Die wichtigsten Bedrohungen 2018
Künstliche Intelligenz, dein Freund und Angreifer
Das Wettrüsten zwischen Cyberkriminellen und IT-Sicherheitsspezialisten geht in die nächste Runde. Während Angriffe mit künstlicher Intelligenz vor der Firewall stehen, sollten Unternehmen die Abwehr mit AI-basierten Systemen stärken.
Text: Andreas Heer,
In nicht allzu ferner Zukunft, in einer abgelegenen Ecke des Internet: Cyberkriminelle testen eine Malware, die verschiedene Angriffsszenarien ausprobiert. Ist sie erfolgreich, mutiert sie selbständig. Die erfolgreichen Methoden werden im Code gespeichert, die missglückten entfernt.
Einige Wochen später. Auf der Firewall eines Unternehmens hat soeben der Malware-Schutz Alarm geschlagen. Er hat ein verdächtiges Verhalten festgestellt, das auf einen bislang unbekannten Cyberangriff hinweist. Diese Erkenntnis hat die Schutz-Software selbständig gelernt, indem sie bekannte Angriffsmuster analysiert und Gemeinsamkeiten mit der neuartigen Attacke festgestellt hat. Willkommen bei der nächsten Generation der IT-Sicherheit, die «intelligente» Angriffe auf ebensolche Weise abwehrt.
Solche Szenarien sind derzeit noch Zukunftsmusik. Angriffe mit künstlicher Intelligenz führt der Swisscom Security Report im zweitinnersten Kreis des Bedrohungsradars auf. Das heisst, dass AI-basierte Angriffe bald Realität sein werden. «Neu auf dem Radar haben wir die schadhafte Anwendung von künstlicher Intelligenz. Diese wird zum Beispiel eingesetzt, um intelligente Angriffe zu starten, gegen die traditionelle Schutzmassnahmen wirkungslos sind», kommentiert Panos Zarkadakis, stellvertretender Chief Security Officer bei Swisscom, diese Entwicklung.
Panos Zarkadakis, stellvertretender Chief Security Officer bei Swisscom
Künstliche Intelligenz als Assistent
Doch bereits heute kommt künstliche Intelligenz in der Angriffsbekämpfung zum Einsatz. Als Beispiel nennt Panos Zarkadakis das Incident Management: «Ein selbstlernendes System kann Vorfälle auf ‹False Positives› prüfen und so die Security-Experten entlasten.» Hierbei handle es sich um eine typische Anwendung für AI, die Mustererkennung.
Und eine Entlastung der Sicherheitsspezialisten ist gewünscht, fehlt es hier doch an Fachkräften. Und fehlende Expertise kann durchaus ein Sicherheitsrisiko sein, wenn das eigene Abwehrdispositiv nicht ausreichend auf aktuelle und kommende Bedrohungen eingestellt ist. Oder die Ressourcen nicht ausreichen, um auf Angriffe schnell genug zu reagieren. Entsprechend empfiehlt Panos Zarkadakis, AI-Systeme in der Cyberabwehr derzeit unterstützend einzusetzen, bis sich die Technologie wirklich bewährt hat.
Ein alter Bekannter und neue Goldsucher
Die grösste Bedrohung geht derzeit immer noch von klassischer Malware aus. Panos Zarkadakis hat hierzu eine einleuchtende Erklärung: «Die wesentlichen Bedrohungen, die wir im Vorjahr identifiziert hatten, sind nach wie vor aktuell. Das liegt oft in der Natur der Bedrohungen, da sie sich erst über Jahre entwickeln.»
Diese These bestätigt sich auch im Swisscom Netz. Häufigster «Gast» war mit «Conficker» ein alter Bekannter. Der auch als «Downadup» bekannte Wurm ist bereits seit zehn Jahren unterwegs und generierte rund 40 Prozent des erkannten «Call Home»-Traffics im Swisscom Netz. Etwa zehn Prozent dieses Netzwerkverkehrs stammte von der Ransomware «WannaCry», die vor gut einem Jahr mit ihrer Erpressernachricht auf den Bildschirmen auftauchte – beispielsweise auf Anzeigetafeln der Deutschen Bahn.
Allerdings scheinen die Cyberkriminellen ihr Geschäft zu verlagern: «Wir sehen den Trend, dass Malware vermehrt eingesetzt wird, um IT-Ressourcen zu stehlen. Mit diesen wird unter anderem Bitcoin-Mining betrieben» beobachtet Panos Zarkadakis.
«Wir sehen den Trend, dass Malware vermehrt eingesetzt wird, um IT-Ressourcen zu stehlen. Mit diesen wird unter anderem Bitcoin-Mining betrieben»
beobachtet Panos Zarkadakis.
Statt von den Opfern Lösegeld in Form von Cryptowährung zu erpressen, schürfen Angreifer diese lieber gleich selbst.
JavaScript-basierte Schürf-Software wie beispielsweise Coinhive nutzt die Ressourcen eines Rechners, während dessen Benutzer ahnungslos auf einer Website surft. In Einzelfällen mag das relativ harmlos sein. Doch wenn Firmenrechner und virtuelle Umgebungen im grösseren Stil betroffen sind, kann Cryptomining zu einem spürbar erhöhten Ressourcenverbrauch führen. Im harmloseren Fall steigen dadurch bloss die Stromkosten, in extremeren Ausprägungen wird dadurch die Funktionsweise von Unternehmenssystemen beeinträchtigt.
Das «Wettschürfen» zwischen Angreifern und Verteidigern geht also munter weiter. Doch wie können Unternehmen auf die veränderte Bedrohungslage reagieren? Sicherheitsexperte Panos Zarkadakis hat eine eindeutige Empfehlung: «Der beste Schutz ist, die Angreifer und ihre Methoden zu studieren und zu kennen. Das kann mit Threat Intelligence, Detection & Response-Fähigkeiten erreicht werden. Weiter sollten grosse Unternehmen im Rahmen ihrer Digitalisierungsstrategie die AI/Machine-Learning-Kompetenzen weiterentwickeln und ausbauen. Der Fokus sollte dabei auf der Cybersecurity liegen.»
«Dank Früherkennung können wir unsere Kunden besser schützen»
Wie kann eigentlich ein Infrastruktur-Provider wie Swisscom zum Schutz der Kunden vor Cyber-Angriffen beitragen? Cyrill Peter, Leiter des Sicherheitsgeschäfts für Grosskunden, gibt Auskunft.
Eine etwas rhetorische Frage: Welchen Stellenwert besitzt das Thema Sicherheit für Swisscom?
Cyrill Peter: Als Provider von kritischen Infrastrukturen ist das Thema Sicherheit für uns natürlich essentiell. Wir investieren sehr stark in diesen Bereich. Es geht dabei sowohl um den Schutz unserer eigenen Infrastruktur als auch um die Security-Dienstleistungen, die wir unseren Kunden anbieten. Hierzu beschäftigen wir mehr als 100 Security-Spezialisten in der Schweiz und haben auch die notwendigen Strukturen geschaffen, beispielsweise ein 7x24 besetztes Security Operation Center.
Inwiefern profitieren Swisscom Kunden von unseren eigenen Erfahrungen?
Als Schweizer Provider wissen wir sehr genau, welche Gefahren und Angriffe in der Schweiz gerade aktuell sind und können frühzeitig agieren. Davon profitieren unsere Kunden sehr direkt. Wir entdecken beispielsweise eine Vielzahl von Phishing-Seiten einige Zeit früher als die meisten Anbieter von Viren- und Antiphishing-Software. So können wir Schweizer Kunden schneller und besser schützen.
Und wie schaut dieser Nutzen konkret aus?
Einerseits stellen wir sicher, dass sämtliche unserer Services bereits ein hohes Mass an Grundschutz integriert haben. Andererseits bieten wir die in der Schweiz wohl breiteste Palette an Managed Security Services an, welche unsere Geschäftskunden bedarfsgerecht beziehen können. Zudem entwickeln wird unsere Security Services entlang der aktuellen Bedrohungslage ständig weiter. So haben wir im letzten Herbst den Service «Threat Detection & Response» lanciert. Er dient der frühzeitigen Erkennung und Abwehr von Cyber-Bedrohungen.
Newsletter
Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?
