Von Heinrich Vaske

Von IT-Chefs wird derzeit erwartet, dass sie ihre Unternehmen AI-ready aufstellen. Doch andere Aufgaben, insbesondere im Zusammenhang mit IT-Sicherheit, fallen nicht weg. Wenn das Bollwerk gegen Cyberbedrohungen löchrig ist und Sicherheitsvorfälle Schlagzeilen machen, enden Karrieren oft schnell und abrupt. Ein Fußballtrainer würde die Situation wahrscheinlich so beschreiben: Die Defensive muss sicher stehen, damit die Offensive glänzen kann. Ein Überblick, wo künstliche Intelligenz Gefahren verschärft und wo sie die Sicherheit stärken kann.

Mit den Fortschritten im Bereich der künstlichen Intelligenz und insbesondere der Generative AI sind die Karten auch im Bereich Cybersecurity neu gemischt worden. Die gegnerische Offensive zieht alle Register in Sachen KI, so dass sich auch die Defensive damit beschäftigen und viel Geld dafür ausgeben muss.

KI-gestützte Cyberangriffe

Mithilfe von KI lassen sich bekanntlich öffentlich zugängliche Informationen über Unternehmen beliebig zusammentragen und organisieren. Die GPT-Crawler und -Bots ziehen ihr Wissen dabei von Webseiten und Blogs, aber auch aus sozialen Medien, allen voran LinkedIn. So ausgestattet, fällt es Angreifern leicht, personalisierte Angriffe zu starten. Wenn sie erst einmal nachvollziehen können, welche Projekte ein Unternehmen im Detail verfolgt, sind sie imstande, Bezug darauf zu nehmen und beispielsweise täuschend echte Rechnungen auszustellen.

Ein anderes Beispiel für personalisiertes Phishing sind Sprach- und Videoklone: Reden oder Interviews von CEOs oder Finanzchefs finden sich reihenweise auf Portalen wie Youtube oder Vimeo. Mit diesen Trainingsdaten ist es ein Leichtes, einen Sprach- oder Videoklon zu bauen. Der kann etwa dazu verwendet werden, Überweisungen auf das Konto eines Angreifers zu veranlassen.

Schadsoftware probiert immer neue Angriffsvarianten aus

KI ermöglicht auch adaptive Malware in einer bislang nicht gekannten Funktionalität. Die Schadsoftware ist in der Lage, ihren Code, ihre Ausführungsmuster oder ihre Kommunikationsmethoden ganz nach den Bedingungen zu verändern, auf die sie während eines Angriffs stößt. Sie ist flexibel und kann immer neue Angriffsvarianten ausprobieren, ohne ein sonderlich hohes Risiko einzugehen, erkannt zu werden. Adaptive Malware gab es schon vor GenAI, aber jetzt lassen sich Ausweichtechniken und Effektivität nochmal deutlich verbessern.

Nichts Neues ist das Credential Stuffing, bei dem Angreifer massenhaft Anmeldedaten stehlen oder im Darknet einkaufen. Sie verwenden dann Bots, um reihenweise Anmeldeversuche mit den erbeuteten Benutzernamen und Passwörtern zu starten. So gelingt ihnen der Zugang zu vermeintlich sicheren Unternehmensnetzen. Dieses Vorgehen profitiert davon, dass viele Anwender keine Passwort-Disziplin haben und zudem dieselben Credentials auf unterschiedlichen Systemen nutzen.

Haben sich die Angreifer Zugang zu einem System verschafft, beginnen sie meist mit der Erkundung des Netzwerks. Sie weiten ihre Privilegien aus, machen sich an die Datenexfiltration und treffen Vorkehrungen für weitere Schritte, einen Ransomware-Angriff etwa oder einen zielgerichteten, langanhaltenden Cyberangriff (Advanced Persistent Threat = APT).

KI spielt beim Credential Stuffing eine immer wichtigere Rolle, weil sie hilft, glaubwürdige Phishing-E-Mails zum Abgreifen von Anmeldedaten zu generieren, ambitionierte Social-Engineering-Taktiken – oft mit Deepfake-Angriffen – umzusetzen oder innovative Malware zu entwickeln, mit der sich Anmeldedaten abgreifen lassen. Noch weiter gehen Brute-Force-Angriffe, die automatisiert Benutzernamen und Passwörter in großer Zahl generieren, um sich mithilfe von Bots Zugang zu geschützten Systemen zu verschaffen.

Angreifer werden schneller und wendiger

KI-Tools helfen den Angreifern auch dabei, gestohlene Zugangsdaten etwa aus Datenleaks schnell zu analysieren oder Nutzerkonten für einen wahrscheinlich erfolgreichen Login gezielt auszuwählen. Zudem können die Bots der Angreifer mithilfe von Machine Learning Sicherheitsmechanismen wie Rate Limiting, Captchas oder IP-Blocking umgehen.

KI dient aber nicht nur den Angreifern, sie hilft auch bei der Abwehr von Attacken. Moderne KI-basierte Sicherheitssysteme sind in der Lage, riesige Datenmengen in Echtzeit zu analysieren und Muster oder Anomalien aufzudecken, die auf Angriffe hindeuten. Auch kann mit maschinellem Lernen oder mit neuronalen Netzen ein „normales Anwenderverhalten“ im Netz definiert werden, so dass Abweichungen davon, etwa durch verdächtige Datenbewegungen oder ungewöhnliche Zugriffe, schnell erkannt werden. Dann schlägt das System Alarm, indem es betroffene Geräte isoliert, den Datenverkehr sperrt oder potenziell schädliche Vorgänge stoppt – oft ohne menschliches Eingreifen.

Mit KI lassen sich zudem Vorfälle schneller analysieren und Gegenmaßnahmen vorschlagen oder sogar gleich einleiten. Trainiert anhand historischer Daten und aktueller Trends, erkennen moderne Systeme Sicherheitslücken frühzeitig, so dass Unternehmen ihre Abwehr stärken können, bevor Angreifer in Aktion treten. Ebenso lässt sich KI für eine automatisierte Schwachstellen-Analyse einsetzen: Sie überprüft kontinuierlich Systeme und Netzwerke, priorisiert Risiken und spielt nötige Updates aus.

Gefälschte E-Mails werden automatisch aussortiert

Gerade im Bereich der Erkennung kann die KI ihre Stärken ausspielen: Sie schützt vor Phishing-Angriffen, indem sie gefälschte E-Mails oder verdächtige Webseiten ausmustert, die für Menschen täuschend echt aussehen. Das gleiche gilt für das Identifizieren von Malware oder Ransomware: Typische Verhaltensmuster solcher Schadsoftware – zum Beispiel das massenhafte Verschlüsseln von Daten – werden früh erkannt und betroffene Systeme isoliert, bevor großer Schaden entsteht.

Ein großer Vorteil von KI liegt auch in den neuen Automatisierungsmöglichkeiten: Erkennung und Gegenmaßnahmen werden gekoppelt, so dass ein Schutzschild mit proaktiven Fähigkeiten entsteht. Netzwerke und Endgeräte werden permanent überwacht, Angriffe im Sinne eines 24/7-Monitorings rund um die Uhr bekämpft. Der Vorteil der künstlichen Intelligenz liegt auf Dauer zudem in der Lernfähigkeit der Systeme, die sich kontinuierlich und automatisch verbessern, indem sie aus neuen Angriffsmustern lernen und ihre Erkennungsmechanismen ständig anpassen.

Bewusstsein schaffen durch simulierte Angriffe

Obwohl KI also große Fortschritte in der IT-Sicherheit bringt, ist sie doch längst kein Allheilmittel – zumal sie Angreifern genauso zur Verfügung steht wie Verteidigern. CIOs kommen also auch in Zukunft nicht um Sicherheitstrainings herum, in denen sie Awareness schaffen und beispielsweise Deepfake-Angriffe simulieren. Solche Deepfakes sind oft nur auf den ersten Blick perfekt. Wenn Anwender sensibilisiert sind, werden sie in einem Video unnatürliche Lippenbewegungen oder flackernde Hautpartien erkennen.

Auf technischer Seite hat sich in Unternehmen die Einführung einer Sicherheitsarchitektur bewährt: Seit einigen Jahren macht hier der Zero-Trust-Ansatz das Rennen. Dabei handelt es sich um ein Verfahren, das grundsätzlich vom Schlimmsten ausgeht: Jeder einzelne Zugriff auf Unternehmenssysteme wird erst einmal als potenziell gefährlich eingestuft, Nutzer und Geräte müssen sich immer wieder neu authentifizieren und autorisiert werden.

Anwender erhalten dabei nur solche Rechte, die sie für ihre Aufgabe unbedingt benötigen. Und schließlich werden der Netzverkehr, die Geräte und die Benutzeraktivitäten kontinuierlich überwacht, um Anomalien und Bedrohungen unmittelbar zu erkennen und darauf zu reagieren.