KI, Supply Chains und Fake-Webseiten erhöhen das Cyberrisiko

Cornelia Lehle, Head of Sales DACH, G DATA Cyber­Defense

Cornelia Lehle, Head of Sales DACH, G DATA Cyber­Defense

Cyberbedrohungen entwickeln sich rasant weiter: Angriffe werden nicht nur zahlreicher, sondern auch komplexer und systemischer. Jenseits traditioneller Methoden gewinnen neue Ansätze an Bedeutung, die gezielt die unverzichtbaren Komponenten moderner Software-Ökosysteme adressieren. Insbesondere Supply-Chain-Angriffe, manipulierte Update-Mechanismen sowie mithilfe künstlicher Intelligenz adaptierte Schadsoftware und täuschend echte Fake-Webseiten gehören zu den wichtigsten Trends, die die Bedrohungslage in den kommenden Monaten prägen. Im Folgenden stellen wir zentrale Entwicklungen vor, die IT-Security-Teams bei der Planung, Absicherung und Überwachung ihrer Entwicklungs- und Betriebsprozesse berücksichtigen sollten.

Angriffe über Paketmanager und Open-Source-Bibliotheken

Supply-Chain-Angriffe richten sich vermehrt gegen Paketmanager und Open-Source-Bibliotheken, die in der täglichen Entwicklungsarbeit eingesetzt werden. Cyberkriminelle platzieren dabei sich selbst verbreitende Malware in etablierten Ökosystemen wie dem Node.js-Paketmanager NPM. Oft steht am Anfang der Infektionskette ein kompromittierter Entwickler-Account, über den ein Wurm eingeschleust wird. Dieser infiziert alle erreichbaren NPM-Pakete, die auf dem betroffenen System entwickelt werden, und stösst entsprechende Updates an. Werden diese Pakete auf anderen Entwicklersystemen eingebunden, setzt sich die Infektion dort fort. Auf diese Weise gelangt der Schadcode in eine grosse Zahl von Anwendungen. Eine einzelne Manipulation kann sich so innerhalb kurzer Zeit auf Tausende von Projekten ausbreiten. Die Angriffe verdeutlichen die strukturelle Verwundbarkeit moderner Software-Lieferketten. Für Verantwortliche stellt sich damit die Frage, wie transparent die eigenen Build-Prozesse sind.

Update-Mechanismen als Angriffsfläche

Ein weiterer beobachteter Trend betrifft Angriffe über die Gaming-Plattform Steam. Auffällig ist dabei, dass die betroffenen Anwendungen bei der Erstveröffentlichung unschädlich waren. Erst nachträglich eingespielte Updates und Patches enthielten Schadcode. Die Täter nutzen offenbar aus, dass neue Anwendungen in der Regel intensiver geprüft werden als die grosse Zahl regelmässiger Updates, die einen schlankeren Prüfprozess durchlaufen. In den analysierten Fällen installierten die Angreifergruppen sogenannte Stealer, um Zugriff auf Krypto-Wallets, Anmelde-Informationen oder persönliche Daten zu erlangen. Dieses Vorgehen ist auch für Unternehmen relevant, weil es sich auf jede Update-Infrastruktur übertragen lässt. Werden Patches nicht mit derselben Sorgfalt geprüft wie Neuinstallationen, entwickeln sich Update-Prozesse zu einem attraktiven Angriffsvektor. Unabhängig davon, ob es sich um Spiele, Business-Software oder interne Anwendungen handelt.

KI beschleunigt die Malware-Entwicklung

Künstliche Intelligenz wird zunehmend für das Entwickeln und Anpassen von Schadsoftware eingesetzt. Analystenteams beobachten immer wieder gleichen Malware-Code in unterschiedlichen Programmiersprachen. Die Täter lassen also bestehende Schadsoftware durch KI in andere Sprachen übertragen.
Für klassische, signaturbasierte Erkennungsmethoden stellt dies eine wachsende Herausforderung dar, da statische Signaturen ihre Wirksamkeit verlieren. In diesem Zusammenhang nimmt auch die Bedeutung von Packern ab. Zwar werden sie weiterhin eingesetzt, der Anteil ungepackter Malware steigt jedoch. Durch KI-gestützte Werkzeuge können Angreifer Schadcode mit vergleichsweise geringem Aufwand neu erzeugen - ohne zusätzliche Verschleierungstechniken.

Parallel dazu zeigt sich eine Zunahme technisch fehlerhafter Malware, die dennoch erfolgreich Systeme kompromittiert. Dies deutet darauf hin, dass auch weniger erfahrene Akteure mithilfe von KI Schadsoftware einsetzen, ohne den zugrunde liegenden Code vollständig zu verstehen. Die Einstiegshürde für Cyberkriminalität sinkt dadurch weiter.

Gefälschte Webseiten als Verbreitungsweg

Ein weiterer Mechanismus zum Verteilen für Malware sind gefälschte Webseiten. Diese Fake-Seiten erscheinen in Suchmaschinen teilweise vor den legitimen Originalseiten. Die Domains und Inhalte wirken seriös und orientieren sich an realen Projekten oder Unternehmen. In einer ersten Phase stellen die Seiten häufig legitime Software bereit, jedoch ohne kommerzielle Funktionen. Nachdem die kriminellen Betreiber Vertrauen aufgebaut und ausreichend Reichweite erzielt haben, bieten sie manipulierte Downloads an. Dabei nutzen sie das Verhalten vieler Anwenderinnen und Anwender aus. Denn diese klicken auf den ersten Suchtreffer und gehen von dessen Vertrauenswürdigkeit aus. Umso wichtiger ist eine genaue Prüfung der Quelle. Hinweise auf Fake-Seiten können unter anderem abweichende Domains, nicht überprüfbare Unternehmensangaben, fehlende oder unvollständige Impressumsdaten sowie generische oder inhaltlich schwache Texte sein.

Bedeutung für Unternehmen

Die Entwicklungen zeigen: IT-Sicherheit beginnt zunehmend bei der Herkunft von Code, Updates und Software-Komponenten. Für Unternehmen wird es entscheidend, Lieferketten, Update-Prozesse und Bezugsquellen systematisch zu bewerten und zu überwachen.

Zentrale Ansatzpunkte sind:

• Software-Lieferketten härten: Paketquellen und -manager in Risikomanagement und Monitoring einbeziehen, nicht nur das fertige Produkt.
• Patches ernst nehmen: Update-Prozesse als potenziellen Angriffsvektor betrachten und Kontrollen etablieren.
• Erkennung modernisieren: Verhaltensbasierte Detection und KI-gestützte Analyse ergänzen klassische Signaturen, statt sie zu ersetzen.
• Awareness erweitern: Nicht nur „Klick nicht auf Links in Phishing-Mails“, sondern auch: „Lade Tools nur von verifizierten Quellen“ und „Prüfe Domains und Repositories bewusst“.