Der zunehmende Einsatz von KI bei Cybercrimes hat das Bedrohungsszenario komplexer gemacht. 2023 sorgte der Fall eines Mitarbeiters eines britischen Unternehmens für Aufsehen: Der hatte nach einer (merkwürdigen) Videokonferenz mit seinem Finanzdirektor, die sich als exzellentes Deepfake zur Begehung des sogenannten „Chefbetrugs“ entpuppte, rund 25 Millionen US-Dollar auf fünf verschiedene Konten überwiesen. Kein Einzelfall: ähnliche Fälle konnten später entlarvt werden. Solche Fälle zeigen das Ausmaß der Bedrohung durch KI: Traditionelle Sicherheitsmaßnahmen reichen nicht mehr aus, um diese neuen Angriffsmuster zu erkennen und abzuwehren.
KI-gestützte Angriffe können sich dynamisch an ihre Umgebung anpassen, IT-Schwachstellen in Echtzeit ausnutzen und das schwächste Glied der Sicherheitskette täuschen: den Menschen. Daher sind fortschrittliche Analysemethoden erforderlich, die auf maschinellem Lernen und Verhaltensanalyse basieren, kombiniert mit Maßnahmen wie Threat-Intelligence und kontinuierlichen Sicherheitskontrollen. Zudem wäre es im konkreten Fall angebracht gewesen, Prozesse zu implementieren, die eine mehrfache Genehmigung für die Bewegung solch hoher Geldbeträge vorsahen.
Größtes Risiko: die eigenen Mitarbeiter
Da das Bedrohungsszenario von außen beunruhigender wird, wird ihm mehr Aufmerksamkeit gewidmet. Dabei werden die potenziellen Risiken, die von den eigenen Mitarbeitern ausgehen, oft vergessen. Die Humanressourcen eines jeden Unternehmens stellen eine besonders sensible Bedrohung dar, da sie Zugang zu sensiblen Systemen und Daten sowie zu potenziellen Administratorrechten in der Infrastruktur haben.
Im Gegensatz zu externen Angreifern sind potenzielle Bedrohungen von innen oft schwieriger zu identifizieren, weil Mitarbeiter über legitime Zugriffsrechte auf Unternehmensressourcen verfügen. In diesem Zusammenhang überrascht die wachsende Zahl von Zugriffen auf kompromittierte Netzwerke (IABs) durch missbräuchlich erlangte Anmeldeinformationen nicht – oft ohne Wissen der betroffenen Mitarbeiter.
Daher ist es essenziell, sich nicht ausschließlich auf die Verteidigung des Perimeters und der Endgeräte mit traditionellen Antivirenlösungen zu konzentrieren. Stattdessen muss präzise definiert werden, welche Ressourcen welchen Mitarbeitern wann und über welche Hardware zugänglich sind. Bei hybriden Arbeitsmodellen ist auch die Art der Internetverbindung zu beachten. Eine offene und transparente Unternehmenskultur, die ethisches Verhalten fördert und Mitarbeiter ermutigt, verdächtige Aktivitäten zu melden, ist ebenso wichtig, um das Risiko interner Bedrohungen zu minimieren.
Potenzial von Zero Trust
Der sogenannte Zero-Trust-Ansatz gilt als vielversprechende Lösung zur Verbesserung der Sicherheit in einer zunehmend vernetzten und dezentralen Umgebung. Statt anzunehmen, dass interne Ressourcen, Mitarbeiter oder externe Dienstleister (beispielsweise Techniker, die mit der Wartung von Maschinen oder Geräten beauftragt sind) vertrauenswürdig sind, geht der Zero-Trust-Ansatz davon aus, dass keine Verbindung oder Identität automatisch als vertrauenswürdig eingestuft werden sollte. Diese Modelle erfordern eine granulare Zugriffskontrolle, starke Authentifizierungsmethoden sowie eine kontinuierliche Überwachung und Validierung aller Netzwerkaktivitäten.
Dieser Ansatz kann nur dann erfolgreich und transparent implementiert werden, wenn eine umfassende Sicherheitsstrategie samt Sicherheitslösungen vorhanden ist. Mit isolierten und spezifischen Konzepten für jede Art von Ressource ist der Zero-Trust-Ansatz nicht systematisch umsetzbar.
Strategie passend zu den Risiken
Eine umfassende Sicherheitsstrategie erfordert eine sorgfältige Planung und Implementierung. Zunächst ist eine gründliche Risikobewertung notwendig, um die spezifischen Bedrohungen und Schwachstellen zu identifizieren, denen ein Unternehmen ausgesetzt ist. Auf der Grundlage dieser Bewertung gilt es, klare Sicherheitsrichtlinien zu entwickeln, die die Sicherheitsziele und -anforderungen des Unternehmens widerspiegeln.
Die Suche und anschließende Auswahl geeigneter Technologien und Lösungen sollte darauf abzielen, die identifizierten Risiken zu minimieren, die Einhaltung von Vorschriften zu gewährleisten und die täglichen Aktivitäten der Benutzer zu fördern und zu schützen. Mitarbeiter müssen zudem regelmäßig geschult und sensibilisiert werden, da sie de facto die erste Verteidigungslinie sind, die Cyberkriminelle überwinden müssen. Die Implementierung solcher Sicherheitsstrategien erfolgt oft individuell unter Berücksichtigung der spezifischen Anforderungen und der bestehenden Infrastruktur im Unternehmen.
Nachlässigkeit von Unternehmen
Firmen sollten einen ganzheitlichen Ansatz für die IT-Sicherheit verfolgen, der Technologie, Prozesse, Mitarbeiter und die Lieferkette umfasst. Zu den größten Lücken bei der Implementierung angemessener Strategien gehören die Unterschätzung der realen Risiken aufgrund komplizierter, über Jahre heterogen erweiterter Infrastrukturen, vernachlässigte Patching-Prozesse und eine unzureichende Zuweisung von Ressourcen für den Schutz vor Cyberbedrohungen.
Zudem übergehen viele Unternehmen, auch aus Budgetgründen, die Bedeutung einer proaktiven Überwachung und der korrekten Reaktion auf Sicherheitsvorfälle. Selbst wenn die Firma über das notwendige Wissen und die Ressourcen verfügt, um Korrekturmaßnahmen einzuleiten, kann diese Nachlässigkeit zu Verzögerungen bei der Erkennung von Angriffen oder Vorfällen führen.
Eine weitere Lücke ist die geringe Wahrnehmung der europäischen Richtlinien zur Daten- und IT-Sicherheit. Anbieter mit Sitz in Europa, deren Lösungen von europäischen Sicherheitsbehörden auf höchstem Niveau zertifiziert sind, sollten als geeignete Alternativen zu Lösungen aus außereuropäischen Ländern in Betracht gezogen werden, um die digitale Souveränität des Kontinents zu fördern. Dies ist ein Thema von wachsender Aktualität.
