Security-Prognosen 3: Indevis, Kaspersky, Kudelski

Die nach der ISO/IEC 27001 zertifizierte indevis IT-Consulting and Solutions GmbH gilt als eine der führenden Managed Security Service Providern (MSSP) mit Cloud- und On-Premise-Services in Deutschlands. Für Wolfgang Kurz, Geschäftsführer und Gründer von indevis, zeichnen sich die folgenden fünf Sicherheitstrends für das Jahr 2024 ab:

1. Hacker: Zu monetärer Motivation kommt die politische hinzu
2. KI: Angriffe nähern sich der Perfektion
3. Auch der Mittelstand braucht SASE
4. IoT-Infrastrukturen: Die vernachlässigte Seite der Vernetzung
5. Security kommt endgültig in der Geschäftsleitung an

Während bei vielen Experten der staatliche Faktor der Hackerangriffe eher das Hintergrundrauschen ihrer Prognosen bildet, stellt indevis-Gründer Wolfgang Kurz dieses Thema an die Spitze seiner Trend-Liste. Im Gefolge von Ukraine-Krieg und Israel-Palästina-Konflikt hätten politisch motivierte Angriffe zugenommen und das werde 2024 so weitergehen – mit schwerwiegenden Folgen laut Kurz: „In der Cybersicherheit kann sich niemand mehr darauf verlassen, nur mit Erpressern zu verhandeln. Jetzt müssen die Betriebe damit rechnen, dass hinter dem Angriff terroristische Vereinigungen stehen, deren Ziel es ist zu zerstören.“ Diesen Angreifern gehe es darum, Systeme zu infiltrieren und Informationen zu löschen, anstatt zu verschlüsseln und Daten zu versilbern. Deutsche Unternehmen seien für terroristisch motivierte Attacken aus mehreren Gründen sehr attraktiv. „Leider ist eine National Cyber Defense auf Landesebene praktisch inexistent, daher sind Unternehmen selbst im Zugzwang,“ klagt Kurz.

Auch die kommerziell motivierten Cyberattacken erfahren laut Kurz aufgrund der KI-basierten Technologien eine radikale Transformation. KI hebe diese auf eine bisher ungekannte Stufe der Raffinesse und Täuschung. Phishing-Attacken, die bislang vor allem durch Rechtschreibfehler, mangelnde Personalisierung und offensichtliche Unstimmigkeiten aufgefallen seien, würden durch KI „eine dramatische Steigerung an Komplexität“ erfahren. Generative KI-Tools wie WormGPT könnten heute hochgradig personalisierte E-Mails und Dokumente erstellen und damit einen täuschend echten Mailverkehr kreieren, der sich von einem authentischen Austausch kaum noch unterscheiden lasse. Deepfakes und realistisch nachgeahmte Stimmen würden das Problem noch verstärken: „Angreifer können damit Anrufe fälschen und Sicherheitsprotokolle umgehen. Traditionelle Sicherheitsmaßnahmen, die auf gesundem Misstrauen und menschlicher Überprüfung beruhen, stoßen an ihre Grenzen: Selbst Rückrufe auf bekannten Telefonnummern oder Codewörter können nicht mehr als sichere Verifikationsmethoden betrachtet werden“, beschwört Kurz die neue Dimension des Risikos.

Doch mehr noch als bei den Angreifern sieht Kurz die Vorteile der KI-Nutzung bei den Verteidigern, zumindest theoretisch. Als Stärken der KI nennt er insbesondere das Erkennen von Anomalien in Echtzeit, das Analysieren von Mustern und proaktiven Reaktionen auf Bedrohungen. Kurz geht sogar so weit zu sagen: „Dies könnte einen Wendepunkt in der Defense markieren: Waren bisher die Angreifer im Vorteil, könnten die Sicherheitsexperten bald vorne liegen, insbesondere wenn sie Zugang zu den Ressourcen und Rechenleistungen der großen Technologieplattformen haben.“ Doch selbst Kurz muss einräumen, dass das zu schön ist, um wahr zu sein, weil die Vergangenheit gezeigt habe, dass die Verteidiger viel zu spät auf neue Bedrohungen und Technologien reagieren würden. Sein Schluss lautet also: „Daher wird KI vermutlich in nächster Zeit eher den Angreifern helfen. Die Ressourcen und Rechenleistung der großen Technologieplattformen unterscheiden nicht, an welche Seite sie ihre Leistung verkaufen.“

Erneut ins Zentrum der Diskussion rücken laut Kurz im Jahr 2024 das Internet of Things (IoT) oder auch die Operational Technology (OT): Besonders im Kontext politisch motivierter Angriffe zeige sich, dass die Erpresser vermehrt versuchen würden, kritische Infrastrukturen zu attackieren. Kurz warnt: „Die Konvergenz von IT und IoT führt zu einer verstärkten Vernetzung von bisher isolierten Systemen. Traditionell abgeschlossene Netze wie Stromversorgung oder Produktionssteuerung öffnen sich zunehmend dadurch, dass Smart-Metering-Systeme, APIs in Autos und andere vernetzte Geräte integriert werden. Das eröffnet neue Möglichkeiten, in kritische Infrastrukturen einzudringen.“ Eine dieser wachsenden Gefahr entgegenwirkende Sicherheitspraxis habe sich noch nicht etabliert.

Mit der zunehmenden Vernetzung von Devices entstehe zudem ein weiterer Angriffsvektor, der nicht vernachlässigt werden dürfe. Ein besonderes Risiko ergebe sich aus den Lebenszyklen der IoT-Geräte: Produkte wie Waschmaschinen, Kühlschränke oder industrielle Maschinen könnten viele Jahre im Einsatz sein. Je länger die Betriebszeit jedoch dauere, desto seltener würden Softwareupdates und Patches.

Abschließend räumt Kurz ein, dass das Thema Sicherheit mittlerweile einen festen Platz in der Geschäftsleitung gefunden hat: „Keiner glaubt mehr, dass sie ausschließlich in den Grenzen der IT-Abteilung verbleiben kann.“ Eine ernst zu nehmende Cybersecurity-Strategie müsse als integraler Bestandteil in die ganzheitliche Unternehmensstrategie eingebettet sein. Sie schließe nicht nur Produkte, sondern auch die Produktion und andere betriebliche Aspekte mit ein.

Kurz leitet daraus die Forderung an die Vorstände ab, nicht nur finanzielle Mittel für Technologie bereitzustellen, sondern sich auch um Resilienz zu kümmern: „Es ist eine stabile und widerstandsfähige Sicherheitsarchitektur mit modernen Security-Technologien zur Angriffserkennung zu schaffen, die Compliance-Anforderungen und Regularien wie NIS-2 erfüllt. Die tiefgehenden Änderungen in der Bedrohungslandschaft zwingen Unternehmen dazu, ihre Sicherheitsstrategien anzupassen. Sie umfassen KI-basierte Abwehr-Tools genauso wie Zugriffskontrollen und Maßnahmen, um IoT-Infrastrukturen abzusichern.“

Angetrieben von Künstlicher Intelligenz und Automatisierung werden die Cyberbedrohungen im Finanzsektor kommendes Jahr zunehmen, sagt der Crimeware-Report und Financial-Forecast 2024 von Kaspersky. Neben einer höheren Anzahl von Angriffen prognostizieren die Kaspersky-Experten die Ausnutzung von Direct-Pay-Systemen, eine Zunahme mit Backdoor versehener Pakete in Open-Source-Software und eine vermehrte Nutzung von One-Day-Exploits. Kaspersky rät Finanzinstitutionen und -organisationen, ihre Cyberabwehr um proaktive Cybersicherheitsstrategien, Industriekooperationen und innovative Abwehrmaßnahmen zu verstärken.

Zusammengefasst lauten die Vorhersagen von Kaspersky für den Finanzsektor so:

• Zunahme KI-gesteuerter Angriffe, die legitime Kommunikationskanäle imitieren
• Weniger Zero-Day-Exploits, aber mehr One-Day-Exploits
• Falsch konfigurierte Geräte und Dienste geraten verstärkt ins Visier
• Weltweite Einführung von Automatic Transfer Systems (ATS), was Cyberkriminellen ermöglicht, diese Systeme zu ihrem finanziellen Vorteil auszunutzen
• Affiliate-Gruppen innerhalb des cyberkriminellen Ökosystems 2024 entwickeln flexiblere Strukturen entwickeln, bei denen Mitglieder häufig wechseln oder für mehrere Gruppen gleichzeitig arbeiten. Diese Anpassungsfähigkeit werde es den Strafverfolgungsbehörden erschweren, Angreifer und ihre Gruppen aufzuspüren.

„In der sich ständig weiterentwickelnden Bedrohungslandschaft erwarten wir für die Finanzbranche im Jahr 2024 eine Zunahme der Bedrohungen, eine stärkere Automatisierung und eine ungebrochene Hartnäckigkeit der Cyberkriminellen“, erklärt Marc Rivero, leitender Sicherheitsforscher im Global Research and Analysis Team (GReAT) von Kaspersky. Er fordert: „Finanzinstitute und Finanzorganisationen müssen ihre Cybersicherheitsstrategien proaktiv anpassen und ihre Abwehrmaßnahmen verstärken. Der Schlüssel zum Erfolg liegt in der Förderung der Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor, um gemeinsam Risiken zu adressieren.“

Kudelski S.A. ist ein börsennotiertes, auf digitale Sicherheitssysteme spezialisiertes Schweizer Unternehmen mit Sitz in Cheseaux-sur-Lausanne. Die Technologien von Kudelski kommen unter anderem in der Informationsübertragung und dem Schutz von Inhalten im Digitalfernsehen und bei Zutrittskontrollen zum Einsatz.

CEO Jacques Boschung geht in seinen Prognosen zwar auch von der KI aus, sieht daneben aber noch eine Reihe weiterer spannenden Trends, die Experten und Unternehmen 2024 im Auge behalten sollten, und zwar:

• Geschwindigkeit ist das A und O
• Höhere Budgets für die Cyberabwehr
• Compliance: Ein Jongleurakt für CISOs
• DDoS, Social Engineering und staatlich unterstützte Cyberkriminalität
• Der menschliche Faktor erfordert weiterhin strenge Zero-Trust-Richtlinien

Für Jacques Boschung ist die wichtigste negative Folge des KI-Booms, dass Cyberkriminelle dank KI-Tools schneller agieren könnten als je zuvor. Er schreibt: „Heutzutage verfügen Hacker über Tools, die ihnen einen Großteil der Arbeit abnehmen, die sie früher manuell erledigen mussten – diese Werkzeuge erhöhen etwa die Tippgeschwindigkeit und steigern die Kreativität in ihrer bösartigen Korrespondenz. Mit Programmen wie ChatGPT und Bard lassen sich nicht nur kreative Nachrichten effizient verfassen, sondern auch überzeugendere Nachrichten erstellen, die Rechtschreibfehler beseitigen und andere offensichtliche Sprachbarrieren überwinden. Darüber hinaus ist die KI in der Lage, Malware und Erpressungssoftware zu programmieren.“

Boschung betont zugleich aber auch: „Künstliche Intelligenz stellt keine allmächtige Bedrohung dar. Security-Teams können Automatisierung zum Guten nutzen, um KI-gesteuerte Angriffe effektiv zu stoppen.“

Um schnell und umfassend auf Cyberbedrohungen zu reagieren – insbesondere auf KI-generierte Angriffe – werden Sicherheitsteams voraussichtlich ihre Budgets im Jahr 2024 erhöhen müssen, meint Boschung. Business Intelligence und Datenanalyse dürften dabei die höchste Priorität haben. Zudem werde der weitreichende Einsatz von Cloud-Diensten zusätzliche Investitionen in Cloud-Sicherheitsmaßnahmen erforderlich machen.

Wie manch anderer Experte ist sich auch Jacques Boschung sicher, dass die CISOs sich 2024 (noch) schwerer tun werden, die Regularien und Gesetze umzusetzen und einzuhalten. Zur Begründung führt er aus: „Mit den neuesten Offenlegungsvorschriften der SEC sowie Regularien wie dem EU Cyber Resilience Act und der Network and Information Security Directive (NIS-2) könnten die hohen Strafen, die bei Nicht-Umsetzung bzw. Nicht-Einhaltung erfolgen, fast genauso finanziell schädlich sein wie ein Cyberangriff. Besonders CISOs internationaler Unternehmen werden es schwer haben, da es nur wenig Überschneidungen zwischen amerikanischem und EU-Cybersicherheitsrecht gibt.“ Im kommenden Jahr werde es deshalb für CISOs von großer Bedeutung sein, die verschiedenen Vorschriften in den Regionen, in denen ihr Unternehmen Geschäfte tätigt, gründlich zu analysieren. „Die Strafen und rechtlichen Albträume, die aus der Nichteinhaltung resultieren, könnten verheerend sein“, gibt Boschung zu Bedenken.

Als größte Schwachstelle in der Cyberabwehr eines Unternehmens macht Boschung auch im Jahr 2024 den Menschen aus. Er stellt ernüchtert fest: „Egal wie viele Sicherheitsschulungen ein Team für das gesamte Unternehmen durchführt, Mitarbeiter werden immer wieder auf Phishing-Angriffe hereinfallen – die täglich glaubwürdiger werden.“ Er empfiehlt deshalb, menschliche Einflüsse durch automatisierte Prozesse und strikte Zero-Trust-Richtlinien so weit wie möglich zu minimieren. Die Führungsebene müsse den Mitarbeitern verdeutlichen, dass die Sicherheitsvorteile, die Zero Trust bringe, geringfügige Nachteile wie Verzögerungen durch einen blockierten Zugriff oder Multifaktor-Authentifizierung deutlich überwiegen würden.

Boschung legt Unternehmen nahe, sich der wahren Größe ihres Security-Perimeters bewusst zu machen. So habe etwa jeder Zulieferer selbst noch einmal eine Reihe an eigenen Zulieferern; hinzu kämen Mitarbeiter, die mit einer Vielzahl an Endgeräten auf mitunter geschäftskritische Anwendungen zugreifen. Jede Person und jeder Dienstleister sei Teil eines riesigen, komplexen Netzwerks, das den Sicherheitsbereich eines Unternehmens ausmache – somit eine potenzielle Angriffsfläche. Auch hier ist für Boschung Zero Trust der Weg zu mehr Sicherheit.

Schließlich greift Boschung noch bevorstehende Events in seinen Prognosen auf. Insbesondere im Gefolge der Olympischen Spiele 2024 in Paris erwartet er eine Zunahme von verteilten DDoS-Angriffen, Social Engineering und staatlich unterstützter Cyberkriminalität – und damit Störungen des normalen Geschäftsbetriebs und kostenträchtige Ausfallzeiten.

Das Fazit seines Ausblicks auf die IT-Sicherheit im Jahr 2024 lautet: „Während 2023 als das Jahr der künstlichen Intelligenz galt, wird 2024 voraussichtlich das Jahr sein, in dem wir lernen, diese Technologie wirksam zu nutzen und angemessen zu regulieren. Zudem dürfen wir auf solide Budgets für Cybersicherheit setzen, was hoffentlich dazu beiträgt, die ständig komplexer werdenden Angriffe abzuwehren und den Druck auf CISOs zu mindern.“