Vor Kurzem berichtete ich von meinem Besuch der Security-Messe it-sa, der sich zumindest manchmal wie eine Zeitreise zurück zur CeBIT-Glanzzeit anfühlte. Nun, drei Wochen später, habe ich endlich die Zeit gefunden für den zweiten Teil meines Reiseberichts. Reisen wir also zurück in den Oktober – und von dort aus wiederum schleunigst zurück in die Zukunft KI-gestützter Angriffsvektoren und Abwehrlösungen.
Arctic Wolf ist in Europa weiter auf Wachstumskurs, berichtete Dr. Sebastian Schmerl, VP Security Services EMEA. Der MSSP (Managed Security Service Provider) hat jetzt ein eigenes Incident-Response-Team für Europa, darunter fünf Personen, die sich hauptberuflich um Sicherheitsvorfälle von Kunden kümmern. Diese Fachleute, so Schmerl, haben die nötige Routine, die angegriffenen Unternehmen oft fehlt. So können sie deren IT-Teams helfen, Fehler in der Reaktionskette zu vermeiden.
Standort des Teams ist Frankfurt, aber insbesondere die erfahrenen Incident Responder arbeiten laut dem Arctic-Wolf-VP verteilt. Per Incident-Response-Portal könne ein Kunde alle wichtigen Angaben hinterlegen, die im Notfall verfügbar sein müssen.
Die Besonderheit des MSSPs aus Eden Prairie, Minnesota (USA): Er überwacht nicht nur Kundennetzwerke, sondern stellt Kunden auch einen „Concierge“ genannten Berater zur Seite. Dessen Aufgabe ist es, die Abwehrmaßnahmen des Arctic-Wolf-SOCs in Absprache mit dem Kunden möglichst um proaktive Sicherheitsmaßnahmen seitens des Anwenderunternehmens zu ergänzen. Zudem bietet Arctic Wolf nun als Service an, bei der Auswahl von Cyberversicherungen zu unterstützen.
Managed Security liegt im Trend
Schmerl berichtete – wie so viele Security-Anbieter – von mehr Nachfrage aufgrund von NIS 2 (Network and Information Security 2), fordert doch diese EU-Richtlinie explizit Überwachung, Angriffserkennung und Reaktion auf Angriffe. Der britische Security-Anbieter Sophos wiederum hat laut Security Evangelist Michael Veit seit vier Jahren einen Managed-SOC- bzw. MDR-Service. Dies sei das mit Abstand am schnellsten wachsende Produkt, das Sophos je angeboten habe. Sophos beschäftige hierfür Analysten „im mittleren dreistelligen Bereich“.
In den letzten zwölf Monaten war laut Veit die Integration mit Bestandstechnik im Kundenunternehmen das beherrschende Thema, von Firewalls über E-Mail-Sicherheit bis IAM (Identity and Access Management). Ebenfalls stark nachgefragt sei NDR (Network Detection and Response), wüssten doch viele Unternehmen gar nicht, welche Geräte sie so im Netz haben. Diesen blinden Fleck vermeide NDR, sodass die Analysten ein vollständiges Bild erhielten.
Seit einem halben Jahr bietet Sophos auch ASM (Attack Surface Management). Begonnen habe man mit externem ASM, so Veit, also mit der Überwachung der Angriffsflächen, die eine Unternehmensumgebung in Richtung Internet aufweist. Nächstes Jahr soll internes ASM folgen, also die Analyse von Angriffsflächen auf Code-Ebene z.B. mit Blick auf Lücken, die Angreifern Seitswärtsbewegungen durchs Netzwerk erlauben. Als Teil des ASM-Services priorisieren Sophos-Fachleute laut Veit, welche Schwächen am dringendsten zu beheben sind.
Auch Christian Lueg, Kommunikations- und PR-Chef für den DACH-Raum beim slowakischen Security-Spezialisten Eset, berichtete von mehr Nachfrage nach MDR-Services (Managed Detection and Response) – vor dem Hintergrund, dass NIS 2 einerseits bereits in Kraft ist, andererseits aber erst im März 2025 in geltendes deutsches Recht umgesetzt sein soll. Mit der „typisch deutschen“ Tugend der Pünktlichkeit ist es schließlich nicht mehr allzu weit her, davon kann jeder Zeit- und Bahnreisende einen Trauermarsch singen. Entsprechend berichtete Lueg von verbreitetem Gedankengut, das man aus der Ära der DSGVO-Einführung (Datenschutz-Grundverordnung) kennt: „Wir haben schon noch Zeit!“
Ja nee, is’ klar. Wer würde schließlich längst überfällige Sicherheitsmaßnahmen umsetzen, bevor einen der Gesetzgeber unter Strafandrohung dazu zwingt? Schließlich könnte doch jederzeit Marty McFly im DeLorean aus der Zukunft angerauscht kommen und die Situation retten.
KI und immer wieder KI
Das große Hype-Thema der Messe war natürlich, wie schon in Teil 1 erwähnt, künstliche Intelligenz (KI). Denn KI hat inzwischen den Sprung von den Science-Fiction-Filmen in unseren Alltag geschaft. Die Security-Anbieter nutzen KI bzw. ML (maschinelles Lernen) schon längst, um z.B. Anomalien im Netzwerkverkehr zu erkennen. Beim aktuellen Hype ist mit „KI“ aber vor allen Dingen generative KI gemeint, also große Sprachmodelle (LLMs) und darauf fußende Services wie der allgegenwärtige LLM-Papagei ChatGPT.
Eset hat nun Security-spezifische Chatbot-Services in seine Software integriert: AI Advisor soll Anwendern Informationen zu Angriffen, Angriffsgruppen etc. liefern. Das Angebot ziehe unter anderem Esets eigene Threat Intelligence heran, habe man doch aufgrund der Nähe zur Ukraine sehr gute Bedrohungsinformationen aus dieser wichtigen Krisenregion.
Atombombe für Affen
Bogdan Botezatu leitet als Director of Threat Research bei Bitdefender ein Team von zwölf Security-Fachleuten. Eine große Gefahr für Verbraucher sieht er Scams (Betrügereien). „Die Fortschritte der künstlichen Intelligenz haben das erleichtert“, sagt er mit Blick auf die vieldiskutierten Deepfakes (per KI gefälschte Bilder, Videos, Sprachnachrichten oder Texte).
„KI der breiten Masse zugänglich zu machen, ist wie Affen die Atombombe zu geben“, so Botezatu, denn: „Mit KI kann man sehr großen Schaden anrichten.“ Als Beispiel nennt er Deepfake-Pornografie, in Fachkreisen NCIIA genannt (Non-Consensual Intimate Imagery Abuse). Dies sei sehr weit verbreitet und traumatisiere die Opfer.
Eine weitere aufstrebende Angriffsart: Kriminelle kompromittieren die Konten von Live-Streamern, um dort z.B. Werbung für Cryptowährungsbetrug einzuspielen. Allein in den letzten zwei Monaten, so Botezatu, habe man 12.000 solcher Fälle beobachtet.
Inzwischen habe sich eine „Deepfake-Scam as a Service“-Szene herausgebildet – von Templates für gezielte Betrügereien bis zu Geldwäsche-Angeboten. Hierarchische Geschäftsstrukturen – was der Chef sagt, wird gemacht – müssten sich in Zeiten von Deepfakes ändern, so der Security-Fachmann. Zur Abwehr Deepfake-gestützter Scams empfiehlt Botezatu den Unternehmen neben Aufklärungskampagnen vor allem strikte Richtlinien, z.B.: Für laufende Verträge darf die Bankverbindung nur mittels eines vorgegebenen Freigabeprozesses geändert werden (egal, was der angebliche Chef am Telefon sagt).
Deepfakes und bedrohte Credentials
Laut Morey Haber, Chief Security Advisor bei BeyondTrust, einem US-amerikanischen PAM-Anbieter (Privileged Access Management) nehmen die Möglichkeiten für Angreifer ab, ungepatchte Schwachstellen (Zero Days) auszunutzen. Denn immer mehr Applikationen stünden heute als SaaS-Angebote zur Verfügung – und SaaS-Anbieter seien nicht verpflichtet, entdeckte Schwachstellen als CVEs (Common Vulnerabilities and Exposures) offenzulegen. Dadurch wandle sich der Schwachstellenmarkt.
Zeitgleich, so Haber, erleichtere nun aber KI identitätsbasierte Angriffe. So ermögliche z.B. KI-gestützte Übersetzung beinahe perfekte Phishing-Mails in vielerelei Sprachen. Dies ebne den Weg für Angriffe wie den Diebstahl von Credentials, um z.B. Supply-Chain-Angriffe durchzuführen (also ein Zielunternehmen über den Umweg der digitalen Lieferkette zu kompromittieren). KI-Sprachgeneratoren wie Speechify wiederum, warnt Haber, erleichterten es Angreifern, Deepfake-Sprachnachrichten zu erzeugen, um ihre Opfer mittels KI-gestütztem Social Engineering zu übertölpeln.
Erschwerend kommt laut dem Security-Fachmann hinzu, dass KI-Services wie ChatGPT trotz eingebauter Sicherheitschranken Schadcode schreiben können, z.B. PowerShell-Skripte, die auf einem Mail-Server sämtliche E-Mails löschen. In Verbindung mit einer bekannten Schwachstelle – „und davon gibt es viele“, so Haber – stelle KI damit als Angriffsbaustein ein großes Risiko dar.
Vor dem Hintergrund KI-gestützten Phishings und Credential-Diebstahls gewinnt das Least-Privilege-Prinzip an Bedeutung: Zugriffsrechte nur im absolut nötigen Ausmaß und Zeitrahmen. Als Best Practice gelten bedarfsabhängige, zeitlich begrenzte Zugangsberechtigungen. Doch permanente Zugriffsrechte durch eine Just-in-Time-Option zu ersetzen, stellt viele Unternehmen vor eine Herausforderung. Hier will BeyondTrust mit seiner Lösung Entitle helfen. Diese bietet laut Hersteller automatisierte Provisioning-Workflows, Self-Service-Zugriffsanforderung und über 150 Konnektoren zu Cloud-Plattformen und SaaS-Apps.
Das Katz-und-Maus-Spiel geht weiter
Mit dem KI-Einsatz geht das ewige Katz-und-Maus-Spiel zwischen Angreifer- und Verteidigerseite in die nächste Runde. Um zu wissen, wie das Spiel ausgeht, müsste man wohl tatsächlich in die Zukunft reisen können wie in den „Back to the Future“-Spielfilmen. Viel lieber als der schönste Zeitreise-DeLorean wäre mir inzwischen allerdings eine gepflegte Teleportation – „Beam me up, Scotty!“ Doch wer darauf setzt, sich aus der Reise in die Security-Zukunft einfach wegbeamen zu können, ist wohl leider im falschen Film.
Hat euch dieser Text gefallen? Dann erzählt doch einem Menschen davon, den das Thema ebenfalls interessieren könnte! Denn liebevoll von Hand erstellte Inhalte verbreiten sich am besten per Mundpropaganda.
Titelbild: Dr. Wilhelm Greiner
Cartoon-Ratten: (c) Wolfgang Traub
IT Info 2 Go 