KI erhöht das Volumen von Cyberangriffen massiv

Oded Vanunu gehört zu den weltweit namhaftesten Cybersecurity-Experten. Bei seinen zahlreichen Auftritten auf wichtigen Konferenzen rund um den Cyberkrieg warnt er immer wieder vor der massiven Zunahme von Cyberattacken. Unter anderem weil KI den Hackern die Arbeit erleichtert. 

Hacker nutzen mehr und mehr KI. Sind die Sicherheitslösungen nicht mehr geeignet, um eine Organisation zu schützen?

Die Lösungen, die heute zum Schutz vor Cyberangriffen eingesetzt werden können, sind grundsätzlich gut genug. Aber mit der KI wird das Volumen der Cyberangriffe zunehmen. Das bedeutet, dass die Cybersicherheitsteams eines Unternehmens verstehen müssen, dass sie sich gegen wesentlich mehr Angriffe als bisher verteidigen müssen.

Wie verändert KI die Vorgehensweise der Angreifer?

Wie läuft ein Angriff aus der Sicht der Angreifer ab? Zunächst wird ein Ziel definiert, gegen das eine Cyberangriff durchgeführt werden soll. Zu diesem Zweck sammeln die Hacker Informationen, um den digitalen Fingerabdruck des Ziels zu erfassen, das heißt das gesamte digitale Inventar einschließlich Webserver, Domänen, Benutzer und Dienste. Sobald diese Daten vorhanden sind, entwickeln sie die geeignete Cyberwaffe für das Ziel. Zeigen die Daten beispielsweise, dass ein Webserver eine nicht gepatchte Sicherheitslücke aufweist, wird die Cyberwaffe darauf zugeschnitten. Es wird eine Waffe entwickelt, die diese Schwachstelle ausnutzt und einen Angriff der zweiten Ebene ermöglicht. Sobald die Cyberwaffe entwickelt ist, wird sie getestet, um sicherzustellen, dass sie funktioniert. Diese drei Meilensteine nehmen aus der Sicht eines Hackers normalerweise viel Zeit und Ressourcen in Anspruch. Mit KI werden diese Meilensteine jedoch weitgehend automatisiert. Und das vereinfacht die Arbeit der Cyberkriminellen deutlich.

KI verändert also eher die Masse der Angriffe als deren Qualität. Die Unternehmen brauchen also nicht unbedingt eine neue Verteidigungsstrategie?

Auch aus Sicht der Verteidigung müssen die neuen Strategien durch KI angetrieben werden. Das bedeutet, dass viel Geld in die Automatisierung und Überwachung anormaler Aktivitäten investiert werden muss. Mit KI können Unternehmen im Grunde einen viel schnelleren Überblick über ihr gesamtes digitales Inventar erhalten. Und sie können auch leichter automatisierte Abwehrprozesse durchführen.

Angriffstools gibt es inzwischen auch im Internet zu kaufen?

Wir haben das kürzlich untersucht und festgestellt, dass es heute viele Tools gibt, deren Hauptziel darin besteht, bösartige Aktivitäten zu erzeugen. Solche Tools sind im Darknet oder auf Telegram zu finden. Sie konzentrieren sich im Wesentlichen auf die Erstellung von Kampagnen, Phishing-Kampagnen und Domains. Es gibt also viele automatisierte Tools, die vorgefertigte Modelle verwenden und im Cyber-Underground verfügbar sind. Diese Dienste erleichtern bösartige Aktivitäten erheblich, da sie den gesamten Angriffsprozess automatisieren. Dies ist ein weiteres Indiz dafür, dass wir es mit einem anderen Volumen von Angriffen zu tun haben werden.

Sie haben gesagt, dass die Corona-Pandemie das Verhalten der Hackergruppen verändert hat. Sie haben die sichere Umgebung des Dark Web verlassen und nutzen jetzt Telegram. Welche Auswirkungen hat diese Veränderung? 

Angriffswerkzeuge werden für fast jeden zugänglich. Wir nennen das B2C-Dienste für Cyberkriminalität. In der Vergangenheit wurden solche Hackerdienste mit Kryptowährung bezahlt, aber heute besteht der Anreiz für Hacker darin, damit Geld zu verdienen. Dies ist der Anreiz für die Cyberkriminalität insgesamt. Über diese B2C-Kanäle werden den Nutzern einfache Dienste angeboten, die es ihnen ermöglichen, dunkle Aktivitäten durchzuführen, wie etwa einen Denial-of-Service-Angriff auf eine Website zu starten.

Hacken ist also jetzt auch etwas für Amateure und nicht mehr nur für Profis. Im Grunde kann also jeder hacken?

Das bedeutet, dass Hacking-Aktivitäten jetzt für normale Benutzer viel leichter zu erreichen sind. Da wir in einer digitalen Welt leben, in der jeder vernetzt ist, hat jeder ein Profil. Daher besteht ein großes Interesse daran, aus allen möglichen Gründen gefälschte E-Mails und Malware an diese Profile zu senden. Es gibt also eine Menge Dinge, die man verkaufen und mit denen man Geld verdienen kann. Jeder kann diese Dienste kaufen, und man muss kein professioneller Angreifer sein. Man kauft einfach einen Dienst, der das für einen erledigt.

Sie haben viele Sicherheitslücken auf großen Plattformen wie WhatsApp oder Instagram gefunden. Haben Sie das Gefühl, dass die Plattformbetreiber mit ihrer Software etwas nachlässig sind?

Das ist eine gute Frage, und ich habe eine klare Antwort darauf. Was die Software angeht, so denke ich, dass die Betreiber und Technologieanbieter – ich spreche hier von den großen Unternehmen – viel mehr in sichere Software investieren. Es ist nicht einfach, diese Systeme zu kompromittieren. Das eigentliche Problem besteht darin, dass es massive Aktivitäten zur Übernahme von Konten und zum Kontodiebstahl gibt. Die meisten Betreiber müssen viel mehr investieren, damit die Nutzer wissen, wann ihr Konto gehackt wird. Denn wenn die Nutzer das Gefühl haben, dass sie ihre Konten verlieren, wollen sie diese Plattform nicht mehr nutzen.

Ein weiteres Thema ist die Verschlüsselung. Könnte es eine Lösung sein, alles zu verschlüsseln, die gesamte Kommunikation und die Daten?

Nein, das wird nicht helfen. Man kann alles verschlüsseln, aber die Benutzer müssen irgendwann auf jeder Plattform mit klaren Daten arbeiten. Zum Beispiel Administratoren. Diese privilegierten Nutzer sind jetzt die Ziele. Und wenn ich den Nutzer über seine sozialen Medien, über sein Outlook angreife, bin ich in seinem Computer, habe seine Berechtigungen und dann kann ich alle seine Daten sehen. Ich habe die Verschlüsselung umgangen, weil ich mich jetzt im Kontext des Benutzers befinde und die Berechtigung erhalte, die entschlüsselten Daten einzusehen.
Aus Sicht der Cyber-Offensive gibt es verschiedene Angriffsebenen, manchmal handelt es sich um einen mehrstufigen Angriff. Und um Zugang zu erhalten, werde ich einen weiteren Angriff durchführen. Für die Verteidigung geht es also darum, zu wissen, wie man welche Punkte verteidigt und wie man das Gesamtbild erhält.

Was ist Ihrer Meinung nach derzeit das größte Risikopotenzial für Unternehmen?

Ich denke, das größte Risiko besteht im Moment darin, dass das Volumen der zu erwartenden Angriffe weiter deutlich zunehmen wird. Und das bedeutet, dass sie das verstehen und eine Strategie entwickeln müssen, die in jeder Hinsicht verteidigungsbereit ist.

Es besteht ein offensichtlicher Widerspruch zwischen steigenden Sicherheitsbudgets einerseits und dem Erfolg von Hackern andererseits. Aus der Sicht eines Unternehmens muss dies sehr frustrierend sein, weil man viel Geld in die Sicherheit investiert, aber es scheint nicht zu helfen. Was empfehlen Sie den Unternehmen, um ihre Frustration zu bekämpfen?

Zunächst einmal müssen wir verstehen, dass der Cyberspace im Grunde eine neue Art der Kriegsführung ist. Und wenn ich es mit den Budgets der Regierungen für die physische Sicherheit vergleiche, so werden auch diese ständig erhöht. Und wird die Welt dadurch sicherer? Nein. Die Unternehmen müssen ihre Ausgaben für die Sicherheit erhöhen, weil sie ihre digitalen Fingerabdrücke vergrößern. Es wird immer Lücken geben, aber letztlich können 99 Prozent der Cyberangriffe durch Technologie verhindert werden. Aber da es sich um eine Form des Krieges handelt, besteht der Wettlauf darin, die Schwachstelle zu finden.

Oded Vanunu

ist Head of Products Vulnerability Research bei Check Point Software. Er ist Autor des Buches Cyber and Hacking in the Worlds of Blockchain & Crypto. Oded war an der Aufdeckung großer Sicherheitslücken auf Plattformen wie Facebook, Instagram, WhatsApp, TikTok, Amazons Alexa, Fortnite, Atlassian, OpenSea und vielen anderen beteiligt.