Deepfake-Desinformation, kann dies deren Ausgang beeinflussen – mit Konsequenzen nicht nur für die Bevölkerung, sondern auch für Unternehmen.

IM DARKWEB FINDEN

SICH ETLICHE DEEPFAKE-ANGEBOTE, IM BILD SOFTWARE FÜR VIDEOKONFERENZDEEPFAKES.

BILD: TREND MICRO, „SURGING HYPE: AN UPDATE ON THE RISING ABUSE OF GENAI“, JULI 2024.

RISIKEN: FINANZBETRUG UND

INFILTRATION

Letzthin häufen sich Berichte über Deepfake-Angriffe auf Unternehmen. Der wohl spektakulärste Fall: Anfang des Jahres überwies ein Buchhalter der Bauingenieurfirma Arup nach einer Videokonferenz mit dem CFO und diversen Kollegen insgesamt etwa 25,6 Millionen USDollar (23,2 Mio. Euro). Der Mitarbeiter war anfangs skeptisch, ließ sich aber durch das Online-Meeting überzeugen. Womit er nicht rechnete: Alle Teilnehmer der Konferenz außer ihm selbst waren Deepfakes .

Neben Finanzbetrug wächst durch KI-Doppelgänger auch das Risiko der Infiltration eines Unternehmens zwecks Spionage, Sabotage etc. Einen aktuellen Fall dieser Art schildert SecurityAwareness-Spezialist KnowBe4 auf seiner Website: KnowBe4 suchte einen Softwareingenieur für sein KI-Team. Der fragliche Bewerber durchlief den Einstellungsprozess inklusive Hintergrundchecks und Video-Interviews problemlos. Doch kaum eingestellt, begann er, unerlaubte Software auf sein Firmen-Notebook zu laden. Als das SOC-Team das bemerkte und ihm telefonischen Support anbot, verschwand er vom Radar. Der Neue stellte sich als Spion aus Nordkorea heraus. Er hatte eine US-Identität gestohlen und das Bild mittels KI an sein Aussehen angepasst. „Das ist ein wohlorganisierter, staatlich finanzierter, großer Ring Krimineller mit umfangreichen Ressourcen“, warnt CEO Stu Sjouwerman auf dem KnowBe4-Blog Bedenklich: Wenn

einem Security-Awareness-Spezialisten so etwas passieren kann, dann ist kein Unternehmen davor gefeit. Zum Glück zog in diesem Fall ein wachsames SOC-Team die Notbremse.

Längst nicht jeder Deepfake-Angriff gelingt. So erhielt kürzlich ein Ferrari-Manager WhatsApp-Messages, scheinbar von Ferrari-CEO Benedetto Vigna und zu einer vertraulichen Übernahme. Der Austausch mündete in einem Telefonat, bei dem der Betrüger Vignas süditalienischen Akzent offenbar mittels KI täuschend echt imitierte. Doch Unstimmigkeiten in der Sprechweise ließen den Ferrari-Manager misstrauisch werden. Deshalb fragte er sein Gegenüber nach einer Buchempfehlung, die Vigna ihm kürzlich gegeben hatte. Und schon war der Anruf beendet.

MASSNAHMEN GEGEN DEEPFAKES

Die Beispiele zeigen: Sofern nicht schon geschehen, ist es höchste Zeit, Deepfakes in Awareness-Trainings aufzunehmen. Das BSI und verschiedene Security-Anbieter geben Tipps, an welchen Unstimmigkeiten man Deepfakes erkennt. Ein Rat ist z.B., das Gegenüber in einer Videokonferenz zu bitten, den Kopf zur Seite zu drehen. Denn Deepfake-KIs werden oft nur mit Frontalansichten geschult, die Seitenansicht erscheint dadurch unscharf.

Das Problem: KI- und damit Deepfake-Technik entwickelt sich rasant fort. Daher kann der geniale detektivische Kniff von heute schon in einem Jahr oder gar nur einem Quartal veraltet sein und Beschäftigte in falscher Sicherheit wiegen.

Verschiedene Anbieter offerieren Services für eine automatisierte Deepfake-Erkennung. Doch laut aktueller Forschung von Kaur et al. arbeitet keines der Verfahren wirklich zuverlässig. Schließlich ist es – siehe oben – das Grundprinzip der GANs, sich der Erkennung als Deepfake zu entziehen. Dies führt zum üblichen Hase-und-Igel-Rennen zwischen Abgriff und Abwehr –aber im Alltag eben oft in Situa -

BILD 5: SPEZIALISTEN WIE Z.B. REALITYDEFENDER BIETEN SERVICES, UM DEEPFAKES ALS SOLCHE ZU ENTLARVEN. DAS ERGEBNIS GEBEN SOLCHE DIENSTE ALS WAHRSCHEINLICHKEITSSCORE AUS. BILD: WWW.REALITYDEFENDER.COM

tionen, in denen die Betrüger Zeitdruck erzeugen („Die geheime Übernahme muss heute noch durchgehen!“). Eine Deepfake-Erkennung kann aber dauern, wie Kaur et al. anmerken. Zudem kritisieren sie das Fehlen eines allgemein anerkannten Standards, um die Effektivität von Deepfake-Erkennungsangeboten zu bewerten.

Weitere Abwehransätze sind kryptografisch verifizierte Quellennachweise für Inhalte sowie Wasserzeichen. Doch beides ist aufwendig, der zweite Ansatz zudem fälschungsanfällig. Fachleute raten jedenfalls zu folgenden Vorgehensweisen:

Unternehmen, die zur Identitätsprüfung allein Audio- oder VideoBiometrie nutzen, sollten dies um Mehr-Faktor-Authentifizierung (MFA) ergänzen bzw. zu MFA zurückkehren. Awareness-Schulungen sollten auf Deepfake-Gefahren hinweisen, zudem auf die Möglichkeiten, aber auch die Grenzen der Erkennung. „Anwender sollten wissen: Wenn man auf den kleinsten ‚Glitch in der Matrix‘ stößt, muss man zurücktreten, durchatmen, bewerten“, rät Thorsten Rosendahl, Technical Leader bei Cisco Talos in Deutschland. Das Credo muss also lauten: Immer den gesunden Menschenverstand einschalten und im Zweifel kritisch rückfragen – am besten natürlich über einen anderen Kanal als den vom potenziellen Betrüger gewählten.

3. Für Rückfragen auf Entscheiderebene empfehlenmanche Security Fachleute Codewörter oder Passphrasen, die nur dieser Personekreis kennt. Oft hilft, wie im Fall von Ferrari, schon ein enges persönliches Miteinander im „richtigen“ Leben.

4. Erforderlich ist letztlich eine Security-Kultur im Unternehmen, in der es explizit erwünscht ist, beim leisesten Zweifel Rückfragen zu stellen. Das Aufdecken eines DeepfakeAngriffs darf nicht daran scheitern, dass Beschäftigte sich nicht trauen, Vorgesetzte schnell mal zu kontaktieren.

FAZIT: WACHSAM BLEIBEN!

Deepfakes bergen extrem hohes Schadenspotenzial. Damit ist nicht nur, wie im Fall Arup, finanzieller Schaden gemeint. Vielmehr untergraben Deepfakes das Vertrauen in das, was wir sehen, hören und zu kennen glauben. Wir alle müssen uns auf diese neue Realität einstellen und unsere Achtsamkeit trainieren – trotz multimedialer ContentÜberflutung und im oft hektischen Alltag. Wir sollten stets bereit sein zu hinterfragen: Braucht mich der Chef wahrhaftig für die geheime Akquisition? Verrät mir allen Ernstes der SAP-Mitgründer sein Anlagegeheimnis? Empfiehlt mir tatsächlich Robert Redford diese Pferdewette? Und rät mir wirklich – mit vertraut-verräusperter Stimme – der echte Darth Vader zum super-innovativen Vaterschaftstest? Der Rest ist ein Wettlauf zwischen Deepfake-Hase und Forensik-Igel.

Dr. Wilhelm Greiner

„Anwender sollten wissen: Wenn man auf den kleinsten ‚Glitch in der Matrix‘ stößt, muss man zurücktreten, durchatmen, bewerten“, rät Thorsten Rosendahl von Cisco Talos.

DIE ETHISCHEN IMPLIKATIONEN DES EINSATZES VON KI-GESTÜTZTER BILDERKENNUNGSTECHNOLOGIE BEI DER ERSTELLUNG VON DEEP-FAKEBILDERN BILD: ADOBE_STOCK/ PAIRAT

VS LOOKOUT

die moderne KillChain: :

Datensicherheitauf der U berholspur

Cyber-Angreifer wissen, je länger sie sich durch die Kill Chain arbeiten, desto wahrscheinlicher ist es, dass Systemadministratoren ihren Angriff verhindern. Als Folge aktualisieren Bedrohungsakteure ständig ihre TTPs (Taktiken, Techniken und Verfahren).

In der modernen Kill Chain verlassen sich bösartige Akteure nicht auf Malware oder schwachstellenbasierte Angriffe. Stattdessen nutzen sie Social-Engineering-Taktiken, um Mitarbeiter davon zu überzeugen, gefälschte PasswortAnmeldeseiten zu besuchen. Sie schaffen auch ein Gefühl der Dringlichkeit, um ihre Chancen zu erhöhen, legitime Benutzeranmeldedaten zu erhalten. Sobald sie sich angemeldet haben, können die Angreifer schnell in kritische

Systeme eindringen und sensible Daten infiltrieren.

Diese Taktiken haben die Dauer der Cyber-Kill-Chain erheblich beschleunigt. Bedrohungsakteure benötigen nur noch eine Stunde, um einen Angriff durchzuführen, der früher Monate dauerte.

Sie müssen die Sicherheitslage Ihres Unternehmens anpassen, um wachsam zu bleiben und solche Angriffe abzuwehren. Ihr Sicherheitsteam muss außerdem Taktiken anwenden, die es ihm ermöglichen, schnell auf einen Verstoß zu reagieren und den Schaden so weit wie möglich zu begrenzen.

Lookout rät, durch eine Sicherheitsstrategie mit integrierten

CYBERANGRIFFE, DIE FRÜHER MONATE

DAUERTEN, DAUERN HEUTE

WENIGER ALS EINE STUNDE.

GREIFEN SIE MIT EINER

DATENZENTRIERTEN

SICHERHEITSSTRATEGIE

NOCH SCHNELLER EIN.

Schutzmaßnahmen auf diese verbesserte Sicherheitslage hinzuarbeiten. Diese Art von Strategie nutzt einen datenzentrierten Ansatz, um alle Geräte und Netzwerkzugangspunkte in Ihrer gesamten Infrastruktur zu schützen. Lookout verfolgt einen dreistufigen Ansatz:

● Social Engineering verhindern: Böswillige Akteure nutzen mobile Endgeräte als Einfallstor für breitere Zugriffe. Die Anzahl der Angriffe auf mobile Geräte hat sich im letzten Jahr mehr als verdreifacht. Setzen Sie daher Tools ein, die URLs zum Diebstahl von Anmeldedaten auf

mobilen Geräten blockieren können, um zu verhindern, dass solche Angriffe erfolgreich sind.

● Schutz vor systematischen Angriffen: Angreifer werfen ein weites Netz aus und senden Smishing-Versuche an Dutzende - oder sogar Hunderte - von Mitarbeitern in einem einzigen Angriff. Setzen Sie Tools ein, die Ihre Mitarbeiter effizient warnen und gleichzeitig die Authentifizierungsanforderungen erhöhen und kritische Infrastrukturen blockieren, bis Sie sicher sind, dass die Bedrohung vorüber ist.

● Automatische Sicherheitsreaktion: Zeit ist von großer Bedeutung, und eine manuelle Reaktion ist nicht schnell genug. Implementieren Sie automatische Tools, die anomale Datenzugriffe und -abrufe erkennen, um weitere Downloads zu verhindern. Kombiniert mit automatischen Verschlüsselungs- und Schwärzungsfunktionen schränken Sie die Möglichkeiten des Angreifers ein, die gestohlenen Daten zu verwenden.

Wenn ein Angriff in weniger als sechzig Minuten erfolgen kann, müssen Sie alle verfügbaren Funktionen in Einklang bringen, um Ihre Infrastruktur zu schützen. Eine Lösung, die Ihnen dabei hilft, alle Bereiche abzusichern, bietet die besten Erfolgsaussichten gegen Angriffe.

Lookout nutzt die weltweit größte Threat-Intelligence-Datenbank, um Unternehmensdaten, Geräte und Benutzer in der aktuellen Bedrohungslandschaft zu schützen.

Besuchen Sie de.lookout.com , um mehr zu erfahren.

Eine datenzentrierte Sicherheitsstrategie ist die beste Verteidigung gegen moderne Bedrohungen.

Sascha Spangenberg Global MSSP Solution Architect Lookout

ANGREIFER NUTZEN BEREITS KÜNSTLICHE INTELLIGENZ UND HABEN DIE NASE VORN

UNTERNEHMEN MÜSSEN BEI DER CYBERABWEHR AUF KI SETZEN!

KÜNSTLICHE INTELLIGENZ IST ZU EINEM

GÄNGIGEN WERKZEUG FÜR CYBERKRIMINELLE

GEWORDEN. CYBERKRIMINELLE HABEN DAMIT EINEN KLAREN VORSPRUNG GEGENÜBER UNTERNEHMEN. DAHER IST ES FAST UNERLÄSSLICH, DASS SICH AUCH ADMINISTRATOREN UND IT-EXPERTEN IN UNTERNEHMEN MIT KI IM BEREICH DER CYBERSICHERHEIT BESCHÄFTIGEN.

KI kann ein mächtiges Werkzeug sein, um sich vor Cyberangriffen zu schützen, sich auf die Analyse von Sicherheitsdaten vorzubereiten oder sich in diesem Bereich weiterzubilden. Der Einsatz von KI als Lernhilfe im Bereich Cybersicherheit und Hacking bietet erhebliche Vorteile. Der Einsatz von KI ermöglicht es, Lernpläne zu erstellen, Wissenslücken zu erkennen und gezielt zu schließen sowie umfangreiches Lernmaterial effizienter zu verarbeiten. KI-Modelle können auch Wissen durch interaktive Abfragen testen.

Durch den Einsatz von KI können außerdem Routineaufgaben im Sicherheitsbetrieb automatisiert werden, so dass sich Sicherheitsteams auf komplexere Aufgaben konzentrieren können. Darüber hinaus beschleunigt KI das Lernen im Bereich der Cybersicherheit, indem sie eine schnelle Analyse von Informationen ermöglicht und den Zugang zu benötigtem Wissen erleichtert. Die Fähigkeit, mithilfe von KI ständig neue Bedrohungen zu analysieren, wird zunehmend zu einer Schlüsselkompetenz im Bereich der Cybersicherheit.

Bedrohungserkennung und -abwehr in Echtzeit

Eine der Hauptstärken der KI im Bereich der Cybersicherheit ist ihre Fähigkeit, große Datenmengen in Echtzeit zu analysieren und Bedrohungen zu erkennen, die für menschliche Analysten möglicherweise schwer zu identifizieren sind oder deren Identifizierung zeitaufwändig ist und Kapazitäten bindet. Herkömmliche Sicherheitslösungen basieren in der Regel auf signaturbasierten Methoden, die manchmal nur bekannte Angriffe erkennen können. KI hingegen nutzt maschinelles Lernen (ML) und Deep Learning, um auch unbekannte oder neuartige Bedrohungen zu identifizieren, indem sie verdächtige Muster und Anomalien im Netzwerkverkehr oder in Protokolldateien analysiert.

Diese Fähigkeit der KI wird durch Intrusion Detection und Intrusion Prevention Systeme (IDS/IPS) unterstützt, die mithilfe von ML-Modellen das Verhalten im Netzwerk kontinuierlich überwachen. KI-basierte Systeme erkennen abweichende Muster im Nutzerverhalten, ungewöhnliche Datenströme oder atypische Zugriffe auf sensible Daten. Diese Anomalien können auf einen potenziellen Angriff hinweisen, beispielsweise durch Ransomware, Advanced Persistent Threats (APT) oder Insider-Bedrohungen. Durch die kontinuierliche Überwachung in

Echtzeit können Sicherheitsvorfälle frühzeitig erkannt und abgewehrt werden, bevor sie größeren Schaden anrichten.

Ein weiterer Bereich, in dem KI in der Cybersicherheit sinnvoll eingesetzt werden kann, ist die Bedrohungsanalyse und das Schwachstellenmanagement. Herkömmliche Sicherheitslösungen erfordern oft manuelle Eingriffe, um Schwachstellen in Systemen oder Anwendungen zu identifizieren. KI-basierte Systeme hingegen können kontinuierlich nach potenziellen Schwachstellen suchen und diese automatisch bewerten. So können automatisch Schwachstellenberichte erstellt und Vorschläge zur Behebung von Sicherheitslücken gemacht werden. Dies entlastet Sicherheitsteams, die sich sonst manuell durch große Datenmengen arbeiten müssten, und ermöglicht ein effizienteres Schwachstellenmanagement.

Darüber hinaus kann KI für „Threat Intelligence“-Analysen eingesetzt werden. Dabei handelt es sich um die systematische Sammlung und Analyse von Informationen über aktuelle Bedrohungen. KI-basierte Systeme können auf externe Bedrohungsdatenbanken zugreifen und diese mit unternehmensinternen Daten korrelieren, um ein umfassendes Bild der aktuellen Bedrohungslage zu erhalten. Unternehmen erhalten so umfassende Informationen über mögliche Angriffsvektoren und können proaktiv Maßnahmen ergreifen, um sich vor potenziellen Angriffen zu schützen.

Automatische Reaktionen auf Sicherheitsvorfälle

Neben der Erkennung von Bedrohungen ermöglicht KI auch die Automatisierung von Reaktionen auf Sicherheitsvorfälle. Dies ist insbesondere in Security Operations Centers (SOCs) von Bedeutung, da die große Anzahl von Sicherheitswarnungen häufig zu einer Überlastung der Sicherheitsteams führt. KI kann helfen, diese Warnungen zu priorisieren, indem sie die Schwere der Bedrohung anhand historischer Daten und Verhaltensmuster bewertet.

Moderne Lösungen wie Microsofts Security Copilot oder ähnliche KI-basierte Plattformen gehen noch einen Schritt weiter, indem sie automatische Gegenmaßnahmen einleiten. Die KI kann beispielsweise auf verdächtige Aktivitäten reagieren, indem sie kompromittierte

Benutzerkonten sperrt, Firewall-Regeln anpasst oder den Netzwerkzugang einschränkt, um eine Ausbreitung des Angriffs zu verhindern. Die Automatisierung dieser Prozesse verkürzt die Reaktionszeiten erheblich und ermöglicht es den Sicherheitsteams, sich auf komplexere Bedrohungen zu konzentrieren.

KI als Treiber für proaktive CyberSicherheitslösungen

Künstliche Intelligenz stellt also nicht nur eine potenzielle Bedrohung dar, sondern bietet auch immense Vorteile für die Cybersicherheit. Insbesondere in den Bereichen Automatisierung und Datenanalyse kann KI einen großen Unterschied machen. Durch maschinelles Lernen können große Datenmengen effizienter analysiert und Anomalien oder Muster schneller erkannt werden, was für die Erkennung von Bedrohungen unerlässlich ist. KI hilft auch, Prozesse wie die Zusammenfassung von Vorfällen oder die Erstellung von Notfall-Playbooks zu automatisieren, was die Reaktionszeit bei Sicherheitsvorfällen erheblich verkürzt.

Ein weiteres Anwendungsgebiet ist die generative KI, die hypothetische Angriffsszenarien erstellt, um Sicherheitslücken proaktiv zu identifizieren. Diese Fähigkeit zur Vorhersage und Hypothesenbildung ermöglicht es Sicherheitsteams, Bedrohungen zu antizipieren, anstatt nur auf Vorfälle zu reagieren. Da die Bedrohung durch Cyberangriffe ständig zunimmt, wird der proaktive Einsatz von KI zu einem zentralen Bestandteil aktueller Sicherheitsstrategien.

KI LÄSST SICH ZUM ERSTELLEN VON HILFSMASSNAHMEN

FÜR DIE BEKÄMPFUNG VON RANSOMWARE NUTZEN. BILD: JOOS

Chatbots helfen bei der Log-Analyse

Chatbots wie ChatGPT können eingesetzt werden, um Logdateien und Firewall-Logs auf verdächtige Aktivitäten hin zu analysieren. Dies ermöglicht sowohl erfahrenen Experten als auch unerfahrenen Administratoren eine effiziente Suche in unvollständigen oder komplexen Daten. Durch die Eingabe von Protokollteilen in natürlicher Sprache kann

ChatGPT TCP-Verbindungen, blockierte Verbindungen und IP-Adressen erkennen und bei Bedarf Empfehlungen zur Firewall-Konfiguration geben.

Nach Cyberattacken wie Ransomware bietet

ChatGPT auf Wunsch strukturierte Vorgehensweisen und erste Hilfestellungen zur Schadensbegrenzung. Große Logfiles können mit Hilfe von Plugins analysiert werden. ChatGPT unterstützt die Erkennung von Phishing-E-Mails, indem Texte analysiert und verdächtige Inhalte erkannt werden. KI liefert Vorschläge zur Verbesserung der Sicherheitsinfrastruktur und bietet eine schnelle und flexible Möglichkeit zur Fehlererkennung und Bedrohungsanalyse.

Generative KI kann in der Cybersicherheit effektiv eingesetzt werden, insbesondere für Aufgaben wie Risikoanalyse und Schwachstellenerkennung. Experten empfehlen jedoch, die generierten Ergebnisse mit Expertenwissen abzugleichen, da KI häufig Schätzungen auf der Grundlage von Wahrscheinlichkeiten abgibt. KI-Tools wie AWS CodeWhisperer helfen bei der Automatisierung der Codeentwicklung, steigern die Produktivität und unterstützen bei sicherheitsrelevanten Aufgaben, während die menschliche Kontrolle die sichere Nutzung gewährleistet.

Auf IT-Sicherheit spezialisierte

LLMs bieten Mehrwert

Natürlich sind Chatbots wie ChatGPT geeignet, um Logdateien von Firewalls und andere Informationen zu analysieren. Allerdings sind die zugrunde liegenden LLMs nicht für Sicherheitsfragen optimiert. Wenn Unternehmen daher zusätzlich LLMs einsetzen, die auf die Analyse von sicherheitsrelevanten Protokollen und Informationen spezialisiert sind, wird die Nutzung noch effizienter. Ein aktuelles Beispiel ist der Microsoft Copilot for Security.

KI KANN DABEI

HELFEN PROTOKOLLE ZU ANALYSIEREN. BILD: JOOS

ERKENNEN VON PHISHINGE-MAILS MIT KI. BILD: JOOS

MICROSOFT COPILOT FÜR SECURITY UNTERSTÜTZT UNTERNEHMEN MIT KI GEGEN CYBERATTACKEN. BILD: JOOS

Dabei handelt es sich um einen KI-basierten Assistenten, der IT-Administratoren bei der Bekämpfung von Cyberangriffen wie Ransomware oder Phishing unterstützt, indem er Informationen aus verschiedenen Datenquellen und Microsoft-Sicherheitstools zusammenführt. Die Plattform lässt sich nahtlos in bestehende Microsoft-Produkte wie Defender XDR und Intune integrieren, um Sicherheitsrichtlinien zu verwalten, die Konformität von Geräten zu überprüfen und Vorfälle zu analysieren. Administratoren können Abfragen in natürlicher Sprache stellen, zum Beispiel zu verdächtigen Aktivitäten oder zum Benutzerstatus, und erhalten schnell detaillierte Analysen, die automatisierte Gegenmaßnahmen auslösen können.

MICROSOFT COPILOT

FÜR SECURITY KANN

DATEN AUS VERSCHIEDENEN QUELLEN ANBINDEN UND MIT KI ANALYSIEREN.

BILD: JOOS

Die Hauptstärke des Systems liegt in seiner Fähigkeit, große Datenmengen zu korrelieren, um Bedrohungen in Echtzeit zu erkennen und zu stoppen. So kann Copilot beispielsweise verdächtige Anmeldeversuche von verschiedenen geografischen Standorten als mögliche Ransomware-Angriffe identifizieren und sofort darauf reagieren. Automatisierte Berichte und Bedrohungsanalysen beschleunigen die Reaktionszeiten und verbessern die Kommunikation zwischen technischen und nicht-technischen Teams. Insbesondere für große Unternehmen mit komplexen IT-Infrastrukturen bietet Copilot for Security eine zentrale Plattform, um Bedrohungsinformationen zu bündeln und Sicherheitsvorfälle schneller und effizienter zu bewältigen. Auch kleinere Unternehmen könnten in Zukunft von der Technologie profitieren, sobald die Kostenstruktur angepasst ist.

Automatisierte Compliance-Überwa -

chung und Unterstützung bei der Abwehr von Insider-Bedrohungen

Im Bereich der Cybersicherheit spielen regulatorische Anforderungen und Compliance eine entscheidende Rolle. Viele Unternehmen sind verpflichtet, strenge Sicherheitsstandards einzuhalten und regelmäßige Audits durchzuführen. Die Einhaltung dieser Standards erfordert oft umfangreiche manuelle Prüfungen und Dokumentationen, die zeitaufwändig und fehleranfällig sein können.

KI kann diese Prozesse automatisieren, indem sie den Compliance-Status eines Unternehmens kontinuierlich überwacht und Abweichungen von den festgelegten Richtlinien erkennt. Durch den Einsatz von KI können Unternehmen sicherstellen, dass sie den aktuellen Sicherheitsanforderungen entsprechen, ohne dass umfangreiche manuelle Prüfungen erforderlich sind. Dies erhöht nicht nur die Effizienz, sondern minimiert auch das Risiko von Compliance-Verstößen.

Insider-Bedrohungen, also Angriffe, die von Mitarbeitern oder ehemaligen Mitarbeitern eines Unternehmens ausgehen, sind besonders schwer zu erkennen. Dabei kann es sich um vorsätzliche Sabotage, Datenmissbrauch oder unbewusste Sicherheitsverletzungen handeln. KI-basierte Systeme können in diesem Bereich ungewöhnliche Benutzeraktivitäten überwachen und verdächtige Verhaltensmuster identifizieren.

Durch die Analyse von Verhaltensdaten und die Anwendung von Anomalieerkennung können KI-Systeme potenzielle Insider-Bedrohungen frühzeitig erkennen. Beispielsweise kann ein plötzlicher Anstieg der Datenübertragungen von einem bestimmten Benutzerkonto oder der Zugriff auf vertrauliche Informationen, die normalerweise nicht im Verantwortungsbereich des Benutzers liegen, auf eine Insiderbedrohung hindeuten. Durch die Automatisierung dieser Überwachung können Sicherheitsteams schneller auf potenzielle Bedrohungen reagieren.

Thomas Joos

SELBST DIE KOMPLEXESTEN KI-MODELLE KÖNNEN VON HACKERN KOMPROMITTIERT WERDEN. BILD: ADOBE_STOCK

CYBERSECURITY

HUMAN RISK MANAGEMENT

CYBER SICHERHEITS KONZEPTEN

DIE AKTUELLE BEDROHUNGSLANDSCHAFT BRINGT HERKÖMMLICHE CYBERSECURITYSTRATEGIEN AN DIE GRENZEN. HUMAN RISK MANAGEMENT (HRM) ERGÄNZT BESTEHENDE KONZEPTE UM DIE

VERWALTUNG NUTZERBEZOGENER RISIKEN UND ERLEICHTERT SO DIE EINHALTUNG NEUER GESETZLICHER VORGABEN WIE NIS-2.

MIMECAST VERSTÄRKT SEIN ENGAGEMENT IM HRM-BEREICH DURCH STRATEGISCHE ÜBERNAHMEN.

Eine neue, entscheidende Säule des Cybersicherheitsmanagements gewinnt an Bedeutung: Human Risk Management (HRM). HRM zielt darauf ab, Risiken zu identifizieren und zu mindern, die sich aus dem Verhalten von Nutzern und deren individueller Anfälligkeit für Cyberangriffe ergeben.

Zweck und Nutzen von Human Risk Management (HRM)

Viele Angriffe wie Phishing oder Business-E-Mail-Compromise (BEC) nutzen menschliches Fehlverhalten aus. Bestimmte Mitarbeiter sind auch schlicht durch ihre Position und ihren Zugriff auf Informationen einem höheren Risiko für Angriffe ausgesetzt. Mit HRM können Unternehmen diese Schwachstellen gezielt angehen. Das Konzept geht über traditionelle Security Awareness-Programme hinaus, indem es spezifische Risikoprofile erstellt und maßgeschneiderte Schulungen sowie zusätzliche Schutzmaßnahmen vorschlägt. So wird es möglich, Mitarbeiter gezielt und individuell zu schützen und zu schulen.

HRM und die Einhaltung neuer Vorschriften wie NIS-2 Mit steigender Komplexität der Bedrohungslandschaft kommt es zur Verschärfung gesetzlicher Anforderungen. Die NIS-2Direktive der Europäischen Union ist ein aktuelles Beispiel dafür, wie Regulierung die Cybersicherheit stärken soll.

HRM erleichtert Unternehmen auch die Einhaltung solcher Vorschriften. Durch die systematische Erfassung und Analyse von Nutzerdaten ermöglicht HRM eine schnelle Identifizierung und Reaktion auf Vorfälle, was essenziell ist, um die strengen Dokumentations- und Meldepflichten sowie Reaktionszeiten der NIS-2-Direktive und anderer Regelwerke zu erfüllen.

HRM ist die bislang fehlende Säule des Cybersicherheitsmanagements

Traditionelle Ansätze konzentrieren sich oft auf technische Maßnahmen wie Firewalls, Antivirenprogramme und Intrusion Detection Systeme. Diese Strategien greifen jedoch zu kurz, sie

konzentriert sich auf den kritischen Moment des Risikos - eine Person, die ihren Laptop aufklappt“.

Marc

van Zadelhoff,

CEO von Mimecast.

sind fragmentiert und berücksichtigen die menschliche Komponente nicht angemessen. HRM schließt diese Lücke auf Basis fortschrittlicher, datenbasierter Analysen und vervollständigt bisherige Abwehrkonzepte mit Blick auf aktuelle Bedrohungen.

Bei Mimecast hat man die Bedeutung des Ansatzes für die nächste Generation der Cybersicherheit erkannt.

gen zur Abwehr von Insider-Bedrohungen und Datenverlusten, die Reaktionszeiten verkürzen.

FAZIT

Der Übernahme des HRM-Anbieters Elevate Security folgte kürzlich die strategische Akquisition von Code42. Code42 bietet Lösun -

Human Risk Management (HRM) vervollständigt Cybersicherheitsstrategien. Es bietet Einblicke in nutzerbezogene Risiken und erleichtert die Einhaltung von Vorschriften. Die oft übersehene menschliche Komponente der Sicherheitskette wird so angemessen einbezogen und stärkt die Cyberresilienz von Unternehmen erheblich.

Befähigen Sie Ihre Belegschaft, jeden Tag klügere Sicherheitsentscheidungen zu treffen

KnowBe4 reduziert die Anfälligkeit Ihrer Nutzer für Phishing-Angriffe um 82%

Messen, Überwachen und Mindern Sie menschliche Risiken

KI-gestützte Schulungen zur Sicherheitssensibilisierung und simuliertes Phishing

Beseitigen Sie bösartige E-Mails mit PhishER Plus

Coachen Sie Nutzer in Echtzeit mit SecurityCoach Sicherheitsschulungunterwegs –Mobiles Lernen jederzeit und überall

WÄHREND VERNETZTE PRODUKTIONSSYSTEME IMMER EFFIZIENTER WERDEN, ERHÖHT SICH AUCH DAS RISIKO: EIN GEZIELTER CYBERANGRIFF AUF KRITISCHE MASCHINENSTEUERUNGEN KANN

DIE GANZE FERTIGUNG LAHMLEGEN – MIT KATASTROPHALEN FOLGEN FÜR DAS UNTERNEHMEN.

IT-SECURITY FÜR IIOT- UND OT-SYSTEME

LEICHTES SPIEL FÜR

HACKER AM

SHOPFLOOR

OT-Systeme, die kritische Prozesse in maschinellen Anlagen steuern, sind in den verschiedensten Branchen von der industriellen Produktion über Heizungs-, Lüftungs- und Klimaanlagen (HLK) in Gebäuden bis hin zur Wasserversorgung und zu Kraftwerken weit verbreitet. Sie ermöglichen die Kontrolle über wichtige Parameter wie beispielsweise Geschwindigkeit, Drücke, Luftfeuchtigkeit und Temperatur. Das Problem dabei, diese Systeme sind meist gegen Hackerangriffe nur dürftig geschützt.

BILD: ADOBE_STOCK

Mit einem erfolgreichen Angriff auf ein OT-System erzwingen sich Hacker die Kontrolle über kritische Parameter und nehmen böswillige Manipulationen vor, die zu kostspieligen Fehlfunktionen oder sogar ruinösen Komplettausfällen führen können. Dies ist entweder programmgesteuert über die speicherprogrammierbare Steuerung (SPS) möglich oder mithilfe der grafischen Bedienelemente der Mensch-Maschine-Schnittstelle (HMI).

Vielzahl an Schwachstellen und Angriffsflächen

Die Komplexität der Verteidigung dieser Systeme wird durch die Konvergenz von IT und OT, mögliche Insider-Angriffe und Schwachstellen in der Lieferkette noch weiter verschärft. So können sogar scheinbar harmlose Geräte wie netzwerkverbundene Schraubenschlüssel, die in Fabriken verwendet werden, Ziel von Sabotage- oder Ransomware-Angriffen sein.

Erschwerend kommt hinzu, dass es auch heute noch vielerorts an geeigneten IT-Security-Maßnahmen mangelt. Das macht OT-Angriffe für Angreifer nicht nur besonders attraktiv, sondern auch viel zu einfach. Viele OT-Geräte sind trotz gängiger Sicherheitsrichtlinien direkt mit dem Internet verbunden und können daher von Hackern über Internet-Scan-Tools identifiziert werden.

Sobald Angreifer sie entdecken, könnten unzureichende Sicherheitskonfigurationen wie schwache Anmelde-Kennwörter oder veraltete Software auf alten Maschinen mit bekannten Schwachstellen, weiter ausgenutzt werden, um Zugriff auf diese Geräte zu erhalten.

Eine zusätzliche negative Entwicklung ist die mittlerweile weite Verbreitung von Ransomware-as-a-Service (RaaS), was die Eintrittsbarriere für aufstrebende Hacker deutlich senkt und zu der bedrohlichen Explosion von Ransomware-Vorfällen beiträgt. Auch Angriffe auf Lieferketten sind ein wichtiger Ansatzpunkt für Hacker, die miteinander verbundene Netzwerke ausnutzen, um Systeme und Daten an verschiedenen Punkten des Produktions- und Vertriebsprozesses zu kompromittieren.

Wesentliche Sicherheitsrisiken

Die folgenden OT-Sicherheitsbedrohungen bieten einen Überblick über die kritischsten und häufigsten Bedrohungen für die Betriebstechnologie:

BOTNETZE

IoT-Geräte sind besonders anfällig für Malware, da sie oft nicht über dieselben Sicherheitsmechanismen in ihren Betriebssystemen verfügen wie neuere Maschinen und Computer. Vor diesem Hintergrund neigen Hacker dazu, IoT-Geräte als leicht zu erreichende Angriffsvektoren zu betrachten, die sie auf einfache Art ausnutzen können.

BOTNET-DDOS-ANGRIFFE

Da die Nutzung von IoT-Geräten in der heutigen vernetzten Welt rasant zunimmt, steigt auch die Gefahr von Botnet-DDoS-Angriffen. Viele IoT-Geräte verfügen nicht über integrierte Sicherheitsmaßnahmen und werden so für Botnets „rekrutiert“ und für DDoS-Angriffe verwendet.

RANSOMWARE

Die Tatsache, dass IoT-Geräte wertvolle Daten selten lokal speichern, macht sie längst nicht immun gegen Ransomware-Angriffe. Ransomware-Angriffe blockieren auf IoT-Geräte in der Regel die Kernfunktionalität des Geräts. Das kann bedeuten, dass ein Industriegerät abgeschaltet wird bzw. eine Kamera oder ein Mikrofon daran gehindert wird, etwas aufzuzeichnen.

UNSICHTBARKEIT

Aufgrund der rasanten Verbreitung von IoT-Geräteverbindungen innerhalb der Netzwerke können die Inventarbestände oft nicht zeitnah mithalten. So kann man nicht schützen, was man nicht sieht. Durch die Transparenz von IoT-Geräten überwachen IT-Security-Teams detailliert den Datenverkehr, der durch die Geräte fließt, sodass sie dadurch

abnormale Muster, Bedrohungen und Warnsignale für laufende Angriffe identifizieren können.

UNVERSCHLÜSSELTE DATEN UND FEHLENDER SCHUTZ IN GERÄTEN

Eine große Anzahl der IoT-Geräte verfügen nicht über integrierte Ressourcen, um eine effektive Verschlüsselung zu unterstützen. Obwohl viele IoT-Geräte keine Dateien lokal speichern, übertragen sie wichtige Telemetrie-Daten wie Video- oder Audiodaten zurück an die Organisation oder in die Cloud. Ohne robuste Verschlüsselungsprotokolle ist dieser Datenverkehr besonders anfällig für Lauschangriffe, Spionage und Datendiebstahl.

KOMPROMITTIERUNG VON CLOUD-KOMPONENTEN

Asset-Eigentümer haben nur begrenzte Kontrolle über die sicherheitsspezifische Komponenten der Cloud-Lösungen, während sie mit der lokalen Produktion verbunden sind. Dies birgt Risiken für die OT-Cloud, wie beispielsweise eine gestörte Kommunikation zwischen lokaler Produktion und ausgelagerten (Cloud-)Komponenten aufgrund von DDoS-Attacken.

AUFBAU EINER PROAKTIVEN STRATEGIE

Um Unternehmen vor den immer größer werdenden Bedrohungen zu schützen, reicht es nicht aus, einfach nur auf die neuesten Trends zu reagieren. Der beste Ansatz besteht darin, eine langfristige Sicherheitsstrategie auf einem soliden Fundament zu entwickeln, die robust, proaktiv und auf alles vorbereitet ist. Dafür bieten sich folgende praktische Schritte an.

SCHRITT 1 - IMPLEMENTIERUNG AKTUELLER RAHMENBEDINGUNGEN

Dazu gehören verpflichtende Sicherheitsansätze für das OT wie beispielsweise die EU-Richtlinie NIS2 zur Angriffserkennung und Restrisiko-Kontrolle in Steuerungsnetzen. Das heißt, mit der Implementierung von NIS2 müssen dann neben der IT auch die Steuerungsnetze (OT) in die Cyberstrategie einbezogen werden. IT-Security und Risikomanagement werden integraler Teil des OT-Betriebs.

SCHRITT 2 - ENTWICKLUNG EINES IT-SECURITYPROGRAMMS

Auf der Grundlage individueller Anforderungen eines Unternehmens

und der vorgegebenen Richtlinien ist ein langfristig angelegtes IT-Security-Programm zu erarbeiten. Dazu gehören unter anderem folgende

MASSNAHMEN:

• Authentifizierung

Angriffe lassen sich über eine Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) einschränken.

• Identitäts- und Zugriffsmanagement (IAM)

Implementierung eines rollenbasierten Identitäts- und Zugriffsmanagement (IAM) für alle Mitarbeiter sowie ein privilegiertes Identitätsmanagement (PIM) für Administratoren. Beschränkung der Zugriffe auf „Legacy-Management-Ports“ (zum Beispiel serielle Ports) und Einrichtung einer Nutzungsprotokollierung.

• Zero-Trust-Access-Lösung (ZTA)

Eine ZTA-Lösung konzentriert sich darauf, zu identifizieren und zu überwachen, welche User und Geräte auf das Netzwerk zugreifen. Da immer mehr User auch remote arbeiten und Industrial-Internetof-Things-Geräte (IIoT) in OT-Umgebungen immer häufiger zum Einsatz kommen, sollten Unternehmen alle User und Geräte beim Zugriff auf Anwendungen und Daten kontinuierlich überprüfen.

• Kritische Infrastrukturen

Isolation kritischer Infrastrukturen von Büroautomatisierung, Produktionsnetzwerken, IT-Geräten und Mitarbeitern mithilfe von Segmentierungs- und Mikrosegmentierungsstrategien.

• SIEM

Sicherstellung einer kontinuierlichen Protokollierung und Analyse des gesamten Netzwerkverkehrs (Sicher heitsanalyse) mit SIEM.

SCHRITT 3 - ÜBERWACHUNG UND VER -

BESSERUNG DER SICHERHEITSLAGE

Überwachung der Netzwerke und Durchführung regelmäßiger Sicherheitsprüfungen, Penetrationstests und Schwachstellenbewertungen, um Lücken in der Sicherheitslage kontinuierlich zu identifizieren und zu beheben.

SCHRITT 4 – SCHULUNG DER TEAMS

Durchführung regelmäßiger Schulungen für Mitarbeiter, in denen sie sich mit bestimmten Angriffsmethoden und Sicherheitsrisiken wie beispielsweise bei der Remote-Arbeit befassen und lernen, wie sie auf potenzielle Angriffe reagieren.

Ausblicke für die IIoT- und OT-Security

In der Folge sind einige Trends skizziert, die sich für die nächsten Jahre noch verstärken werden.

TRANSPARENZ WIRD ZU EINEM ENTSCHEIDENDEN FAKTOR

Insbesondere Sichtbarkeit und kontinuierliche Überwachung werden weiterhin die Investitionen in die OT-Sicherheit bestimmen. Netzwerkund Anlagentransparenz ist aber mehr als nur die Fähigkeit, Knoten in einem Netzwerk zu identifizieren. Das Dokumentieren von Anlagenspezifikationen und -konfigurationen, das Unterscheiden von Altgeräten und modernen Anlagen sowie das Priorisieren von Risiken auf der Grundlage des Betriebsrisikos werden an Bedeutung gewinnen.

DRAMATISCHER ANSTIEG POTENZIELLER

EINSTIEGSPUNKTE

Trends wie beispielsweise die explosionsartige Verbreitung von IoT-Geräten durch den immensen Bedarf an datengesteuerten Erkenntnissen werden die potenzielle Anzahl an Einstiegspunkten für Hacker deutlich forcieren.

ANGRIFFSFLÄCHENMANAGEMENT WIRD UMFASSENDE ANSTRENGUNGEN ERFORDERN

Zero Trust, Defense in Depth, kompensierende Kontrollen etc. erweitern die IT-Security über den Perimeter hinaus, wo Unternehmen verstärkt feindliches Verhalten in Netzwerken, Systemen und Geräten vorhersehen und abdecken müssen. Dies erfordert den Aufbau verteidigungsfähiger Architekturen, eine präzise Netzwerksegmentierung, Transparenz und Überwachung sowie eine robuste Planung der Reaktion auf Vorfälle.

KOMPLEXITÄT DER LIEFERKETTEN WIRD RISIKEN VERSCHÄRFEN

Der Lebenszyklus jedes Produkts – vom Entwurf über die Herstellung bis hin zu Vertrieb, Nutzung und Wartung – wirkt sich auf die Risikotoleranz und die letztendliche mittlere Wiederherstellungszeit (MTTR) eines Unternehmens aus. Die IT/OT-Interoperabilität wird sowohl das vor- als auch das nachgelagerte Lieferkettenrisiko weiter erhöhen.

Otto Geißler

Für Verschlusssachen: dein Knox Native Sicherheitsupgrade

Vertrauliche Daten brauchen besonderen Schutz. Um dein Unternehmen oder deine Behörde auf eine hohe Sicherheitsstufe zu bringen, haben wir in Zusammenarbeit mit dem BSI Knox Native entwickelt. Gemeinsam mit dem Security Ecosystem ist Knox Native 24/7 zur Stelle, um dein Unternehmen sicher zu machen.

Minimierung der 5 wichtigsten modernen

ACTIVE DIRECTORY -BEDROHUNGEN

Verbessern Sie Ihre Erkennungs- und Reaktionsmöglichkeiten auf Identitätsbedrohungen und reduzieren Sie Ihre Angriffsfläche.

Lassen Sie uns über Active Directory sprechen. Es ist eine große Sache, weil es steuert, wer in Ihr Unternehmen kommt und worauf Benutzer zugreifen können. Cyberkriminelle versuchen gerne, AD zu knacken, weil es ihre goldene Eintrittskarte zu allem ist. Für Ihr Unternehmen bedeutet dies jedoch

durchschnittlich 21 Tage Ausfallzeit und Rentabilitätseinbußen.

Unterm Strich: Wenn die Sicherheit von AD nicht ganz oben auf Ihrer To-Do-Liste steht, kann sich Ihr Unternehmen in einer Welt von Problemen wiederfinden. Starten Sie damit, diese 5 größten Herausforderungen anzugehen:

Challenge #1. Mangel an grundlegender Sicherheitshygiene

88 % der Unternehmen halten sich nicht an die grundlegenden AD-Sicherheitspraktiken. Aber grundlegende Sicherheitshygiene kann vor 99 % der Angriffe schützen!

Challenge #2. Immer größer werdende Angriffsfläche

Normale Geschäftsaktivitäten, M&A-Deals und die Einführung der Cloud erweitern die Angriffsfläche für AD.

Challenge #3. Fehlen eines abgestuften Verwaltungsmodells

Das Fehlen einer Definition von Tier Zero-Ressourcen öffnet Angreifern Tür und Tor für die Ausweitung von Privilegien und seitliche Bewegungen.

Challenge #4. Warnmüdigkeit

Warnmüdigkeit ist einer der Hauptgründe dafür, dass Angreifer inzwischen mehr als zwei Wochen lang unentdeckt in Unternehmensnetzen herumwandern.

Challenge #5. Vernachlässigung der On-Premises-Umgebung On-Premises ist der Ort, an dem wir in Scharen angegriffen werden. Und AD-Experten und Microsoft-Schulungen werden schnell in den Ruhestand versetzt.

Wie Quest helfen kann:

SECURITY GUARDIAN von Quest wurde speziell entwickelt, um Unternehmen bei der Sicherung von Active Directory zu unterstützten bei:

• Identifizierung von Schwachstellen und Fehlkonfigurationen

• Erkennung verdächtiger Aktivitäten und anderer laufender Bedrohungen

• Befähigung von Verteidigern zur Durchführung geeigneter Sicherheitskontrollen

Die Stärkung der AD-Sicherheit ist entscheidend für die Verbesserung der Cyber-Resilienz, die Kostenkontrolle, die Erfüllung von Compliance-Anforderungen und vieles mehr.

Security Guardian kann Ihnen helfen, alle wichtigen Herausforderungen zu meistern, die Unternehmen dem Risiko von Datenverletzungen und Ausfallzeiten aussetzen. Außerdem handelt es sich um eine Software-as-a-Service (SaaS)- Lösung, so dass Sie von Vorteilen wie einfacher Implementierung, leichter Skalierbarkeit und Kosteneinsparungen profitieren. Sozusagen eine Win-Win-Situation! quest.com

KRITISCHE INFRASTRUKTUR GEGEN

HACKERANGRIFFE UND CYBERBEDROHUNGEN SCHÜTZEN

MIT ZUNEHMENDER DIGITALISIERUNG WERDEN KRITISCHE INFRASTRUKTUREN IMMER VERWUNDBARER. DAS BSI-GESETZ VERPFLICHTET BETREIBER, STRENGERE SICHERHEITSMASSNAHMEN ZU ERGREIFEN, UM STÖRUNGEN UND HACKERANGRIFFE ZU VERHINDERN. IT-SECURITY-EXPERTEN MÜSSEN PROAKTIV HANDELN, UM TEURE AUSFÄLLE ZU VERMEIDEN UND GESETZLICHE VORGABEN ZU ERFÜLLEN.

BETREIBER KRITISCHER INFRASTRUKTUREN MÜSSEN SEIT APRIL 2024 EINEN UMSETZUNGSNACHWEIS DURCH KRITIS-AUDITS ERBRINGEN. DA SICH DIE BRANCHENSPEZIFISCHEN SCHWELLENWERTE SCHNELL ÄNDERN KÖNNEN, SOLLTEN DIE DAVON (NOCH) NICHT BETROFFENEN UNTERNEHMEN SIE STETS ÜBERPRÜFEN.

AUTOR Otto Geißler

BEI NICHTEINHALTUNG DER ANFORDERUNGEN DROHEN EMPFINDLICHE

BUSSGELDER VON BIS

ZU 20 MILLIONEN

EURO DURCH DAS BSI.

BILD: ALEXEJ+ SVETLANA NOVIKOV

Mit der zunehmenden Digitalisierung und Vernetzung werden Infrastrukturen zwar immer leistungsfähiger und intelligenter, aber auch anfälliger für Störungen, Ausfälle und vor allem Hackerangriffe. Damit insbesondere die für die Allgemeinheit lebenswichtigen Infrastrukturen besser geschützt werden, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) gesetzliche Regelungen erlassen.

Das seit April in Kraft getretene BSI-Gesetz verpflichtet Betreiber Kritischer Infrastrukturen (KRITIS) nun technische und organisatorische Maßnahmen zum Schutz vor Störungen hinsichtlich ihrer Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von IT-Systemen, Komponenten oder Prozesse zu ergreifen. Dabei ist der aktuelle Stand der Technik zu beachten.

Geltungsbereiche und Schwellenwerte

Als KRITIS-relevant gelten Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall oder Beeinträchtigung nachhaltige Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder sonstiges zur Folge hätte. Hierzu werden folgende Sektoren benannt: Informationstechnik, Telekommunikation, Gesundheit, Energie, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung, Transport und Verkehr, Medien und Kultur als auch die kommunale Abfallentsorgung.

Damit wirklich nur die für das gesellschaftliche Leben relevanten Unternehmen als kritisch eingestuft werden, wurden für alle Branchen spezifische Schwellenwerte aufgestellt. In der Regel sind diese Schwellenwerte auf ein Minimum einer halben Million Einwohner ausgerichtet. Im Energiesektor ist das beispielsweise die bereitgestellte Menge an Strom, Heizöl, Flugbenzin, im Wassersektor die Menge an Trinkwasser, aber auch die Zahl der an die Kanalisation angeschlossenen Haushalte.

Für die Bereiche Telekommunikation und IT sind je nach Dienst unterschiedliche Faktoren relevant: Netzteilnehmer, Instanzen, Domänen, qualifizierte Zertifikate und Serverzertifikate, bei Data Center auch Stromverbrauch. Hierfür gilt eine Untergrenze von 3,5 MW. Die jeweiligen Unternehmen müssen jedoch immer selbst herausfinden, ob sie

unter die KRITIS-Regeln fallen und entsprechende Maßnahmen ergreifen sollen oder nicht.

Hinzu kommt, dass für die Zukunft weitere Änderungen am IT-Sicherheitsgesetz bzw. an der KRITIS-Verordnung geplant sind. Somit kann jederzeit eine neue Abgrenzung der KRITIS-Relevanz erfolgen. Daher sollten die betroffenen Unternehmen die branchenspezifischen Schwellenwerte kontinuierlich überprüfen.

Verpflichtende Maßnahmen für KRITIS-Betreiber

Das IT-Sicherheitsgesetz 2.0 , auf dem die KRITIS-Verordnungen basieren, richtet sich in erster Linie an Unternehmen, die auf digitale Infrastrukturen angewiesen sind. Dazu gehören beispielsweise Maschinen, Geräte, Software und IT-Services, die für die Erbringung einer kritischen Dienstleistung notwendig sind. Die Betreiber müssen folgende Maßnahmen ergreifen:

IDENTIFIKATION VON HACKER-ATTACKEN

Systeme zur Angriffserkennung gehören zu dem technischen und organisatorischen IT-SecurityProgramm bei KRITIS-Betreibern. Diese müssen kontinuierlich Bedrohungen im laufenden Betrieb mittels Mustern erkennen und vermeiden. Der Einsatz muss in KRITIS-Prüfungen explizit nachgewiesen werden.

MELDEPFLICHTEN

KRITIS-Betreiber müssen bei erheblichen Störungen dem BSI auf Nachfrage aussagefähige Informationen zur Verfügung stellen, die für eine effektive Störungsbewältigung bereitzustellen sind, einschließlich personenbezogener Daten. Ferner sind Betreiber dazu verpflichtet, sich unmittelbar nach Feststellung als KRITIS-Betreiber beim BSI zu registrieren und eine Kontaktstelle zu benennen. Das BSI darf Betreiber mit dem neuen IT-SiG 2.0 auch von sich aus als Kritische Infrastruktur registrieren, sowie bei bestimmten Sachverhalten Einblick bei Betreibern in Unterlagen verlangen, falls diese ihrer Registrierungspflicht nicht nachkommen.

KRITISCHE KOMPONENTEN

KRITIS-Betreiber müssen dem Innenministerium den Einsatz so genannter kritischer Komponenten von bestimmten IT-Produkten anzeigen. In diesem Zusammenhang werden kritische Komponenten als solche bezeichnet, bei denen Störungen zu erheblichen Beeinträchtigungen der Funktionsfähigkeit der kritischen Infrastruktur oder zu Gefährdungen für die öffentliche Sicherheit führen können.

GARANTIEERKLÄRUNG

Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung der Vertrauenswürdigkeit des Herstellers zum Einsatz kommen. Die Erklärung muss gewisse Mindestanforderungen des Innenministeriums erfüllen und ist von KRITIS-Betreibern dem Innenministerium vorzulegen.

EINSATZVERBOT

Unter folgenden Umständen darf das Innenministerium den Einsatz kritischer Komponenten untersagen: Beeinträchtigung der öffentlichen Ordnung bzw. Sicherheit sowie fehlende Vertrauenswürdigkeit basierend auf Garantieerklärungen des Herstellers, Sicherheitstests und Schwachstellen sowie Manipulationen der betreffenden Produkte.

INVENTARISIERUNG

Um dem BSI den Einsatz kritischer Komponenten in KRITIS-Anlagen anzeigen zu können, müssen die Betreiber diese IT-Produkte in den KRITIS-Anlagen inventarisieren. Das heißt, mit aktuellen Informationen zu Herstellern, Typen der Produkte etc.

Anwendung der KRITIS-Verordnungen

Zunächst sollte der BSI-Anforderungskatalog daraufhin analysiert werden, ob Abweichungen zwischen Ist- und Soll-Zuständen bei der vorhandenen IT-Infrastruktur festzustellen sind. Ist dies der Fall, so sind diese detailliert zu erfassen und zu bewerten. Gleichzeitig müssen die Levels des Schutzbedarfs und der Verfügbarkeit ermittelt sowie die Kriterien für den IT-Betrieb in Abhängigkeit vom geforderten Schutzbedarfsniveau untersucht werden. Im Zuge einer umfangreichen Inventarisierung wird die komplette IT-Infrastruktur erfasst und deren Zustand bewertet. In der Folge sollten mögliche Risiken klassifiziert und eine Priorisierung

der zu bewältigenden Herausforderungen vorgenommen werden. Auf dieser Basis empfiehlt es sich, einen Maßnahmenkatalog zu erarbeiten, der eine detaillierte Schutzbedarfsempfehlung enthält. Zudem müssen gezielte technische und/oder organisatorische Maßnahmen abgeleitet werden, um den vom BSI geforderten Industriestandard zu erzielen. Liegen bereits IT-Security-Zertifizierungen vor, so lassen sich diese für den KRITIS-Nachweis akkreditieren. Auf diese Weise können Unternehmen wertvolle Synergien nutzen und beispielsweise das KRITIS-Audit mit einer PCI DSS-Bewertung kombinieren. Das kann wertvolle Zeit und viel Geld sparen.

Umsetzung der BSI-Orientierungshilfen

Für die Einhaltung der gesetzlichen Anforderungen an kritische Infrastrukturen sowie der Absicherung einer IT-Infrastruktur sind einige wesentliche Orientierungshilfen des BSI zum Einsatz von Angriffserkennungssystemen zu beachten. Dafür empfehlen sich beispielsweise eine kontinuierliche Identifikation von Anomalien in Echtzeit auf Basis von Kommunikations- und Protokolldaten.

Die Maßnahmen sollten speziell für die Überwachung und Erkennung von Anomalien in IT-Netzwerken konzipiert und zudem anbindungsfähig an andere Systeme (zum Beispiel SIEM) über Standardschnittstellen sein. Ferner sind vollautomatische Reaktionsprozesse (Intrusion Prevention, IPS) zur direkten Bedrohungsabwehr zu implementieren.

Host-basiertes IDS erkennt die spezifische Nutzlast eines möglichen Angriffs und kann dank IPS die erfolgreiche Ausführung blockieren. Ein integriertes Endpoint-Detection-Response-Modul kann beispielsweise vor Schadcode schützen. Meldungen von Anomalien werden nach spezifischen Kriterien bzw. definierten Warnanzeigen priorisiert und visuell gekennzeichnet. Der laufende Betrieb sollte bei der Verarbeitung verdächtiger Netzwerkkommunikation unberührt bleiben.

Eine umfangreiche Datenerfassung von Kommunikations- und Netzwerkereignissen steht für eine lückenlose Protokollierung. Darüber hinaus werden Log-Daten auf Systemen gesammelt und gezielt für forensische Untersuchungen gespeichert. Protokolldaten sollen sich bei Bedarf anonymisieren (Datenschutz) lassen.

Otto Geißler

EINGEBAUTE SICHERHEIT FÜR

VERSCHLUSSSACHEN

MIT SAMSUNG KNOX NATIVE

MOBILES ARBEITEN VERLANGT UMFASSENDE SICHERHEIT, VOR ALLEM IN GESCHÄFTSBEREICHEN MIT HOHEN SICHER -

HEITSANFORDERUNGEN DURCH VERTRAULICHE DATEN. MIT KNOX NATIVE BIETET SAMSUNG ERSTMALS EINE HARDWARE-BASIERTE UND VOM BSI (BUNDESAMT FÜR SICHERHEIT IN DER INFORMATIONSTECHNIK) EVALUIERTE SICHERHEITSLÖSUNG, DIE DIE HOHEN STANDARDS FÜR DIE

VERARBEITUNG VON VERSCHLUSSSACHEN DES GEHEIMHALTUNGSGRADES „VS – NUR FÜR DEN DIENSTGEBRAUCH“ (VS-NFD) ERFÜLLT.

EINGEBAUTER HARDWARE-ANKER

Sichere mobile Lösungen für die Speicherung von Daten gibt es schon länger – auch für die Bearbeitung von Verschlusssachen. Doch bisher waren dafür externe SD-Karten, zusätzliche Software und verschiedene PINs notwendig. Samsung geht nun einen neuen Weg: Als Herzstück wird in ausgewählten mobilen Endgeräten 1 erstmals ein zertifizierter Hardware-Anker – das Samsung embedded Secure Element (eSE) – verbaut. Dieses Element ist nach dem Common Criteria Evaluation Assurance Level (CC EAL) 6+ zertifiziert und schafft einen sicheren, isolierten Bereich auf dem Gerät. Gemeinsam mit dem BSI Java Card Applet (Mobile Security Anchor) ermöglicht es die verschlüsselte Speicherung personenspezifischer und klassifizierter Daten nach den Vorgaben des BSI. Damit wurde die Lösung nun auch offiziell für die Verarbeitung von Informationen des Geheimhaltungsgrades „VS – Nur für den Dienstgebrauch“ (VS-NfD) zugelassen.

HOHE SICHERHEIT FÜR STANDARD-APPLIKATIONEN

Mit der Freigabe für das VS-NfD-Umfeld kommt Samsung den wachsenden Sicherheitsanforderungen im Umfeld von Bundesbehörden entgegen. Native Funktionen wie E-Mail, Kalender oder Kontakte lassen sich auf den entsprechenden Endgeräten nun auch für die Verarbeitung von Verschlusssachen nutzen. Aber auch private Unternehmen wie Energieversorger, Banken oder andere Organisationen können von den hohen Sicherheitsstandards profitieren und Knox Native problemlos einsetzen.

VEREINFACHTE SICHERHEITSFEATURES

Ein Vorteil von Knox Native ist die einfache Handhabung: Eine einzige PIN reicht zur Aktivierung aller Bereiche aus. Zudem müssen Anwender trotz des hohen Sicherheitsstandards keine Einschränkungen bei der Nutzererfahrung hinnehmen: Mit Knox Native können sie die vorinstallierten Apps in der gewohnten Android-Umgebung nutzen. Durch die Trennung der beiden Bereiche lassen sich die Geräte zudem geschäftlich und privat einsetzen.

VERWALTUNG ÜBER KNOX SUITE

Zur Verwaltung der Samsung Geräte steht die Knox Suite bereit. Das Tool-Set bündelt alle Knox-Produkte wie Enrollment, Manage, E-FOTA, Asset Intelligence oder Remote Support für die IT-Administration. Damit lassen sich Prozesse von der automatischen Ersteinrichtung über die Durchsetzung geltender Sicherheitsrichtlinien bis hin zum Update-Management effektiv abdecken.

„MIT UNSEREM EMBEDDED SECURE ELEMENT UND DEM BSI JAVA CARD APPLET GEHEN WIR EINEN NEUEN WEG.“

Besuchen Sie den Samsung Stand auf der it-sa in Halle 9, Standnummer 9-509 um mehr über Knox Native zu erfahren.

Weitere Informationen unter:

TUNCAY SANDIKCI, DIRECTOR MX B2B, SAMSUNG www.samsung.com/de/business/mobile-solutions/samsung-knox-native

AKTUELLE BEDROHUNGEN:

DIE GEFÄHRLICHSTEN CLOUD-ANGRIFFSMETHODEN

1. SCHWACHSTELLEN IN CLOUD-DIENSTEN

Einer der am häufigsten beobachteten Angriffe in Cloud-Netzwerken ist die Kompromittierung durch anfällige Dienste. Aus diesem Grund ist es wichtig, stets dafür zu sorgen, dass aktuelle Updates auf allen Systemen vorhanden sind. Bei Cloud-Diensten ist dies besonders kritisch, weil ein Angreifer nach der Kompromittierung oft die Möglichkeit hat, auf wichtige Unternehmenssysteme und -ressourcen, die in einem

Cloud-Netzwerk gehostet werden, überzuwechseln.

Ein bekanntes Beispiel für diese Art von Angriffen stellt die zum ersten Mal Ende 2021 aufgetretene und berüchtigte Ausnutzung der Apache Log4JSchwachstelle dar. Es gibt allerdings noch viele andere gängige Dienste, die ebenfalls für solche Angriffe anfällig sind. Unternehmen, die sich auf Schwachstellen-Scanner verließen, um Schwachstellen

wie Log4j zu erkennen und sich dagegen zu schützen, waren in ihren Netzwerken einem erhöhten Risiko ausgesetzt, da die Schwachstelle bereits eine Woche vor ihrer Entdeckung ausgenutzt wurde.

Log4j wurde, wie viele andere Zero Day-Schwachstellen, innerhalb kürzester Zeit von Angreifern ausgenutzt. Die Mehrheit der beobachteten Angriffe war eher opportunistischer Natur; in einigen seltenen Fällen nutzten jedoch auch gut organisierte Gruppen und staatliche Hacker die Sicherheitslücke aus, darunter solche, die China und dem Iran zugeschrieben werden. Die Schwere dieser Art vergangener Angriffe zeigt, wie wichtig es für Unternehmen ist, böswillige Aktivitäten in ihren Umgebungen frühzeitig zu erkennen, bevor die Schwachstellen bekannt sind.

2. CLOUD -FEHLKONFIGURATIONEN

Konfigurationsfehler stellen allgemein die häufigste Ursache für Datenlecks in der Cloud dar. Unternehmen, die Kundendaten fälschlicherweise öffentlich zugänglich oder für Außenstehende leicht angreifbar machen, haben im Laufe der Jahre zu einem stetigen Anstieg der Anzahl und des Ausmaßes von

Sicherheitsverletzungen geführt.

Dies ist zwar nicht ausschließlich in der Cloud der Fall, aufgrund der Einfachheit der Ausnutzung und der versteckten Komplexität von Cloud-Speicherkonfigurationen kommt es hier jedoch besonders häufig zu Vorfällen.

Derartige Nachlässigkeiten stellen aber nicht die einzige Ursache für Datenlecks dar. In vielen Fällen wurde beobachtet, dass CloudHosts mit Malware infiziert wurden oder weiteren Netzwerkzugriff erhielten, weil ein Angreifer in der Lage war, Änderungen an einem System vorzunehmen. So wurde beispielsweise der Bedrohungsakteur TeamTNT dabei

beobachtet, wie er auf ungesicherte Docker-Daemons zugriff, um seine eigenen schadhaften Images zu installieren und auszuführen und die Opfer mit einem Botnet und illegalen Crypto-Mining-Programmen zu infizieren. Dies ist eine einfache, aber äußerst effektive Technik gegen Unternehmen mit falsch konfigurierten Cloud-Diensten.

Das Spektrum der in Cloud-Netzwerken üblichen Anwendungen, die im Falle einer Fehlkonfiguration missbraucht werden können, ist extrem groß. Besonders gefährlich ist die Tatsache, dass ein Fehler in der Konfiguration nicht nur den Missbrauch von Unternehmensdaten und -ressourcen ermöglicht, sondern für einen fähigen Bedrohungsakteur auch einen einfach auszunutzenden Einbruchsvektor in das gesamte Netzwerk darstellt.

3. SUPPLY CHAIN ATTACKS Angriffe auf die Lieferkette nehmen im Herzen der Angreifer einen besonderen Platz ein. Während bei Supply Chain Attacks auf Unternehmen wie Solarwinds, die einem russischen APT zugeschrieben wurden, häufig über Eingriffe in die Lieferkette berichtet wurde, gibt es auch andere, die auf Cloud-Netzwerke und -Dienste beschränkt sind.

Eine der Angriffsmethoden auf die Lieferkette ist die Kompromittierung von Docker Hub-Images. Die bereits erwähnte Gruppe TeamTNT kompromittiert seit einiger Zeit aktiv Docker Hub-Images, was zur Infektion der Accounts von Usern führt, die diese scheinbar vertrauenswürdigen Images installieren und aktualisieren. In ihrem Fall gehören zu den primären Zielen allgemeinere Botnet-Funk-

tionen und die Verwendung von Minern. Docker-Administratoren sollten bei der Aufnahme neuer Images Vorsicht walten lassen, ähnlich wie bei der Installation von Fremdsoftware in Ihrem Netzwerk. Eine ordnungsgemäße Endpunkt-Telemetrie von Hosts, auf denen solche Images ausgeführt werden, ist ein idealer Weg, um sicherzustellen, dass nach einer Verzögerung bei dieser Art von Bereitstellungen keine bösartigen Funktionen aktiviert werden.

In Bezug auf die Software-Lieferkette sind Unternehmen mit der Tatsache konfrontiert, dass die stetig steigende Anzahl an Geräten in den Netzwerken auch eine Ausweitung der Angriffsoberfläche darstellt, welche Cyberkriminelle ausnutzen können und werden. Es ist daher davon auszugehen, dass Angriffe auf die Lieferkette weiterhin zunehmen, auch angetrieben durch die weltweit zunehmende Verwendung von Open-Source-Software.

4. ZUGANG ZU CLOUD-

MANAGEMENT-PLATTFORMEN

Eines der üblichsten Einfallstore für Cloud-Angriffe ist der herbeigeführte Zugriff auf die Cloud-Management-Plattform des Opfers – insbesondere auf privilegierte Cloud-Konten. Die Abwehr dieser Attacken ist deshalb so wichtig, weil sie dem Angreifer

die Möglichkeit bieten, die Barriere des Zugriffs auf Informationen oder die Kontrolle über einen leistungsstarken, normalerweise vertrauenswürdigen Dienst zu überwinden.

Ein Angreifer mit privilegiertem Zugriff auf die Verwaltungsplattform eines Cloud-Dienstes – sei es AWS, GCP oder Azure – kann sich und seine Schadsoftware an vielen schwer überwachbaren Stellen einschleusen. Dank der Verwendung von Open-SourceTools wie Purple Panda kann ein Angreifer mit gestohlenen Anmeldeinformationen die Ausweitung von Cloud-Privilegien automatisieren und Möglichkeiten für laterale Bewegungen identifizieren.

FAZIT

Cloud-basierte Angriffe stellen einen schnell wachsenden Bereich von großem Interesse sowohl für opportunistische als auch gezielte Angreifer dar. Obwohl die bei solchen Angriffen eingesetzten Techniken umfangreich und vielfältig sind, beruhen sie in der Regel stark auf der Tatsache, dass Cloud-Netzwerke groß, komplex und aufwändig zu verwalten sind. Daher sind Agenten- und Container-Sicherheitslösungen für die Verteidigung jedes Unternehmens gegen alle Angriffe auf CloudPlattformen von entscheidender Bedeutung.

SANKTIONEN, BUSSGELDER UND HAFTUNGSRISIKEN

WERDEN GESETZE ZUM GRÖSSTEN

CYBERRISIKO

ÜBERHAUPT?

CYBERVORFÄLLE WIE RANSOM -

WARE-ANGRIFFE, DATENSCHUTZVER -

LETZUNGEN UND IT-UNTERBRE -

CHUNGEN WAREN LAUT DEM

ALLIANZ RISK BAROMETER IM JAHR 2024 DIE GRÖSSTE SORGE FÜR

UNTERNEHMEN WELTWEIT. DAZU GEHÖREN AUCH DIE STRAFZAHLUNGEN UND HAFTUNGSFÄLLE. DIE REGULIERUNGEN UND GESETZE

STELLEN ENORME HERAUSFORDERUNGEN FÜR DIE UNTERNEHMEN UND LEITUNGSEBENEN DAR. WIE SCHÜTZT MAN SICH RICHTIG?

AUTOR

Oliver Schonschek

UNTERNEHMEN SEHEN DATENSCHUTZRISIKEN GANZ WEIT OBEN

Cybervorfälle sind zum dritten Mal in Folge das weltweit gefürchtetste Risiko, erstmals mit deutlichem Abstand (fünf Prozentpunkte), wie das Allianz Risk Barometer 2024 zeigt. Dabei werden Datenschutzverletzungen von den Befragten des Allianz Risk Barometers mit 59 Prozent der

gegen die Datenschutz-Grundverordnung (DSGVO) der EU resultieren können. Generell gehören Unternehmensrisiken, die aus Änderungen an Gesetzen und Vorschriften resultieren, zu den Top 5 des Risk Barometers der Allianz.

Das Management der Cyberrisiken muss deshalb Compliance, Datenschutz und Rechtsschutz deutlich priorisieren. Auch NIS2, die neue Cybersicherheitsrichtlinie der EU, gibt dazu mehr als Anlass.

GROSSE KONZERNE, MITTELSTÄNDISCHE UND KLEINERE UNTERNEHMEN

EINT DIE GLEICHEN RISIKOBEDENKEN – SIE ALLE SIND VOR ALLEM BESORGT

ÜBER CYBERGEFAHREN, SO DAS ALLIANZ RISK BAROMETER 2024. BILD: ALLIANZ

Antworten als die besorgniserregendste Cyberbedrohung angesehen, gefolgt von Angriffen auf kritische Infrastrukturen und physische Vermögenswerte (53 Prozent).

Offensichtlich nehmen Unternehmen Regulierungen und Compliance-Vorgaben wie den Datenschutz als konkreten Risikobereich wahr. Das gilt nicht nur für die Sanktionen, die aus Verstößen

Unternehmen brauchen Cyberschutz, Datenschutz und Rechtsschutz

Die umfassende Änderung des IT-Sicherheitsrechts durch die Umsetzung von NIS2 soll „Wirtschaft und Staat vor Cyberattacken schützen“, so die Bundesregierung. „Mit unserem Gesetz erhöhen wir den Schutz vor

Cyberangriffen, egal ob sie staatlich gelenkt oder kriminell motiviert sind. Künftig müssen mehr Unternehmen in mehr Sektoren Mindestvorgaben für die Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen“, erklärte Bundesinnenministerin Nancy Faeser. „Wir steigern das Sicherheitsniveau und senken damit das Risiko für Unternehmen, Opfer von Cyberangriffen zu werden“.

Werden die Vorgaben von NIS2 nicht eingehalten, wird die Cybersicherheit nicht wie gewünscht gestärkt, drohen auch rechtliche Konsequenzen für die Leitung des jeweiligen Unternehmens. Zu den Änderungen durch NIS2 gehören zum einen die neuen Bußgeldrahmen, die sich gegebenenfalls prozentual am weltweiten Jahresumsatz eines Unternehmens bemessen, wenn Unternehmen wesentliche Pflichten zur Cybersicherheit verletzen, zum Beispiel, wenn Mängel in der Umsetzung von Cybersicherheitsmaßnahmen nicht abgestellt werden.

Zusätzlich sehen NIS2 und die nationale Umsetzung eine Haftung der Geschäftsleitung selbst vor: „Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen (nach § 30) zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre

Umsetzung zu überwachen. Geschäftsleitungen, die ihre (entsprechenden) Pflichten verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts.“

Datenpannen

sind

Datenrisiko und Haftungsrisiko

Rechtliche Konsequenzen für die Geschäftsleitung kennt aber nicht nur das IT-Sicherheitsrecht. Auch im Datenschutz können Verstö ße direkte Konsequenzen für die Leitungsebene als Verant wortliche im Datenschutz haben. Dabei haftet ein Unternehmen nicht nur, wenn die Leitung selbst eine Datenpanne verursacht, sondern auch, wenn die Verletzung des Datenschutzes von einem Fehlverhalten der Beschäftigten herrührt.

So stellte der Europäische Gerichtshof dass datenschutzrechtliche Bußgelder direkt gegen Unternehmen festgesetzt werden können, ohne dass eine Pflichtverletzung einer Leitungsperson (wie Vorstand, Geschäftsführung) nachgewiesen werden muss. Für eine direkte Sanktionierung des Unternehmens reicht der europäischen Rechtsprechung zufolge die Feststellung, dass Mitarbeitende

MEIKE KAMP, BERLINER BEAUFTRAGTE FÜR DATENSCHUTZ UND INFORMATIONSFREIHEIT BETONT, DASS DIE EUGH-ENTSCHEIDUNG, DASS DATENSCHUTZRECHTLICHE BUSSGELDER DIREKT GEGEN UNTERNEHMEN FESTGESETZT WERDEN KÖNNEN, FÜR RECHTSSICHERHEIT SORGT. BILD: ANNETTE KOROLL/BERLINER BEAUFTRAGTE FÜR DATENSCHUTZ UND INFORMATIONSFREIHEIT

SEIT 2017 HAT SICH

DER CYBERVERSICHERUNGSMARKT WEITERENTWICKELT

UND DIE RAHMENBEDINGUNGEN HABEN

SICH VERÄNDERT: MEHR MOBILES ARBEITEN, ZUNEHMENDES CLOUD

COMPUTING UND NEUE SCHADENERSATZANSPRÜCHE BEI DATENLECKS DURCH

DIE DSGVO“, SAGT

GDV-HAUPTGESCHÄFTSFÜHRER JÖRG ASMUSSEN. BILD: GDV

eines Unternehmens einen Verstoß begangen haben, ohne dass die konkret handelnden Personen ermittelt werden oder Leitungspersonen des Unternehmens sein müssen. Es bedarf noch nicht einmal einer Kenntnis der Leitungspersonen von dem Verstoß, wie die Berliner Beauftragte für Datenschutz und Informationsfreiheit betonte.

Cyberversicherungen gewinnen an Bedeutung

Die steigenden Cyberrisiken im Bereich Regulierung beschäftigten auch die Cyberversicherer. Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat seine unverbindlichen Musterbedingungen für die Cyberrisikoversicherung überarbeitet. „Seit 2018 räumt die Datenschutzgrundverordnung (DSGVO) den Betroffenen eines Datenlecks ein Recht auf Schadenersatz ein“, erläutert der GDV. „Da von einem solchen Datenleck oft viele Menschen betroffen sind, können diese Zahlungen sehr hoch ausfal -

len. Dieses Risiko wird in der Neufassung der Musterbedingungen mitversichert.“

Eine mögliche Abdeckung durch Cyberversicherungen sollte aber nicht missverstanden werden, es ist nun nicht weniger, sondern mehr an Cybersicherheit und Datenschutz erforderlich. „Eine Cyberversicherung kann das Risiko eines Hackerangriffs absichern –ein solcher Schutz setzt aber ein gewisses Maß an IT-Sicherheit voraus. Wir werden daher weiter aktiv daran arbeiten, die IT-Sicherheit der deutschen Wirtschaft zu verbessern“, sagt GDV-Hauptgeschäftsführer Jörg Asmussen. Gerade in kleinen und mittleren Unternehmen würden die Gefahren aus dem Web häufig unterschätzt und das Niveau der eigenen IT-Sicherheit überschätzt.

„Ziel muss es sein, in einer Welt zu leben, in der man sich generell wieder vertrauen kann und in welcher der Umgang mit Daten den Grundsätzen der Informationssicherheit entspricht: Integrität, Vertraulichkeit und Verfügbarkeit“, so Gisa Kimmerle, Head of Cyber von Hiscox Deutschland. „Der erste Schritt dahin ist klar: Deutsche Unternehmen müssen bei der IT-Sicherheit aufholen, ihre Hausaufgaben hinsichtlich der Aufstellung einer resilienten Organisation machen und so in einem großen Ausmaß ‚versicherbar‘ werden“.

Regulierungen erscheinen als doppeltes Risiko

Doch nicht nur die verschärften, gesetzlichen Vorgaben zur Cybersicherheit und zum Datenschutz werden als hohes Unternehmensrisiko wahrgenommen. Auch ein Mangel an Regulierung oder Unklarheiten zu den Vorgaben sind eine große Herausforderung. In einer Hiscox-Umfrage unter IT-Dienstleistern erzeugt demnach eine unklare Haftung und Regulierung bei Künstlicher Intelligenz (KI) Besorgnis bei knapp der Hälfte der Befragten (46 Prozent).

Über die Hälfte der Befragten (57 Prozent) gibt zu, unsicher bezüglich der erlaubten Nutzung und den Rechtsnormen zu KI zu sein. Noch ausgeprägter nehmen die Befragten diese Unsicherheit allerdings bei ihren Auftraggebern wahr (77 Prozent). Daraus ergibt sich die Forderung von 85 Prozent der IT-Unternehmen nach einer klaren Rechtsprechung für die IT-Branche im Bereich KI.

Sanktionsandrohung soll Awareness steigern, nicht schaden

Es zeigt sich: Ohne Regulierung kann die digitale Transformation mit Sicherheit nicht gelingen. Es wäre auch zu kurz gedacht, die

Regulierungen als Cyberrisiko oder Unternehmensrisiko zu verstehen. Vielmehr greifen die Sanktionen und möglichen Haftungen immer dann, wenn andere Cyberrisiken eingetreten sind, wenn also zum Beispiel eine Ransomware-Attacke Erfolg hatte und die Daten kriminell verschlüsselt wurden. Dabei geht es nicht darum, den Schaden durch Cybervorfälle durch Haftung und Bußgelder noch zu erhöhen.

Vielmehr sollen die Strafen eine abschreckende Wirkung haben und zu mehr Cybersicherheitsmaßnahmen führen. Angedrohte Haftung und Bußgelder sind also Teil der Awareness-Maßnahmen für bessere Cybersicherheit und Resilienz. Nur wenn Cyberschutz und Datenschutz nicht ausreichen, treten die negativen, rechtlichen Folgen auch ein. Die wahren Cyberbedrohungen sind also Cybercrime und Datenspionage, nicht etwa NIS2 und DSGVO.

Oliver Schonschek

AUCH UNKLARHEITEN ODER EIN MANGEL IM BEREICH REGULIERUNG WIRD ALS HOHES UNTERNEHMENSRISIKO GESEHEN, WIE DIE HISCOX IT-UMFRAGE 2024 AM BEISPIEL KI BELEGT.

BILD: HISCOX

CYBER-SICHERHEIT

Warum die Geschäftsleitung jetzt handeln muss

CYBERANGRIFFE

NEHMEN ZU, DOCH VIELE

GESCHÄFTSFÜHRUNGEN

BEHANDELN

CYBERSICHERHEIT

NOCH ALS REINES IT-THEMA.

DABEI SIND GERADE DIE

CHEFS GEFRAGT, WENN SICH

UNTERNEHMEN WIRKSAM

GEGEN DIE DIGITALEN

BEDROHUNGEN WAPPNEN WOLLEN.

72 Prozent der deutschen Unternehmen waren laut Bitkom im vergangenen Jahr von Cyberangriffen betroffen, die einen Gesamtschaden in Höhe von 148 Milliarden Euro verursachten. Obwohl die Mehrheit der Führungskräfte digitale Bedrohungen durchaus als existenzbedrohend einschätzen, delegieren sie die Verantwortung immer noch an die IT-Abteilung – ein gefährlicher Trugschluss. Denn Cybersecurity ist heute eine strategische Aufgabe der Geschäftsleitung.

Cyberrisiken im Fokus

Es ist die Pflicht der Führungsebene, Cybersicherheit in der Unternehmensstrategie zu verankern und für mehr Visibilität und Sensibilisierung im Unternehmen zu sorgen. Dies bedeutet, dass Cyberrisiken regelmäßig auf der Agenda der Geschäftsführung stehen sollten. Es geht darum, ein grundlegendes Verständnis für die Bedrohungslandschaft zu entwickeln und die potenziellen Auswirkungen auf das Geschäft zu verstehen. Darüber hinaus muss die Geschäftsleitung in der Lage

sein, Cyberrisiken zu qualifizieren und zu quantifizieren. Dies erleichtert die Entscheidungsfindung bei Investitionen in die Cybersicherheit und ermöglicht eine sinnvolle Priorisierung von Schutzmaßnahmen.

Cyberrisiken bei Geschäftsentscheidungen berücksichtigen Zudem müssen Unternehmen digitale Risiken bei jeder größeren Geschäftsentscheidung berücksichtigen und managen – sei es bei der Einführung neuer Technologien oder dem Eintritt in neue Märkte. Dieser proaktive Ansatz kann nicht nur Schäden verhindern, sondern auch das Vertrauen

der Kunden stärken. Die Realität zeigt jedoch, dass das Risikobewusstsein noch nicht ausreichend verankert ist. Dies muss sich ändern – und zwar schnell! Die Schäden durch Cyberattacken können verheerend sein, nicht nur finanziell, sondern auch in Bezug auf Reputation und Kundenbindung.

Plattformansatz und Künstliche Intelligenz (KI) als Teil des Lösungsansatzes

Ein zentrales Problem in der Cybersicherheit ist der Fachkräftemangel. Unternehmen haben zwar zahlreiche Security-Tools, kämpfen jedoch damit, qualifiziertes Personal zu bekommen,

um diese zu managen. Indem sie ihre komplexen Sicherheitsarchitekturen in einer zentralen Plattform wie Trend Vision One zusammenführen und durch KIbasierte Tools unterstützen, können Unternehmen auch mit begrenzten Ressourcen eine robuste Security Posture aufrechterhalten. Sie optimieren damit nicht nur ihre Sicherheitsmaßnahmen,

sondern erhalten auch einen zentralen Überblick über ihren aktuellen Cyberrisiko-Status und ihr Sicherheitsniveau. Damit liefert eine solche Plattform die nötige Grundlage für eine datengetriebene Kommunikation zwischen IT und Geschäftsleitung. So kann die Führungsebene informierte Entscheidungen treffen.

Fazit:

Cybersicherheit strategisch verankern

Der Schutz vor digitalen Bedrohungen ist kein „Nice-to-have“, sondern eine absolute Notwendigkeit: Cybersicherheit gehört in die Chefetage. Je früher Unternehmen dies erkennen und entsprechend handeln, desto besser sind sie für die Zukunft gerüstet.

Wenn Sie Ihre Daten nicht schützen, was schützen Sie dann?

Cloud-Angriffe geschehen in Minuten nicht Monaten. Schützen Sie sensible Daten mit intelligenten Sicherheitslösungen vor modernen Bedrohungen.

1 2

ABWEHRSTUFE

Social Engineering verhindern

NUTZER

ABWEHRSTUFE

Schutz vor systematischen Angriffen

3

ABWEHRSTUFE

Bereitstellung von datenzentrierter Cloud-Sicherheit

ZUGRIFF DATEN

Treffen Sie Lookout auf der it-sa Expo&Congress 2024 Stand 7-534, um mehr zu erfahren.

Cyberangriffe Cyberangriffe Cyberangriffe

wenn die eigene Sicherheit nicht ausreicht auf L i e f erketten

PARTNERSCHAFTEN, DIENSTLEISTUNGEN, KUNDENBEZIEHUNGEN – KEINE ORGANISATION AGIERT AUTARK. VERTRÄGE, COMPLIANCE-VORGABEN UND GESETZE REGELN DIE

ZUSAMMENARBEIT, DOCH WIE STEHT ES UM SICHERHEITSKRITERIEN? EINE PROBLEMATISCHE FRAGE, DIE BESONDERS

KLEINE UND MITTELSTÄNDISCHE UNTERNEHMEN BETRIFFT.

Im neuesten Threat Report: Cybercrime on Main Street berichten die SecurityExperten, dass das Sophos-MDR-Team in den letzten zwölf Monaten vermehrt auf Fälle reagierte, in denen Unternehmen über die sogenannte Supply Chain, sprich die Lieferkette im Geschäftsalltag und in der IT-Infrastruktur, attackiert wurden. In mehreren Fällen lagen die Schwachstellen in der Remote-Monitoring- und Management-Software (RMM) eines Dienstanbieters

SCHLEICHFAHRTEN DER CYBERKRIMINELLEN

IMMER PERFIDER

Für KMUs ist es oft schon nicht leicht, die eigene Cybersicherheit aus wirtschaftlicher Perspektive und personell unter

Dach und Fach zu bringen. Ist das einmal geschafft, bleiben externe Risiken bestehen. Angriffe, die vertrauenswürdige Software ausnutzen und die Option der Endpointschutz-Deaktivierung geben, sind besonders perfide und gern im kriminellen Einsatz.

Der Report dokumentiert neben RMMSoftware eine Reihe von Fällen, in denen Angreifer anfällige Kernel-Treiber von älterer Software nutzten, die noch über gültige digitale Signaturen verfügten. Zudem registrierten die Experten immer wieder Einsätze von Software, die betrügerisch erlangte digitale Signaturen verwendete – einschließlich bösartiger Kernel-Treiber, die über das Windows Hardware Compatibility Publisher (WHCP)-Programm von Microsoft digital signiert wurden – um die

Erkennung durch Sicherheitstools zu umgehen und Code auszuführen, der den Malware-Schutz deaktiviert.

Treiber müssen allerdings nicht zwangsläufig bösartig Kernel-Treiber, die über das Windows Hardware Compatibility Publisher (WHCP)-Programm von Microsoft digital signiert wurden – um die Erkennung durch Sicherheitstools zu umgehen und Code auszuführen, der den Malware-Schutz deaktiviert.

Treiber müssen allerdings nicht zwangsläufig bösartig sein, um ausgenutzt zu werden. Die Sophos Security-Spezialisten haben mehrere Fälle gesehen, in denen Treiber und andere Bibliotheken aus älteren und sogar aktuellen Versionen von Softwareprodukten von Angreifern genutzt wurden, um Malware in den Systemspeicher einzuschleusen. Ebenso kommen Microsoft-eigene Treiber bei Angriffen in den Einsatz.

KMUS KÖNNEN SICH GEGEN

CYBER-BEDROHUNGEN

WEHREN

Um potenzielle Gefahren im eigenen Netzwerk und auch von außen effektiv

abwehren zu können, heißt es, besonders sorgfältig und aufmerksam auf Warnungen der Systeme zu achten und gleichzeitig ein Eindringen so früh wie möglich zu unterbinden. Das Problem: Kleinere und mittlere Betriebe sind genauso Cyberbedrohungen ausgesetzt wie weltweit agierende Unternehmen und Konzerne, verfügen aber nicht über die finanziellen und personellen Mittel wie diese. Sie können sich aber wappnen: Die Antwort bietet eine agile Cybersicherheitsstrategie im Team work von Mensch und Maschine. Da bei komplexen Bedrohungen eine rein maschinelle und verhaltensbasierte Erkennung und Beseitigung von Angrif fen oft nicht mehr ausreicht, sollten die technologischen Lösungen unbedingt durch hoch spezialisierte MDR-Teams (Managed Detection and Response) aus IT-Sicherheitsprofis ergänzt werden. Denn neben technischer Innovation mit Künstlicher Intel¬li-genz oder Anomalie-basierter automatischer Reaktion spielt die menschliche Expertise eine immer gewichtigere Rolle.

CYBER-REGULIERUNGEN UND KEIN ENDE?

DAS KOMMT NACH NIS2,DORA UND CRA!

DIE NEUEN REGULIERUNGEN FÜR DEN CYBERRAUM SIND EINE GROSSE HERAUSFORDERUNG FÜR DIE

CYBERSICHERHEIT IN UNTERNEHMEN UND BEHÖRDEN, UND STÄNDIG SCHEINEN NEUE

ANFORDERUNGEN HINZU ZU KOMMEN. UM MEHRFACHAUFWÄNDE UND ÜBERSCHNEIDUNGEN ZU VERMEIDEN, IST EINE ÜBERGREIFENDE SICHT

AUF DIE GEFORDERTEN MASSNAHMEN GEGEN CYBERRISIKEN NOTWENDIG, DENN NACH NIS2, DORA UND CRA IST NOCH LANGE NICHT SCHLUSS!

AUTOR Oliver Schonschek

Regulierungen (über)fordern und verunsichern viele Unternehmen

Im Sommer 2024, wenige Monate vor dem Fristablauf zur Umsetzung der neuen Cybersicherheitsrichtlinie NIS2 der EU, zeigten Umfragen wie die des Verbands der Internetwirtschaft eco, dass erst wenige Unternehmen in Deutschland auf NIS2 vorbereitet waren. „Viele Unternehmen wissen noch nicht, dass sie im Anwendungsbereich der Richtlinie und der daraus folgenden Gesetzgebung in Deutschland liegen“, erklärte eco Vorstand Klaus Landefeld im Juli 2024.

IM MAI 2024 STAND ES UM DIE UMSETZUNG DER ANFORDERUNGEN AUS NIS2 NICHT GUT BEI DEN UNTERNEHMEN IN DEUTSCHLAND. DIE REGULIERUNGEN BEREITEN OFFENKUNDIG PROBLEME. BILD: ECO

„Sie haben sich noch nicht auf die künftigen Anforderungen der NIS2Richtlinie vorbereitet und scheitern teilweise schon daran, ihre eigene Betroffenheit zu ermitteln. Dass die EU-Kommission kurzfristig nun noch Durchführungsrechtsakte speziell für die Anbieter digitaler Dienste veröffentlicht, die ebenfalls zu beachten sind, erzeugt zusätzlich Unsicherheit“, so Landefeld weiter.

Dabei ist NIS2 nur eine der neuen Regulierungen, die Unternehmen je nach Branchenzugehörigkeit und Betroffenheit umzusetzen haben. Die Cybersicherheit steht vor deutlichen Veränderungen. „Die bevorstehenden Gesetzesänderungen werden die Cybersicherheitslandschaft verändern. Die größte Herausforderung besteht darin, wie wir sie durch koordinierte Steuerung und angemessene Ressourcen erfolgreich umsetzen können“, so Fabienne Tegeler, Vorsitzende des Verwaltungsrats der EU-Agentur für Cybersicherheit ENISA.

Doch die Cybersicherheit muss sich

wandeln

Es sind aber nicht die Regulierungen an sich, die die Veränderungen der Cybersicherheit notwendig machen, die Gründe liegen an anderer Stelle: „In einer Welt, in der sich die Technologie in rasantem Tempo weiterentwickelt und die Cyberbedrohungen immer zahlreicher und komplexer werden, ist es zwingend erforderlich, dass wir unseren Ansatz zur Cybersicherheit anpassen, um beispiellose Herausforderungen zu bewältigen“, kommentierte der belgische Staatssekretär für Digitalisierung, Mathieu Michel, die Cybersicherheitspolitik in der EU. „Ein flexibler, anpassungsfähiger und proaktiver Ansatz zur Cybersicherheit ist die Garantie dafür, das notwendige Vertrauen in den laufenden digitalen Wandel zu schaffen und die Sicherheit neuer Technologien zu gewährleisten“, begründet der belgische Digitalpolitiker.

Neue Bedrohungen und Technologien treiben auch die Regulierung

Wenn es darum geht, die Faktoren zu betrachten, die die Cybersicherheit beeinflussen, werden in aller Regel die sich ändernde Cyberbedrohungslandschaft, die neuen Technologien und neue Gesetze und Vorschriften genannt. Doch in Wirklichkeit reagieren die Regulierungen ebenfalls auf die Sicherheitslage und die technologische Entwicklung.

Zu den Top-Bedrohungen, die die EU-Agentur für Cybersicherheit ENISA bis 2030 sieht, gehört auch der Missbrauch von KI. Dieses spezielle Sicherheitsrisiko wird nicht alleine durch Vorgaben aus NIS2 adressiert, sondern auch die KI-Verordnung (KI-VO) soll zur Sicherheit der Künstlichen Intelligenz beitragen.

DIE REGULIERUNG DER CYBERSICHERHEIT MUSS NEUE UND ZUKÜNFTIGE BEDROHUNGEN WIE KI-MISSBRAUCH DRINGEND BERÜCKSICHTIGEN.

BILD: ENISA

Dabei ist die KI-VO ein Beispiel für Spezialregulierungen, die einzelne Technologien und auch deren Sicherheit betreffen. Es kann nicht ausgeschlossen werden, dass weitere derartige Regulierungen folgen. Gerade für den Bereich IoT (Internet of Things) und Produkte, die direkt oder indirekt mit einem anderen Gerät oder Netzwerk verbunden sind, gibt es den Cyber Resilience Act

Der CRA sieht harmonisierte Vorschriften für die Markteinführung von Produkten oder Software mit einer digitalen Komponente vor, einen Rahmen von Cybersicherheitsanforderungen für die Planung, Gestaltung, Entwicklung und Wartung solcher Produkte mit Verpflichtungen, die auf jeder Stufe der Wertschöpfungskette zu erfüllen sind, und eine Sorgfaltspflicht für den gesamten Lebenszyklus solcher Produkte. Das Ziel dahinter ist Security by Design für das IoT.

Spezielle

Cyberrisiken einzelner

Branchen brauchen eine eigene

Antwort

„SOLLTE EIN BREITFLÄCHIGER ANGRIFF AUF DEN EUROPÄISCHEN FINANZSEKTOR ERFOLGEN, WERDEN WIR GERÜSTET SEIN“, SAGT ZBYNĚK STANJURA, TSCHECHISCHER FINANZMINISTER.

BILD: RAT DER EUROPÄISCHEN UNION

Ein weiterer Grund für die scheinbare Fülle an Cyberregulierungen liegt an den Besonderheiten einzelner Branchen. Gerade die Finanzbranche ist hier ein prominentes Beispiel. Da der Finanzsektor immer stärker von Software und digitalen Prozessen abhängig ist, muss er auch stärker geschützt werden, so das EU-Parlament . Die Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (DORA) soll deshalb dafür sorgen, dass der EU-Finanzsektor widerstandsfähiger gegen schwerwiegende Betriebsstörungen und Cyberangriffe ist. In der DORA-Verordnung werden dazu Anforderungen für die Sicherheit der Netz- und Informationssysteme von im Finanzsektor tätigen Unternehmen und Organisationen sowie kritischen Dritten, die ihnen Dienstleistungen im Bereich IKT (Informations- und Kommunikationstechnologien) wie Cloud-Plattformen oder Datenanalysedienste bereitstellen, festgelegt. Der Kern

gulierungen zeigt den weiteren Weg

Viele Unternehmen fürchten, von immer neuen Regulierungen im Cyberraum überrascht zu werden. Umfragen wie das Allianz Risk Barometer 2024 zählen die Veränderungen bei Gesetzen und Vorschriften zu den Top 5 der Unternehmensrisiken. Es ist deshalb allein schon aus Sicht eines Risikomanagements wichtig, sich auf rechtliche Entwicklungen vorzubereiten.

Dabei kann es eine große Hilfe sein, den Kerngedanken der Cybersicherheits- und Digitalpolitik der EU zu erkennen und sich daran mit den eigenen Konzepten und Strategien zur Cybersecurity zu orientieren. Dann kommen neue Regulierungen nicht „ohne jede Vorwarnung“ auf das eigene Unternehmen zu, vielmehr ist man schon zum Teil vorbereitet.

So adressiert die EUStrategie zur Cybersicherheit insbesondere drei Handlungsbereiche, für die auch Regulierungen bestehen oder weiterentwickelt werden: Belastbarkeit, technologische Souveränität und Führung, dann operative Kapazität zur Prävention, Abschreckung und Reaktion sowie die Zusammenarbeit zur Förderung eines globalen und offenen Cyberspace.

Den Leitgedanken der EU für die Cybersicherheit fasste Mathieu Michel, belgischer Staatssekretär für Digitalisierung, im Mai 2024 so zusammen: „Heute haben wir die Grundsätze für die nächsten Schritte bei der Schaffung von mehr Cybersicherheit und Cyber-Resilienz in der Union festgelegt. Der Schwerpunkt sollte auf der Umsetzung, der Annahme harmonisierter Normen, der Zertifizierung, der Sicherheit der Lieferketten, der Zusammenarbeit mit dem Privatsektor, der Unterstützung von KMU und einer adäquaten Finanzierung liegen“. Es wird der EU demnach in der Cybersicherheitspolitik insbesondere auch um eine stärkere Bekämpfung der Cyberkriminalität und ein überarbeitetes Konzept für den Rahmen für das Krisenmanagement im

WELTWEIT LIEGEN

NACH DEM ALLIANZ RISK BAROMETER 2024 CYBER-ATTACKEN UND BETRIEBSUNTERBRECHUNGEN AUF PLATZ 1 UND 2 DER TOP-UNTERNEHMENSRISIKEN.

BILD: ALLIANZ COMMERCIAL

Bereich der Cybersicherheit gehen, aber auch darum, auf Herausforderungen, die sich aus den neuen Technologien ergeben, zu reagieren.

NIS2 ist sicher kein Endpunkt

Wenn sich zeigen sollte, dass die bisherigen Regulierungen nicht für die Erreichung solcher Ziele ausreichen, kann man von weiteren Gesetzen und Verordnungen zur Cybersicherheit ausgehen. So hat die EU deshalb NIS2 zur neuen Cybersicherheitsrichtlinie gemacht, weil die erste NIS-Richtlinie Defizite hatte. So begründete EU-Kommissar Thierry Breton NIS2: „Cyberbedrohungen sind größer und komplexer geworden. Es war unerlässlich, unseren Sicherheitsrahmen an die neuen Gegebenheiten anzupassen und für den Schutz unserer Bürger und Infrastrukturen zu sorgen.“

Bei der Dynamik der Cybersecurity ist eine NIS3 nicht unwahrscheinlich, im Gegenteil. Die Regulierungen werden sich weiter wandeln, wie die Cyberbedrohungen und die Technologien auch.

Oliver Schonschek

Bei der Regulierung der Cybersicherheit geht es Schlag auf Schlag Chronologie der Cybersicherheitspolitik der EU (Auszug), Quelle: Rat der Europäischen Union

• 24.06.2024

EU beschließt neue Sanktionen gegen Cyberangriffe

• 19.07.2023

Gemeinsamer Standpunkt des Rates zum Cyberresilienzgesetz

• 26.06.2023

Vorläufige Einigung über Cybersicherheit in den EU-Einrichtungen

• 23.05.2023

Rat nimmt Schlussfolgerungen zur Cyberabwehrpolitik der EU an

• 28.11.2022

Rat nimmt neue Rechtsvorschriften über Cybersicherheit und Resilienz (NIS 2) an

IT SECURITY IST TEAMPLAY

Ein Managed Security Service wie ein eigenes Team

Niemand kann Cybercrime allein bekämpfen. Wir stehen Ihnen daher mit persönlicher und individueller Betreuung zur Seite.

Ideal für Unternehmen, die:

၉ sicherstellen möchten, dass Cyberangriffe schnell gestoppt werden –auch nachts und am Wochenende

၉ sich mehr IT-Sicherheit wünschen, ohne in zusätzliches Fachpersonal zu investieren

၉ die NIS-2-Anforderungen zur Angriffsbewältigung umsetzen müssen

Fachleute mit aktueller Expertise erkennen neueste Angriffsarten

Ihre Ansprechpartner in Bochum sind 24/7 für Sie erreichbar

Deutsches Unternehmen – höchster Datenschutz

DIE KONVERGENZ VON OT UND IT – HERAUSFORDERUNGEN FÜR DIE CYBERSICHERHEIT

WAREN FRÜHER IT UND OT GETRENNTE WELTEN, BEFINDEN SICH DIE SYSTEME HEUTE OFT IN VERBUNDENEN NETZWERKEN UND SIND ANS INTERNET ANGEBUNDEN. DADURCH ENTSTEHEN NEUE ANGRIFFSFLÄCHEN, DIE DIE SICHERHEIT BEIDER SYSTEME GEFÄHRDEN. CLOUD-SICHERHEIT AUF BASIS VON ZERO TRUST WIRD FÜR DIE OT WICHTIGER.

Traditionell waren OT-Systeme isoliert von externen Netzwerken und damit relativ sicher vor Cyberangriffen. Produktionsanlagen, Energieversorgungsnetze und kritische Infrastrukturen waren physisch vom Internet getrennt, doch diese sichere Isolation ist längst nicht mehr die Realität.

Durch die Integration von IoTGeräten, Fernzugriffsanforderungen und Cloud-Diensten werden OT-Systeme zunehmend vernetzt und neue Angriffsflächen entstehen.

IT-Sicherheitsansätze als Lösung für die OT

Die Übertragung bewährter

IT-Sicherheitsstrategien auf die OT bietet sich als erprobter Ansatz an. Privileged Remote Access, Zero Trust-Architekturen und Cloud-basierte Plattformen können auch in der OT zur nötigen Sicherheit und Effizienz führen. Dort hat sich der Fokus auf die User-Identität etabliert, um die Zugänge effektiv gegen eine Vielzahl von Angriffstechniken zu schützen.

Sofern der Zugriff auf das Internet aus einer OT-Umgebung unumgänglich ist, bietet sich Browser Isolation an, um OT-Systeme effektiv vor externen Bedrohungen zu schützen und gleichzeitig einen sicheren Zugriff auf globale Informationsquellen zu gewährleisten. Dabei werden alle Internet-Verbindungen in einer isolierten Umgebung verarbeitet, sodass potenzielle Bedrohungen außerhalb des Systems gehalten werden. So können OT-Mitarbeitende

„Die isolierten OT-Netze sind längst zu einem “Schweizer Käse” mutiert durch IoT-Daten und APIs, allerdings ohne die aus der IT bekannten Sicherheitsmechanismen.“

Christoph Schuhwerk, CISO in Resicence bei Zscaler zscaler.de

oder externe Dienstleister sicher auf Umgebungen zugreifen. Cloud-basierte Plattformen bieten zusätzliche Vorteile durch eine Verwaltungsoberfläche, die zur einfachen Administration beiträgt und ungewöhnliche, potenziell bedrohliche Zugriffe schneller und granularer erkennen kann.

Maximale Verfügbarkeit der OT OT-Systeme sind auf maximale Verfügbarkeit ausgelegt, da ein Ausfall nicht nur den Produktionsfluss unterbricht, sondern auch mit finanziellen oder gar volkswirtschaftlichen Schäden einhergeht. Hinzu kommen lange Lebenszyklen und oft noch veraltete Technologien, die nur begrenzt mit modernen Sicherheitslösungen kompatibel sind. Zscaler bietet durch die Übernahme der Firma “Airgap” einen Lösungsansatz zur automatischen Mikrosegmentierung auch älterer Geräte über die Zero Trust Exchange-Plattform.

Die nachträgliche Segmentierung des Ost-West Datenverkehrs von OT-Umgebungen ohne Downtime der Produktionsanlagen wird

dadurch möglich. Durch den agentenlosen Segmentierungsansatz auf Basis einer intelligenten DHCP-Proxy-Architektur (Dynamic Host Configuration Protocol) kann jedes Gerät isoliert werden. Der Zugriff auf die OT-Umgebung wird dynamisch über Identität und Kontext hergestellt. Mit Hilfe dieses Ansatzes lassen sich einzelne IoT-/OT-Geräte segmentieren, ohne den laufenden Betrieb zu beeinträchtigen.

Unternehmen sollten jetzt handeln, um den wachsenden Sicherheitsanforderungen gerecht zu werden und wettbewerbsfähig zu bleiben. Wer die Konvergenz von OT und IT nicht vorantreibt, riskiert Sicherheitsvorfälle, den Verlust von Wettbewerbsvorteilen oder gar regulatorische Eingriffe. Es ist entscheidend, frühzeitig in die Zukunft der OT-Sicherheit zu investieren und die notwendigen Schritte zur Integration und Verbesserung der Sicherheitsstrategien zu unternehmen.

Mehr zum Thema IT- & OT-Sicherheit auf der it-sa 2024 bei Zscaler am Stand 6-324 in Halle 6.

ESET MDR

Mitarbeiter des Jahres:

Unser Managed Detection and Response Service bietet Ihnen 24/7 ganzheitliche IT-Sicherheit.

Überwachung | Bedrohungssuche | Vorfallmanagement

DIE ZUKUNFT DES DATENSCHUTZES

WIRD DER

DATENSCHUTZ

ZU EINEM

UNTERNEHMENS-

RISIKO?

NEUE TECHNOLOGIEN TREIBEN INNOVATION UND WACHSTUM VORAN. DOCH KAUM TRITT

EINE TECHNOLOGIE IN ERSCHEINUNG, SCHON

WARNEN DIE DATENSCHÜTZER. WIRD DER

DATENSCHUTZ DIE TECHNOLOGISCHE

ENTWICKLUNG BEGLEITEN ODER SEINEM RUF

ALS BLOCKIERER GERECHT? MUSS MAN

WOMÖGLICH DEN DATENSCHUTZ EINSCHRÄN -

KEN, DAMIT SICH DIE WIRTSCHAFT POSITIV

ENTWICKELT? EIN BLICK IN DIE ZUKUNFT DES DATENSCHUTZES.

AUTOR

Oliver Schonschek

DATEN NUTZEN UND NICHT NUR SCHÜTZEN?

Die europäische Datenschutz-Grundverordnung (DSGVO) hemmt in großen Teilen der deutschen Wirtschaft Innovationen und wird als Hindernis für Wachstum und Wohlstand in der digitalen Welt wahrgenommen, erklärte der Digitalverband Bitkom im Mai 2023. „Wir müssen Datenverarbeitungen als Chance verstehen, nicht immer nur als Risiko“, kommentierte der damalige Bitkom-Präsident Achim Berg. „Wenn wir fünf Jahre so weitermachen wie zuletzt, schwächen wir unsere Innovations- und Wettbewerbsfähigkeit.“

6 VON 10 UNTERNEHMEN (62 PROZENT)

ZÖGERN BEI DER DATENNUTZUNG, WEIL SIE ANGST HABEN, GEGEN DEN DATENSCHUTZ ZU VERSTOSSEN, SO EINE BITKOM-UMFRAGE. FAST EBENSO VIELE (60 PROZENT) HABEN

SCHON EINMAL PLÄNE FÜR INNOVATIONEN GESTOPPT, WEIL DATENSCHUTZRECHTLICHE VORGABEN ODER UNSICHERHEITEN SIE DAZU GEZWUNGEN HABEN.

BILD: BITKOM

Es sind aber nicht nur Wirtschafts- und Digitalverbände, die auf eine stärkere Ausgeglichenheit von Datennutzung und Regulierung hinweisen. „Um die Wettbewerbsfähigkeit der EU auf der globalen Bühne zu verbessern, sollten wir einen gemeinsamen europäischen Ansatz für innovative digitale Technologien fördern, der das richtige Gleichgewicht zwischen Innovation, Regulierungsaufwand und Schutz der wirtschaftlichen Sicherheit der Union herstellt“, erklärte auch Mathieu Michel, belgischer Staatssekretär für Digitalisierung, als im Mai 2024 der Rat der EU die wichtigsten Prioritäten für die nächste Legislaturperiode festlegte.

Es mag aber auf den ersten Blick überraschen, dass der Rat der EU in seinen Prioritäten trotzdem die Bedeutung der Datenschutz-Grundverordnung, aber auch der neuen Vorschriften zur Festlegung der Pflichten für Online-Plattformen, Online-Suchmaschinen und Torwächter, insbesondere durch das Gesetz über digitale Dienste und das Gesetz über digitale Märkte betont. Das Gesetz über digitale Dienste (Digital Services Act, DSA) soll zu einem sicheren, vorhersehbaren und vertrauenswürdigen Online-Umfeld und einem reibungslosen Funktionieren des EU-Binnenmarkts für Vermittlungsdienste beitragen. Das Gesetz über digitale Märkte (Digital Markets Act, DMA) ergänzt das

Wettbewerbsrecht und beschränkt die Macht marktbeherrschender Digitalkonzerne. Dabei schränken DSA und DMA aber nicht den Datenschutz ein, vielmehr bildet die DSGVO immer die Grundlage der anderen Digitalgesetze.

DER DATENSCHUTZ ZWISCHEN VERTRAUENSBASIS UND LEBENSFERNE

Wenn in Teilen der Wirtschaft der Datenschutz als Risikofaktor für neue Geschäftsmodelle gesehen wird, sollte der Blick auf die Wünsche der Kundinnen und Kunden gerichtet werden. So berichtet Bitkom Anfang 2024: Deutsche IT-Anbieter genießen das größte Vertrauen, und zwar wegen des Datenschutzes. Dennoch fordert der Bitkom-Verband weiterhin Veränderungen im Datenschutz. „Mehr als fünf Jahre nach Inkrafttreten der Datenschutz-Grundverordnung sind wir immer noch mit zu vielen offenen Auslegungsfragen und lebensfernen Umsetzungsvorschlägen beschäftigt“, sagte Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung.

So müssten die Vorgaben zum Schutz von Daten auf der einen Seite und zur Nutzung von Daten für die Forschung, Wirtschaft und Gesellschaft auf der anderen Seite, eine verantwortungsvolle Nutzung ermöglichen und unterstützen. „Wir müssen in Deutschland und Europa die Weichen

58 PROZENT DER UNTERNEHMEN GLAUBEN, DASS DEUTSCHLAND CHANCEN FÜR WACHSTUM UND WOHLSTAND VERSCHENKT, WEIL ZU OFT AUF DATENNUTZUNG VERZICHTET WIRD. 63 PROZENT SAGEN, DASS DURCH STRENGE REGELN INNOVATIVE DATENGETRIEBENE GESCHÄFTSMODELLE IN DEUTSCHLAND ERSTICKT ODER AUS DEM LAND VERTRIEBEN WERDEN. BILD: BITKOM

DEUTSCHE UNTERNEHMEN NUTZEN IHRE DATEN KAUM, SO BITKOM. FRAGT MAN DIE UNTERNEHMEN, DIE BISHER KEINE DATEN ANBIETEN, NACH DEN GRÜNDEN, SO WIRD AM HÄUFIGSTEN (58 PROZENT) DER DATENSCHUTZ GENANNT, DER EINEN AUSTAUSCH NICHT ERLAUBT. 44 PROZENT SIND UNSICHER, OB DAS TEILEN RECHTLICH MÖGLICH IST – UND VERZICHTEN DESHALB GANZ DARAUF BILD: BITKOM

für eine Datenökonomie stellen, die es unseren Volkswirtschaften erlaubt, einen Wettbewerb auf Augenhöhe mit Ländern aus Asien und den USA zu führen, und gleichzeitig Grundrechte zu wahren“, bekräftigt Susanne Dehmel.

DER DATENSCHUTZ BEWEGT UND KOORDINIERT SICH

Nun ist es nicht so, dass die Datenschutzaufsichtsbehörden selbst keinen Bedarf für Veränderungen sehen würden. Für die Zukunft sind die Veränderungen im europäischen und nationalen Datenrecht bereits erkennbar, die sich auf den Datenschutz auswirken, berichtet die Datenschutzaufsicht von Schleswig-Holstein. Dazu gehört demnach das Paradigma des verstärkten Datenteilens und Datennutzens sowie die Regulierung der Künstlichen Intelligenz (KI). Bei all diesen neuen Verarbeitungen und Technologien würden personenbezogene Daten eine Rolle spielen, die Datenschutzaufsichtsbehörden müssten deshalb einbezogen werden.

Die Landesbeauftragte Marit Hansen verwies dabei auf das gemeinsame Vorgehen der Aufsichtsbehörden in dem Gremium Datenschutzkonferenz: „Mit der Datenschutzkonferenz haben wir ein bewährtes Instrument, um beim Datenschutz mit einer Stimme zu sprechen. Genau dies wird auch nötig sein, wenn es um die rechtssichere Anwendung von KI-Systemen geht. Ein Wirrwarr von Aufsichtsstrukturen sollte vermieden werden.“

DER DATENSCHUTZ WILL KI NOCH STÄRKER BEGLEITEN, ABER AUCH BEAUFSICHTIGEN

Die Datenschutzkonferenz hat eine eigene Taskforce KI gegründet. Mit der KI-Verordnung haben die Datenschützer auch eine konkrete Aufgabe bei der weiteren Entwicklung der KI-Nutzung: Für KI-Anwendungen bei Strafverfolgung, Justizverwaltung und Migrationskontrolle sowie bei KI, die Wahlen beeinflusst, sind die Datenschutzaufsichtsbehörden als Marktüberwachungsbehörden zuständig.

DIE DATENSCHUTZKONFERENZ ALS GREMIUM DER DATENSCHUTZAUFSICHTSBEHÖRDEN FORDERT NATIONALE ZUSTÄNDIGKEITEN FÜR DIE KI-VERORDNUNG. DAZU PROF. KUGELMANN, LEITER DER TASKFORCE KI: „WIR STEHEN FÜR DIESE ZUKUNFTSAUFGABE BEREIT“

BILD: LFDI / ANDREA SCHOMBARA

Datenschutz und „KI-Schutz“ gehen hier dann Hand in Hand. Aber die Datenschützer sehen weitere Aufgaben bei KI für sich. So erklärte Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz und Leiter der Taskforce KI: „Die Marktüberwachung für KI-Verfahren erfordert Expertise und den Willen sowie die Fähigkeit zur Kooperation. Die Datenschutzaufsichtsbehörden bringen diese Kompetenzen mit“.

Eine übergreifende Aufsicht bedeute für die Verantwortlichen, dass sie einheitliche Ansprechpartner haben. Dies entspräche dem Wunsch der Wirtschaft nach einer Antwort auf ihre Fragen. Diese Synergien habe der Verordnungsgeber selbst erkannt, indem er den Datenschutzaufsichtsbehörden die Marktüberwachung in besonders grundrechtsrelevanten Bereichen zugewiesen hat. „Eine Ausdehnung dieser Zuständigkeiten ist der schlüssige nächste Schritt. Wir wollen Marktüberwachung und Daten schutzaufsicht für KI-Verfahren aus einer Hand gewährleisten und stehen für diese Zukunftsaufgabe bereit“, so Prof. Kugel mann weiter.

Offensichtlich wollen die Datenschützer sich nicht der technologi schen Entwicklungen verschließen, sondern daran mitwirken. Es geht im Datenschutz in Zukunft nicht nur darum, „die Risi ken der Datennutzung zu minimieren, sondern den Datenschutz auch mit einer Vielzahl neuer Vorschriften zur Datennutzung in Einklang zu bringen“, wie der Digitalverband Bitkom es fordert. Genau das scheint auch die Zukunft des Datenschutzes aus der Sicht der Datenschützer zu sein, wie das Beispiel KI zeigt.

Der Datenschutz will also auch in Zukunft Risiken aus dem Weg räumen und nicht selbst zu Risiken beitragen.

Oliver Schonschek

„DATEN SIND DER ROHSTOFF DER DIGITALISIERUNG UND WIR SITZEN AUF EINEM RIESIGEN DATENSCHATZ, DEN WIR HEBEN WOLLEN. BISLANG BLEIBEN DATEN VIEL ZU OFT UNGENUTZT UND FEHLEN SOMIT FÜR DIGITALE INNOVATIONEN“, BUNDESDIGITALMINISTER DR. VOLKER WISSING BILD: BUNDESREGIERUNG/JESCO DENZEL

Wir liefern auch 2025 Einschätzungen, Tipps und neue Einblicke in spannende Themen für Security-Profis.

Mit der HYPERSECURE Platform bleiben Angriffe auf IT-Systeme da, wo sie hingehören: außen vor

WIR SIND DABEI!

Stand 241 | Halle 9

Endstation für Cyberkrieger

Wir haben uns den Schutz Ihrer IT-Systeme auf den Schild geschrieben. In der täglichen Schlacht um Ihre IT-Sicherheit marschieren Viren, Trojaner, Ransomware und viele weitere Bedrohungen auf – mit optimierten Firewall-Servern und Security-Lösungen von Thomas-Krenn schlagen Sie sie zurück. Rüsten Sie sich für Ihren Kampf direkt beim Server-Hersteller!

Auf in den Kampf:

thomas-krenn.com/kampf

+49 (0) 8551.9150-300