Categories: Cloud

Fachkräftemangel oder Know-how-Defizit: Was macht den Weg frei für Hacker?

Der Fachkräftemangel wird auch im Bereich der Cybersicherheit immer wieder als Grund für erfolgreiche Hackerangriffe genannt. So werden auch im Jahr 2023 viele IT-Fachkräfte gesucht, die nicht nur die digitale Transformation in Unternehmen vorantreiben sollen, sondern auch Cybersicherheitsexperten. Doch nicht nur die mangelnde Ausbildung neuer Fachkräfte bedroht die Sicherheitslage in Unternehmen: Selbst erfahrenen Fachkräften mangelt es an Aus- und Weiterbildung.

FIDO, OAuth oder WebAuth: Was ist das?

Das aktuelle Sicherheitsbarometer von Nevis Security zeigt die am häufigsten von IT-Entscheidern genannten Maßnahmen zur Sicherung kritischer Infrastrukturen im Jahr 2022: Die Vorgabe einer Mindestpasswortlänge (65 Prozent) sowie die Verpflichtung der Mitarbeiter, ihre Passwörter regelmäßig zu ändern (41 Prozent). Dagegen setzen nur 34 Prozent auf eine Zwei-Faktor-Authentifizierung per SMS und nur 21 Prozent auf eine biometrische Zwei-Faktor-Authentifizierung. Und immerhin zehn Prozent geben zu, keinerlei Maßnahmen zur Erhöhung der IT-Sicherheit ergriffen zu haben. Zudem kennen fast die Hälfte der befragten IT-Entscheider die gängigen Verfahren wie FIDO, OAuth oder WebAuth nicht.

Die Frage, die sich stellt: Fehlt es wirklich an Kapazitäten und Fachkräften oder ist nicht auch die mangelnde Bereitschaft der etablierten IT-Entscheider, sich weiterzubilden, ein weiterer Stolperstein? Die Tendenz zur Trägheit zeigt sich zum Beispiel in der fehlenden Reaktion der Baumarktkette Obi, als der White-Hacker und Experte Jean Pereira sie über eine gravierende Sicherheitslücke in ihrem Online-Shop informierte. Er wurde einfach ignoriert. Die fehlende Reaktion von Obi ist bei weitem kein Einzelfall.

Dauerhaft ungepatchte Sicherheitslücken

Anfang Februar 2023 wurde eine Sicherheitslücke im weit verbreiteten ESXi (Elastic Sky X integrated) von VM-Ware bekannt. Cyberkriminelle nutzten die Schwachstelle aus und entwickelten einen Massenangriff, von dem mehr als 100 Unternehmen betroffen waren. Dass die Ausnutzung der Sicherheitslücke so erfolgreich war, liegt nicht nur an der hybriden Vorgehensweise der Hacker. Die erfolgreiche Verbreitung hätte verhindert werden können. VM-Ware stellte bereits vor zwei Jahren Patches für diese Schwachstellen zur Verfügung. Die Behörden haben aber rechtzeitig vor der Sicherheitslücke gewarnt.

Dennoch haben viele Unternehmen nicht rechtzeitig reagiert, was im schlimmsten Fall fatale Folgen haben kann. Software auf dem neuesten Stand zu halten, ist jedoch oft schwierig. Die zunehmende Komplexität von IT-Infrastrukturen und -Produkten führt häufig zu einem hohen Korrekturbedarf mit einer hohen Fehlerquote. Zudem lässt sich das Einspielen von Patches nicht immer automatisieren. Dennoch ist ein Mindestmaß an Wartung erforderlich.

Ein weiterer Grund, warum viele Schwachstellen ungepatcht bleiben, ist, dass viele Unternehmen keinen ROI (Return on Investment) im Patching sehen. Denn Investitionen in die IT-Sicherheit verhalten sich oft nicht wie klassische Investitionen, da es schwierig ist, Kennzahlen für den Prozess zu ermitteln. Diese grundlegende Sicherheitsmaßnahme wird oft unterschätzt. Daher ist es für IT-Teams häufig schwierig, Budget für die Schließung von Sicherheitslücken zu erhalten. Das kann Unternehmen teuer zu stehen kommen: Denn, wenn ein Cyberangriff erfolgreich ist und zu Ausfällen führt, kostet das ein Unternehmen ein Vielfaches dessen, was es für eine solide Cybersicherheit ausgeben müsste.

Gesprächssimulation mit KI-basierte Tools

Mit dem Aufkommen des Chatbots ChatGPT von OpenAI, der seit November 2022 der Öffentlichkeit zur Verfügung steht, ist auch die Frage aufgekommen, inwiefern KI-basierte Tools Cyberkriminellen einen Vorteil bieten. So weisen mehrere Experten darauf hin, dass der Einsatz solcher Tools Social-Engineering-Angriffe erleichtern kann. E-Mail-Konversationen können authentisch nachgestellt werden, ohne dass Grammatik- oder Rechtschreibfehler erkennbar sind.

Fortgeschrittene Kampagnen nutzen komplette E-Mail-Konversationen zwischen verschiedenen Personen, obwohl nur eine Person die E-Mails verfasst. So können ganze Gespräche simuliert werden, um ein potenzielles Opfer dazu zu bringen, auf einen bestimmten Link zu klicken. Mit ChatGPT kann der Schreibstil einer Person nachgeahmt und auf gefälschte Nachrichten übertragen werden.

Deepfake-Attacken über Spracherkennung oder Videoidentifikation

Aber nicht nur textbasierte Dialogsysteme, die auf maschinellem Lernen und Deep Learning basieren, stellen eine Bedrohung für die Cybersicherheit dar. So warnt das BSI vor allem vor Deepfake-Attacken bei Fernidentifizierungsverfahren wie Spracherkennung oder Videoidentifikation. Auch wenn solche Angriffe noch nicht „massentauglich“ sind, so besteht doch die Möglichkeit, Video- oder Audiomitschnitte zu manipulieren. Und das mit geringem Aufwand und wenig technischem Vorwissen. Dies könnte in Zukunft eine Herausforderung für biometrische Systeme werden.

Mit Hilfe von kryptografischen Verfahren können Betrugsversuche mittels Deepfake verhindert werden, da das Ausgangsmaterial mit einer eindeutigen Identität verknüpft wird. So kann eine sichere Zuordnung zu einer Quelle sichergestellt werden, sodass Manipulationen nach einer Überprüfung der Identität auffallen würden. Auch digitale Signaturen, die bereits beim Aufnahmeprozess hinzugefügt werden, stellen sicher, das eine nachträgliche Manipulation verhindert wird.

Für Unternehmen bedeutet dies, ihre Mitarbeiter kontinuierlich zu schulen und aktuelle Sicherheitstechnologien zu implementieren, um den Wettlauf gegen die Cyberkriminellen nicht zu verlieren.

Stephan Schweizer

ist CEO der Nevis Security AG.

Roger Homrich

Recent Posts

Intergermania Transport: KI-Lösung optimiert Rechnungsmanagement

Transportunternehmen automatisiert Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.

40 Minuten ago

Generative KI: Mangel an kompetenten Entwicklern und Know-how

Studie zeigt: Bei der Implementierung und Nutzung von generativer KI im industriellen Umfeld besteht noch…

1 Stunde ago

Schatten-KI: Generative KI sicher integrieren

Die Einführung von KI in Unternehmen läuft oft noch zögerlich. Diese Zurückhaltung öffnet ungewollt die…

3 Tagen ago

Angriffsziel ERP

Eine aktuelle Studie von Onapsis zeigt: 9 von 10 Ransomware-Angriffe betrafen ERP-Systeme.

3 Tagen ago

Intelligente DDoS-Abwehr mit KI

Angreifer nutzen zunehmend raffinierte Techniken, um ihre Angriffe zu verschleiern und adaptive Angriffsmuster einzusetzen, warnt…

5 Tagen ago

Energieverbrauch von Rechenzentren im Blick

ESRS, CSRD, EnEfG: Wer die gesetzlichen Nachhaltigkeits-Regularien erfüllen will, braucht Transparenz über den Energieverbrauch und…

6 Tagen ago