Cybersecurity: generative KI & Systemwiederherstellung
Sarah Kolberg | Februar 19, 2024
„Wir sind nicht auf einer Insel der Inkompatibilität. Wir haben tatsächlich Angriffsflächen“, erklärt Prof. Dr. Tobias Heer, Lehrender an der Hochschule Esslingen und Forscher im Bereich Future Networking Technologies bei Hirschmann Automation & Control. Noch vor einigen Jahren wurden Cyber-Angriffe in vielen Unternehmen nur als theoretische Möglichkeit betrachtet und nicht als tatsächliche Gefahr wahrgenommen. Man sei kein strategisches Ziel und für Cyberkriminelle nicht interessant. Heutzutage sind fast alle Unternehmen von IT-Sicherheitsproblemen sowie Angriffen betroffen. Neue technologische Möglichkeiten wie generative künstliche Intelligenz (KI) stellen eine große Bedrohung dar. Für zahlreiche betroffene Firmen ist jedoch die Systemwiederherstellung nach dem Angriff die eigentliche Mammutaufgabe.
Cybersecurity in der Industrie – Stand heute
Die Größe, Branche und bisherige Betroffenheit des Unternehmens geben häufig Aufschluss über das Cybersecurity-Level. Börsennotierte Unternehmen sind besonders attraktive Ziele und müssen daher weitreichende Sicherheitsvorkehrungen treffen. Kritische Infrastruktur (KRITIS) wie z.B. der Energiesektor, das Transportwesen oder die Telekommunikationsbranche müssen mit Blick auf die Gesetzeslage gewisse Security-Maßnahmen und Sicherheitsstandards vorweisen.
Innerhalb der Branchen gibt es zum Teil spezifische Industriestandards und Anforderungen wie beispielsweise TISAX® in der Automobilindustrie. In Industriezweigen ohne Regularien existiert kein einheitliches Sicherheitsniveau. Dabei wird IT-Sicherheit mehr und mehr zum wirtschaftlichen Faktor. Wer sich absichert, ist ein verlässlicher Geschäftspartner, Lieferant oder kann vertrauensvoll mit Kundendaten umgehen. Insbesondere Lieferketten stehen immer häufiger unter Beschuss.
Inwieweit ist die deutsche Industrielandschaft von Cyber-Attacken betroffen?
Antwort von Prof. Dr. Tobias Heer, Lehre an Hochschule Esslingen / Future Networking Technologies bei Hirschmann Automation & Control
Neue Technologien machen Cyber-Attacken effizienter
Technologien wie künstliche Intelligenz wurden in den letzten Jahren vor allem analytisch genutzt. Mit Entwicklungen wie ChatGPT gewinnt generative KI immer mehr an Bedeutung. Dies können sich auch Angreifer zu Nutze machen, um ihre Attacken effektiver, qualitativer und kostengünstiger zu gestalten.
Insbesondere im Rahmen der Erstinfektion ergeben sich zahlreiche Möglichkeiten für Angreifer. Die Erstinfektion beschreibt die Einstiegsmethode, mit der sich Cyberkriminelle erstmalig Zugriff in ein System verschaffen. Die effektivsten Methoden sind Social Engineering und der Eintritt über Systemschwachstellen. Durch generative KI wird Social Engineering um einiges gefährlicher. Denn KI kann Texte schreiben und kontinuierlich verbessern, was Phishing-Mails immer echter wirken lässt. Security Awareness Trainings sensibilisieren Mitarbeitende für Phishing-Mails und unseriöse Inhalte. Mithilfe von KI Tools können diese Inhalte jedoch immer hochwertiger gestaltet und genau auf Positionen im Unternehmen zugeschnitten werden. Neben präziseren Texten gilt es auch durch KI generierte Bilder als solche zu erkennen. Mitarbeitende müssen sich kontinuierlich Cybersecurity-Knowhow aneignen, um Schritt zu halten.
Was sind häufige Bedrohungsszenarien bei mittelständischen Unternehmen?
Antwort von Tobias Waltemode, Senior Sales Manager bei IOK GmbH & Co. KG (macmon secure Platin-Partner)
Stimme und Code per KI
Neben hochspezifischen Phishing-Inhalten kann man mit KI Bilder erstellen oder mit einem KI-Stimmen-Generator die Stimmen von Vorgesetzten oder Arbeitskollegen vortäuschen. Die Stimme kann auf einer öffentlich zugänglichen Datenbasis, beispielsweise aus Youtube-Inhalten des Unternehmens, erstellt werden, in denen die jeweilige Person zu hören ist. Bei einem Anruf, in dem man auf eine E-Mail hingewiesen wird, die man schnell bearbeiten sollte, kommt es in der Hektik schneller zu Verstößen gegen Sicherheitsrichtlinien wie den Download von schädlichen Anhängen. Entsprechend ist auch bei Anrufen mehr Vorsicht gefordert!
Generative KI kann nicht nur Bilder, Videos oder Stimmen nachahmen und erstellen, sondern auch Code schreiben. KI vereinfacht somit auch das Erstellen von spezifischer Malware. Entsprechend können in kürzester Zeit Programme geschrieben werden, um Schwachstellen aufzuspüren und die auszunutzen. Beide Schritte, die zuvor mit großem Zeitaufwand verbunden waren, können automatisiert werden.
Die Qualität der Angriffe steigt, während die Kosten je Angriff sinken. Eine größere Anzahl von Unternehmen kann ins Ziel genommen werden. Eine immer größere Security Awareness von Mitarbeitenden ist gefordert, um Social Engineering-Attacken zu erkennen. Zugleich werden Schwachstellen in Systemen viel schneller für Angreifer sichtbar.
Kein 100-prozentiger IT-Sicherheitsschutz möglich
Aussage von Tobias Waltemode, Senior Sales Manager bei IOK GmbH & Co. KG
Systemwiederherstellung aufwendig und kostspielig
Mit Blick auf die neuen Möglichkeiten der Angreifer sollten auch Unternehmen, die sich als nicht-attraktive Ziele einschätzen, proaktiv Sicherheitsmaßnahmen ergreifen. Denn selbst, wenn ein Angriff nicht verhindert werden kann, helfen die richtigen Security-Lösungen bei der Schadensbegrenzung sowie der IT-Forensik.
Folgende Fragen müssen nach einer Cyber-Attacke geklärt werden:
- Welche Systeme sind betroffen?
- Wie hat sich der Angreifer Zugriff verschafft?
- Seit wann ist der Angreifer im System?
- Welche Systeme müssen isoliert werden?
- Welche Systeme müssen neu aufgesetzt werden?
- Kam es zu Datenverlust?
Es muss der Stand eines Back-Ups aufgefunden werden, in dem sich Angreifer noch nicht im System aufgehalten hat. Außerdem müssen Mehrfach-Angriffe durch beispielsweise eingebaute Hintertüren des Angreifers ausgeschlossen werden.Selbst wenn Lösegeld entrichtet oder der Angreifer erfolgreich aus dem System verbannt wurde, ergibt sich für zahlreiche Unternehmen eine viel schwerwiegendere Thematik: die Systemwiederherstellung.
Beispiel für die Komplexität einer Systemwiederherstellung nach Cyber-Angriff
ausgeführt von Prof. Dr. Tobias Heer, Lehre an Hochschule Esslingen / Future Networking Technologies bei Hirschmann Automation & Control
Im besten Fall sind die Schritte der Systemwiederherstellung klar, bevor es zum Angriff kommt. Denn die Wiederinbetriebnahme von Systemen erweist sich insbesondere in OT-Umgebungen häufig als kompliziert. Die Dezentralität und Heterogenität können großen logistischen Aufwand bedeuten. Einzelne Schritte der Systemwiederherstellung können mehrere Wochen und Monate in Anspruch nehmen und entsprechend größeren monetären Verlust bedeuten als die Cyber-Attacke an sich. Um den Aufwand so klein wie möglich zu halten, sollten Unternehmen umfassend dokumentieren, wie eine Systemwiederherstellung im Ernstfall abzulaufen hat, um lange Ausfälle zu vermeiden.