[datensicherheit.de, 02.09.2025] „Viele Unternehmen übersehen beim Schutz ihrer IT-Ressourcen einen entscheidenden Aspekt: Sie richten ihren Fokus beinahe ausschließlich nach außen und übersehen die Bedrohung von innen“, so Matt Cooke, „Cybersecurity Strategist“ bei Proofpoint, in seiner aktuellen Stellungnahme. Dabei stellten Insider-Bedrohungen – also Risiken, die von Personen mit legitimen Zugriffsrechten ausgehen – eine der größten und kostspieligsten Herausforderungen für Unternehmen dar.

Foto: Proofpoint

Matt Cooke warnt: „Insider-Bedrohungen haben viele Facetten und lassen sich nicht leicht erkennen…  

Insider-Bedrohungen: Schadensummen bei 17,4 Millionen US-Dollar jährlich

Das Ponemon Institute berichtet in diesem Zusammenhang – auf Basis einer Befragung von Unternehmen aus Nordamerika, Europa, dem Nahen Osten, Afrika und der Asiatisch-Pazifischen Region – von durchschnittlichen Schadensummen durch Insider-Bedrohungen in Höhe von 17,4 Millionen US-Dollar pro Jahr.

• Allein Datenschutzverletzungen durch Insider kosten laut IBM weltweit im Schnitt fast fünf Millionen Dollar pro Vorfall und Unternehmen.

41 Prozent der deutschen CISOs erachteten Insider-Bedrohungen als das größte Cybersicherheitsrisiko für ihr Unternehmen im nächsten Jahr.

Privilegierte Zugriffsrechte verstärken Insider-Bedrohungen

„Insider-Bedrohungen haben viele Facetten und lassen sich nicht leicht erkennen. Sie entstehen sowohl durch absichtliches Fehlverhalten – etwa Sabotage, Datendiebstahl oder Wirtschaftsspionage – als auch durch fahrlässige Handlungen wie das versehentliche Versenden vertraulicher Informationen oder das unbeabsichtigte Herunterladen von Malware.“

• Hinzu komme die Kategorie der kompromittierten Insider: „Dabei übernehmen externe Angreifer legitime Benutzerkonten“, erläutert Cooke.

Besonders tückisch sei, dass Insider häufig über privilegierte Zugriffsrechte verfügten und sich daher unbemerkt innerhalb des Netzwerks bewegen können. Während klassische Sicherheitsmaßnahmen wie Firewalls oder Antiviren-Programme auf externe Bedrohungen abzielten, seien sie gegen diese Art von Gefahren machtlos.

Selbst Großunternehmen mit ausgefeilten Sicherheitsarchitekturen nicht gegen Insider-Bedrohungen immun

Die Folgen eines erfolgreichen Insider-Angriffs könnten schwerwiegend sein: Neben unmittelbaren finanziellen Schäden drohen Reputationsverlust, Unterbrechungen des Geschäftsbetriebs und unter Umständen rechtliche Konsequenzen.

• Cooke berichtet: „Ein aktuelles Beispiel aus der Praxis ist der Fall eines ehemaligen Google-Technikers, der Tausende streng vertraulicher Dateien gestohlen hat, um seinem Arbeitgeber zu schaden.“ Dieser Google-Mitarbeiter habe heimliche Beziehungen mit chinesischen Unternehmen aufgenommen und nach dem Diebstahl CTO eines dieser Unternehmen werden wollen. „Zwar wurde er vor seiner Ausreise verhaftet, hätte mit seiner Tat aber auch nationale Sicherheitsinteressen (der USA) schaden können.“

Solch ein Vorfall unterstreiche, „dass selbst Technologie-Giganten mit ausgefeilten Sicherheitsarchitekturen nicht gegen Insider-Bedrohungen immun sind“.

„Insider-Threat-Programme“ wichtiger denn je

Angesichts der Komplexität und Vielschichtigkeit der Insider-Bedrohungen reiche es nicht aus, auf einzelne technische Lösungen oder punktuelle Sensibilisierungsmaßnahmen zu setzen. Vielmehr bedürfe es eines ganzheitlichen Ansatzes, „der organisatorische, technische und menschliche Faktoren gleichermaßen berücksichtigt“.

• Ein effektives „Insider-Threat“-Programm verfolge mehrere Ziele: Es solle potenzielle Bedrohungen frühzeitig erkennen, präventive Maßnahmen etablieren, im Ernstfall eine schnelle und zielgerichtete Reaktion ermöglichen und die Balance zwischen Sicherheit und Datenschutz wahren.

„Zentraler Bestandteil eines solchen Programms ist die kontinuierliche Überwachung der Nutzeraktivitäten. Moderne ,Tools‘ zur Verhaltensanalyse können beispielsweise auffällige Muster erkennen, etwa wenn ein Mitarbeiter plötzlich ungewöhnlich große Datenmengen herunterlädt oder auf Systeme zugreift, die außerhalb seines Aufgabenbereichs liegen.“

Balance zwischen Reaktion und Prävention: „Insider-Threat-Programm“ sollte auch Untersuchung und Behebung von Vorfällen umfassen

„Doch Technik allein genügt nicht!“ Ebenso wichtig sei es, eine Unternehmenskultur zu schaffen, in der Mitarbeiter für die Risiken sensibilisiert werden, um zu wissen, wie sie verdächtiges Verhalten erkennen und melden können. „Schulungen zur ,Cyberhygiene’, regelmäßige ,Awareness’-Kampagnen und klare Richtlinien zur Nutzung von IT-Ressourcen bilden hierfür die Grundlage“, betont Cooke.

• Trotz aller Prävention ließen sich Zwischenfälle aber nie vollständig ausschließen. Deshalb müsse jedes „Insider-Threat-Programm“ auch Prozesse zur Untersuchung und Behebung von Vorfällen vorsehen. „Hierzu gehört ein klar definierter ,Incident-Response-Plan’, der Verantwortlichkeiten regelt, Meldewege definiert und Maßnahmen zur Eindämmung sowie zur forensischen Analyse umfasst.“

Nur so könne im Ernstfall eine schnelle und angemessene Reaktion gewährleistet werden, um Schäden zu minimieren und aus dem Vorfall Schlüsse für die Zukunft zu ziehen.

Datenschutz und „Compliance“ als integrale Bestandteile der „Insider-Threat-Programme“

Ein weiterer wichtiger Aspekt sei der Schutz sensibler Daten durch technische Maßnahmen wie Zugriffskontrollen, Verschlüsselung und Data-Loss-Prevention-(DLP)-Lösungen. Dabei sollte der Grundsatz der minimalen Rechtevergabe gelten: „Jeder Mitarbeiter erhält nur die Zugriffsrechte, die er für seine Tätigkeit tatsächlich benötigt. Diese werden regelmäßig überprüft und bei Bedarf angepasst. Insbesondere beim Ausscheiden aus dem Unternehmen gilt es, den Datenzugriff umgehend zu unterbinden.“

• „Insider-Threat-Programme“ sähen sich nicht nur mit technischen und organisatorischen Herausforderungen konfrontiert, sondern müssten auch strenge gesetzliche Vorgaben erfüllen. Die Einhaltung von Datenschutzgesetzen wie der europäischen Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) oder weiterer lokaler Vorschriften sei zwingend erforderlich.

„Das bedeutet, dass sämtliche Maßnahmen zum Schutz vor Insider-Bedrohungen stets im Einklang mit dem Recht auf Privatsphäre stehen müssen!“ Unternehmen seien daher gefordert, transparent darzulegen, wie Daten erhoben, genutzt und gelöscht werden, welche Kontrollmechanismen existieren und wie die Rechte der Betroffenen gewahrt bleiben. „Nur wenn dieser Spagat gelingt – innerhalb der Organisation und aufseiten der Belegschaft – kann ein ,Insider-Threat-Programm’ langfristig Akzeptanz finden und erfolgreich sein.“

Der Mensch als potenzielle Insider-Bedrohung gehört in den Mittelpunkt

Letztlich stehe und falle der Erfolg eines „Insider-Threat-Programms“ mit den Menschen im Unternehmen. Eine reine Fokussierung auf technische Kontrollen greife zu kurz, „wenn nicht gleichzeitig das Bewusstsein für die Problematik geschärft wird“.

• Mitarbeiter müssten verstehen, „dass sie Teil der Sicherheitsmaßnahmen sind und durch umsichtiges Verhalten einen entscheidenden Beitrag leisten können“. Dies erfordere regelmäßige Schulungen und eine offene Kommunikationskultur, „in der Fehler gemeldet werden dürfen, ohne Angst vor Sanktionen haben zu müssen“. Gleichzeitig sollten klare Konsequenzen für vorsätzliches Fehlverhalten definiert und kommuniziert werden.

Auch die Zusammenarbeit verschiedener Abteilungen sei unerlässlich. Ein schlagkräftiges „Insider-Threat-Management-Team“ vereine Kompetenzen aus IT-Sicherheit, Personalwesen, Rechtsabteilung und Führungsebene. Nur so ließen sich technische, rechtliche und menschliche Aspekte ganzheitlich berücksichtigen und wirksame Strategien entwickeln.

Proaktives Handeln: Sicherheit als gemeinsame Aufgabe verankern

Die Zeiten, in denen Insider-Bedrohungen ein Nischenthema für IT-Security-Experten waren, sind laut Cooke passé: „Unternehmen, die den Schutz ihrer sensiblen Daten und Geschäftsgeheimnisse ernst nehmen, kommen an einem professionellen ,Insider-Threat-Programm’ nicht mehr vorbei!“

• Der Schlüssel liege in einem ausgewogenen Zusammenspiel aus technischer Überwachung, klaren Prozessen, umfassender Sensibilisierung und einer Unternehmenskultur, „die Sicherheit als gemeinsame Aufgabe erachtet“.

Cookes Fazit: „Nur wer proaktiv handelt, kann die Risiken effektiv minimieren, die wertvollsten Ressourcen seines Unternehmens schützen und sich so nachhaltig gegen die wachsenden Herausforderungen in der digitalen Welt wappnen!“

Weitere Informationen zum Thema:

proofpoint
Guide Users / Simplify behavior change with automated, risk-based learning / Transform your high-risk employees. Change risky behaviors and foster a strong security culture

proofpoint
Matt Cooke / Cybersecurity Strategist

GlobeNewswire by notified, 25.02.2025
Ponemon Cybersecurity Report: Insider Risk Management Enabling Early Breach Detection and Mitigation / Insider risk management budgets have more than doubled and are projected to grow further in 2025, as the average annual cost of insider threats reaches $17.4M USD

IBM, 2025
Data Breach / Cost of a Data Breach Report 2025

datensicherheit.de, 17.11.2023
Die interne Gefahr: Wie sich Unternehmen vor Insider-Bedrohungen schützen können / Cyberkriminellen konzentrieren sich auf den Diebstahl von Zugangsdaten

datensicherheit.de, 15.02.2022
Fachkräftemangel, Insiderbedrohungen und Home-Office – Cyber-Risiken mit Wurzeln in den Unternehmen / Hendrik Schless kommentiert die von Unternehmen viel zu häufig unterschätzten Risiken

datensicherheit.de, 30.06.2020
Insider-Bedrohungen durch ausscheidende Mitarbeiter / Best Practices zum Schutz vor Datendiebstahl

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff / Abwehr mit User and Entity Behavior Analysis auf Basis von Machine Learning

datensicherheit.de, 23.12.2016
Insider – die immer noch unterschätzte Gefahr / David Lin erläutert, warum es nicht immer gleich der externe russische Hacker sein muss

[datensicherheit.de, 07.04.2025] Die Öl- und Gasindustrie ist als Kritische Infrastruktur (KRITIS) offensichtlich auf OT-Systeme angewiesen, um effiziente und sichere Abläufe zu gewährleisten. Doch mit fortschreitender Digitalisierung wächst auch für sie die Gefahr von Cyber-Angriffen. Jan Hoff, „Principal Industrial Incident Responder“ bei Dragos, führt hierzu in seiner aktuellen Stellungnahme warnend aus: „Angreifer entwickeln ständig neue Methoden, um in OT-Umgebungen einzudringen. Ohne effektive Cyber-Sicherheitsmaßnahmen drohen Datenschutzverletzungen, Betriebsunterbrechungen, finanzielle Verluste und sogar Sach- oder Personenschäden.“ Um diesen Risiken zu begegnen und sie gezielt abzuwehren, sollten Unternehmen die größten Cyber-Bedrohungen für die Branche kennen:

1. große Cyber-Bedrohung: Sicherheitsrisiken durch Fernzugriff auf OT-Netzwerke

„Schwachstellen in Fernzugriffstechnologien, wie VPNs und exponierte RDP-Dienste, stellen eine erhebliche Gefahr für OT-Netzwerke dar.“ Angreifer nutzten nämlich unzureichende Sicherheitsmaßnahmen aus, um Systeme zu manipulieren, Daten zu stehlen und Betriebsabläufe zu stören.

Unternehmen sollten daher eine Multi-Faktor-Authentifizierung (MFA) einführen, regelmäßig Updates und Sicherheitspatches durchführen und alle Zugriffsaktivitäten kontinuierlich überwachen. „So lassen sich Bedrohungen frühzeitig erkennen und abzuwehren.“

2. große Cyber-Bedrohung: Ransomware Angriffe

„Ransomware gehört zu den größten Bedrohungen für IT- und OT-Systeme. Während herkömmliche Angriffe Daten verschlüsseln und Lösegeld fordern, zielen neuere Varianten gezielt auf OT-Systeme ab und können den Betrieb beeinträchtigen und Daten extrahieren.“ Ein wirksamer Schutz erfordere einen mehrschichtigen Ansatz: „Unternehmen sollten einen Incident-Response-Plan entwickeln, Wiederherstellungsverfahren testen und Backups sicher speichern.“

Zudem helfe eine strikte Netzwerksegmentierung, die Ausbreitung von Ransomware zwischen IT- und OT-Systemen zu verhindern. Deutschland war demnach neben dem Vereinigten Königreich und Italien eines der am stärksten von Ransomware-Angriffen betroffenen Länder in Europa.

3. große Cyber-Bedrohung: Angriffe auf die OT-„Cloud“

Mit der zunehmenden Migration von Teilen der OT-Systeme in die „Cloud“ steige das Risiko gezielter Cyber-Angriffe: „Angreifer nutzen gezielt Schwachstellen aus, um Zugriff auf sensible Daten und Systeme zu erlangen.“

Unternehmen sollten daher regelmäßige Sicherheitsüberprüfungen durchführen, ihre „Cloud“-Umgebung kontinuierlich überwachen und strenge Zugangskontrollen implementieren. „Eine durchgehende Verschlüsselung sensibler Daten schützt sowohl während der Übertragung als auch bei der Speicherung vor unbefugtem Zugriff.“

4. große Cyber-Bedrohung: Kompromittierung der Lieferkette

Angreifer nutzten Sicherheitslücken in der Lieferkette, um sich über Drittanbieter Zugang zu OT-Netzwerken zu verschaffen. „Kompromittierte Software, unsichere Hardware oder Schwachstellen in der Kommunikation können Kritische Infrastrukturen gefährden, wenn es keine strengen Sicherheitsmaßnahmen für externe Partner gibt.“

Unternehmen sollten daher klare Sicherheitsanforderungen für Lieferanten definieren, regelmäßige Prüfungen durchführen und Zugriffsrechte streng kontrollieren, um unbefugte Aktivitäten zu verhindern.

5. große Cyber-Bedrohung: Cyber-Sicherheitsrisiken bei Joint Ventures

„Gemeinsame Projekte und Kooperationen in der Öl- und Gasindustrie fördern Innovation, können aber auch erhebliche Cyber-Risiken mit sich bringen.“ Ohne strikte Zugriffskontrollen der Partner und eine entsprechende Netzwerksegmentierung könnten Angreifer sich lateral durch verbundene Netzwerke bewegen und sensible Systeme gefährden.

Unternehmen sollten daher klare Vereinbarungen zur Sicherheit haben, Netzwerke segmentieren und durch kontinuierliche Überwachung sowie regelmäßige Prüfungen Anomalien frühzeitig erkennen.

Resilienz von Unternehmen gegen Cyber-Angriffe stärken

Ein umfassendes Verständnis der Bedrohungslage und gezielte Schutzmaßnahmen seien entscheidend, um die Resilienz von Unternehmen gegen Cyber-Angriffe zu stärken. „Durch proaktive Bedrohungsanalysen, ein effektives Schwachstellen-Management und mehr Transparenz über die eigenen OT-Ressourcen können Öl- und Gasunternehmen das Risiko von Angriffen erheblich reduzieren.“

Der „Global Oil and Gas Threat Perspective“-Bericht von Dragos WorldView soll tiefgehende Einblicke in aktuelle Bedrohungen für den Öl- und Gassektor sowie konkrete Handlungsempfehlungen liefern: Er steht vollständig zum Download bereit und enthält weiterführende Informationen sowie detaillierte Handlungsempfehlungen.

Weitere Informationen zum Thema:

DRAGOS
THREAT REPORT: Global Oil & Gas Threat Perspective

DRAGOS
Cyber Threat Intelligence / OT cyber threats are rising as digitalization expands the attack surface. OT-specific threat intelligence is crucial since IT security alone doesn’t address OT’s unique vulnerabilities and threats.

DRAGOS, Abdulrahman H. Alamri & Lexie Mooney, 12.17.2024
Dragos Industrial Ransomware Analysis: Q3 2024

datensicherheit.de, 30.03.2025
ICS/OT Cybersecurity Budget Report 2025: Über 50 Prozent der Befragten fühlen sich bedroht / Neue ICS/OT-Studie von OPSWAT und SANS Institute zeigt auf, dass trotz steigender Security-Budgets Investitionen auf traditionelle Geschäftssysteme fokussiert bleiben

datensicherheit.de, 27.03.2025
OT/ICS-Cybersicherheit: Wachsende Bedrohungslandschaft für Unternehmen weltweit / Annual Report 2024 von TXOne Networks veröffentlicht / Dringende Maßnahmen zum Schutz der industriellen Abläufe

datensicherheit.de, 25.02.2025
Dragos: Starker Anstieg von OT/ICS-Cyberbedrohungen / Gründe sind geopolitischer Konflikte und wachsende Anzahl von Ransomware-Angriffen / Die achte jährliche Ausgabe des Year in Review Reports stellt zwei neue OT-Cyberbedrohungsgruppen vor

[datensicherheit.de, 10.03.2025] Künstliche Intelligenz (KI) ist aus dem Unternehmensalltag nicht mehr wegzudenken. Doch mit dem Aufstieg autonomer KI-Agenten wächst auch das Risiko: Udo Schneider, Governance, Risk and Compliance Lead, Europe bei Trend Micro, liefert tiefere Einblicke im Gespräch mit datensicherheit.de (ds) zu den Fragen was passiert, wenn KI-Systeme sich verselbstständigen, Regeln umgehen oder für Cyberangriffe missbraucht werden.

Udo Schneider, Governance, Risk and Compliance Lead, Europe bei Trend Micro, Bild: Trend Micro

ds: Wo findet sich Rogue AI im KI-Ökosystem wieder?

Schneider: „Die nächste Entwicklungsstufe nach dem KI-Umbruch war generative KI – und nun sind es KI-Agenten, die eigenständig handeln und mehrere Modelle miteinander verknüpfen. Je komplexer diese KI-Systeme werden, desto größer ist die Gefahr von Sicherheitslücken. Rogue AI ist keine ferne Zukunftsmusik – sie stellt bereits heute eine ernstzunehmende Herausforderung für Security-Teams dar. Mit der fortschreitenden Verbreitung dieser Technologien müssen Unternehmen dringend geeignete Schutzmaßnahmen ergreifen.“

ds: Was genau versteht man unter „Rogue AI“? Gibt es unterschiedliche Typen?

Schneider: „Als ‚Rogue AI’ bezeichnet man KI-Systeme, die sich entgegen den Interessen ihrer Entwickler, Nutzer oder sogar der gesamten Gesellschaft verhalten. Grundsätzlich gibt es dabei drei Hauptkategorien: versehentliche, unterwanderte und bösartige Rogues. Versehentliche Rogues entstehen unbeabsichtigt durch menschliche oder technische Fehler. Fehlkonfigurationen, unzureichende Tests oder schwache Sicherheitskontrollen können zum Beispiel dazu führen, dass eine KI diskriminierende Ergebnisse liefert, übermäßige Zugriffsrechte erhält oder sensible Daten preisgibt. Außerdem können agentische KI-Frameworks in Endlosschleifen geraten und dadurch enorme Ressourcen verbrauchen – mit potenziell hohen Kosten und Systemausfällen als Folge.

Im Gegensatz zu versehentlichen Rogues sind unterwanderte und bösartige KI-Systeme das Ergebnis gezielter Manipulationen. Unterwanderte Rogue-KIs entstehen, wenn Cyberkriminelle ein bestehendes System infiltrieren und zweckentfremden – etwa indem sie es dazu bringen, falsche Informationen auszugeben oder vertrauliche Daten preiszugeben. Bösartige Rogue-KIs hingegen wurden von Anfang an für schädliche Zwecke entwickelt. Als KI-basierte Malware können sie entweder direkt in der IT-Umgebung des Opfers agieren oder auf externen Servern betrieben werden, um Angriffe wie Phishing, automatisierte Exploits oder Deepfake-Betrug durchzuführen.“

ds: Auf welche Angriffstechniken setzen diese Bedrohungsakteure, um KI-Systeme zu manipulieren?

Schneider: „Cyberkriminelle setzen bei unterwanderten Rogue-KIs gezielt auf Schwachstellen in Large Language Models (LLMs). Besonders verbreitet sind zwei Angriffsmethoden: System Jailbreak und Model Poisoning. Beim System Jailbreak nutzen Angreifer sogenannte Prompt-Injection-Techniken, um die internen Sicherheitsmechanismen eines LLMs auszuhebeln. Jedes LLM arbeitet mit einem unsichtbaren System Prompt, der sein Verhalten steuert und festlegt, welche Inhalte es generieren darf – beispielsweise keine diskriminierenden oder kriminellen Aussagen. Durch spezielle Jailbreak-Prompts können Angreifer diesen Schutz umgehen. Solche manipulierten Eingaben kursieren bereits zahlreich im Internet.

Bei Model Poisoning geht es hingegen darum, ein LLM durch manipulierte Daten zu beeinflussen. Dies geschieht entweder durch direkten Zugriff auf die Trainingsdaten oder durch gezielte Platzierung von Desinformation im öffentlichen Raum. Da LLMs Inhalte aus frei zugänglichen Quellen übernehmen, können Angreifer gefälschte Informationsquellen einspielen, die wie seriöse Nachrichtenportale wirken. Ein Audit des Analyseportals NewsGuard hat beispielsweise gezeigt, dass russische Hackergruppen erfolgreich Narrative in große LLMs eingeschleust haben, indem sie solche Fake-Quellen systematisch verbreiteten.“

ds: Zum Thema bösartige Rogues und KI-Malware: Welche Bedrohung geht von KI-Anwendungen aus, die gezielt für cyberkriminelle Aktivitäten designt wurden?

Schneider: „KI-Systeme, die speziell für cyberkriminelle Zwecke entwickelt werden, eröffnen eine neue Dimension der Bedrohung. Es gibt zwar noch keine vollständig autonomen KI-gesteuerten Cyberangriffe; Das könnte sich aber mit dem Fortschritt von KI-Agenten schnell ändern.

Ein bereits bekanntes Szenario zeigt, wie Ransomware-Akteure kleine LLMs direkt auf den Endpunkten ihrer Opfer installieren. Diese KI analysiert die lokale Umgebung, identifiziert besonders wertvolle Daten und extrahiert gezielt Informationen, ohne große, auffällige Datenübertragungen durchzuführen. Dadurch bleiben die Angriffe länger unentdeckt. Außerdem setzt die Malware moderne Anti-Evasion-Techniken aus dem Arsenal aktueller Infostealer ein, um Sicherheitsmechanismen gezielt zu umgehen.“

ds: Wie können sich Unternehmen vor Rogue AI schützen?

Schneider: „Verschiedene Institutionen der Sicherheitsforschung, darunter OWASP (Open Worldwide Application Security Project), MITRE ATT&CK und das MIT (Massachusetts Institute for Technology), haben bereits Frameworks entwickelt, um KI-Risiken systematisch zu erfassen. Die OWASP Top Ten konzentrieren sich auf typische Schwachstellen von LLMs und bieten Strategien zu deren Absicherung. MITRE ATT&CK analysiert Angriffstechniken auf KI, berücksichtigt jedoch noch keine spezifischen Bedrohungen durch KI-Malware. Das AI Risk Repository des MIT listet über 700 KI-Risiken und ordnet sie nach Ursache und Bedrohungskategorie. Diese Frameworks liefern wertvolle Orientierungshilfen, aber ein spezifischer Ansatz für Rogue AI fehlt bislang – insbesondere einer, der sowohl die Ursachen als auch den Angriffskontext berücksichtigt. Um Risiken gezielt zu reduzieren, müssen Unternehmen verstehen, ob eine KI absichtlich oder unbeabsichtigt außer Kontrolle gerät und welche Akteure mit welchen Zielen und Ressourcen dahinterstehen.

Ein effektiver Schutz vor Rogue AI erfordert zudem einen Defense-in-Depth-Ansatz basierend auf Zero Trust: Jedes KI-System muss als potenzielles Risiko betrachtet und konsequent überwacht werden. Unternehmen sollten klar definieren, welche Aktionen eine KI ausführen darf und welche nicht, und ihr Verhalten kontinuierlich auf Abweichungen von diesen Regeln prüfen.

Um zu verhindern, dass KI außer Kontrolle gerät, müssen Sicherheitsmaßnahmen auf allen Ebenen des IT-Stacks implementiert werden – von der Hardware über das Netzwerk bis hin zur Anwendungsebene. Dazu gehören strikte Zugriffsbeschränkungen, eine klare Autorisierung von KI-Diensten, die kontinuierliche Überprüfung von Ein- und Ausgaben sowie ein umfassendes Monitoring aller relevanten Ressourcen. Extended Detection and Response (XDR) kann außerdem dabei helfen, verdächtiges Verhalten frühzeitig zu erkennen und schnell gegenzusteuern.“

Weitere Informationen zzum Thema:

datensicherheit.de, 24.02.2025
Responsible AI: Vertrauen, Security und Governance sind Voraussetzungen

Trend Micro
Rogue AI: Was der Sicherheitsgemeinschaft fehlt

[datensicherheit.de, 20.02.2024] Cyber-Kriminelle versuchten immer wieder, Methoden zur Betrugsprävention und Identitätsüberprüfung mit kreativen Methoden zu umgehen. „Dafür müssen oftmals Validierungsschritte außer Kraft gesetzt werden, die garantieren sollen, dass ,Bots’ keinen Zugriff erhalten“, kommentiert Melissa Bischoping, „Director Endpoint Security Research“ bei Tanium, die aktuelle Zuspitzung der Deepfake-Bedrohungen. Beispielhaft hierfür seien sogenannte Captchas, „die zunächst nur die Eingabe von Zahlen und Buchstaben verlangten und schließlich zu komplexeren Aufgaben weiterentwickelt wurden“. Ein getipptes Captcha allein reiche oft nicht aus, um sensible Arbeitsabläufe wie Finanztransaktionen und Marktplätze für „Krypto-Währungen“ zu schützen.

Foto: Tanium

Melissa Bischoping: Aufklärungs- und Sensibilisierungskampagnen müssten erweitert werden, um ein grundlegendes Bewusstsein für Deepfakes zu schaffen!

Cyber-Sicherheit vs. Deepfakes: Ein Katz-und-Maus-Spiel…

Bischoping führt aus: „Deepfake-Apps sind mittlerweile in der Lage, Bilder von realen Menschen in beliebigen Situationen zu produzieren oder sogar legitim aussehende Videos von Personen zu erstellen, die nicht existieren. Plattformen, die auf Identitätsüberprüfung angewiesen sind, werden deshalb gezwungen, komplexere Nachweise zu verlangen, um zu überprüfen, ob Zugriffsanfragen von echten Personen ausgehen.“

Bei der Nutzung von Finanzplattformen müssten Nutzer oftmals eine Video-Aufnahme machen, „in der sie ihren Kopf in einem bestimmten Muster drehen, während sie ihren Ausweis in der Hand halten“. Dies möge albern wirken, erschwere jedoch die Täuschung durch einen Deepfake erheblich. Es bestehe jedoch das Risiko, dass diese Methoden und Daten dazu verwendet werden könnten, bessere Modelle zu trainieren, um Menschen zu erkennen oder nachzuahmen.

Deepfake-Funktionen können der Unterhaltungsindustrie auf legale Weise nützlich sein

Der Begriff „Deepfake“ werde in der Regel mit kriminellen Machenschaften assoziiert. „Es gibt aber einen legitimen Markt für die zugrunde liegende Technologie“, erläutert Bischoping: Einige Software-Unternehmen böten Möglichkeiten zur Nutzung der Deepfake-Funktionen in der Unterhaltungsindustrie an – in der Regel mit dem Einverständnis der verkörperten Person.

„Sie können sogar Ihren Stimmabdruck archivieren, um diesen zu verwenden, wenn sie aufgrund einer Erkrankung nicht selbst sprechen können. Die gleichen Technologien, die für die Erstellung von Deepfakes verwendet werden, sind auch für die Erkennung von deren Missbrauch unerlässlich“, betont Bischoping. Wie bei jeder leistungsstarken Technologie hänge die Rechtmäßigkeit von Absicht, Zustimmung und Offenlegung ab.

Deepfake-Bedrohungen indes unbedingt ernstzunehmen

Die von Deepfakes ausgehenden Bedrohungen seien indes unbedingt ernstzunehmen. „Neben einer gefälschten ID für eine betrügerische Transaktion können diese Fälschungen zu psychologischen Traumata und zur Schädigung des persönlichen Rufs führen.“ Allein im letzten Monat hätten eine Wahlkampfkampagne mithilfe von Deepfakes und die Ausbeutung KI-generierter Bilder von Taylor Swift das öffentliche Interesse geweckt.

Diese Deepfake-Missbräuche seien zwar nicht neu, die Zahl der Opfer dieser Straftaten nehme jedoch in alarmierendem Maße zu. Deepfakes ermöglichten es Kriminellen, Geld zu erbeuten, Psychoterror auszuüben, Karrieren zu ruinieren oder sogar politische Entscheidungen zu beeinflussen. „Es ist offensichtlich, dass Aufklärung, Regulierung und ausgefeilte Präventionsmaßnahmen eine Rolle beim Schutz der Gesellschaft spielen werden“, so Bischoping.

Unternehmen sollten zusätzliche Überprüfungsebenen einsetzen, um Deepfakes zu erkennen

Einige Unternehmen schulten ihre Mitarbeiter bereits darin, Betrugsversuche zu erkennen, die im Arbeitsalltag eine Rolle spielten. Diese Aufklärungs- und Sensibilisierungskampagnen müssten erweitert werden, um ein grundlegendes Bewusstsein für Deepfakes zu schaffen. Gleichzeitig sollten Unternehmen zusätzliche Überprüfungsebenen für sensible Arbeitsabläufe und Transaktionen einsetzen – es reiche nicht mehr aus, einer Textnachricht, einem Telefon- oder sogar einem Video-Anruf als Form der Identitätsüberprüfung zu vertrauen.

Bischoping rät abschließend: „Wenn sich jemand mit Ihnen in Verbindung setzt, um eine private oder berufliche Transaktion durchzuführen, ist es immer besser, eine zusätzliche Verifizierung vorzunehmen, wenn Sie nicht in der Lage sind, die Person am Telefon eindeutig zu erkennen. Oft reicht es schon aus, aufzulegen und eine bekannte, vertrauenswürdige Nummer der Person zurückzurufen, die sich an Sie gewandt hat, um den Betrug zu entlarven.“ Ferner sollten im eigenen Unternehmen Arbeitsabläufe eingerichtet werden, welche sich auf robustere Formen der Authentifizierung stützten, „die von einer KI nicht gefälscht werden können – ,FIDO2‘-Sicherheitstoken, Genehmigungen durch mehrere Personen und Verifizierungen sind ein guter Anfang“.

Weitere Informationen zum Thema:

datensicherheit.de, 07.02.2024
Deep-Fake-Video: Die nächste Eskalationsstufe des Chef-Betrugs / Fast 24 Millionen Euro mittels vorgetäuschtem Chef in Hongkong ergaunert

datensicherheit.de, 19.09.2023
Gefahren für Politik und Demokratie: Optimierung von Deepfakes mittels KI / Deepfake-Wahlwerbespots könnten mit computergenerierten Bildern von Kandidaten erstellt werden

datensicherheit.de, 22.06.2022
Deepfakes bald Standardrepertoire Cyber-Krimineller / Vor allem Soziale Plattformen als neue Spielwiese zur Verbreitung von Deepfake-Material genutzt

[datensicherheit.de, 01.09.2022] Der Fortschritt in Sachen Digitalisierung öffne eine Menge Türen – mehr Daten ermöglichten es Unternehmen, präziser zu handeln, intelligente Geräte und sogenanntes Machine Learning erlaubten die Automatisierung von immer mehr Prozessen und noch vieles mehr. In diesem Kontext warnt Christine Schönig, „Regional Director Security Engineering CER“, „Office of the CTO“ bei der Check Point Software Technologies GmbH: „Allerdings animiert die Digitalisierung auch kriminelle Elemente, sich auf die Suche nach immer neuen Wegen für digitalen Betrug und virtuellen Gaunereien zu machen. Dem gegenüber stehen wir: die IT-Sicherheit.“ In einem ständigen Kopf-an-Kopf-Rennen werde versucht, den Kriminellen stets einen Schritt voraus zu sein.

Christine Schönig, Bild: Check Point Software Technologies GmbH

Christine Schönig: Nichts schlägt das Gefühl, eine IT-Schwachstelle entdeckt und auch erfolgreich geschlossen zu haben!

IT-Sicherheit – getrieben von Begeisterung für neue Technologien und fokussiert, vor Zwischenfällen zu schützen

„Wir sind getrieben von der Begeisterung für neue Technologien und fokussiert darauf, Kunden und Nutzer vor Zwischenfällen zu schützen“, so Schönig. Nichts schlage dabei das Gefühl, eine Schwachstelle entdeckt und auch erfolgreich geschlossen zu haben – „so machen wir die digitale Welt jeden Tag ein kleines bisschen sicherer“.

Ihr Plädoyer an junge Frauen lautet daher: „Lasst Euch nicht von Stereotypen rund um die IT – und speziell die IT-Sicherheit – abschrecken. Wer sich aufgrund von Geschlecht oder Vorurteilen limitiert, der verpasst die Chance, sich einer aufregenden, herausfordernden und auf Zusammenarbeit fokussierten Gemeinschaft anzuschließen.“

Begeisterung für IT und Sicherheit gefragt

In o.g. täglichen Wettlauf seien jenen jungen Talente die wertvollste Ressource, welche „unsere Begeisterung für Technologie und Sicherheit teilen und Spaß dabei haben, dafür zu sorgen, dass die Digitalisierung besser, schneller und vor allem sicherer wird“.

Dadurch blieben sie nicht nur ihrem ärgsten Gegner immer einen Schritt voraus, sondern garantierten ihren Mitmenschen, „dass sie voll aus dem Potenzial des digitalen Fortschritts schöpfen können“, so Schönig abschließend.

[datensicherheit.de, 06.04.2022] In seiner aktuellen Stellungnahme erläutert Hendrik Schless, „Senior Manager Security Solutions“ bei Lookout, die aktuelle und zukünftige Bedrohungslage für Unternehmen durch mobile Malware:

Foto: Lookout

Hendrik Schless: Angreifer sehen in mobilen Geräten Möglichkeit, sich seitlich zu bewegen, um sensible Daten von Konten oder Anwendungen zu sammeln…

Ernste Situation: Bedrohung für Unternehmen durch mobile Malware

Mobile Malware werde immer häufiger zu einer Bedrohung für Unternehmen: „Die Zahl der Angreifer, die ihre Werkzeuge diversifiziert haben, um neben Desktop-Zielen auch mobile Ziele anzugreifen, ist deutlich gestiegen.“ Dafür gebe es wahrscheinlich mehrere Gründe. Bestimmte Malware-Kategorien – wie z.B. Ransomware – hätten sich bei Angriffen auf die nicht-mobile Infrastruktur als erfolgreich erwiesen.

Die Angreifer hofften nun auf finanzielle Gewinne, indem sie sich einer Benutzerbasis zuwendeten, die oft nicht damit rechne, von mobilen „Spind“- oder Ransomware-Anwendungen angegriffen zu werden. Schless erläutert: „Mobile Ransomware wirkt sich zwar nicht direkt auf die Unternehmensinfrastruktur aus, kann aber den Zugang der Mitarbeiter zu den Unternehmensressourcen auf ihren Geräten beeinträchtigen.“

Überwachungs-Malware bietet Angreifern Möglichkeit, sensible Informationen zu sammeln

Überwachungs-Malware biete Angreifern eine zuverlässigere Möglichkeit, sensible Informationen über ein Unternehmen oder seine Mitarbeiter zu sammeln. Diese Informationen könnten für ausgeklügelte Spear-Phishing-Angriffe auf die Unternehmensinfrastruktur oder Unternehmensressourcen verwendet werden, selbst wenn diese vom Gerät eines angegriffenen Mitarbeiters aus nicht zugänglich seien.

Generell nutzten immer mehr Mitarbeiter mobile Geräte, um sich mit der Unternehmensinfrastruktur zu verbinden, „wenn sie von unterwegs aus arbeiten“. Diese zunehmende Abhängigkeit von mobilen Geräten für die Arbeit – und sogar für persönliche Erledigungen wie Bankgeschäfte – biete Angreifern eine größere Angriffsfläche.

Malware-Ziele Mobiltelefone mit zunehmender Bedeutung für Zugriff auf Konten

Eine größere Bedrohung für das Unternehmen sei zu erwarten – durch die größere Abhängigkeit von mobilen Geräten für die Arbeit und den Zugriff auf Konten.

Viele Benutzer setzten ihre mobilen Geräte auch für private Anwendungen ein und seien nicht unbedingt so versiert darin, Angriffe zu vermeiden oder wichtige Sicherheitsupdates auf dem neuesten Stand zu halten. „Angreifer sehen in mobilen Geräten daher oft eine Möglichkeit, sich seitlich zu bewegen, um sensible Daten von anderen Konten oder Anwendungen zu sammeln, die auf dem Gerät des Opfers installiert sind“, warnt Schless.

Adware: Laut neuester Bedrohungsanalyse von Malwarebytes größte Kategorie mobiler Malware

Adware könne eine Reihe verschiedener Funktionen umfassen, die über die Fälschung von Werbeeinnahmen hinausgingen. „Unternehmen, die von mobiler Werbung abhängig sind, kostet dies eine beträchtliche Menge Geld.“ Anspruchsvollere Adware könne Geräte lahmlegen, so dass ein komplettes Zurücksetzen des Geräts auf Werkseinstellungen erforderlich werde oder Benutzer nicht mehr auf Unternehmenskonten und -anwendungen zugreifen könnten.

Manche Adware könne im Rahmen ihrer Kampagnen auch sensiblere Daten über den Benutzer und sein Gerät ausspähen. Es sei dennoch unwahrscheinlich, dass eine Adware-Familie ein Unternehmen auf dieselbe Weise ernsthaft gefährde wie eine Überwachungsanwendung oder ein Ransomware-Sample. „Sie kann jedoch Geräte stören oder mehr Daten als nötig über die Mitarbeiter eines Unternehmens sammeln“, so Schless.

Mobile Malware in Zukunft größere Bedrohung für Unternehmen

Es sei sehr wahrscheinlich, dass mobile Malware in Zukunft eine größere Bedrohung für Unternehmen darstellen werde. „Die ,Pandemie‘ hat die Art und Weise, wie viele von uns arbeiten, verändert, und es ist unwahrscheinlich, dass wir unsere Abhängigkeit von mobilen Geräten für diese Arbeit verringern werden.“

Die Menschen verstünden zwar immer besser, dass ihre mobilen Geräte genauso anfällig für Angriffe seien wie ihre Desktop-Computer, aber es gebe immer noch wenig Wissen darüber, wie sie ihre Geräte schützen und Kompromittierungen vermeiden könnten.

Mobile Geräte immer bedeutender – Bedrohungsakteure werden Malware weiter diversifizieren, um Abhängigkeit auszunutzen

Mobilgeräte seien im Grunde das perfekte Spionage-Werkzeug: Sie könnten sensible Daten über ein potenzielles Ziel sammeln, passive Audioaufnahmen, Fotos und Details über das Soziale Netzwerk des Opfers aufzeichnen und seien fast immer mit einem Netzwerk verbunden. „Diese Funktionen, auf die wir zurückgreifen, sind verlockend für Angreifer, die auf der Suche nach Details für ausgeklügelte Spear-Phishing-Angriffe sind.“

Sie könnten sich auch als hilfreich erweisen, um zu versuchen, die Unternehmensinfrastruktur zu kompromittieren oder auf sie zuzugreifen, wenn der Zugriff über ein Mitarbeitergerät erfolge. „Da wir uns bei der Arbeit und im Privatleben immer mehr auf mobile Geräte verlassen, werden Bedrohungsakteure ihre Malware weiter diversifizieren, um diese Abhängigkeit auszunutzen“, so Schless‘ Fazit.

Weitere Informationen zum Thema:

datensicherheit.de, 06.01.2021
Malware macht mobil: Zunehmend Schadsoftware auf Smartphones / PSW GROUP warnt vor DDoS-Attacken über mobile Botnetze und Verteilung von Malware über offizielle App-Stores

[datensicherheit.de, 09.03.2021] Rund ein Jahr seit Beginn der weltweit grassierenden „Covid-19-Pandemie“ sei die Bedrohungslandschaft vielerorts noch immer von Phishing-Ködern geprägt, „die vermeintliche Heilmittel, Impfstoffe oder Informationen zu neuen Virus-Varianten anpreisen“ – Security-Experten der Proofpoint Inc. haben dies zum Anlass genommen, verschiedene Beispiele für Cyber-Kampagnen im Zusammenhang mit der aktuellen „Corona-Pandemie“ genauer unter die Lupe zu nehmen.

Cyber-Kriminelle werden nicht müde, Corona-Krise für Phishing auszunutzen

„Auch nach vielen Monaten, in denen die ,Pandemie‘ den Alltag der meisten Menschen geprägt hat, werden Cyber-Kriminelle noch immer nicht müde, die Situation in ihrem Sinne ausnutzen zu wollen“, warnt Proofpoint.
Mit unterschiedlichsten Angriffsmethoden und Ködern versuchten diese ihre Opfer in die Falle zu locken, indem letztere unbedacht auf präparierte Links klickten, Zugangsdaten preisgäben oder betrügerischen Anweisungen für Banküberweisungen Folge leisteten.

Proofpoint hat Phishing-Kampagnen in den USA untersucht: Missbrauch bekannter Institutionen und Marken

Laut Proofpoint ist es das erste Mal, „dass ein einziges Thema in solchem Umfang und für eine so lange Zeit in Social-Engineering-Attacken verwendet wird“. Grund genug, um erneut aktuelle Cyber-Kampagnen näher zu beleuchten. Wenngleich Cyber-Kampagnen mit „Covid-19“-Bezug unterschiedlichste Länder, Sprachen und Branchen beträfen, hätten die Security-Experten in ihrem neuesten Blog vorwiegend Beispiele zusammengetragen, welche auf potenzielle Opfer in den USA abzielten.
Im Rahmen der beschriebenen Angriffe würden verschiedene bekannte Institutionen und Marken wie die Centers for Disease Control (CDC), U.S. Internal Revenue Service (IRS), U.S. Department of Health and Human Services (HHS), die Weltgesundheitsorganisation (WHO) und auch DHL missbraucht, um die Empfänger in die Irre zu führen.

Aktueller Proofpoint-Blogartikel geht auf folgende Phishing-Beispiele gesondert ein:

Drei Malware-Kampagnen:

• Ein neuer Angriff, der die Verbreitung der „Dridex“-Malware zum Ziel habe und das Branding der IRS ausnutze. Köder seien hierbei vermeintliche „Corona“-Hilfszahlungen.
• Eine Kampagne, die vermeintliche Informationen zu „Covid-19“-Impfstoffen verspriche und das Branding des HHS missbrauche.
• Eine E-Mail-Attacke, bei der mutmaßlich auf eine „Covid-19“-Variante hingewiesen werde. Diese Information stamme vorgeblich von der WHO.

Zwei Kampagnen mit „Business Email Compromise“ (BEC, auch „CEO-Betrug“ genannt):
Beide Cyber-Kampagnen nutzten „Covid-19“-Impfstoffe als Köder für dringende Anfragen nach kritischen Informationen bzw. wiesen die Empfänger an, Geschenkkarten zu erwerben – sogenannter „Gift Card Scam“.

Credential-Phishing:
Eine Cyber-Kampagne, welche auf Pharma-Unternehmen abziele und das Branding von DHL missbrauche. Als Aufhänger diene den Cyber-Kriminellen hierzu eine vermeintliche Impfstoff-Lieferung.

Weitere Informationen zum Thema:

proofpoint, Sherrod DeGrippo, 09.03.2021
Threat Actors Target Victims by Promising COVID-19 Relief, Vaccines, and Variant News

datensicherheit.de, 02.03.2021
Corona-Phishing: Der erhöhten Bedrohung begegnen / m2solutions gibt Tipps zum Erkennen und zur Abwehr von Phishing-Attacken

datensicherheit.de, 18.12.2020
Corona-Soforthilfe: Warnung vor Phishing-Mails / PSW GROUP empfiehlt stärke Mitarbeiter-Sensibilisierung gegenüber Phishing-Attacken

datensicherheit.de, 07.12.2020
Missbrauchte Lieferdienste: Phishing-Attacken nutzen Hochkonjunktur des Versandhandels / Kriminelle geben sich in Phishing-E-Mails gerne als DHL aus und locken Nutzer auf ihre gefälschten Webseiten

[datensicherheit.de, 24.12.2019] Nach Angaben von Vectra hat das SANS Institute im Auftrag das Whitepaper mit dem Titel „Threat Hunting with Consistency“ veröffentlicht. Dieses stellt demnach einen alternativen Ansatz für die Bedrohungssuche vor: „Dieser Ansatz setzt voraus, die ,MITRE ATT&CK Matrix‘ als Vokabular zu verwenden, um den Kontext zu umreißen. Dies bedeutet, zunächst anhand von übergeordneten Begriffen für bestimmte Verhaltensweisen – wie Privilegieneskalation, Seitwärtsbewegung und Exfiltration – die Absicht von Bedrohungsakteuren zu identifizieren, bevor die Analysten diesen Aktivitäten im Detail nachgehen.“ Hierbei gelte es, die Bedrohungsjagd mit bekannten Zielen, Techniken und Taktiken von Bedrohungsakteuren verknüpfen.

Unbekanntes: Sicherheitsteams haben nach Erfahrungen von Vectra oft Schwierigkeiten im Umgang

Dadurch werde die Bedrohungssuche im Kontext der Frage ausgeführt, wie ein Angreifer ein bestimmtes Ziel in der jeweiligen Umgebung erreichen kann. Es gehe auch darum, dass ein Sicherheitsteam ein gemeinsames Vokabular findet, um die Bedrohungsjagd konsistent zu machen.
Leider hätten viele Sicherheitsteams nach Erfahrungen von Vectra oft Schwierigkeiten im Umgang mit dem „Unbekannten“. Das Unbekannte beziehe sich auf Ereignisse, welche das Unternehmen noch nicht erlebt hat.
Sicherheitsteams nutzten sowohl die Erfahrung der Analysten als auch das institutionelle Wissen aus früheren Vorfällen. „Wenn ein Unternehmen sein institutionelles Wissen nicht pflegt und dafür sorgt, dass es abrufbar ist, müssen Analysten mit dem beginnen, was sie wissen: Dies ist die erste Hürde, an der die Bedrohungsverfolgung bereits scheitern kann.“

Vectra-Whitepaper soll neuen Ansatz aufzuzeigen mit der Bedrohungssuche umzugehen

Frühere Techniken der Bedrohungssuche hätten sich auf das konzentriert, was ein Analytiker in Bezug auf die Umgebung weiß oder vermutet. Gängige Ansätze für die Bedrohungssuche umfassten das Auffinden von bekannten bösartigen Prozessbeziehungen oder Parametern der Befehlszeilenausführung, die Suche nach Missbrauch oder unerklärlicher Aktivität von privilegierten Konten sowie das Auffinden von Feeds von Drittanbietern, die Indikatoren für die Aktivität von Bedrohungsakteuren lieferten.
Zur richtigen Zeit während eines Angriffs oder einer Malware-Infektion könnten nach Meinung von Vectra einige der genannten Techniken bei der Identifizierung bösartiger Aktivitäten äußerst nützlich sein. Es seien jedoch nur punktuelle Maßnahmen: „Wenn ein Bedrohungsakteur nicht gerade dabei ist, die beschriebenen Aktivitäten durchzuführen, oder wenn das Unternehmen nicht über eine langfristige Datenspeicherung verfügt, wird eine Bedrohung gar nicht oder zu spät erkannt.“
Ziel des Vectra-Whitepapers sei es eben, einen neuen Ansatz aufzuzeigen, wie Unternehmen mit der Bedrohungssuche umgehen. Anstatt über einzelne Teile nachzudenken oder betriebssystemspezifische Begriffe zu verwenden, sollten sie ihre „Umgebung als eine Einheit betrachten, die auf Bedrohungen auf unterschiedliche, aber zusammenhängende Weise reagiert“. Darüber hinaus sollten sie ihre Umgebung in der gleichen Weise betrachten, wie es die Bedrohungsakteure tun würden, um deren Techniken gezielt abzuwehren.

Autoren des Vectra-Whitepapers empfehlen, „ATT&CK Matrix“ von MITRE zu verwenden

Wenn die Herangehensweise neugestaltet wird, sollte auch das Fachvokabular neugestaltet werden. Hierbei empfehlen die Autoren des Whitepapers laut Vectra, die „ATT&CK Matrix“ von MITRE zu verwenden, um ihre Bedrohungsjagdaktivitäten in einen konsistenten Rahmen zu fassen. „Indem sich Sicherheitsanalysten auf die Frage konzentrieren, wie ein Bedrohungsakteur einen bestimmten Teil eines Angriffs ausführen könnte, müssen sie die wichtigsten Teile der Umgebung berücksichtigen und wie diese zusammenwirken.“
Wenn Analysten beispielsweise das Konzept der Exfiltration untersuchen, würden standardmäßig Netzwerk- und Host-basierte Hinweise kombiniert. Beide seien nützlich und sollten gemeinsam genutzt werden, um nach einer Technik und nicht nach einer Idee zu suchen. Wenn „ATT&CK“ als Leitvokabular verwendet wird, beginnen sich laut Vectra die internen Prozesse zu verändern. Das Team werde sich mit der Suche nach Anzeichen von Exfiltration oder Privilegieneskalation vertraut gemacht haben und könne bei Bedarf den Fokus einschränken.
Durch die Verwendung dieser neuen Sprache werde das Team auch „die Umgebung als das sehen, was sie ist“: Ein Konstrukt mit mehreren Teilen, die zusammen funktionierten, mit Aktionen und Reaktionen innerhalb dieser Umgebung. Erst wenn das eigene Unternehmen mit den Augen eines Bedrohungsakteurs betrachtet werde, ließen sich wirklich Hinweise auf bösartige Aktivitäten finden.

Weitere Informationen zum Thema:

VECTRA, Dezember 2019
WHITE PAPERS / SANS: Threat hunting with consistency

datensicherheit.de, 25.02.2019
Vectra: Cyberkriminelle setzen vermehrt auf Formjacking

[datensicherheit.de, 08.05.2019] Aus den Augen, aus dem Sinn – das hat mancher IT-Verantwortlicher im Mittelstand über die Bedrohung durch Ransomware gedacht. Die Realität sieht anders aus, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI): „Wir erleben derzeit die massenhafte Verbreitung von raffinierten Angriffsmethoden durch die Organisierte Kriminalität, die bis vor einigen Monaten nachrichtendienstlichen Akteuren vorbehalten waren. Unternehmen sollten auch kleine IT-Sicherheitsvorfälle ernst nehmen und ihnen konsequent begegnen, da es sich dabei durchaus auch um vorbereitende Angriffe handeln kann“, sagt BSI-Präsident Arne Schönbohm. Tatsächlich können kleine Angriffe leicht übersehen werden, geben den Kriminellen jedoch wichtige Informationen: „Diese winzigen, scheinbar risikoarmen Angriffe, zeigen sehr genau die Schwachstellen einer Netzwerkinfrastruktur auf. Die große Attacke erfolgt später, und ist umso erfolgreicher, weil vorab bereits Subsysteme bei Unternehmen infiziert waren. Der Mittelstand ist weiter nahezu schutzlos diesem Datenrisiko ausgeliefert“, erklärt Andreas Schlechter.

Risiko: Sub-Infektionen

Vor allem in der produzierenden Branche sind Netzwerkschnittstellen zwischen Unternehmen keine Seltenheit, und neben gefälschten Absenderadressen nutzen die Cyberkriminellen auch andere Tricks, um sich von einem Netzwerk in ein weiteres vorzutasten und unerkannte Sub-Infektionen auszulösen. „IT-Sicherheit muss zum neuen Made in Germany in der Digitalisierung werden“, fordert BSI-Chef Schönbohm. „Diese Initiative unterstützen wir komplett“, kommentiert Schlechter. Das Unternehmen setzt dazu Sicherheitsmechanismen bestehend aus Software und Manpower ein. Erst jüngst wurde das eigene Informations-Sicherheits-Management-System gemäß der ISO/IEC 27001 zertifiziert und bietet so das höchste Sicherheitsniveau, das derzeit für Netzwerkbetreiber in der Überwachung der IT-Infrastruktur möglich ist. Damit bietet Telonic einen LifeLine-Service, mit dem über Fernüberwachung Netzwerkinfrastrukturen rund um die Uhr auf Störungen oder Bedrohungen überwacht werden. Denn im Ernstfall zählt jede Minute.

Höhere Lösegeldforderungen

Die aktuellen Angriffe laufen laut BSI meist nach ähnlichem Muster ab: Mittels einer breit angelegten Spam-Kampagne mit beispielsweise „Emotet“ verschaffen sich die Angreifer zunächst Zugang zu einzelnen Netzwerken und erforschen dann manuell Netzwerk und Systeme der Betroffenen. Backups werden dabei manipuliert oder gelöscht, und die Angreifer sind in der Lage, durch das aufwändige und gezielte Vorgehen im Vergleich zu ungezielten Kampagnen deutlich höhere Lösegeldforderungen in Form einer Bitcoin-Zahlung zu stellen. Neben Emotet ist aktuell auch „GandCrab“ im Einsatz der aggressiven Hacker, die sich mittlerweile auch IT-Dienstleister als Opfer suchen. Ziel ist hier die Infiltration der Kundennetzwerke. „Die strengen Vorgaben der ISO-Zertifizierung beziehen sich sowohl auf unsere Kundenprojekte wie auch unser eigenes Netzwerk. Mit unserem SNOC (Security Network Operations Center) machen wir es sehr schwer für Cyberkriminelle“, sagt Andreas Schlechter.

Weitere Informationen zum Thema:

datensicherheit.de, 24.04.2019
Ransomware: BSI warnt vor gezielten Angriffen auf Unternehmen

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je

datensicherheit.de, 10.02.2019
Emotet: Erneute Verbreitung über gefälschte E-Mails

datensicherheit.de, 15.01.2019
Checkpoint stellt die ‘Most Wanted‘-Malware des Monats Dezember 2018 vor

datensicherheit.de, 30.01.2019
Spam-Welle: Neue Ransomware in deutschen Postfächern

datensicherheit.de, 09.04.2015
Emotet: Bank-Trojaner weiterhin im deutschsprachigen Raum aktiv

[datensicherheit.de, 27.02.2019] Alessandro Di Pinto, „Security Researcher“ bei Nozomi Networks, geht in seiner aktuellen Stellungnahme auf die Bedrohung Kritischer Infrastrukturen (KRITIS) durch „GreyEnergy“ ein.

Phishing als Basis der weltweit ersten KRITIS-Attacke

„Im Dezember 2015 saßen rund 230.000 Ukrainer plötzlich im Dunkeln. Die Folge einer erfolgreichen Cyber-Attacke auf die Stromversorgung des Landes“, berichtet Di Pinto. Dieser Angriff gelte allgemein als die weltweit erste Attacke auf sogenannte Kritische Infrastrukturen. Forscher hätten recht schnell herausgefunden, wie sich die Eindringlinge Zutritt ins Netzwerk hätten verschaffen können.
„Sie nutzten eine altbekannte, aber weiterhin ausgesprochen erfolgreiche Methode: Phishing. Der Angriff machte damals weltweit Schlagzeilen und wurde der ,BlackEnergy‘-Gruppe zugeschrieben, die sich auf ,Advanced Persistent Threats‘ (APT) spezialisiert hat“, so Di Pinto.

Neue Malware zur Attacke auf KRITIS entdeckt

„Fast fünf Jahre später sieht es jetzt so aus, als wäre ,BlackEnergy‘ wieder aufgetaucht, wenn auch unter einem anderen Namen. Im Oktober letzten Jahres veröffentlichten Sicherheitsexperten des slowakischen Anbieters ESET, dass sie eine neue Malware nachweisen konnten, die sich ebenfalls gegen Kritische Infrastrukturen richtet. Sie gaben sowohl der Gruppe als auch der Schadsoftware selbst den Namen ,GreyEnergy‘“.
Nach Aussagen von ESET handele es sich bei „GreyEnergy“ um den Nachfolger von „BlackEnergy“. Bisher beschränke sich die Malware auf Angriffe gegen KRITIS in der Ukraine und in Polen, wo sie in den letzten drei Jahren aktiv gewesen sei.

GreyEnergy: einige Detail-Erkenntnisse

Nach der erstmaligen Aufdeckung dieser Malware hätten Sicherheitsexperten damit begonnen, „GreyEnergy“ zu analysieren. „Insbesondere wollte man verstehen, wie die Schadsoftware überhaupt in die Systeme gelangt und wie es den Hackern gelungen ist, die Spuren der Malware solange zu verwischen. Was den Eintritt ins Netzwerk anbelangt, nutzte ,GreyEnergy‘ eine altbekannte, aber immer noch höchst erfolgreiche Methode sich Zutritt in ein Netzwerk zu verschaffen, nämlich Phishing. Einmal im System stellte sich aber schnell heraus, dass der zugrundeliegende Malware-Code alles andere als durchschnittlich ist.“ Er sei nicht nur gut geschrieben, sondern auch ausgesprochen klug zusammengebaut. Di Pinto: „Und er wurde ganz gezielt entwickelt, um die Maßnahmen von Cyber-Sicherheitslösungen zu umgehen.“
Die „GreyEnergy“-Attacke beginnt demnach mit einem manipulierten „Word“-Dokument im E-Mail-Eingang des Empfängers. Der Text sei in ukrainischer Sprache verfasst – und auf den ersten Blick wirke das Dokument äußerst verdächtigt: „Nicht nur, dass es Bilder enthält, es erscheint auch ein klar ersichtlicher Hinweis oben auf der Benutzerseite, der vor in diesem Dokument enthaltenen Makros warnt. Trotzdem und trotz der verdächtigen Bilder haben neugierige Benutzer sich offensichtlich dennoch täuschen lassen und auf den ,Inhalte ausführen‘-Button geklickt. Und genau damit haben sie die ,GreyEnergy‘-Malware auf das jeweilige System heruntergeladen.“
Auch, wenn sich die Angreifer mit einer vergleichsweise simplen Methode Zutritt ins Netzwerk verschafft hätten, seien die ausgewählte Tools und Taktiken alles andere als trivial. Sie seien ausgesprochen klug zusammengestellt worden, um die Anwesenheit der Malware im System zu verschleiern und auf dem Radar der betreffenden Sicherheitslösungen unbemerkt zu bleiben. So verwendeten die Akteure beispielsweise benutzerdefinierte Algorithmen, die an sich relativ einfach auszuschalten seien. „Allerdings sind sie widerstandsfähig genug, um die Schadsoftware vor der Aufdeckung zu schützen. Das ist aber noch nicht alles. Die Angreifer bedienen sich eines ganzen Arsenals von anti-forensischen Techniken“, erläutert Di Pinto. Eine davon sei beispielsweise das Verwischen von „In-Memory“-Strings, das dazu diene, die Anwesenheit der Malware zu verschleiern und dafür zu sorgen, dass die Infektion so lange wie möglich nicht bemerkt wird.
Die Forscher hätten noch mehr herausgefunden: So habe der Dropper, „ein kleines Stückchen Code, das als eigenständig ausführbare Datei dazu dient, die Malware im System des Opfers freizusetzen, in diesem Fall eine besondere Fähigkeit“. Er überlebe nämlich einen kompletten Neustart des gesamten Systems. Auf diese Art könne sich die Bedrohung dauerhaft im Netzwerk einnisten und sei dort nur sehr schwer wieder zu entfernen.

Schutz vor zukünftigen „GreyEnergy“-Varianten

Die Analyse der „GreyEnergy“-Malware habe gezeigt, dass die Angreifer ihre Werkzeuge und Taktiken wohlüberlegt kombiniert hätten und die Malware deshalb über einen sehr langen Zeitraum von Cyber-Sicherheitslösungen unbemerkt im Netzwerk habe verbleiben können. Einige Komponenten des „GreyEnergy“-APT seien inzwischen veröffentlicht und würden von Sicherheitsprodukten erkannt. Man dürfe allerdings sicher sein, dass es nicht lange dauern werde, bis die Angreifer neue Varianten der Malware entwickelten. „Es ist sogar ziemlich wahrscheinlich, dass sie gerade dabei sind, solche Varianten zusammenzustellen und diese möglicherweise sogar schon einsatzbereit sind.“
Es gebe allerdings auch gute Nachrichten: Der aktuelle „GreyEnergy“-Angriff beginne mit einer Phishing-E-Mail. Genau an dieser Stelle seien Unternehmen in der Lage, die Attacke zu verhindern. Auch vor potenziellen APT-Varianten von „GreyEnergy“ schützten gängige Sicherheitspraktiken, „wenn man sie nur konsequent anwendet“.

Di Pintos drei Empfehlungen für Unternehmen:

1. Schulen Sie Ihre Mitarbeitenden zu den Gefahren von Phishing-Mails, trainieren Sie wie man solche Nachrichten und ihre schädlichen Anhänge erkennen kann, und weisen Sie unbedingt darauf hin wie wichtig es ist, die IT-Sicherheitsabteilung über verdächtige Dokumente zu informieren.
2. Spielen Sie unbedingt sämtliche der aktuellen Sicherheits-Patches auf den gefährdeten Servern ein.
3. Und schließlich das Allerwichtigste: KRITIS-Netzwerke sollten mit genau darauf zugeschnitten Sicherheitslösungen ununterbrochen überwacht werden – nur dann ist es möglich, Bedrohungen frühzeitig und sogar vorausschauend im Netzwerk aufzudecken.

Grundsatz „erst denken, dann klicken“ weiter aktuell

„GreyEnergy“ habe einmal mehr gezeigt, dass Angreifer nach wie vor Phishing als Mittel nutzten, um KRITIS ins Visier zu nehmen. Deshalb sei es so immens wichtig, Mitarbeiter dahingehend zu schulen. „Es klingt wie eine Binsenweisheit, niemals auf einen Link zu klicken oder Anhänge zu öffnen, wenn die betreffende E-Mail aus einer unbekannten Quelle stammt.“
Im Moment sehe es aber ganz und gar nicht danach aus, als ob Hacker in ihren Bemühungen nachlassen würden. Der Grundsatz „erst denken, dann klicken“ hilft laut Di Pinto auch gegen diesen Typ von Attacken.

Weitere Informationen zum Thema:

NOZOMI NETWORKS, Alessandro Di Pinto, 12.02.2019
GreyEnergy Malware Research Paper: Maldoc to Backdoor

datensicherheit.de, 18.02.2019
KRITIS: Cyber-Angriff als Ursache von Versorgungsengpässen

datensicherheit.de, 16.10.2018
KRITIS: Security und Safety ganzheitlich zu gestalten

datensicherheit.de, 03.09.2018
Cybersicherheit in Industrie und Kritischer Infrastruktur muss ganzheitlich gedacht werden

datensicherheit.de, 12.05.2017
Wana-Ransomware: Weltweite Cyber-Attacke auf kritische Infrastrukturen