Der Vormarsch von Cyber-Banden und GenAI: Werden 2024 verschärfte Sicherheitsmaßnahmen erforderlich sein?

Der aktuelle „Threat Landscape Report 2023“ der ENISA und der „Stand der IT-Sicherheit in Deutschland im Jahr 2023“ des BSI zeichnen ein erschreckendes Bild. Beide Berichte sind sich einig, dass Ransomware die größte Sicherheitsbedrohung darstellt. Inmitten politischer Unruhen sind staatliche Cyber-Aktivitäten auf dem Vormarsch. Ein ideologisch motivierte Hacktivismus zielt nicht nur auf wichtige Institutionen und Behörden ab, sondern auch auf die Beeinflussung der öffentlichen und persönlichen Meinung und untergräbt die gesellschaftliche Ordnung. Mit der wachsenden Abhängigkeit von Unternehmen und Regierungen von digitalen Diensten haben Angriffe auf die Verfügbarkeit von Netzen und Diensten erheblich zugenommen. Darüber hinaus erweitert der Fortschritt der KI das Waffenarsenal der Cyberkriminellen und beschleunigt die Kommerzialisierung illegaler Cyberaktivitäten.

Es gibt keine Zweifel, dass die Herausforderungen im Jahr 2024 wachsen werden. Werfen wir einen Blick auf neu entstehende Angriffsvektoren und darauf, wie man sich vor ihnen schützen kann.

Generative KI und Social Engineering

Social Engineering ist nach wie vor die bevorzugte Einstiegsstrategie für Cyberkriminelle und stellt häufig den ersten Schritt der Infiltration dar. Einfache Phishing-E-Mails werden durch bösartige, mit Hilfe von KI generierte Angriffe verstärkt. KI-basierte Informationsmanipulation macht es viel schwieriger, Wahres von Falschem zu unterscheiden. Darüber hinaus erzeugt das Klonen von KI-Stimmen überzeugend echte Sprache. Unterstützt durch gefälschte Videos, die auf reichhaltigen Hintergrundinformationen basieren, werden Personen zum Handeln gedrängt, ohne dass sie die Täuschung erkennen können. Eine solche von GenAI (Generative KI) geschaffene Informationsmanipulation hat das Potenzial, nicht nur die Wahrnehmung des Einzelnen zu beeinflussen, sondern in größerem Maßstab die öffentliche Meinung zu manipulieren und Gesellschaften zu destabilisieren.

Darüber hinaus kann all dies auf eine hochgradig automatisierte Weise geschehen. Dies macht es attraktiv, die Anzahl der Angriffe zu erhöhen und auch kleinere Beuteopfer ins Visier zu nehmen. 

Gegenmaßnahmen

Es gibt eine Reihe von Möglichkeiten, sich gegen Social Engineering zu schützen. Die Schaffung eines Problembewusstseins ist ein sinnvoller erster Schritt. Aufgrund der zunehmenden Raffinesse sind jedoch zusätzliche technische Maßnahmen erforderlich. Die Identifizierung der Urheberschaft und der Integrität jedes von einem Menschen geschaffenen Artefakts muss leicht möglich sein, um das Risiko zu minimieren, Opfer von manipulierten Informationen zu werden. Das Prinzip des "Null-Vertrauens" (Zero-Trust) muss über den Schutz von Geräten und Ressourcen hinaus auf den Schutz sämtlicher Daten, einschließlich aller persönlich erstellten Daten, ausgeweitet werden.

Cybercrime-as-a-service

Cyberangriffe als eine Dienstleistung sind zu einem hochprofitablen Geschäft geworden, das einen Milliardenmarkt adressiert. Cyber-Banden führen ihre Operationen mit geschäftsmäßiger Effizienz durch und bewegen sich in einem Wettbewerbsumfeld, das dem legitimer Unternehmen ähnelt.

Ein Ökosystem arglistiger Organisationen befasst sich mit jedem Schritt der Angriffskette, vom Eindringen in das System über laterale Bewegungen und privilegierten Zugang bis hin zu Ausbeutung (Exploitation) und Erpressung. Illegale Anbieter von kriminellen Dienstleistungen haben sich darauf spezialisiert, bestimmte Tools, Software und Dienstleistungen im Darknet anzubieten. Über Phishing-as-a-Service wird zunächst Malware von einem spezialisierten Anbieter krimineller Software verbreitet. Im nächsten Schritt machen kriminelle Cyberexperten die Krypto- und Exfiltrationssoftware für gängige Intrusion Detection Systeme unsichtbar und laden sie in das Zielnetzwerk hoch. Die Monetarisierung wird oft durch zusätzliche Bedrohungsaktionen wie DDoS-Angriffe unterstützt, was die Aufmerksamkeit der überlasteten Cybersecurity-Teams ablenkt und das Opfer zusätzlich unter Druck setzt. 

Zusammenfassend lässt sich sagen, dass die Raffinesse und die Zahl der Angriffe zunehmen, während die Kosten sinken. Dies wird dazu führen, dass kleinere Unternehmen ins Visier genommen werden, die vielleicht nur einen kleinen Teil einer Gesamtlösung liefern. Angriffe über die Lieferkette nehmen zu, da diese Anbieter möglicherweise weniger strenge Sicherheitskontrollen anwenden. Ein Paradebeispiel ist der Angriff auf die Dateiübertragungssoftware MOVEit im Mai 2023, der gezeigt hat, wie Angriffe auf die Lieferkette ihre Auswirkungen leicht vervielfachen können, indem sie viele nachgelagerte Unternehmen gefährden.

Gegenmaßnahmen

Um diesen Bedrohungen wirksam zu begegnen, müssen Sicherheitsmaßnahmen zur Verhinderung von Eindringlingen durch Strategien ergänzt werden, die deren Folgen auf ein Minimum reduzieren. Die Implementierung von Zugriffskontrollen nach dem Prinzip der geringsten Rechte ist wesentlich effektiver, wenn sie mit einer pragmatischen Netzwerksegmentierung an den Standorten kombiniert und durch die Trennung von Datenströmen auch im Weitverkehrsnetz unterstützt wird. Zero-Trust Netzwerkkonzepte ermöglichen die Einführung einer Mikrosegmentierung im gesamten Netz. 

Es ist dabei wichtig zu beachten, dass Zero-Trust-Konzepte nicht als Ersatz für herkömmliche Firewalls angesehen werden sollten, sondern vielmehr als wichtige Ergänzung zur Stärkung der allgemeinen Sicherheitslage dienen.

Ziehen Sie auch in Betracht, Ihre vernetzten Geräte an ein verbindungsorientiertes Weitverkehrsnetz statt an das Internet anzuschließen. Warum sollten Sie Milliarden von Internetnutzern weltweit eine Erreichbarkeit des Zugangspunktes ermöglichen, wenn Ihr einziger relevanter Endpunkt nur einige Kilometer entfernt ist? Natürlich ist der Internetzugang sehr bequem. Netzbetreiber werden allerdings bereit sein, einen sicheren, verbindungsorientierten Dienst anzubieten, wenn ausreichend Kunden dies wünschen.

Die Cloud verschiebt sich zum Kunden

Unternehmen und Behörden sind bestrebt, ihre Workloads näher an ihren Standorten zu hosten. Diese Notwendigkeit ergibt sich aus den Anforderungen an Latenzzeiten, Skalierbarkeit und Effizienz, führt jedoch zu einer Reihe von Herausforderungen. Wenn Daten und Anwendungen den Schutz zentraler Rechenzentren verlassen, werden robuste, hardwarebasierte Sicherheitsmaßnahmen am Edge immer wichtiger. Firewalls und Intrusion Detection/Prevention-Applikationen, die in einer Edge Cloud in virtuellen Maschinen gehostet werden, können nur dann Sicherheit bieten, wenn das zugrunde liegende Netzbetriebssystem und der Hypervisor gut geschützt sind. 

Gegenmaßnahmen

Die Implementierung von hardwarebasierter Sicherheit ist für den Schutz von Hosting-Plattformen am Edge unerlässlich. Dazu gehört die Verwendung einer Verschlüsselung auf den unteren Netzschichten, um die Integrität und Vertraulichkeit der Kommunikation zwischen dem Edge und der Cloud zu gewährleisten. Eine solche Verschlüsselung dient als Schutzschild für Server, Netzbetriebssysteme und alle gehosteten virtualisierten Netzfunktionen. Darüber hinaus sollten in Szenarien, in denen das Hosting am Edge von mehreren Mandanten genutzt wird, die Datenströme getrennt in einem segmentierten Weitverkehrsnetz übertragen werden.

Zusammenfassung 

Mit diesem Ausblick wird deutlich, dass unsere Sicherheitsteams im kommenden Jahr sehr beschäftigt sein werden. Die gute Nachricht ist, dass wirksame Schutzinstrumente zur Verfügung stehen. Die Anwendung von Sicherheitsmaßnahmen auf allen Netzwerkschichten in Kombination mit restriktiven Zugangskontrollen ist ein wirksames Hindernis für die bösartigen Aktivitäten von Cyberkriminellen. Wir von Adva Network Security werden weiterhin mit Ihnen gemeinsam daran arbeiten, dass Ihr Netz eine uneinnehmbare Festung gegen diese sich ständig weiterentwickelnden Bedrohungen ist.