Ransomware ist der Donald Trump der Cyberkriminalität: Sie drängelt sich in den Vordergrund, agiert so offensichtlich bösartig, dass sie alle Blicke auf sich zieht – und kommt damit immer wieder durch. Doch während sich das Schlaglicht auf derlei Erpressungstrojaner richtet, lauern im Dunkel weitere Angriffsarten. Auch an deren Abwehr arbeitet die Security-Branche. Über diese Trends habe ich mit Stefan Strobel gesprochen, dem Inhaber des Heilbronner Security-Beratungshauses Cirosec.
Ransomware bleibt gefährlich. So berichtete Googles Security-Truppe Mandiant, dass nach einem leichten Rückgang 2022 nun wieder 23 Prozent ihrer Untersuchungen mit Ransomware zu tun haben. Die Verweildauer der Angreifer im Netzwerk sank dabei von neun auf fünf Tage – die Kriminellen agieren also immer schneller. Besonders brisant: Laut Fachleuten, z.B. diesem Sophos-Report, gerät kritische Infrastruktur zunehmend ins Visier der Cybererpresser.
Allerdings muss Ransomware – eine weitere Parallele zu Trump – derzeit damit leben, dass ihr die Konkurrenz die Schau stiehlt. Denn in Security-Diskussionen geht es letzthin immer öfter um die Gefahren, die der Einsatz künstlicher Intelligenz (KI) mit sich bringt, insbesondere der von GenAI (Generative Artificial Intelligence = generative, also neue Inhalte erzeugende KI). Denn das Prinzip „Inhalte von KI produzieren lassen“ hat seit der Veröffentlichung des KI-Chatbots ChatGPT rasant Akzeptanz gefunden. Schließlich nimmt GenAI dem Nutzer allerlei lästige Arbeit ab. Kaum verwunderlich also, dass sie auch in den Belegschaften der Unternehmen auf Gegenliebe stößt.
Gefahren von ChatGPT & Co. für Unternehmen
„Beschäftigte verwenden ChatGPT oder Microsoft Copilot für den Alltag, Übersetzungen, Programmiertätigkeiten etc. Dadurch entstehen neue Schwachstellen, neue Angriffspunkte“, warnt Stefan Strobel. Das Problem: „Es gibt kaum Lösungen, die diesen Kanal adressieren und aufzeigen, wo die Schwachpunkte sind, und die versuchen, in den Griff zu bekommen, was an Daten alles abfließen kann.“
Doch diese Lage beginnt sich zu drehen. Laut dem Cirosec-Chef sind in den letzten Quartalen einige Spezialanbieter mit ihren Lösungen auf den Markt gekommen.
„Diese Unternehmen versuchen, alle KI-Security-Aspekte mit einer Lösung zu addressieren, die sich an verschiedenen Stellen einklinkt“, erläutert Strobel. Als Beispiel nennt er eine Browser-Erweiterung (Extension), die erkennt, sobald ein Nutzer zu viele Unternehmensinterna in den ChatGPT-Prompt eingibt. „Die Extension fordert den Nutzer dann auf, die Eingabe umzuformulieren, wenn z.B. interne E-Mail-Adressen, Passwörter oder Access Tokens enthalten sind“, so Strobel, „und schlägt vor, sie durch Platzhalter zu ersetzen.“
Als Beispiel für eine solche End-to-End-KI-Sicherheitssoftware nennt Stobel den israelischen Anbieter Lasso Security. Lasso decke die gesamte Breite der KI-Einsatzfälle ab. Solche Lösungen arbeiten laut dem Fachmann mit einer Mischung aus Regelwerk und künstlicher Intelligenz. Denn eine KI müsse enthalten sein, um diese Aspekte überhaupt erkennen und Regeln aufstellen zu können.
Firmeninterne KI-Lösungen als Risiko
Damit Beschäftigte gar nicht erst in Versuchung geraten, KI-Services aus der Public Cloud wie ChatGPT oder Google Bard zu nutzen, entwickeln oder betreiben manche Unternehmen bereits eine eigene generative KI im Intranet. Diese hausinterne KI wird mit einem Verfahren namens RAG (Retrieval-Augmented Generation, um Datenaufrufe erweiterte Erzeugung von Inhalten) mit unternehmensinternem Wissen trainiert. So bleiben die Daten im Haus. Zudem soll der Ansatz das Risiko minimieren, dass die KI bei unzureichender Datenbasis über Gebühr kreativ vorgeht und unfundiert – sprich: faktisch falsch – antwortet („halluziniert“).
Doch auch eine Unternehmens-KI hat ihre Schattenseiten: „Dadurch hat die KI unter Umständen Dinge gelernt, die nicht für die Belegschaft geeignet sind“, sagt Strobel. Er nennt ein Beispiel: „Wenn ein Mitarbeiter fragt: ,Was verdient eigentlich die Geschäftsleitung?’, dann ist es denkbar, dass diese Daten Teil des KI-Trainings waren, weil man dazu den kompletten File-Server verwendet hat. Auf diese Frage soll der Mitarbeiter aber natürlich keine Antwort erhalten.“
Hier könne das Unternehmen per Browser-Plug-in oder Gateway vorgeben: Fragen zur Vergütung der Geschäftsführung soll die KI nicht beantworten. Ein Security-LLM (Large Language Model, KI-Sprachmodell) könne abstrahieren, wann diese Frage vorkommt.
„Abstrahieren“ ist ein wichtiges Stichwort. Denn generative KI zieht auf der Basis ihres Modelltrainings selbsttätig Schlüsse jenseits altbekannter Wenn-dann-Regeln. Wie genau sie zu ihrem Ergebnis kommt, lässt sich aber schwer – wenn überhaupt – nachvollziehen. Dies wirft die kritische Frage auf: Verlassen sich Unternehmen hier nicht auf Mechanismen, die letztlich niemand mehr versteht?
„Das ist natürlich ein Riesenthema, mit dem man sich gesellschafts- und technologiekritisch auseinandersetzen kann“, sagt Strobel und führt aus: „In den etablierten KI-Bereichen, etwa bei der Schadsoftware-Erkennung, wäre es schädlich, die etablierten Mechanismen nur durch KIs zu ersetzen.“ Denn diese seien ebenfalls angreifbar und könnten dann nicht mehr so schnell reagieren. Aber er betont: „Die Mischung aus KI- und regelbasierter Abwehr schafft tatsächlich einen Mehrwert.“
Digitale Lieferkette als Angriffsziel
Ein fehlerhaftes Update in der Endpoint-Security-Lösung des US-Anbieters CrowdStrike legte jüngst Unternehmen und Betreiber kritischer Infrastruktur in zahlreichen Ländern lahm. Nach Microsoft-Angaben waren 8,5 Millionen Endpunkte betroffen. Ursache war laut CrowdStrike kein Angriff, sondern ein banaler Programmierfehler. Dennoch veranschaulichte der Vorfall, wie angreifbar Unternehmen und Organisationen heute über den Umweg ihrer digitalen Supply Chain (Lieferkette) sind.
Der eine oder andere Graumelierte mag sich auch noch daran erinnern, dass vor vier Jahren ein Supply-Chain-Angriff auf den IT-Management-Anbieter Solarwinds Tausende Unternehmen betraf, darunter nicht zuletzt US-Bundesbehörden wie etwa ausgerechnet das Ministerium für Heimatschutz. Seither ist die Sicherheit digitaler Lieferketten ebenfalls ein Thema, das ganz oben auf der Speisekarte der Security-Verantwortlichen steht.
„Das große Thema Supply Chain Security wird in den USA seit Bidens Executive Order 14017 vom Februar 2021 massiv gepusht“, berichtet Strobel. „Natürlich bekommt es auch in Europa und in Deutschland immer größere Bedeutung, etwa durch ISO 27001. Auch andere Themen wie SaaS-Security oder No-Code-/Low-Code-Security haben in die Unternehmen schleichend Einzug gehalten, werden aber von den bestehenden Sicherheitslösungen nicht erfasst.“
Blinde Flecken
Hier hätten die Security-Mechanismen der Unternehmen bislang blinde Flecken, so Strobel: „Die Unternehmen haben ihre CSPM-Tools (Cloud Security Posture Management, d.Red.), die ihre Azure- oder AWS-Konfigurationen analysieren, und ihre CNAPP-Tools (Cloud-Native Application Protection Platform, d.Red.), die das Container- und Kubernetes-Verhalten betrachten“, sagt der Experte, „aber was ist mit der Sicherheit innerhalb von ServiceNow, Salesforce, Microsoft 365 oder SAP?“
Er skizziert das Risikoszenario: „Die SaaS-Applikationen enthalten jede Menge Schnittstellen. Überall werden Credentials hinterlegt und API-Tokens verwaltet für die automatische Integration, werden Automatismen erzeugt. Dafür haben bisher die analytischen Werkzeuge gefehlt, ebenso wie für die Behebung der Schwachstellen.“
Inzwischen aber widmet sich die Branche auch der SaaS-Sicherheit: in Form von Zusatzservices, denen ein Unternehmen Zugriff auf seine SaaS-Applikationen gibt. Diese Services, so Strobel, „erkennen die Konfigurationen, die Schnittstellen, die Tokens, die Integrationen und zeigen mir auf, wo ich ein Problem habe. Dann machen sie mir Vorschläge, um das abzusichern, unterstützen also auch gleich die Remediation (Behebung, d.Red.).“
Unternehmen sollten hier laut dem Experten darauf achten, einen Anbieter zu wählen, der möglichst alle großen SaaS-Anbieter und -Applikationen integriert hat oder aber im Projekt integrieren kann. Ein Top-Anbieter in diesem Bereich ist laut Strobel Valence Security, der wie Lasso aus Israel stammt. Valence decke eine breite Palette an SaaS-Angeboten ab und lasse sich bei Bedarf erweitern.
Browser für sichere Arbeit im Unternehmen
Die Hauptangriffstore sind nach wie vor E-Mail und das Web. Vor Jahren schon wollte das US-Startup Bromium für sichere Web-Nutzung sorgen. Dazu vermarktete es einen Mikrovirtualisierungs-Browser, der Web-Aufrufe jeweils in eine geschützte Sandbox packte. „HP hat den Anbieter akquiriert, danach wurde es still in diesem Segment“, sagt Strobel.
Inzwischen aber habe sich eine neue Generation ähnlicher Angebote herausgebildet. Hier stoße man auf zwei Varianten: einen Enterprise-Browser, der sich zentral steuern lässt und zusätzliche Sicherheitseinstellungen ermöglicht, oder aber eine Browser-Erweiterung für Chrome oder Edge, um die Security und die zentrale Kontrolle der Browser zu verbessern.
Zu den Anbietern in diesem Umfeld zählen – neben HP Wolf Security (Ex-Bromium) – unter anderem LayerX Security, Talon Cyber Security oder auch Island (nicht die Nation, sondern ein US-Startup gleichen Namens, zu finden unter island.io; die Nation hingegen findet man unter visiticeland.com).
Im Zeitalter von Ransomware & Co. wäre es für IT-Security-Teams sicher eine Überlegung wert, sich derlei Secure-Browser-Angebote näher anzuschauen. In einem anderen gern diskutierten Segment, der Post-Quantum Cryptography (Quantencomputing-sichere Verschlüsselung), sieht Strobel hingegen noch keinen akuten Handlungsbedarf: „Wir sind noch ein ganzes Stück davon entfernt, dass man die etablierten Kryptoalgorithmen austauschen muss.“
Zwar könne man argumentieren, so der Experte, dass bestimmte Interessensgruppen massiv verschlüsselte Daten sammeln, um sie in fünf oder zehn Jahren zu entschlüsseln, nach dem Motto: „Store now, decrypt later“. Das sei aber „in den allermeisten Fällen nicht das große Problem für die Unternehmen.“
Bereits jetzt ein VPN durch ein Produkt mit Post-Quanten-Kryptografie auszutauschen, halte er persönlich „in den meisten Fällen – von einigen sensiblen Bereichen abgesehen – für übertrieben“. Der Grund: „Die neuen Algorithmen, die jetzt standardisiert werden oder bereits standardisiert sind, fließen sukzessive auch in die etablierten Produkte mit ein.“ Also: abwarten und lecker Algorithmentee trinken!
Beistand von externer Seite
„In Deutschland müssen und wollen wohl die meisten Unternehmen einen externen SOC-Service (Security Operations Center, Security-Leitstelle, d.Red.) in Anspruch nehmen – entweder aus Compliance-Gründen oder weil sie erkennen, dass sie eine Rund-um-die-Uhr-Überwachung brauchen, dies aber selbst nicht stemmen können“, erklärt der Cirosec-Chef. Will ein Unternehmen einen Cloud-Service nutzen, etwa Microsoft Defender und Sentinel, z.B. weil es eh eine Microsoft-E5-Lizenz hat, dann stehe es vor der Frage: Wie bekomme ich die relevanten Daten sinnvoll in die Cloud, ohne dass mir die Kosten über den Kopf wachsen? Denn man bezahle schließlich bei Microsoft pro Gigabyte für die eingelieferten Events.
„Hier gibt es eine ganze Reihe neuer Startups und teils auch etwas älterer Firmen, die eine Art vorgeschaltetes Gateway anbieten“, berichtet Strobel. Die Funktionsweise: „Das Gateway sammelt die Logdaten über Schnittstellen lokal ein, filtert und sortiert sie dann: Welche sind für das SIEM (Security Information and Event Management, d.Red.) relevant, welche brauche ich nur in einem preiswerten Langzeitspeicher, um im Fall forensischer Untersuchungen darauf zugreifen zu können?“
Zugleich aggregiere diese Art von Gateways Logeinträge z.B. von Firewalls auf intelligente Weise oder reichere die Daten an. „Unter dem Strich spart das Geld“, rechnet Strobel vor, „denn die Kosten für das Gateway sind oft geringer als die Cloud-Speicherkosten.“
MSSP-Markt in Deutschland wächst
Dass angesichts unerquicklicher Bedrohungslage die Nachfrage nach erfahrenen Security-Partnern steigt, verwundert nicht. Doch auch dies hat wiederum Schattenseiten für Firmen: „Der MSSP-Markt explodiert gerade. Dies erzeugt einen Konkurrenzkampf um SOC-Arbeitskräfte, der vor allem auf dem Rücken der Unternehmen ausgetragen wird“, berichtet Strobel.
Denn ein MSSP, dessen Angebot auf hundert Kunden skaliert, könne den gesuchten Security-Analysten eben einfach mehr bezahlen als ein Anwenderunternehmen, das die Fachleute nur für den Eigenbedarf braucht. „Entsprechend wird das SOC-Personal immer höher bezahlt und immer mehr von den MSSPs abgegriffen“, so Strobel. „Die Unternehmen haben dann ein Problem, überhaupt noch ein eigenes SOC zu betreiben, weil die MSSPs ihre Fachleute abwerben.“ SOC-Arbeitskräfte finde man dann höchstens noch in Osteuropa.
Die Security-Verantwortlichen haben also weiterhin an zahlreichen Fronten zu kämpfen – ganz unabhängig davon, ob sich gerade Ransomware, KI oder sonst was ins Rampenlicht drängt.
*****
Hat Ihnen dieser Text gefallen? Dann erzählen Sie doch einem Menschen davon, den das Thema ebenfalls interessieren könnte! Denn liebevoll von Hand erstellte Inhalte verbreiten sich am besten per Mundpropaganda.
Bilder (sofern nicht anders angegeben): Dr. Wilhelm Greiner, KI-generiert mittels NightCafé
IT Info 2 Go 
Du muss angemeldet sein, um einen Kommentar zu veröffentlichen.