Von unserem Gastautor Pavel Goldman-Kalaydin, Head of Artificial Intelligence and Machine Learning bei Sumsub

[datensicherheit.de, 14.10.2025] Die Zahlen sprechen eine eindeutige Sprache: Laut des Sumsub Identity Fraud Reports machten Deepfake-basierte Betrugsfälle bereits 2024 sieben Prozent aller weltweiten Betrugsversuche aus, was einer Vervierfachung innerhalb nur eines Jahres entspricht. Deutschland erlebt dabei eine besonders dramatische Entwicklung, wie Daten aus dem ersten Quartal 2025 zeigen. Hierzulande explodierten die Deepfake-Betrugsversuche um erschreckende 1.100 Prozent gegenüber dem Vorjahreszeitraum.

Pavel Goldman-Kalaydin, Head of Artificial Intelligence and Machine Learning bei Sumsub, Bild: Sumsub

Wenn Technologie zur perfekten Illusion wird

Hinter diesen Zahlen verbirgt sich eine technologische Revolution für Betrüger. Moderne KI-Systeme – von Generative Adversarial Networks bis hin zu Diffusion Models – können mittlerweile Videos, Bilder und Audioaufnahmen erzeugen, die von der Realität praktisch nicht zu unterscheiden sind. Sie analysieren vorhandenes Material, extrahieren charakteristische Muster und erschaffen daraus völlig neue, aber scheinbar authentische Inhalte.

Das Resultat sind Fälschungen von erschreckender Perfektion. Gesichtsausdrücke, Stimmfarbe und sogar individuelle Sprechgewohnheiten werden so präzise nachgeahmt, dass selbst nahestehende Personen getäuscht werden. Der spektakuläre Fall aus dem Jahr 2024 macht das Ausmaß deutlich. Damals überwies ein Angestellter 25 Millionen US-Dollar an Betrüger, nachdem er in einer Videokonferenz mit seinem vermeintlichen CEO entsprechende Anweisungen erhalten hatte.

Synthetische Identitäten: Der unsichtbare Diebstahl

Parallel zu Deepfakes entwickelt sich mit gefälschten Identitätsdokumenten eine weitere Bedrohungsdimension. Deutschland steht, mit einem Anstieg von 567 Prozent bei synthetischen Ausweisdokumenten, laut Daten von Sumsub europaweit an der Spitze eines beunruhigenden Trends. Diese Fälschungen kombinieren geschickt gestohlene, authentische Daten mit KI-generierten Elementen und schaffen so Identitäten, die in herkömmlichen Prüfverfahren als echt durchgehen.

Die gesellschaftlichen Auswirkungen reichen weit über einzelne Betrugsdelikte hinaus. Wenn KI-generierte Inhalte in sozialen Medien kursieren, entstehen neue Formen der Desinformation. Gefälschte Aussagen von Politikern oder anderen öffentlichen Personen können demokratische Prozesse beeinflussen und das Vertrauen in authentische Informationen untergraben.

Verteidigungsstrategien für die digitale Ära

Unternehmen sind diesem Trend jedoch nicht schutzlos ausgeliefert. Ein effektiver Schutz basiert auf einem mehrschichtigen Ansatz, der technologische Innovation mit organisatorischen Vorsichtsmaßnahmen verbindet.

Moderne KI-basierte Erkennungssysteme können Deepfakes anhand subtiler Bildunregelmäßigkeiten und Tonartefakte identifizieren und das oft zuverlässiger als das menschliche Auge. Liveness-Detection-Technologien unterscheiden zwischen echten Gesichtern und digitalen Nachbildungen, während Behavioral Analytics ungewöhnliche Nutzeraktivitäten aufspürt. Besonders wertvoll ist die Fraud Network Detection, die zusammenhängende Betrugsmuster erkennt und kriminelle Netzwerke frühzeitig entlarvt.

Doch Technologie allein reicht nicht aus. Mitarbeiter müssen für die neuen Bedrohungen sensibilisiert werden. Verdächtige Kommunikation, etwa plötzliche Zahlungsaufforderungen per Video oder ungewöhnliche Anrufe, sollte grundsätzlich über einen zweiten Kanal verifiziert werden. Zusätzliche Genehmigungsverfahren bei größeren Transaktionen schaffen weitere Sicherheitsbarrieren.

Ermittlungsbehörden rüsten auf

Auch die Strafverfolgung passt sich an die neuen Herausforderungen an. Internationale Organisationen wie Interpol entwickeln spezialisierte forensische Methoden für das digitale Zeitalter. Dazu gehören die Analyse von Metadaten zur Aufdeckung von Manipulationshistorien, Reverse Image Searching zur Identifikation von Originalquellen und linguistische Analysen zur Erkennung von Textanomalien.

Besonders vielversprechend sind KI-gestützte Erkennungsmodelle, die visuelle und akustische Unregelmäßigkeiten aufspüren, die für Menschen unsichtbar bleiben. Explainable AI-Systeme gehen noch einen Schritt weiter: Sie erklären nicht nur, dass eine Datei manipuliert wurde, sondern auch warum.

Rechtliche Herausforderungen und der „Liar’s Dividend“

Trotz technologischer Fortschritte bleiben rechtliche Hürden bestehen. Die Gesetzgebung hinkt der rasanten technischen Entwicklung hinterher, und Deepfake-Opfer haben oft Schwierigkeiten, sich zu wehren. Besonders problematisch wird das Phänomen des „Liar’s Dividend“. Die bloße Existenz von Deepfake-Technologie könnte dazu führen, dass selbst authentisches Beweismaterial als potenzielle Fälschung diskreditiert wird.

Der Weg nach vorn

Die Bekämpfung KI-basierter Bedrohungen erfordert eine koordinierte Antwort auf mehreren Ebenen. Strafverfolgungsbehörden müssen kontinuierlich ihre technischen Fähigkeiten ausbauen und in die Ausbildung ihrer Mitarbeiter investieren. Gleichzeitig ist eine verstärkte Kooperation zwischen öffentlichen Institutionen, Wissenschaft und Privatwirtschaft unerlässlich.

Private Unternehmen, die täglich Deepfakes und gefälschte Dokumente analysieren, verfügen oft über fortgeschrittenere Erkennungstechnologien als staatliche Stellen. Diese Expertise muss gezielt genutzt werden, um umfassende Abwehrstrategien zu entwickeln.

Letztendlich geht es um mehr als nur technologische Lösungen. Gesellschaftliches Bewusstsein für die Risiken synthetischer Medien, klare regulatorische Rahmenbedingungen und eine kontinuierliche Anpassung an neue Bedrohungen sind gleichermaßen wichtig. Nur durch einen ganzheitlichen Ansatz können wir die Vorteile der KI-Revolution nutzen, ohne ihren Missbrauch zu ermöglichen.

Die Zukunft wird zeigen, ob wir als Gesellschaft schnell genug lernen, mit diesen neuen Realitäten umzugehen oder ob uns die Technologie einen Schritt voraus bleibt.

Über den Autor

Pavel Goldman-Kalaydin ist Head of Artificial Intelligence and Machine Learning bei Sumsub, einer globaren Full-Cycle-Verifizierungsplattform. Mit einem umfassenden Hintergrund in der Softwareentwicklung ist Pavel seit über zehn Jahren im Bereich Künstliche Intelligenz und Machine Learning tätig. Bei Sumsub leitet er die Entwicklung von Technologien zur Prävention digitaler Betrugsversuche.

Weitere Informationen zum Thema:

datensicherheit.de, 23.09.2025
Bildungswesen im KI-Visier Cyberkrimineller: Klassenzimmern droht Rückfall in Offline-Modus

datensicherheit.de, 10.07.2025
KI droht zur größten Cyberbedrohung zu werden

[datensicherheit.de, 31.07.2025] IKT-Dienstleistungs-Lieferketten sind oft sehr komplex – eine Herausforderung für Finanzunternehmen, die unter DORA fallen, da eine adäquate Risikokontrolle anspruchsvoll ist. Aus diesem Grund legt die EU-Kommission auf knapp sieben Seiten in der sogenannten „delegierten Verordnung über technische Regulierungsstandards für die Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen” – kurz RTS – dar, wie Finanzunternehmen mit ihren kritischen IKT-Dienstleistern und Unterdienstleistern umgehen müssen. Das am 2. Juli 2025 im Amtsblatt der Compliance AuditsEuropäischen Union veröffentlichte Dokument ist seit dem 22. Juli voll inkraftgetreten.
„Die Europäische Kommission erkennt an, dass Dienstleistungsketten im Bereich IKT schwer durchschaubar sein können. Für ein robustes Cyber-Resilienzniveau im Finanzsektor ist es jedoch unerlässlich, auch ausgelagerte kritische Funktionen und deren Risiken zu verstehen und zu steuern“, erklärt Richard Skalt, Advocacy Manager Cybersecurity bei TÜV SÜD. „Die RTS bieten hierfür einen verbindlichen Rahmen, der durch Best Practices ergänzt werden sollte, insbesondere wenn Transparenz und vertragliche Klarheit in Lieferketten fehlen. TÜV SÜD unterstützt Finanzunternehmen bei der Risikobeurteilung und IKT-Dienstleister bei der Nachweiserbringung.“

Vorgaben für den durch DORA regulierten Bereich

Die wichtigsten Vorgaben im Überblick:

• Vertragliche Regelungen: Verträge spielen eine zentrale Rolle in der Umsetzung der DORA-Anforderungen. So sollten vertragliche Vereinbarungen zwischen Finanzunternehmen und IKT-Drittdienstleistern insbesondere Regelungen zur Planung und Genehmigung von Unterauftragsvereinbarungen, zur Durchführung von Risikobewertungen sowie zur Erfüllung der Sorgfaltspflichten enthalten. Zudem empfielt es sich vertraglich festzulegen, ob entweder der weitervergebene Dienstleister oder das Finanzunternehmen selbst, die Fachkenntnisse, die Organisationsstruktur und das Risikomanagement potenzieller Unterauftragnehmer bewerten kann.
• Leistungsüberwachung und Informationsweitergabe: Um Sicherheitsrisiken in mehrstufigen IT-Lieferketten frühzeitig zu erkennen und zu minimieren, sollten Finanzunternehmen Vorkehrungen treffen, um über alle relevanten Änderungen rechtzeitig informiert zu werden bevor diese wirksam werden. Das gilt besonders bei neuen Untervergaben oder wesentlicher Anpassung bestehender Vereinbarungen. Stellt sich dabei heraus, dass diese Änderungen die Risikotoleranz des Unternehmens überschreiten, sollten Unternehmen das Recht auf Kündigung oder Anpassung des Vertrages sichern.
• Risikobasierte Analyse und Steuerung: Wer kritische IT-Dienstleistungen auslagert, muss über ausreichende Fachkenntnisse, Ressourcen und interne Prozesse verfügen, um damit verbundene Risiken wirksam zu überwachen. Dazu zählen etwa Maßnahmen zur Informationssicherheit, Notfallmanagement und interne Kontrollmechanismen. Unternehmen müssen außerdem bewerten, welche Auswirkungen ein Ausfall eines IT- Unterauftragnehmers sowohl auf ihre digitale Stabilität als auch auf ihre finanzielle Lage hätte. Zudem ist zu prüfen, ob der Standort des Dienstleisters oder seiner Muttergesellschaft zusätzliche Risiken birgt, die in die Bewertung einbezogen werden sollten.
• Bedingungen für Untervergaben: IT-Drittdienstleister, die Aufträge weitervergeben, sind angehalten, die damit verbundenen Risikensorgfältig zu bewerten. Dazu gehört insbesondere eine Analyse der Standortbedingungen, der Konzernstrukturen sowie der tatsächlichen Erbringungsorte der Leistungen. Auch wenn nicht alle Aspekte zwingend vertraglich geregelt werden müssen, empfiehlt es sich, Klarheit über diese Risiken herzustellen und gegebenenfalls vertraglich abzusichern.

Zukünftig werden die zuständigen Aufsichtsbehörden die Prüfung und Bewertung von kritischen Drittanbietern unter anderem durch Risikoanalysen und Vor-Ort-Prüfungen koordinieren. Orientierung bietet der ebenfalls kürzlich veröffentlichte DORA Oversight Guide der Europäischen Aufsichtsbehörden. Das Dokument liefert eine praxisorientierte Übersicht über das Aufsichtsverfahren für kritische IKT-Drittdienstleister im Rahmen des Digital Operational Resilience Act (DORA).

Risk Assessments und Compliance Audits

Finanzunternehmen, die vor dem Hintergrund der neuesten EU-Veröffentlichungen ihre bestehenden Verträge und bisher ergriffenen Maßnahmen von einem neutralen Dritten überprüfen lassen möchten, können mithilfe von Compliance Audits durch TÜV SÜD mögliche Lücken in der Umsetzung der Verordnung aufdecken und einen klaren Fahrplan zu deren Schließung entwickeln.

„Wir helfen sowohl bei der Identifikation von Umsetzungs- oder Dokumentationslücken als auch bei der Entwicklung eines praxisnahen Maßnahmenplans“, so Skalt. „Auch IKT-Dienstleister von Finanzunternehmen, die künftig im Rahmen ihrer vertraglichen Pflichten gegenüber ihren Auftraggebern die Einhaltung bestimmter Vorgaben nachweisen müssen, kann TÜV SÜD mit Risk Assessments unterstützen.“

Weitere Informationen zum Thema:

TÜV SÜD
Digital Operational Resilience Act (DORA)

datensicherheit.de, 21.07.2025
DORA Oversight Guide publiziert: Finanzunternehmen sollten sich dringend mit Verschlüsselung und Schlüsselhoheit befassen

[datensicherheit.de, 31.07.2025] Cyberkriminelle entwickeln ihre Methoden stetig weiter. So nutzen sie in einer neuen Angriffswelle gezielt gefälschte Microsoft-OAuth-Anwendungen, um Zugangsdaten von Unternehmen zu stehlen und dabei selbst fortschrittliche Sicherheitsmechanismen wie die Multifaktor-Authentifizierung (MFA) zu umgehen. Das haben IT-Sicherheits-Experten von Proofpoint festgestellt. Die seit Anfang 2025 aktiven Kampagnen richten sich gegen Organisationen weltweit, unabhängig von deren Branche.

Attacken nutzen raffinierte Täuschung zur Überwindung von MFA

Im Zentrum dieser Attacken steht eine raffinierte Täuschung: Die Kriminellen versenden E-Mails, die scheinbar von vertrauenswürdigen Geschäftspartnern stammen. Die Nachrichten verwenden zumeist Themen wie Angebotsanfragen oder einen Vertragsabschluss als Köder. Hinter den in den Nachrichten enthaltenen Links verbirgt sich jedoch keine legitime Anwendung, sondern eine täuschend echt gestaltete Microsoft-OAuth-Seite. Hier werden die Opfer aufgefordert, einer vermeintlichen App – oft unter dem Namen bekannter Unternehmen wie Adobe, DocuSign oder RingCentral – bestimmte Zugriffsrechte zu gewähren. Die angeforderten Berechtigungen erscheinen harmlos. Doch unabhängig davon, ob der Nutzer zustimmt oder ablehnt, erfolgt stets eine Weiterleitung auf eine gefälschte Microsoft-Anmeldeseite.

Umgehung von MFA: Ein Köder mit enthaltener Phishing-URL, bei dem Adobe imitiert wird, Bild: proofpoint

Dabei kommt eine sogenannte „Man-in-the-Middle-Technik“ zum Einsatz, bei der spezialisierte Phishing-Kits wie „Tycoon“ als Vermittler zwischen Nutzer und der echten Microsoft-Seite agieren. So gelingt es den Angreifern, sowohl die Zugangsdaten als auch die MFA-Tokens abzufangen und in Echtzeit zu missbrauchen. Selbst Organisationen, die moderne Authentifizierungsverfahren einsetzen, sind vor diesen Angriffen nicht sicher. Nach erfolgreicher Kompromittierung können die Täter weitreichende Aktionen durchführen: vom Zugriff auf vertrauliche Daten über die Installation von Schadsoftware bis hin zur Durchführung zusätzlicher Phishing-Kampagnen mittels des kompromittierten Kontos.

Proofpoint hat nach eigenen Angaben diese Angriffsmethode in verschiedenen groß angelegten Kampagnen nachgewiesen. Auffällig ist, dass die Cyberkriminellen ihre Köder flexibel anpassen und gezielt auf bestimmte Branchen oder genutzte Softwarelösungen zuschneiden. Die Analyse der Cloud-Infrastruktur ergab, dass mehr als zwei Dutzend bösartige Anwendungen mit ähnlichen Merkmalen im Umlauf sind.

Besonders bemerkenswert ist die technische Raffinesse der eingesetzten Tools. So wird das Tycoon-Phishing-Kit etwa als Service im Cybercrime-Untergrund angeboten. Es ermöglicht das Abgreifen von Anmeldedaten und Sitzungs-Cookies in Echtzeit – ein effektiver Weg, MFA-Schutzmechanismen auszuhebeln. Im Jahr 2025 wurdem fast 3.000 versuchte Kompromittierungen von Accounts in über 900 Microsoft-365-Umgebungen beobachtet, wobei die Erfolgsrate der Angreifer bei über 50 Prozent lag. Zudem passen die Täter ihre Infrastruktur laufend an, um einer Entdeckung und Blockaden zu entgehen. So haben Cyberkriminelle zuletzt von russischen Proxy-Diensten zu US-amerikanischen Hosting-Anbietern gewechselt.

Microsoft verschäft Standard-Einstellungen für Drittanbieter-Apps

Microsoft reagiert auf diese Entwicklung und verschärft seit Juli 2025 die Standard-Einstellungen für Drittanbieter-Apps. Dennoch bleibt die Gefahr bestehen, denn die Angreifer entwickeln ihre Methoden kontinuierlich weiter. Unternehmen sind daher gefordert, ihre Schutzmaßnahmen zu verstärken, Mitarbeiter zu sensibilisieren und auf moderne Authentifizierungslösungen zu setzen.

Weitere Informationen zum Thema:

datensicherheit.de, 23.05.2023
Cyber-Betrug in Echtzeit: Kriminelles Umgehen der Multifaktor-Authentifizierung

proofpoint
Microsoft OAuth App Impersonation Campaign Leads to MFA Phishing

Von unserem Gastautor Tim Pfaelzer, Senior Vice President & General EMEA Manager bei Veeam

[datensicherheit.de, 30.07.2025] Viel zu lange haben Führungskräfte die Datensicherheit ihrer Unternehmen aus der Ferne betrachtet und sich auf theoretische Pläne und eine -Checklisten-Mentalität verlassen. Diese „2D-Perspektive“ – bei der technische Maßnahmen einfach auf einer To-Do-Liste abgehakt werden – wird der tatsächlichen, organisationsübergreifenden Komplexität von Cyber-Bedrohungen nicht gerecht. Insbesondere Ransomware lässt sich auf dem Papier nicht vollständig simulieren.

Falsche Gefühl der Sicherheit

Diese Mentalität hat zu einem gefährlichen falschen Gefühl der Sicherheit geführt. Studien zeigen, dass mehr als 30 % der Unternehmen glauben, sie seien widerstandsfähiger als sie tatsächlich sind. Sie mögen zwar über die richtigen Komponenten verfügen, aber wenn diese Elemente nicht in einem rigoros getesteten, realitätsnahen Notfallplan zusammenarbeiten, laufen sie Gefahr, im Falle einer echten Krise angreifbar zu sein.

Tim Pfaelzer, Senior Vice President & General EMEA Manager bei Veeam, Bild: Veeam

Angesichts der Tatsache, dass 69 % der Unternehmen im vergangenen Jahr mit einer Ransomware-Bedrohung konfrontiert waren, ist die Zeit des blinden Vertrauens vorbei. Führungskräfte dürfen sich nichts vormachen und müssen sinnvolle, proaktive Maßnahmen ergreifen.

Falsches Vertrauen, echte Konsequenzen

Die Widerstandsfähigkeit von Daten kann trügerisch komplex sein und Lücken bleiben oft verborgen, bis es zu spät ist. Viele Unternehmen tappen in die Falle, dass sie glauben, sie seien vorbereitet, nur um dann bei einem Angriff das Gegenteil herauszufinden. Von den Unternehmen, die im letzten Jahr Opfer eines Ransomware-Angriffs wurden, waren 69 % der Meinung, dass sie vorher gut vorbereitet waren. Nachdem sie einen Angriff erlitten hatten, sank das Vertrauen in die Vorbereitung und Maßnahmen um mehr als 20 %.

Obwohl die Mehrheit der Unternehmen über ein Ransomware-Playbook verfügte, enthielt weniger als die Hälfte dieser wesentliche technische Komponenten wie Sicherungskopien und Pläne zur Eindämmung oder Isolierung der Schadsoftware im Ernstfall. Oberflächlich betrachtet schien alles in Ordnung zu sein, doch bei näherer Betrachtung zeigten sich erhebliche Schwachstellen.

Die Folgen von solch falschem Vertrauen sind schwerwiegend: Nur 10,5 % der Unternehmen waren im vergangenen Jahr in der Lage, sich nach einem Ransomware-Angriff erfolgreich zu erholen, was zu erheblichen geschäftlichen und betrieblichen Beeinträchtigungen führte. Der jüngste Ransomware-Vorfall bei M&S ist ein viel beachtetes Beispiel, das nicht nur zu Serviceausfällen für die Kunden, sondern auch zu einem geschätzten Verlust von etwa 346 Millionen Euro (300 Millionen Pfund) führte.

Datensicherheit – Die Bedrohungslandschaft entwickelt sich stetig weiter

Einige Unternehmen haben vielleicht gehofft, dass die Zerschlagung großer Ransomware-Gruppen wie BlackCat und LockBit durch die Strafverfolgungsbehörden die Bedrohungslandschaft überschaubarer machen würde. In Wirklichkeit hat die Gefahr jedoch nicht abgenommen, sondern sich weiterentwickelt. Kleinere Gruppen und „einsame Wölfe“ haben die Lücke schnell gefüllt und neue Methoden und Taktiken entwickelt, die die Widerstandsfähigkeit von Unternehmen weiter herausfordern.

Von „2D“ zu „3D“: Der Weg zu echter Resilienz

Unabhängig davon, wie zuversichtlich ein Unternehmen in Bezug auf die Resilienz der eigenen Daten sein mag, ist eine gründliche, kritische Prüfung des eigenen Ransomware-Playbooks unerlässlich. Man kann nicht mehr davon ausgehen, dass das, was auf dem Papier funktioniert, auch unter realen Bedingungen Bestand hat. Führungskräfte müssen von einer flachen, 2D-Perspektive zu einem dynamischen 3D-Ansatz übergehen.

Beginnen sollte man dabei mit dem Gesamtüberblick: Es sollte klar sein, welche Daten besonders schützenswert sind und wo sie sich befinden. Wichtige Ausfallsicherheitsmaßnahmen wie eine vordefinierte Befehlskette und regelmäßige Überprüfungen der Backups sollten vorhanden sein. Darüber hinaus ist es essenziell, dass Sicherheitsteams über die neuesten Angriffstrends informiert sind. Da 89 % der Unternehmen berichten, dass ihre Backup-Repositories gezielt von Bedrohungsakteuren angegriffen wurden, ist die Sicherstellung von Redundanz für Backups heute von entscheidender Bedeutung.

Die Behebung dieser Schwachstellen ist allerdings nur der Anfang. Unternehmen müssen ihre Notfallpläne mit Simulationen unter realen Bedingungen testen. Es reicht nicht aus, sich auf Plan A zu verlassen – auch Pläne B, C, D müssen getestet werden, einschließlich Szenarien, in denen wichtige Mitarbeiter nicht verfügbar sind oder mehrere Krisen gleichzeitig auftreten. Dieser Prozess deckt oft blinde Flecken auf, die in einem theoretischen Plan unbemerkt bleiben würden.

Aus Zuversicht wird Sicherheit

Der Einsatz von Frameworks wie dem Veeam Data Resilience Maturity Model (DRMM), das in Zusammenarbeit mit McKinsey entwickelt wurde, kann Unternehmen dabei helfen, nicht mehr blind zu vertrauen. Die Ergebnisse zeigen, dass Unternehmen mit einem hohen Grad an Data Maturity sich siebenmal schneller von Ransomware-Vorfällen erholen als ihre weniger resilienten Konkurrenten und dreimal weniger Ausfallzeiten haben.

Indem Unternehmen die Kontrolle über ihre Datensicherheit übernehmen – durch rigorose Tests, kontinuierliche Optimierung und gemeinsames Fachwissen – können sie blindes Vertrauen durch bewährte Kompetenzen ersetzen. In der heutigen Bedrohungslandschaft ist es nicht die Frage „ob“ Ihr Unternehmen zum Ziel wird, sondern „wann“. Der beste Zeitpunkt für die Vorbereitung ist jetzt – denn bei der Datenresilienz entscheidet ausschließlich echte Einsatzbereitschaft über Erfolg oder Misserfolg.

Weitere Informationen zum Thema:

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber

[datensicherheit.de, 16.07.2025] Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) sind am 15.07.2025 in einer international abgestimmten Aktion gemeinsam mit Strafverfolgungsbehörden aus den USA, den Niederlanden, der Schweiz, Schweden, Frankreich, Spanien und Italien, unterstützt durch Europol und Eurojust sowie unter Beteiligung weiterer europäischer Länder, gegen Akteure und Infrastruktur der hacktivistischen Gruppierung „NoName057(16)“ vorgegangen. Die maßgeblich durch die ZIT und das BKA koordinierten Maßnahmen waren Teil der internationalen Polizeioperation „Eastwood“.

Botnetz abgeschaltet

Durch die international koordinierten Maßnahmen konnte ein aus mehreren Hundert weltweit verteilten Servern bestehendes Botnetz abgeschaltet werden, das für gezielte digitale Überlastungsangriffe auf Webpräsenzen (sog. „DDoS“-Angriffe) eingesetzt wurde.

Haftbefehle erwirkt

In Deutschland wurden durch ZIT und BKA sechs Haftbefehle gegen russische Staatsangehörige bzw. in der Russischen Föderation wohnhafte Beschuldigte erwirkt. Zwei davon werden beschuldigt, die Hauptverantwortlichen hinter „NoName057(16)“ zu sein. Darüber hinaus wurde ein weiterer Haftbefehl durch die spanischen Behörden erlassen. Nach allen Beschuldigten wird international und teils öffentlich gefahndet.

Außerdem wurden internationale Durchsuchungsmaßnahmen an insgesamt 24 Objekten von mutmaßlichen Unterstützern der Gruppierung durchgeführt, darunter ein Objekt in Berlin und zwei in Bayern. Umfangreich sichergestellte Beweismittel befinden sich derzeit in der Auswertung.

Ergänzend wurden mehr als 1.000 bislang nicht abschließend identifizierte Unterstützer der hacktivistischen Gruppierung mittels des genutzten Messengerdienstes Telegram über die behördlichen Maßnahmen informiert und auf die Strafbarkeit der Handlungen nach deutschem Recht aufmerksam gemacht.

Langwierige Ermittlungen im Vorfeld

Den Maßnahmen sind langwierige und aufwändige Ermittlungen gegen „NoName057(16)“ vorausgegangen. In Deutschland wird durch ZIT und BKA gegen die Rädelsführer, Mitglieder und Unterstützer der Gruppierung u. a. wegen des Verdachts der Bildung einer kriminellen Vereinigung im Ausland zum Zwecke der Computersabotage ermittelt.

BKA-Präsident Holger Münch: „Organisierte DDoS-Kampagnen können gravierende Folgen haben, auch für das Sicherheitsgefühl der Bevölkerung. Sie müssen daher konsequent strafrechtlich verfolgt und wo möglich unterbunden werden. Unsere international abgestimmten Maßnahmen zeigen, dass wir gemeinsam mit unseren Partnern in der Lage sind, Angriffe im digitalen Raum aufzuklären und der gestiegen Bedrohungslage im Cyberraum polizeiliche Maßnahmen entgegenzusetzen.“

ZIT-Leiter Oberstaatsanwalt Dr. Benjamin Krause: „Die Verantwortlichen, Mitglieder und Unterstützer der Gruppierung verfolgen wir als das, was sie sind: als kriminelle Vereinigung. Durch diesen Ansatz ist es nicht mehr notwendig, bei jedem einzelnen Schadensfall mit neuen Ermittlungen zu beginnen. Zudem ermöglicht uns die internationale Kooperation der Strafverfolgungsbehörden besonders effektiv und schlagkräftig zu agieren.“

Erläuterungen zu „NoName057(16)“:

Bei „NoName057(16)“ handelt es sich um ein ideologisch geprägtes Hacktivisten-Kollektiv, welches sich als Unterstützer der Russischen Föderation positioniert hat und im Kontext des Russland-Ukraine-Konflikts Cyberangriffe in Form von sogenannten Distributed Denial of Service (DDoS)-Angriffen durchführt. Bei DDoS-Angriffen handelt es sich um Überlastungsangriffe auf Webpräsenzen und Online-Services mit dem Ziel, dass diese nicht mehr aufrufbar sind.

Durch die Nutzung des Messengerdienstes Telegram hat „NoName057(16)“ seit Beginn des Ukraine-Krieges öffentliche Aufmerksamkeit erregt und Unterstützer rekrutiert. Den Unterstützern wurde der Download einer speziellen Software, der sogenannten „DDoSia-Software“ angeboten, mittels derer sie sich dann unter Nutzung eigener Ressourcen an DDoS-Angriffen beteiligen konnten. Neben dem Unterstützernetzwerk, das nach Einschätzung der
Strafverfolgungsbehörden mutmaßlich mehr als 4.000 Nutzer umfasst, konnte die Gruppierung außerdem ein eigenes Botnetz aus mehreren hundert Servern aufbauen, welches zur weiteren Erhöhung der Angriffslast genutzt wurde.

Hacker-Gruppe reagierte auf politische Ereignisse

Bei der Auswahl der Angriffsziele reagierte „NoName057(16)“ jeweils auf politische Ereignisse und proklamierte diese entsprechend in Telegram-Gruppen. So war Deutschland seit Beginn der Ermittlungen im November 2023 Ziel von insgesamt 14 Angriffswellen, die teilweise über mehrere Tage andauerten und in Summe ca. 250 Unternehmen und Einrichtungen betrafen, darunter Unternehmen der Kritischen Infrastruktur (u. a. Rüstungsbetriebe, Stromversorger, Verkehrsbetriebe), öffentliche Einrichtungen und Behörden. Vergleichbare Angriffe waren gegen Infrastrukturen anderer Staaten festzustellen, wie beispielsweise bei der Europawahl oder zuletzt anlässlich des Nato-Gipfels in den Niederlanden.

Das Hauptziel der Angriffe auf deutsche Ziele bestand nach Angaben des BKA darin, mediale Aufmerksamkeit zu erreichen und dadurch Einfluss auf politische und/oder gesellschaftliche Entscheidungen in Deutschland zu nehmen. „NoName057(16)“ gilt als eine relevante hacktivistische Gruppierung, deren Aktionen darauf abzielen, das gesamtgesellschaftliche und politische Gefüge der Bundesrepublik nachhaltig zu stören oder zu beeinflussen.

Weitere Informationen zum Thema:

datensicherheit.de, 16.06.2025
BKA-Meldung zu Archetyp Market: Darknet-Handelsplattform abgeschaltet

[datensicherheit.de, 09.07.2025] DigiCert, Inc., Anbieter für Digital-Trust-Lösungen, hat in einer neuen Umfrage die wirtschaftlichen Auswirkungen mangelnder Zertifikatsprozesse und damit schlecht verwalteter, digitaler Zertifikate im Unternehmen untersucht. Im vergangenen Jahr verzeichneten demnach fast die Hälfte aller befragten Organisationen schmerzhafte Ausfallzeiten aufgrund von zertifikatsbezogenen Vorfällen, die zu erheblichen finanziellen Kosten, Betriebsstörungen und Reputationsschäden führten. Eine Modernisierung und Automatisierung der Unternehmensabläufe ist unverzichtbar.

Organisationen leiden unter manuellen Abläufen

Organisationen skalieren ihre digitalen Prozesse, leiden aber unter manuellen Abläufen, die mit dem Volumen und der damit verbundenen Komplexität digitaler Zertifikate überfordert sind. Das führt zu kostspieligen Ausfallzeiten, Compliance-Fehlern und steigenden Sicherheitsrisiken. Gesetzliche Regularien wie HIPAA, DORA, PCI DSS und bevorstehende Änderungen des CA/B-Forums erhöhen die Anforderungen für ein professionelles Zertifikatsmanagement zusätzlich. Ab 2029 begrenzen Browserhersteller die Gültigkeit für Zertifikate auf 47 Tage. Ohnehin steigt der manuelle Arbeitsaufwand, weil bisherige PKI-Konfigurationen durch quantensichere Algorithmen ersetzt werden müssen.

DigiCert-Umfrage: Folgen mangelnder Zertifikatsprozesse für Unternehmen, Bild: DigiCert

PKI-Zertifikate sind das unsichtbare Rückgrat digitaler Strukturen weltweit

„PKI-Zertifikate sind das unsichtbare Rückgrat digitaler Strukturen weltweit. Werden sie unzureichend verwaltet, wirkt sich das auf ein Unternehmen insgesamt aus“, sagte Ashley Stevenson, Vice President of Product and Solutions Marketing bei DigiCert. „Die Umfrageergebnisse verdeutlichen, dass in modernen Umgebungen manuelle Abläufe bei Umfang, Geschwindigkeit und Kontrolle nicht mehr Schritt halten können. Unternehmen benötigen größtmögliche Automatisierung und Transparenz, um Risiken reduzieren, Compliance-Anforderungen einhalten und das Kundenvertrauen stärken zu können.“

Ausfallzeiten und Verluste: Die versteckten Kosten durch mangelnde Zertifikatsprozesse

Trotz ihrer zentralen Bedeutung werden digitale Zertifikate beim Schutz von Infrastruktur-, Kommunikations- und Identitätssicherheitsprozessen im Unternehmen häufig manuell oder über fragmentierte Tools verwaltet. Negative Folge: Fast die Hälfte der Befragten (45 Prozent) berichten, dass es im vergangenen Jahr zu Serviceausfällen aufgrund von zertifikatsbezogenen Vorfällen gekommen sei. Weitere 37,5 Prozent der Befragten führten die Ausfälle explizit auf abgelaufene Zertifikate zurück —die häufigste Ursache für Störungen in Unternehmensumgebungen insgesamt.

Beträchtliche Folgekosten entstehen

Die finanziellen Folgekosten waren beträchtlich: Jedes dritte Unternehmen (31 Prozent) berichtete von Verlusten zwischen 50.000 und 250.000 US-Dollar, wobei 18,5 Prozent sogar Schäden von mehr als 250.000 US-Dollar aufgrund von Problemen mit Zertifikaten verzeichneten. Auch die Auswirkungen auf betriebliche Prozesse bieten Anlass zur Sorge: Mehr als die Hälfte der Unternehmen war von Ausfallzeiten zwischen fünf und 24 Stunden betroffen, wobei die Betriebsstörungen in 15,4 Prozent der Fälle sogar 25 Stunden oder länger dauerten.

Steigende Komplexität, sinkende Visibilität

Das Volumen digitaler Zertifikate steigt branchenübergreifend und 80 Prozent der Befragten erwarten eine weitere Zunahme in den nächsten Monaten. Trotzdem sind viele Unternehmen weiterhin unzureichend darauf vorbereitet. Fast 60 Prozent der befragten Verantwortlichen verwalten zwischen 1.000 und 10.000 Zertifikate, wobei sich mehr als die Hälfte (56,6 Prozent) besorgt zeigte, ob sich das Ablaufdatum von Zertifikaten nachverfolgen lässt. Ohne eine Automatisierung sind menschliches Versagen und Fehlkonfigurationen betroffener IT-Systeme uAufgabe der Geschäftsführungsebenenvermeidlich.

Aufgabe auf der Geschäftsführungsebene

Die einst als Thematik für die Backend-IT eingestuften Arbeiten erweisen sich mittlerweile als Aufgabe auf der Geschäftsführungsebene. CISOs und andere hochrangige Sicherheitsverantwortliche benennen demzufolge das Kundenvertrauen (62,2 Prozent), die Einhaltung gesetzlicher Vorschriften (61,7 Prozent) und den Ablauf von Zertifikaten (56,6 Prozent) als ihre größten Sorgen beim Zertifikats-Management. Das unterstreicht die wachsende Bedeutung der Verwaltung von Zertifikaten zur Aufrechterhaltung der betrieblichen Ausfallsicherheit.

Automatisierung und Agilität mit höchster Priorität

Im Rahmen der Umfrage nennen 51 Prozent der Befragten automatisiertes Certificate Lifecycle Management als oberste Priorität für 2025 und die Standardisierung von IoT-Prozessen als zweitwichtigste, strategische Aufgabe (49,5 Prozent). Erfolgreiche Unternehmen erkennen demzufolge digitales Vertrauen als geschäftliche Notwendigkeit und nicht als untergeordnete Aufgabe.

Weitere Informationen zum Thema:

DigiCert
„Automating TLS Certificate Renewals“

datensicherheit.de, 19.03.2025
Online-Zertifikate: 18 Prozent bergen Sicherheitsrisiken

[datensicherheit.de, 01.07.2025] Unternehmen in Deutschland bevorzugen Rechenzentren in der Europäischen Union für die Speicherung und Verarbeitung ihrer Daten. Laut der aktuellen „TÜV Cybersecurity Studie 2025“ speichern fast vier von fünf Unternehmen (79 Prozent) mit mindestens zehn Mitarbeitern ihre Daten ausschließlich in Rechenzentren innerhalb der EU. Weitere 12 Prozent nutzen auch Server außerhalb Europas. Und immerhin 9 Prozent der befragten IT-Sicherheitsexperten wissen nicht, wo die Unternehmensdaten gespeichert werden. „In welcher Region Unternehmensdaten gespeichert werden, ist eine strategische Entscheidung mit weitreichenden Konsequenzen für Wettbewerbsfähigkeit und Sicherheit“, sagt Marc Fliehe, Bereichsleiter Digitalisierung und Bildung beim TÜV-Verband. „Politische Unsicherheiten, länderspezifische Datenschutzregelungen und unterschiedliche Sicherheitsstandards beeinflussen unmittelbar die Integrität, Vertraulichkeit und Verfügbarkeit unternehmenskritischer Informationen. Die Wahl der Speicherregion gehört daher heute ins unternehmerischen Risikomanagement.“

Datensouveränität als Bestandteil verantwortungsvoller Unternehmensführung

Sichere Daten sind heute kritisch für den Erfolg eines Unternehmens und damit auch ein Wettbewerbsfaktor. Deshalb ist es entscheidend, nicht nur zu wissen, wo Informationen gespeichert sind, sondern auch, unter welchen Bedingungen dies geschieht. „Unternehmen, die ihre IT-Infrastruktur aktiv steuern, stärken ihre digitale Souveränität und schützen sich vor Abhängigkeiten und ungewollten Zugriffen“, betont Fliehe. Digitale Souveränität bedeute Kontrolle über Datenflüsse, Transparenz bei der Verarbeitung und Verantwortung bei der Auswahl von IT-Dienstleistern. Fliehe „Es geht nicht um Abschottung, sondern um verlässliche Gestaltungsspielräume. Es geht darum, selbst entscheiden zu können, welche Dienste genutzt werden. Es ist wichtig, Risiken zu bewerten, Alternativen zu kennen und passende Anbieter auszuwählen. Vorhandenen Zertifizierungen, die die Einhaltung bestimmter Standards dokumentieren, erleichtern diesen Auswahlprozess enorm.“

Zwar gibt es Einsatzszenarien, in denen internationale Cloud-Dienste oder Rechenzentren außerhalb Europas Vorteile bieten – etwa durch spezielle Funktionen, hohe Rechenkapazitäten oder globale Integrationsfähigkeit. Doch gerade für sensible oder strategisch relevante Daten existieren heute leistungsfähige europäische Alternativen, die neben politischer Verlässlichkeit in der EU auch rechtliche Klarheit und ein hohes Maß an technischer Sicherheit bieten.

Ausbau europäischer Infrastrukturangebote notwendig

Aus Sicht des TÜV-Verbands ist eine robuste digitale Infrastruktur in europäischer Hand nicht nice-to-have, sondern eine sicherheits- und wirtschaftspolitische Notwendigkeit. Angesichts globaler Spannungen, über die eigenen Landesgrenzen hinausreichende Gesetze wie dem US CLOUD Act oder dem US Foreign Intelligence Surveillance Act (FISA) und der Verwundbarkeit digitaler Systeme ist eine Stärkung der europäischen Digitalsouveränität notwendig. Damit Unternehmen echte Wahlfreiheit haben, braucht es den Ausbau zukunftsfähiger europäischer IT-Infrastrukturen – insbesondere in strategischen Bereichen wie Cloud-Technologien, Plattformdiensten oder Kommunikationsnetzen. Ziel muss es sein, den europäischen Datenraum technisch, wirtschaftlich und rechtlich zu stärken. „Eine resiliente digitale Infrastruktur ist ein Eckpfeiler für europäische Innovationsfähigkeit, Wirtschaftssicherheit und technische Souveränität“, sagt Fliehe. „Europa kann hier Vorreiter sein – nicht durch Abgrenzung, sondern durch Verlässlichkeit, Transparenz und Vertrauen.“

Weitere Informationen zum Thema:

TÜV Verband
TÜV Cybersecurity Studie 2025

[datensicherheit.de, 01.07.2025] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Katalog zur Qualitätssicherung von Trainingsdaten in KI-Anwendungen veröffentlicht. Ziel der Dokumentenreihe Qualitycriteria for AI Trainingsdata in AI Lifecycle (QUAIDAL) ist die systematische Überführung dieser abstrakten Qualitätsanforderungen in konkrete Bausteine, Maßnahmen und Metriken & Methoden. Diese strukturierte Vorgehensweise unterstützt nach Angaben der Behörde die gezielte Einhaltung regulatorischer Vorgaben und erhöht deren technische Nachvollziehbarkeit im Entwicklungsprozess von KI-Systemen.

BSI-Präsidentin Claudia Plattner: „Wir müssen sicherstellen, dass Anwendungen mit Künstlicher Intelligenz hohen Qualitätsanforderungen entsprechen. Nur so können wir vertrauenswürdige KI herstellen und nutzen. Das BSI bietet mit diesem Katalog eine ganz konkrete Hilfestellung, die an der Basis ansetzt.“

QUAIDAL besonders an Anbieter von Hochrisiko-KI-Systemen gerichtet

QUAIDAL richtet sich insbesondere an Anbieter von Hochrisiko-KI-Systemen, für welche die KI-Verordnung detaillierte Anforderungen hinsichtlich Dokumentation, Datenmanagement und kontinuierlicher Qualitätssicherung definiert. Durch die modulare Gestaltung des Leitfadens können Projektverantwortliche und Entwicklungsteams frühzeitig passende Maßnahmen zur Sicherstellung der Datenqualität auswählen und deren Umsetzung systematisch nachweisen. Darüber hinaus lässt sich dieses modulare Konzept zukünftig flexibel erweitern, um neue technologische Entwicklungen zu berücksichtigen. Als nationale Cyber-Sicherheitsbehörde unterstützt das BSI mit QUAIDAL öffentliche Stellen und Unternehmen dabei, regulatorische Anforderungen umzusetzen und vertrauenswürdige KI-Anwendungen zu entwickeln.

Entwurf des Leitfadens steht ab sofort zu Kommentierung zur Verfügung

Der Entwurf des Leitfadens steht ab sofort auf der Webseite des BSI sowie in zwei maschinenlesbaren GitHub Repositories zur Verfügung. Die Community ist eingeladen, aktiv mitzuwirken und Vorschläge für eigene Bausteine, Maßnahmen und Metriken einzubringen.

Weitere Informationen zum Thema:

datensicherheit.de, 20.06.2025
Künstliche Intelligenz weckt Interesse: 60 Prozent der Deutschen möchten mehr über KI lernen

[datensicherheit.de, 06/10/2025] Beginning of April, the editorial team of datensicherheit.de (ds) had the opportunity to speak with Dr. Terence Liu (tl), the CEO of TXOne Networks during HANNOVER MESSE (HMI 2025). In Hanover we discussed the challenges that OT faces while securing OT infrastructures and maintaining operations based on the findings of the latest edition of the OT security report. One finding that stands out is the increasing number of security related incidents in OT while less of the responding companies have faced a ransomware attack last year.

Dr. Terence Liu, CEO von TXOne Networks, Bild TXOne Networks

ds: What is the state of OT security based on your findings on the OT/ICS Security Report 2025?

Liu: First of all, let me talk a bit about the development of OT security since data security is driving OT security in its current state and form. OT systems have been attacked by cybercriminals since 10 to 15 years and ever since the space of OT security both in defense and on the attackers’ side is evolving. The most important thing to remember when talking about OT security is that availability is more important than integrity. In IT security, confidentiality comes first, integrity second and availability third.

OT security means solving the security for all different OS systems, legacy and new ones, specialized ones etc. One of the current examples how difficult that task is, is the end of Windows 10 support. For manufacturing companies this means, they need to seek a solution that doesn’t affect the operability and availability of OT systems. OT security should never affect operations, so keep everything updated and secure is a huge task.

Now let me summarize the key findings of our OT security report. The maturity of OT security is crucial since the threats are growing. Our report shows that 94 percent of the surveyed organizations have been affected by OT cyber incidents in the past year, while 98 percent experienced IT incidents affecting their OT environments. On the other hand, Ransomware incidents decreased from 47 percent of respondents in 2023 to 28 percent in 2024. Nation-state attackers on critical infrastructure were revealed to be a growing new concern. And underlining for the relevance for Germany: From the 150 C-suite executives from Asia, Europe, the Middle East and North America, 20 percent are coming from Germany.

ds: Since even more legacy OS is used in manufacturing, production & electronic devices, what are your recommendations for CISOs and OT security decision-makers to secure them?

Liu: Since OT teams can’t patch everything, the most important thing is monitoring. Usually, 98 percent of the analyzed traffic is not a threat, only two percent are actually a threat. The problem is, that security people often don’t see what they are dealing with and they need to know about the unknowns to deal with the two percent real threats.

We recently had an example at one of our semiconductor customers that had an issue in an area where they thought they are secure, but weren’t. Now they inspect all of their machines on a regular basis and have put in place further security measures like segmenting the network etc.

Here it is important to take a look at all potential threats since the Conficker Worm is still out there, still threatening systems. The lesson learnt: It is about the cyber hygiene, the basis of security needs to be done right.

ds: We touched base on Technology e.g. Segmentation, but isn’t it also a question of the education of the OT people on the ground?

Liu: Yes, I agree, education is very important and we need to support the people on the ground and at the shopfloor, so they can secure their machines. Companies need to define, who is doing audits and tests on which timely basis. Further, there is also the question about the enforcement of OT security.

ds: That’s about the OT professionals, they need education and process, but what about the C-Level? Do you see difference between the awareness of the board in different regions?

Liu: We see differences, which has to do with the maturity of the markets themselves. But let’s not forget industry initiatives like in the semiconductor world where big vendors work together on supplier security to ensure OT security is maturing.

When we look at the automotive industry, TISAX is a good starting point, but from a maturity perspective, it is not where the semiconductors are already with their guidelines and compliance, so even the automotive industry will improve over time.

Overall, industry initiatives are great, but in certain industries, they need more support to get together. The power of the community is a strength of the OT security. TXOne is helping the industry while organizing roundtables to bring together CISOs and alike from certain industries to meet and share best practices among each other.

ds: A question for Mirco Kloss, Business Development Director DACH. What does TXOne offer to secure the ROI of German companies?

Kloss: First of all, we are an OT-native security vendor. We are protecting these companies with our solutions on different levels and our products like Portable Inspector, Stellar, Edge and SageOne support companies to secure their OT infrastructure. Our OT endpoint solution Stellar is on the Siemens WinCC compatibility list and can be purchased via the Siemens Xcelerator Marketplace. Further, we are working on bringing OT security by design to the production facilities and to keep the security up during the whole lifecycle of the machines and throughout the supply chain. On a side note, one sector, that faces similar challenges as manufacturers is healthcare. A lot of legacy OS and legacy software that can’t be patched or at least not easily patched.

ds: Last question to Dr. Liu: What are your HMI 2025 impressions and why are you here?

Liu: The Hannover Messe Industrie is a great place to be for us to be, for our customers, partners etc. We think this trade fair is very important to get in touch with all of our community, not only in Germany, but in Europe as a whole and this is the reason why we are here again and will return next year.

ds: We say thank you for the interview.

Further information on the topic:

datensicherheit.de, 28.08.2024
OT-Sicherheit in der Lebensmittelindustrie

Ein Gastkommentar von Nadir Izrael, Mitbegründer und CTO von Armis

[datensicherheit.de, 27.05.2025] Laut einer aktuellen Studie von Armis sind fast neun von zehn (87 Prozent) der IT-Führungskräfte besorgt über die Auswirkungen von Cyberwarfare auf ihr Unternehmen. Es gibt immer mehr Belege dafür, dass staatliche Akteure weiterhin Kritische Infrastrukturen in den USA angreifen. Die Wurzeln dieser staatlichen Cyberangriffe, die als ATPs (Advanced Persistent Threats) bezeichnet werden, reichen dabei fast zwei Jahrzehnte zurück.

APT – Verhinderung solcher Angriffe eine enorme Herausforderung für Unternehmen

Die Verhinderung solcher Angriffe ist eine enorme Herausforderung für Unternehmen, da die Gegner im Vergleich zu einem durchschnittlichen Sicherheitsteam über deutlich bessere Ressourcen verfügen. APTs müssen nur eine Schwachstelle finden, beispielsweise ein anfälliges Gerät oder ungeschützte Anmeldedaten. Sicherheitsteams hingegen müssen jeden Tag Hunderte von Warnmeldungen bearbeiten. Obwohl 81 Prozent der IT-Führungskräfte angeben, dass die Umstellung auf eine proaktive Cybersicherheitsstrategie ein Hauptziel ihres Unternehmens für dieses Jahr ist, geben 58 Prozent der Unternehmen zu, dass sie derzeit nur auf Bedrohungen reagieren, wenn diese auftreten, oder nachdem bereits ein Schaden entstanden ist.

KI ändert die Dynamik moderner Cyberangriffe

Künstliche Intelligenz verändert die Dynamik moderner Cyberangriffe grundlegend – sie macht sie schneller, effizienter und schwerer erkennbar. Fast drei Viertel (73 Prozent) der IT-Führungskräfte zeigen sich besonders besorgt darüber, dass staatliche Akteure KI einsetzen, um hochgradig raffinierte und gezielte Attacken zu entwickeln. Für Sicherheitsverantwortliche ist es daher unerlässlich, die Mechanismen KI-gestützter Cyberkriegsführung zu verstehen – und zu wissen, wie sie ihr Unternehmen künftig wirksam schützen können.

APTs – eine globale Gefahr

APTs und Cyberwarfare gehen Hand in Hand. Die Bedrohunsakteure von Volt Typhoon werden China, Cozy Bear Russland und Reaper Nordkorea zugeschrieben, um nur einige zu nennen. „Volt Typhoon“ kundschaftet Netzwerkarchitekturen aus, verschafft sich über Schwachstellen einen ersten Zugang und zielt darauf ab, administrative Rechte zu erhalten. Um diese Angriffe zu verhindern, ist es wichtig, die gängigsten TTPs (Tactics, Techniques, and Procedures) der staatlichen und halbstaatlichen Angreifer zu kennen.

Nadir Izrael, Mitbegründer und CTO von Armis, Foto: Armis

Die Bedrohung durch Cyberwarfare ist ein globales Phänomen. Ein prominentes Beispiel ist Cozy Bear – eine russische APT-Gruppe, die seit über einem Jahrzehnt gezielt Systeme der US-Regierung angreift. Die Kompromittierung von SolarWinds, die das Bewusstsein für Risiken in der Lieferkette deutlich geschärft hat, wird ebenfalls dieser Gruppe zugeschrieben. Cozy Bear setzt bevorzugt auf Phishing und zwischengespeicherte RDP-Zugänge, um Anmeldedaten zu stehlen. Inzwischen nutzen solche Angreifer zunehmend künstliche Intelligenz, um ihre Methoden noch effektiver zu machen – sei es beim Ausnutzen verwundbarer Systeme, dem Abgreifen ungeschützter Zugangsdaten oder durch ausgefeilte Social-Engineering-Techniken.

APTs und KI: Eine neue Qualität der Bedrohung

KI-gestützte Angriffe heben Cyberbedrohungen auf ein neues Niveau – sie sind anpassungsfähiger, schwerer zu erkennen und potenziell deutlich wirksamer als bisherige Angriffsmethoden. Sicherheitsforscher haben bereits nachgewiesen, wie effektiv künstliche Intelligenz im Kontext von Phishing-Angriffen eingesetzt werden kann. Angesichts der bekannten Social-Engineering-Strategien von Cozy Bear ist es besonders alarmierend, dass diese Gruppe KI nutzen könnte, um hochgradig personalisierte Phishing-Kampagnen im großen Stil zu automatisieren – etwa gegen Regierungsbehörden.

Auch Volt Typhoon, bekannt für das Ausnutzen verwundbarer Betriebstechnologien, könnte künftig von KI profitieren. Entsprechende Modelle lassen sich gezielt darauf trainieren, Schwachstellen in spezifischen Zielumgebungen zu identifizieren – oder sogar selbstständig zu attackieren, sobald sie eine Angriffsfläche erkennen. Die Angriffe können dann ohne menschliches Zutun ausgelöst werden. Darüber hinaus kann KI die Entwicklung und Variation von Malware automatisieren und dynamisch Schadcode generieren, der klassischen Erkennungsmethoden entgeht. Und das ist nur der Anfang: Diese Einsatzmöglichkeiten sind bereits Realität – und stellen erst den sichtbaren Teil eines viel größeren Problems dar.

Frühzeitig handeln – bevor der Schaden entsteht

Der richtige Zeitpunkt zum Handeln ist jetzt. Zwar können Unternehmen die Bedrohungslage durch Cyberwarfare nicht beeinflussen – sehr wohl aber, wie gut sie darauf vorbereitet sind. Viele reagieren noch immer erst dann, wenn ein Angriff bereits erfolgreich war. Um das zu ändern, müssen Sicherheitsstrategien proaktiv ausgerichtet werden – also auf die Phase vor dem eigentlichen Vorfall. Prävention beginnt mit vollständiger Transparenz über alle digitalen Infrastrukturen: IT, OT, IoT, IoMT und Cloud. Doch es reicht nicht aus, nur zu wissen, welche Assets vorhanden sind. Entscheidend ist, zu verstehen, wie sie miteinander vernetzt sind, wo potenzielle Schwachstellen liegen und wie sich Risiken priorisieren lassen.

Die gute Nachricht: KI-gestützte Sicherheitslösungen bieten heute leistungsfähige Werkzeuge, um Cyberangriffe frühzeitig zu erkennen und abzuwehren. So kann etwa die Analyse von Verhaltensmustern helfen, ungewöhnliche Aktivitäten aufzudecken – noch bevor es zu Störungen kommt. Genau wie Angreifer ihre Angriffe mithilfe von KI automatisieren, können Unternehmen dieselbe Technologie nutzen: um Schwachstellen aufzuspüren, Bedrohungen schneller zu erkennen und Schutzmaßnahmen in Echtzeit anzupassen.

Weitere Informationen zum Thema:

datensicherheit.de, 26.04.2025
Armis Vulnerability Intelligence Database soll präventive Cyber-Sicherheit unterstützen

datensicherheit.de, 04/27/2025
Armis Vulnerability Intelligence Database to support preventive Cyber Security