Gibt es bereits Cyberangriffe, die sich Künstliche Intelligenz zunutze machen? Ob es sich um eine reale Bedrohung handelt und womit wir in der Zukunft zu rechnen haben, erklärt Boris Cipot, Senior Security Engineer bei der Synopsys Software Integrity Group.
KI-basierte Cyberangriffe: Schon Realität?
Herr Cipot, sind Cyberangriffe, die auf Methoden der KI basieren, schon Realität oder eher etwa, mit dem wir in Zukunft zu rechnen haben?
Boris Cipot: KI-gesteuerte Malware und Angriffe sind durchaus mögliche Szenarien, aber es handelt sich eher um eine Bedrohung, mit der wir in Zukunft stärker werden rechnen müssen. Was wir allerdings sehr wohl schon jetzt sehen, sind Anzeichen für smarte Malware. Sie ist bis zu einem gewissen Grad in der Lage, Benutzer- und Systemverhalten nachzuahmen. Angriffe dieser Art können Geräte infizieren und potenziell ganze Netzwerke durchdringen, wenn die Malware den richtigen Zeitpunkt abwartet, um zuzuschlagen.
Trotzdem ist das kein Angriff, der sich vollständig auf KI-basierende Methoden stützt, sondern von einem Hacker gesteuert wird. Smarte Malware mag da zunächst nur wie ein relativ kleiner Fortschritt erscheinen. Aber die Entwicklung signalisiert, dass wir uns bei Cyberangriffen ganz eindeutig in eine KI-basierte Richtung bewegen.
Artikel lesen: Die Schweiz sicherer machen - Aufbau eines Security Operations Center mit Fokus auf Industrie 4.0 in Arlesheim
Wie nutzen Cyberkriminelle KI?
Wie nutzen Cyberkriminelle KI, um sich einen technologischen Vorsprung zu verschaffen?
Boris Cipot: Am häufigsten nutzen Cyberkriminelle KI in Zusammenhang mit Malware. Eine Vorgehensweise wie sie seit Jahren praktiziert wird: unterschiedliche Arten von Malware versuchen, Systeme zu infizieren und sich unbemerkt im Netzwerk zu verbreiten.
Malware profitiert von KI indem sie durch künstliche Intelligenz zunehmend autark agieren kann. Stellen Sie sich beispielsweise vor, was ein Malware-Programm in einem Unternehmen anrichten kann, wenn es sich an die Systeme und Situationen, in denen es sich befindet, anpassen könnte: zum Beispiel Benutzerverhalten imitieren und verstehen können, wann Befehle ausgeführt oder Daten gesendet werden müssen, um die Anomalien-Erkennung zu umgehen.
Eine derart unabhängige Schadsoftware würde möglicherweise jahrelang unentdeckt bleiben. Riesige Mengen an Daten könnten abgezogen werden und einem Unternehmen katastrophalen Schaden zufügen. Und auf der anderen Seite für Cyberkriminelle ausgesprochen profitabel sein.
Verwenden Cyberkriminelle Open-Source-basierte KI-Software?
Ist es richtig, dass Cyberkriminelle Open-Source-basierte KI-Software verwenden? Und wie lässt sich die KI so steuern, dass sie genau das tut, was die Angreifer erreichen wollen? Welchen Datentypen verwenden sie beispielsweise, um ihre KI-Modelle zu entwickeln?
Boris Cipot: Open-Source-Software unterstützt Software-Entwickler ihre Entwicklungszyklen zu verkürzen. Dabei liegt der Schwerpunkt auf der Funktionalität der Software und nicht auf den Funktionsmerkmalen, die dazu notwendig sind, genau das zu tun. Open-Source-Software zu verwenden, ist bei jeder Art von Softwareentwicklung inzwischen vollkommen üblich.
Man kann ohne große Transferleistung annehmen, dass Cyberkriminelle bei der Entwicklung ihrer eigenen Software einen ähnlichen Weg gehen – also ebenfalls auf Open Source Software zurückgreifen. Möglicherweise nicht in bei einer Malware selbst, sondern vielleicht in der Command-an-Control-Software oder bei der Benutzeroberfläche (UI), wo das Dashboard des Malware-Angriffs sichtbar wird.
Schäden durch Cybercrime
Was können Kriminelle mithilfe von KI erreichen, und welche Art von Schäden werden sie vermutlich dadurch verursachen?
Boris Cipot: Jeder erfolgreiche Angriff kann dem Opfer finanziellen oder persönlichen Schaden zufügen, unabhängig davon, ob es sich um ein Unternehmen oder eine Einzelperson handelt. Wenn ein Angreifer versucht, in ein Unternehmensnetzwerk einzudringen oder ein bestimmtes Gerät zu infizieren, muss er eine Reihe von Systemen überwinden, Social-Engineering-Techniken anwenden, Betriebssysteme oder Softwarefehler ausnutzen, um sich für einen erfolgreichen Angriff zu positionieren.
Stellen Sie sich jetzt einen Computer vor, der mit der Summe dieses Wissens ausgestattet ist plus er über Kenntnisse in Penetrationstechniken, Funktionen zur Verhaltensanalyse und Verhaltensnachahmung verfügt. Rein theoretisch wäre ein solcher Rechner in der Lage, Angriffe deutlich schneller, koordinierter und effizienter auszuführen. Noch beunruhigender ist, dass er potenziell Hunderte oder vielleicht sogar Tausende von Zielen auf einmal angreifen könnte.
Es besteht kein Anlass zu der Vermutung, dass so ein Konzept nicht skalierbar ist. Die Schäden, die ein «Super-Computer» auf Basis gut funktionierender KI anrichten könnte, sind unvorstellbar.
Cybercrime und das Dark Web
Sind die ausgereiften Tools, die dazu nötig wären, im Dark Web verfügbar? Und wenn ja, wie leicht sind sie zu bekommen?
Boris Cipot: Ich bin sicher, dass im Dark Web alle möglichen Tools existieren. Ausreichend viele davon sind technisch bereits sehr weit ausgereift. Dieselbe Frage müsste man sich hinsichtlich KI-gestützter Tools stellen. Wie ausgereift sind sie zum aktuellen Zeitpunkt bereits? Nehmen wir wieder Malware als Beispiel. Malware-Code findet man mit Sicherheit im Dark Web, und auch hier ist ein Teil dieser Malware bereits ausgereift. Ein Beispiel aus der Praxis ist WannaCry. Hier wurde der Quellcode eines Tools von anderen übernommen und weiterentwickelt.
Erwartet uns eine «KI-gegen-KI»-Zukunft?
Was unternimmt die Cybersicherheitsbranche, um aufkommenden KI-gestützten Bedrohungen etwas entgegenzusetzen? Erwartet uns eine «KI-gegen-KI»-Zukunft?
Boris Cipot: Künstliche Intelligenz oder präziser gesprochen eine ihrer Untergruppe, das maschinelle Lernen, wird schon seit einer Weile von Cybersicherheitsanbietern genutzt. Maschinelles Lernen hilft dabei, Bedrohungen oder neue Malware-Stämme zu identifizieren, und das schneller und effizienter als ein menschlicher Experte. Das verschafft Sicherheitsforschern mehr Zeit, sich auf die Fälle zu konzentrieren, bei den die KI noch schwankende Ergebnisse zeigt, Fehleinschätzungen trifft oder gänzlich versagt hat. Wird ein solches Problem nicht nur erkannt, sondern auch gelöst, werden die gewonnen Ergebnisse wieder in das KI-System eingespeist. Solche Systeme haben sich gerade in den letzten Jahren weiterentwickelt und sind deutlich ausgereifter als noch vor wenigen Jahren. Deshalb spielen sie bei der Bedrohungserkennung und Abwehr eine wichtige Rolle.
Cyberkriminelle haben natürlich das Ziel, dass sich die von ihnen verwendete KI an die veränderte Situation durch eine ihrerseits KI-basierte Cyberabwehr anpasst und eine legitime Software oder ein harmloses Datenpaket überzeugend nachahmen kann.
Solche Systeme führen böswillige Aktivitäten zudem schneller aus als ein menschlicher Hacker. Der Angreifer hat also wie der Sicherheitsexperte im Unternehmen mehr Zeit, sich auf die für ihn wichtigeren Bereiche zu konzentrieren. Eine KI-gegen-KI-Zukunft ist nicht nur möglich, wir haben sogar schon erste Erfahrungen damit gemacht.
IT-Security - Interview im Printmagazin (Auszug)
Als CIO verantwortet Pieter de Koning bei Endress+Hauser eine uneingeschränkte Kommunikation innerhalb und ausserhalb des Unternehmens. Wie das geht und worauf dabei zu achten ist, beantwortet er während einer Tasse Kaffee.
Hier ein kleiner Auszug aus dem Interview
[...]
Welchen Stellenwert nehmen bei Ihrer täglichen Arbeit Fragen zur IT-Security ein?
Durch die Digitalisierung und die unheimlich schnelle Entwicklung in der IT gewinnen diese immer mehr an Bedeutung. Das ist eine Herausforderung, da es kein attraktives Thema ist und die Mitarbeitenden Einschränkungen befürchten. Daher bedarf es eines gewissen Spagats, die Vermögenswerte des Unternehmens zu schützen und zugleich dafür zu sorgen, dass die Leute optimal arbeiten können.
Verschliessen darf man sich diesen Fragen jedoch nicht, da es durch die Vernetzung heute sehr einfach ist, miteinander zu kommunizieren. Und gerade weil es so einfach ist, nehmen damit die Möglichkeiten, dies zu missbrauchen, zu. Daher setzen wir auf eine Best-Fit- und nicht etwa auf eine Cloud-First-Strategie. So können wir für die jeweilige Aufgabe das uns am sichersten und am besten passende Operationsmodell auswählen.
Sie arbeiten seit einigen Jahren mit einer cloudbasierten CRM-Lösung. Welche sicherheitstechnischen Überlegungen gingen dieser Entscheidung voraus?
Im Rahmen unserer Best-Fit-Strategie haben wir uns mit Fragen zur Funktionalität und Benutzerfreundlichkeit befasst, setzten uns aber auch mit dem Thema Cloud-Computing intensiv auseinander. Es wird ja sehr viel über die Cloud gesprochen und irgendwelche abstrakten Dinge mit ihr assoziiert, aber am Ende ist es auch nur ein Rechenzentrum, das irgendwo steht und von einem Dienstleister betrieben wird. Für uns war es daher wichtig zu wissen, wo die Daten gespeichert und wie sie verarbeitet werden. Als diese Informationen vorlagen, mussten wir uns fragen, ob wir weiterhin auf ein eigenes Rechenzentrum setzen oder aber der Cloud vertrauen? Hätte dieses Vertrauen gefehlt, hätten wir uns für eine andere CRM-Lösung entscheiden müssen, da es die von uns gewählte Lösung nur als cloudbasierte Version gibt.
Sie sagten, dass mit zunehmender Vernetzung die Möglichkeiten des Missbrauchs zunehmen. Welches IT-Security-Szenario fürchtet Endress+Hauser am meisten?
Eines vorweg, wir fürchten nichts, da Angst immer ein schlechter Berater ist. Das bedeutet aber nicht, dass wir nun naiv in den Tag hineinleben. Wir sind uns der Gefahren und Bedrohungen bewusst und versuchen uns dagegen so gut als möglich zu schützen. Daher setzen wir beim Thema Security allgemein schon sehr früh an und fragen uns, was passiert, wenn es zum Beispiel keinen Strom oder kein Wasser mehr gibt? Zu welchen Kaskadeneffekten führt das? In Folge des Tsunamis 2011 in Fukushima kam es beispielsweise zu Lieferengpässen, weil manche Bauteile knapp wurden oder nicht mehr verfügbar waren. Unsere Lehre daraus: Wir beziehen diese nun von verschiedenen Herstellern.
Was unsere IT-Security-Strategie betrifft, will ich nicht zu viel verraten. Aus meiner Sicht ist hier aber immer der Mensch das schwächste Glied in der Kette. Alles, was passiert, hat in aller Regel mit ihm zu tun. Viele Menschen agieren unüberlegt und denken nicht viel nach, wenn sie zum Beispiel eine seltsame E-Mail erhalten und deren Anhänge bedenkenlos öffnen oder ominösen Links folgen. Daher gilt es die Mitarbeitenden zu sensibilisieren und sie auf Gefahren wie Social Engineering hinzuweisen. Wichtig ist es aber auch, sie mehr in Verantwortung zu nehmen. Bei uns müssen Mitarbeitende beispielsweise Fremde, die sie ohne Batch im Gebäude antreffen, ansprechen. Viele Angreifer gelangen aufgrund von Gleichgültigkeit sehr einfach ins System und richten dann von innen heraus grossen Schaden an.
[...]
Weiterlesen im Printmagazin (online verfügbar): Technik und Wissen, Ausgabe 001, Interview IT-Security mit Pieter de Koning
Impressum
Textquelle: Synopsys Software Integrity Group
Bildquelle: Synopsys Software Integrity Group
Publiziert von Technik und Wissen
Informationen
Synopsys Software Integrity Group
synopsys.com/software-integrity.html
Weitere Artikel
Veröffentlicht am: