Cyberattacken werden immer komplexer und gefährlicher, da Hacker zunehmend auf Künstliche Intelligenz (KI) setzen. Zusätzlich werden auch die Phishing-Methoden immer ausgefeilter. Zu diesen Erkenntnissen kommen Studien von Cloudflare. ITWELT.at hat Stefan Henke, RVP DACH bei Cloudflare, zu den brisanten Themen befragt. [...]
Wie hat sich die Komplexität und Gefährlichkeit von Cyberattacken mit dem Einsatz von KI entwickelt?
Unsere digitale Landschaft entwickelt sich mit Lichtgeschwindigkeit. In diesem Zusammenhang stellt die Überschneidung von Cybersicherheit und künstlicher Intelligenz (KI) sowohl ungeahnte Herausforderungen als auch Chancen dar. Alle Kunden, mit denen ich spreche, erwähnen das Thema KI. Sie alle arbeiten an neuen Lösungen und denken darüber nach, wie sie das Kundenerlebnis verbessern oder ihre eigenen Abläufe optimieren können. Unternehmen werden sich zunehmend auf KI-Systeme verlassen, um beides zu tun: einerseits den Betrieb zu rationalisieren und andererseits fundierte Entscheidungen zu treffen. Daher ist es von entscheidender Bedeutung, diese Technologien vor böswilligen Akteuren zu schützen, die versuchen, Schwachstellen auszunutzen. In den letzten Monaten haben wir in der E-Mail-Sicherheitsbranche den Aufstieg der KI beobachtet.
Wie sieht der „Wettlauf“ zwischen Angriff und Verteidigung im Zusammenhang mit KI aus?
Das Wettrennen ist dasselbe wie zuvor, aber mit mehr Geschwindigkeit, mehr Intelligenz und mehr Aggressivität. Unser Ziel ist es, Zero-Days vor Zero-Day-Attacken zu entdecken. Vor zwei Jahren konnten wir zum ersten Mal eine Schwachstelle finden, die zuvor noch niemand bemerkt hatte. Bei Cloudflare setzen wir KI in unseren Cyber-Sicherheitsprodukten ein, um unsere Kunden zu schützen. Dazu sammeln wir massenhaft Bedrohungsdaten aus der ganzen Welt und setzen dann KI ein, um die Zero-Day-Schwachstellen vorherzusagen. Und das funktioniert gut. Jeden Tag stoppen wir über 170 Milliarden Cyberangriffe für unsere Kunden.
Inwiefern bietet auch die Cloudflare-Plattform Möglichkeiten zur Anwendung von KI im Kampf gegen Cyberattacken?
Im Bereich der Bedrohungsanalyse spielt KI eine zentrale Rolle bei der Analyse großer Datenmengen. Wir erkennen Muster und identifizieren potenzielle Sicherheitsrisiken. Algorithmen des maschinellen Lernens können große Datensätze durchforsten, um ungewöhnliche Aktivitäten zu erkennen und zu untersuchen und so die rechtzeitige Identifizierung potenzieller Bedrohungen zu erleichtern. Durch den Einsatz von KI in der Bedrohungsanalyse können Unternehmen schneller handeln, um sich zu verteidigen und vielleicht sogar proaktiv Cyberangriffe vorhersagen, indem sie verstehen, wo ihre größten Risiken liegen. Für Unternehmen und öffentliche Einrichtungen ist es sehr wichtig, sich Gedanken darüber zu machen, wie sie KI in ihre Anwendungen, Produkte und Dienstleistungen integrieren wollen. Mit generativer KI und KI-basierten Übersetzungsprogrammen ist es einem Angreifer plötzlich möglich, sehr überzeugende E-Mails in Sprachen zu erstellen, die er nicht spricht, und die zu Tausenden verschickt werden und eine viel größere Chance haben, geöffnet zu werden als zuvor. Cloudflare integriert KI und Machine Learning in seine Sicherheitsprodukte.
Gibt es Beispiele?
Als Beispiele können wir das Bot-Management nennen, bei dem wir maschinelle Lernmodelle verwenden, die auf Milliarden von Anfragen trainiert wurden, um Bot-Verkehr und automatisierte Angriffe zu erkennen und zu entschärfen, oder die Sicherheitsanalyse, bei der Cloudflare automatisch den Netzwerkverkehr und Ereignisse in seinem globalen Netzwerk analysiert, um Sicherheitsbedrohungen zu erkennen. Statistische Modelle und die Erkennung von Anomalien ermöglichen eine schnelle Identifizierung von Bedrohungen und Reaktionen. Es handelt sich um einen KI-Algorithmus, der Echtzeit-Telemetriedaten analysiert, um den Datenverkehr über die leistungsfähigsten und zuverlässigsten Pfade über die Server von Cloudflare zu leiten. Dadurch wird die Konnektivität optimiert. Wir haben Magic Firewall Rules, ein System zur Verarbeitung natürlicher Sprache, mit dem Kunden individuelle Firewall-Regeln erstellen können, indem sie einfache Sätze wie „SQL-Injection-Angriffe blockieren“ verwenden. Das System generiert automatisch die technischen Regeln. Zur Bekämpfung von Phishing-Angriffen und zur Gewährleistung der E-Mail-Sicherheit setzt Cloudflare schließlich Computervision und fortschrittliches maschinelles Lernen ein, um E-Mail-Inhalte und -Stimmungen zu verstehen und eingehende E-Mails vor Phishing-Angriffen zu schützen.
Durch den Einsatz von KI in der Bedrohungsanalyse können Unternehmen schneller handeln, um sich zu verteidigen und vielleicht sogar proaktiv Cyberangriffe vorhersagen, indem sie verstehen, wo ihre größten Risiken liegen.
Stefan Henke, RVP DACH bei Cloudflare
Welche Erkenntnisse liefert das Cloudflare-Netzwerk bezüglich aktueller Cyberattacken und Trends?
Die Connectivity Cloud von Cloudflare wird durch ein intelligentes, programmierbares globales Netzwerk getrieben, das sich über mehr als 310 Städte in über 120 Ländern mit einer Netzwerkkapazität von 228 Tbps erstreckt. Wir setzen GPUs am Rande des Netzwerks ein; wir haben bereits GPUs in 75 Städten und werden bis Ende des Jahres über 100 erreichen. Im dritten Quartal 2023 hat Cloudflare den größten DDoS-Angriff von 2,6 Tbps aufgedeckt und abgewehrt. Ein weiteres Beispiel ist, dass wir vor kurzem zur Offenlegung einer wichtigen neuen Zero-Day-Schwachstelle beigetragen haben, die als „HTTP/2 Rapid Reset“ bezeichnet wird. Cloudflare unterscheidet sich von anderen Sicherheitsanbietern dadurch, dass wir darauf ausgelegt sind, die Art der Pakete zu verstehen, die über unser Netzwerk laufen – was ist persönlich, was geschäftlich, was ist bösartig. Im Vergleich dazu konzentrieren sich die meisten anderen Anbieter entweder auf den Schutz am Netzwerkrand oder auf den Schutz der Rechenzentren. Dies gibt uns einen einzigartigen Einblick in die sich entwickelnde Bedrohung.
Können Sie ein konkretes Beispiel für die Zunahme von Angriffen auf Unternehmen, die Kryptowährungen anbieten, erläutern?
Im zweiten Quartal 2023, haben sich die Angriffe auf Unternehmen von Kryptowährungen um 600 % erhöht, während ein allgemeiner Anstieg von 15 % bei HTTP-DDoS-Angriffen zu verzeichnen war. Bei diesen Attacken haben wir eine alarmierende Eskalation bei der Raffinesse der Angriffe festgestellt, auf die ich noch näher eingehen kann. Cloudflare hat einen elementaren Angriff auf eine Krypto-Plattform blockiert. Der Angriff, der einen volumetrischen Distributed Denial of Service (DDoS) von 15,3 Millionen Rps verzeichnete, fand Anfang April statt.
Wie beschreibt der Report die Entwicklung der Angriffskompetenz im Zusammenhang mit Cyberattacken?
Hacker haben in den letzten 30 Jahren große Fortschritte gemacht, als Cyberangriffe zu einem Thema wurden und die Angreifer noch zu 100 % aus Amateuren bestanden. In den 2000er Jahren entwickelten sich dann die kommerziellen Aspekte, als Spyware, Datendiebstahl usw. zu einem Faktor wurden und die Schattenwirtschaft bis 2010 global wurde. Zu dieser Zeit gab es unterschiedliche Spezialisierungen – einige schrieben die Malware und verkauften sie als Kits, andere bauten und betrieben Botnets, wieder andere waren in Geldwäsche usw. verwickelt. Dann kamen staatlich geförderte Cyberangriffe wie Stuxnet und verschiedene APTs, die diszipliniert an ihr Ziel herangingen – der Code in Stuxnet war so ausgeklügelt, dass er bis heute nicht richtig verstanden wird. Heute geht es vor allem um Diebstahl von Anmeldeinformationen, das Ausnutzen von falsch konfigurierten Systemen – und das alles im Rahmen eines mehrstufigen Ansatzes. Aktuelle sehen wir Akteure wie Nationalstaaten bzw. in deren Auftrag agierende Institutionen wie Anonymous Sudan (die laut Forschern logistische und ideologische Verbindungen zu Russland haben) sowie eine bunte Mischung von Ransomware/BEC-Akteuren, die auf schnelles Geld aus sind. Die Hacker haben auch große Fortschritte im Bereich des Social Engineering gemacht, d. h. der Ausnutzung der menschlichen Psychologie, um sich Zugang zu Gebäuden, Systemen oder Daten zu verschaffen. Sie kombinieren diese Social-Engineering-Fähigkeiten mit anderen Werkzeugen gegen Organisationen und Einzelpersonen in einem professionellen und wiederholbaren Ansatz.
Welche Erkenntnisse hat die Studie von Cloudflare über Phishing-Attacken und deren Gefährlichkeit ergeben?
Die wichtigsten Ergebnisse des Cloudflare-Berichts zeigen, dass Phishing nach wie vor die vorherrschende und am schnellsten wachsende Internetkriminalität ist, was vor allem auf die Allgegenwärtigkeit von E-Mails und das ständige Problem des menschlichen Versagens zurückzuführen ist. Und das wird von den Bedrohungsakteuren ausgenutzt. Obwohl die Verluste durch die Kompromittierung von Geschäfts-E-Mails (BEC) in die Milliarden gehen, sind Unternehmen nicht die einzigen Opfer, auf die es Angreifer abgesehen haben. Tatsächlich gehen die Auswirkungen von Phishing über große und globale Unternehmen hinaus und erstrecken sich auch auf kleine und lokale Organisationen sowie den öffentlichen Sektor. In diesem Bericht beobachtete Cloudflare zum Beispiel mehr E-Mail-Bedrohungen, die auf politische Organisationen abzielen. Der Bericht zeigt, dass Bedrohungsakteure, die Phishing-Kampagnen einsetzen, zwei Hauptziele verfolgen: Erstens geht es darum, Authentizität und Legitimität in den Augen des Opfers zu erreichen. Zweitens sollen die Opfer dazu gebracht werden, sich zu engagieren oder zu klicken.
Was sind demnach die größten Gefahrenkategorien im Bereich Phishing?
Die Verwendung von irreführenden Links (deceptive links) ist die häufigste Phishing-Taktik. Oft verwenden Angreifer Multi-Channel-Phishing. Es gibt Domänenalter, bei denen es sich um neu registrierte Domänen handelt. Eine weitere Gruppe ist die Identitätstäuschung, die verschiedene Formen annimmt (einschließlich Business Email Compromise (BEC). Credential Harvesting, das aus dem Diebstahl von Benutzernamen und Passwörtern besteht. Und Marken-Impersonation. Die Angreifer geben sich als Hunderte von verschiedenen Organisationen aus, geben sich aber in erster Linie als die Organisationen aus, denen wir vertrauen und die wir für unsere Arbeit benötigen. Ein weiterer zunehmend effektiver Angriff, den Cloudflare beobachtet hat, ist das so genannte Quishing, bei dem der Angreifer ein Bild eines QR-Codes sendet, der den Empfänger auf eine bösartige Website führt. Diese Art des Angriffs ist für normale E-Mail-Sicherheitssysteme, die auf Signaturen beruhen, oft nicht erkennbar.
Können Sie einige Beispiele für ausgefeiltere Phishing-Methoden nennen, die in der Studie identifiziert wurden?
Phishing nutzt wie jede Art von Cyberangriff das schwächste Glied aus. Im Gegensatz zu vielen anderen Angriffen wird beim Phishing jedoch eher das menschliche Verhalten als technische Schwachstellen ausgenutzt. Ob Sie nun eine Reise buchen, auf eine Zoom-Einladung antworten oder einfach nur Ihre E-Mails abrufen – jeder, der online ist, ist ein Ziel. Die Raffinesse der E-Mail-Angreifer besteht darin, authentisch zu erscheinen, und darauf konzentrieren sie ihre Bemühungen. Sie versuchen, sich als die Marken auszugeben, die wir kennen und auf die wir uns verlassen, und nutzen das Vertrauen in normale geschäftliche Interaktionen aus. Die Angreifer sind Meister darin, authentisch aussehende Nachrichten zu verfassen, um die üblichen E-Mail-Sicherheitsmaßnahmen zu umgehen. Wir sehen auch die Auswirkungen von KI-Chatbots auf das Phishing. KI-Chatbots können Menschen dabei helfen, beeindruckende, menschenähnliche Antworten zu erhalten oder sogar bestimmte Anwendungen zu erstellen – und zwar in einem Maße, dass ihre Fähigkeiten Anlass zu der Sorge geben, dass sie von Hackern für Phishing-Kampagnen genutzt werden könnten. Darüber hinaus nutzen die Angreifer Multichannel-Phishing-Angriffe, die mit einer E-Mail beginnen und dann über SMS, Instant Messaging, soziale Medien, Cloud-Kollaborationsdienste und andere mit dem Internet verbundene Tools, die normalerweise nicht durch Anti-Phishing-Kontrollen geschützt sind, fortgesetzt werden.
Im Gegensatz zu vielen anderen Angriffen wird beim Phishing eher das menschliche Verhalten als technische Schwachstellen ausgenutzt.
Stefan Henke, RVP DACH bei Cloudflare
Welchen volkswirtschaftlichen Schaden verursachen Phishing-Attacken und wie hat sich dieser entwickelt?
Ein Phishing-Angriff kann direkte Kosten verursachen, wie z. B. falsche Rechnungen usw., aber es gibt noch viel mehr: Datenschutzverletzungen führen zu einer Schädigung des Rufs, zum Verlust des Vertrauens von Kunden und Investoren, zu einer Unterbrechung der Organisation und zu Geldstrafen. So hat die Kompromittierung von Geschäfts-E-Mails (BEC) Unternehmen und Einzelpersonen weltweit 50 Milliarden Dollar gekostet; die BEC-Verluste übertreffen inzwischen sogar die finanziellen Verluste durch Ransomware. Da wir zunehmend ein mobiles Online-Leben führen, sind Identitäten die Währung, auf die die Angreifer am meisten Wert legen. Der Begriff „Phishing“ bezieht sich auf jeden Angriff, der darauf abzielt, einen Menschen dazu zu bringen, die vom Angreifer gewünschte Aktion durchzuführen. Typischerweise führt Phishing zur Kompromittierung von Geschäfts-E-Mails oder Ransomware, beides sind nach Angaben von Regierungs- und Branchenverbänden weltweit Probleme mit einem Volumen von mehreren Milliarden Dollar.
Welche Maßnahmen können Unternehmen ergreifen, um sich effektiv vor Phishing-Attacken zu schützen?
Die große Herausforderung besteht darin, dass die kostspieligsten Phishing-Angriffe sehr gezielt und in geringem Umfang erfolgen. Sie werden von reaktiven sicheren E-Mail-Gateways (SEGs), die nach „bekannten“ Bedrohungen suchen, nicht leicht erkannt. Mit welchen Strategien können Unternehmen verhindern, dass diese ausgeklügelten Taktiken zu einer Sicherheitsverletzung führen? In Schritt 1 empfehle ich eine Analyse der bestehenden Sicherheitssituation in Bezug auf E-Mails und andere Kommunikationstools, die im Unternehmen verwendet werden. Nach dieser Bewertung empfehle ich die Implementierung eines Zero-Trust-Konzepts, das auch die E-Mail-Sicherheit einschließt, z. B. Area1. Trotz der weiten Verbreitung von E-Mails folgen viele Unternehmen immer noch einem „Burg- und Burggraben“-Sicherheitsmodell, bei dem Nachrichten von bestimmten Personen und Systemen standardmäßig vertraut wird. Mit einem Zero-Trust-Sicherheitsmodell vertrauen Sie niemandem und nichts. Kein Benutzer oder Gerät hat völlig uneingeschränkten, vertrauenswürdigen Zugriff auf alle Anwendungen – einschließlich E-Mail – oder Netzwerkressourcen. Dieses Umdenken ist besonders wichtig, wenn Sie über Multi-Cloud-Umgebungen und eine dezentrale oder hybride Belegschaft verfügen. Vertrauen Sie E-Mails nicht, nur weil sie über eine E-Mail-Authentifizierung verfügen, von seriösen Domänen stammen oder „von“ jemandem kommen, mit dem Sie in der Vergangenheit bereits kommuniziert haben. Entscheiden Sie sich für eine Cloud-E-Mail-Sicherheitslösung, die auf dem Zero-Trust-Modell basiert (Cloudflare Area1) und es Angreifern erschwert, das bestehende Vertrauen in „bekannte“ Absender auszunutzen. Und drittens sollten Sie eine phishing-resistente Multi-Faktor-Authentifizierung über Hardware-Sicherheitsschlüssel einsetzen, die zu den sichersten Authentifizierungsmethoden gehören und Netzwerke selbst dann schützen können, wenn Angreifer Zugang zu Benutzernamen und Passwörtern erhalten. Wir haben sie selbst als sehr nützlich erlebt. Abschließend ist, wie bereits erwähnt, der menschliche Faktor entscheidend, wenn es um Cybersicherheit im Allgemeinen und Phishing im Besonderen geht. Schaffen Sie daher eine paranoide Kultur ohne Schuldzuweisungen. Zeit ist im Falle eines Angriffs entscheidend. Menschen machen Fehler, und Mitarbeiter sollten sich nicht scheuen, sofort zu melden, wenn sie Zweifel an etwas haben, das sie getan haben, z. B. wenn sie auf einen falschen Link klicken oder wenn sie eine verdächtige Aktivität bemerken.
Inwiefern hat sich die Identitätstäuschung als Teil der Phishing-Bedrohungen entwickelt, und warum ist das besorgniserregend?
Bedrohungen durch Identitätstäuschung sind auf dem Vormarsch. Bei immer mehr Angriffen wird die Identität einer anderen Person vorgetäuscht – die am dritthäufigsten vorkommende Kategorie von E-Mail-Bedrohungen. Zwischen dem 2. Mai 2022 und dem 2. Mai 2023 wurden 14,2% der Erkennungen auf Identitätsbetrug zurückgeführt, was einem Anstieg von 10,3% im Jahr zuvor entspricht. Diese Angriffsart nimmt viele Formen an, einschließlich Marken-Impersonation und Kompromittierung von Geschäfts-E-Mails (BEC).
Welche anderen Erkenntnisse aus der Studie sind besonders relevant und sollten Unternehmen im Bereich der Cybersicherheit berücksichtigen?
Es kommt vor, dass die vertrauenswürdigsten Marken auch die sind, die am häufigsten nachgeahmt werden. Sie variieren von einer Region zur anderen. In Europa waren die am häufigsten nachgeahmten Marken die Weltgesundheitsorganisation (insbesondere mit COVID), Louis Vuitton, Investec, Chanel und die Generali Group. Und schließlich unterstreicht der Bericht, wie schnell, kreativ und anpassungsfähig Angreifer sind. Unternehmen und Organisationen des öffentlichen Sektors müssen daher sicherstellen, dass sie, wie oben erläutert, bestmöglich vorbereitet und ausgerüstet sind, angefangen mit einer robusten Zero-Trust-Lösung.
Be the first to comment