KI und Cybersichheit: The Good, the Bad and the Ugly

"KI ist nicht etwas, das gerade erfunden wurde, sondern hat eine lange Lebens- und Leidensgeschichte", hat Hannes Lübich, Verwaltungsrat von Infoguard, in der Eröffnung-Keynote des 12. Infoguard Innovation Day gesagt. 

Der Baarer IT-Security-Anbieter veranstaltete seine Informations- und Austauschveranstaltung gemeinsam mit Partnern rein virtuell auf der ExpoIP-Plattform. Die Teilnehmenden der Veranstaltung - Infoguard rechnet mit rund 700 von ihnen - konnten nach eigenem Gutdünken 26 Präsentationen besuchen. Angefangen mit der erwähnten Keynote von Infoguard-Verwaltungsrat Hannes Lubich.

Hannes Lubich, Verwaltungsrat der Infoguard. (Source: zVg)

Auch wenn Künstliche Intelligenz nicht neu ist, müsse man sich nun verstärkt damit auseinandersetzen. "KI verändert die Bedrohungslage und optimiert gleichzeitig die Cybersicherheit", sagte Lubich.

Es sei jedoch nicht die generative KI, die derzeit einen enormen Hype erlebt, welche die Cybersecurity-Landschaft nachhaltig verändern werde, sondern analytische KI. Davon sollen allerdings beide Seiten profitieren.

Das Gute, das Schlechte und das Hässliche

Lubich teilt die Entwicklungen der KI-gestreibenen Cybersecurity in drei Strömungen auf: "The Good, the Bad and the Ugly". 

Das Gute sei, dass künstliche Intelligenz das Potenzial für eine verbesserte Informationslage und (Re)-Aktionsfähigkeit habe. Dies umfasse

• Analyse komplexer, unstrukturierter Datenbestände auf bisher unbekannte Muster und "schwache Signale". Daraus könne ein "autonomes SOC" entstehen.
• Angriffssimulationen, adaptive Reaktionen, dynamische Anpassungen von Regelsystemen.
• Rasche Generierung von brauchbaren Artefakten wie Präsentationen, Fachartikel, Symbolbilder, usw.
• Beurteilung bislang unbekannter Situationen und Erzeugung geeigneter, situativ anpassbarer Vorgehenspläne.
• Wachsender Erkenntnisgewinn durch Daten-Korrelation und wiederholtes self-learning.
• Resiliente Systeme durch situative Anpassungen und partielle "Selbstheilung".
• Verbesserte (personalisierte/situative) Awareness Trainings.

Doch so wie Cybersecurity-Experten von KI profitieren können, seien auch Kriminelle in der Lage, die Technologien nutzen und so bessere Werkzeuge für ihre Verbrechen zu erhalten, etwa:

• Plausible "Deep Fakes" aus öffentlichen Bestandsmaterialien.
• Automatisiertes Social Engineering.
• Automatisierung bei der Schadcode-Generierung.
• Automatisierung bei der Analyse der Opfer auf Schwachstellen und autonomes Lernen.

Ein Hauptunterschied im Einsatz von KI zwischen Cybersecurity-Fachkräften und Cyberkriminellen sei insbesondere, dass Kriminelle eher bereit seien, KI einzusetzen und keine Rücksicht auf "das Hässliche" nehmen. Dies seien die unklaren rechtlichen, politischen und gesellschaftlichen Konsequenzen beim Einsatz von KI.

KI sei manipulierbar, sowohl durch Prompts von Usern als auch durch sich selbst. Inhalte oder Handlungsanweisungen, die mithilfe von oder durch KI entstehen, können komplett falsch sein, was Kriminelle nicht zu kümmern brauche. Auch die Haftungsfrage im Umgang mit KI sei nicht geklärt, wenn etwa nach Annahme einer KI-generierten Handlungsempfehlung ein Schaden entstehe.

KI sei nach wie vor ein Thema im Hype, sagt Lubich. Nicht alles, was aktuelle entstehe, werde sich langfristig durchsetzen. Trotzdem werde KI vieles verändern. Deshalb sei es nur richtig, sich mit dem Thema intensiv auseinander zu setzten. 

Zum Thema KI und Cybersicherheit veranstaltete Swisscybersecurity.net und Mimecast am 29. Februar ein Webinar, dass sich dem Wettlauf zwischen Cyberkriminellen und IT-Verantwortlichen widmet. Weitere Informationen zu Webinar finden Sie hier.

Drei Ströme und 2-D-Networking

Nach der Keynote von Lubich öffnete sich der Event: In drei Streamkanälen konnten die Besucher und Besucherinnen Präsentation von Infoguard und seinen Partner anschauen. Die Präsentationen reichen von Produktvorstellungen bis zu Demonstrationen von einzelnen Use Cases.

Ferner gab es an dem virtuellen Event auch virtuelle Messestände der ausstellenden Unternehmen, an denen weiterführenden Informationen zu den Firmen und ihren Produkten zu sehen waren.

Die Networking Zone am Infoguard Innovation Day (Source: zVg)

Die Messeplattform bot den Usern zudem die Möglichkeit, eine Networking Zone zu betreten. In dieser lenkten sie einen 2-D-Avatar über das virtuelle Messegelände und konnten sich über eine integrierte Videocall-Funktion mit anderen Teilnehmenden austauschen.

So viele Incidents wie noch nie

Unterbrochen wurde die Präsentations- und Networking-Zeit von einer zweiten Keynote. Infoguards Chief Cyber Defense Officer Ernesto Hartmann sprach darin über die Arbeit des Infoguard Computer Security Incident Response Teams (CSIRT)  im vergangenen Jahr und über die Trends, die dabei erkannt wurden.

260 Fälle habe das CSIRT im Jahr 2023 bearbeitet, ein Anstieg von 65 Prozent im Vorjahresvergleich. Von diesen 260 Fällen, welche teilweise über das MDR-System, teilweise über Versicherungen und teilweise über bestehenden Incident-Response-Verträge angeliefert wurden, waren 13 Prozent Ransomware-Fälle.

Ernesto Hartmann, Chief Cyber Defense Officer, Infoguard. (Source: zVg)

In 15 Prozent der Fälle habe sich der Kunde anschliessend gezwungen gesehen, ein Lösegeld zu zahlen. 1,1 Millionen US-Dollar seien so an Cyberkriminelle geflossen. Einer der wichtigsten Hinweise für Unternehmen sei daher, ihre Infrastruktur so aufzubauen, dass es bei einer Ransomware-Attacke niemals zu einem Zahlungszwang kommen muss.

Die hohe Fallzahl ist laut Hartmann allerdings auch positiv zu sehen. Infoguard sei dadurch in der Lage, die aktuelle Bedrohungslage stets im Blick zu haben. Und der Trend zeige noch mehr nach oben "Cybercrime: ein Business Case mit unerschöpflichem Potenzial." Je mehr Menschen auf dem Planeten Zugang zu digitalen Produkten erhalten, umso mehr potenzielle Opfer gebe es auch für die Cyberkriminellen.

Man beobachte, dass Cybercrime schneller, automatischer und ungenauer werde. In einem Fall des CSIR-Teams habe eine Verschlüsslung nach nur 8 Sekunden stattgefunden. Die anschliessende Lösegeldforderung sei jedoch unter 2000 Dollar gewesen, laut Hartmann ein Zeichen, dass die Täter denselben Angriff auf viele Unternehmen gleichzeitig ausgeführt haben.

Mehr Pishing, weniger Schwachstellen

Auch werde Phishing ein immer prominenterer Angriffsvektor. 2023 seien 46 Prozent der von Infoguard getrackten Vorfälle über Phishing entstanden. 2022 lag der Wert noch bei 27 Prozent, 2021 bei 22 Prozent. Im Phishing-Bereich zeige sich auch der Einfluss der KI, die von Kriminellen genutzt wird, um persönlichere Anschreiben zu erstellen.

Weniger Angriffe geschehen dafür über Schwachstellen in Software. Dies habe damit zu tun, dass immer mehr Software as-a-Service bezogen wird und das (zeitnahe) Patchen in die Kompetenz des Anbieters fällt. Dennoch seien alte Legacy-Systeme noch immer ein Problem bei vielen Unternehmen.

Ein genereller Trend sei auch, dass Infoguard immer öfters mit der Aufgabe des Containments einer laufenden und nicht mit dem Wiederaufbau einer bereits beschädigten Infrastruktur beauftragt werde. Damit dies möglich sei, sei es alllerdings auch Aufgabe der Unternehmen in entsprechende Tools zu investieren, die potenzielle Angriffe frühzeitig erkennen und den IT-Verantwortlichen die Möglichkeit geben, zu reagieren, bevor ein Schaden entsteht.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.