Wenn man online nach Begriffen wie „Cyber-Hacker“ sucht, besteht das Ergebnis meist in unzähligen Bildern vermummter Schattengestalten, die sich verschwörerisch über einen Laptop beugen. Diese plakativen Suchergebnisse haben nur ein Problem: Menschliche Hacker sind heutzutage in der Minderheit. [...]
Stattdessen geht annähernd die Hälfte (47 Prozent) des gesamten Internetverkehrs auf Bots zurück. 30 Prozent der Bot-Aktivitäten wiederum zeigen eine böswillige Charakteristik. Dank dieser Automatisierung lassen sich Angriffe in großem Maßstab durchführen, und das schnell und kostengünstig. Fachkenntnisse sind dazu kaum noch nötig. Das Ganze wirkt wie eine Art KI-gestützter Demokratisierungsprozess. Allerdings keiner, bei dem weniger technisch affine Mitarbeitende die Chance bekommen, neue Aufgaben zu übernehmen. Vielmehr wird die Einstiegshürde bei der Verwendung von Bots deutlich gesenkt. Build-A-Botnet und andere gebrauchsfertige Kits kann man problemlos online mieten oder kaufen, und sie stehen für beliebige Angriffsvektoren für den Einsatz bereit.
Natürlich kann man Bots mithilfe von KI-gestützter Sicherheit auch dazu einsetzen, um Systeme zu härten oder Gefahren abzuwehren. So lassen sich etwa Protokolldaten analysieren und Verhaltensregeln durchsetzen, aber auch Sicherheitsvorfälle erkennen und die Reaktionen darauf priorisieren. Der Versuch, KI-gestützten Angriffen auf Bot-Basis mit manueller Intervention zu begegnen, würde die meisten IT-Teams jedoch rasch überlasten. Genau hier unterstützt KI dann auch die Verteidigungsmaßnahmen im großen Stil – mit neuen Funktionen und auf eine Weise, die wirtschaftlich sinnvoll ist.
Die Größenvorteile auf Angreiferseite
Bots erlauben es, Methoden einzusetzen, die unbezahlbar wären, würden Menschen sie ausführen. Beispielsweise liegt die Erfolgsquote beim Credential Stuffing bei 0,1 bis 2 Prozent. Angesichts der Fähigkeit von Bots, Tausende solcher Angriffe zu starten, lohnt sich diese Investition selbst dann, wenn der prozentuale Gewinn minimal zu sein scheint.
Niedrige Kosten, hohe Belohnung
Die Rendite ist vor allem dann hoch, wenn man sich die Preise für Bot-Kits ansieht, die schon ab 99 US-Dollar zubekommen sind. Im Gegensatz dazu sind die finanziellen Auswirkungen eines Bot-Angriffs für Unternehmen enorm und kosten diese durchschnittlich 85,6 Millionen US-Dollar. Das entspricht dem durchschnittlichen Äquivalent von etwa 50 Ransomware-Zahlungen.
Diese Zahlen versprechen einem Angreifer hohe Gewinnspannen. Außerdem braucht man selbst bei dezentralen Botnetzen nicht viel Zeit, um sich mit komplexen technischen Prozessen und Protokollen vertraut zu machen.
Dezentrale Botnetze
Dezentrale Botnetze sind inzwischen zahlenmäßig so weit verbreitet, dass sich Angriffe normalerweise nicht mehr stoppen lassen, indem man kompromittierte Vektoren isoliert. Das liegt daran, dass IT-Verantwortliche sich mit dezentralen und P2P-Prinzipien befassen müssen. Einzelne IT-Bausteine dienen hierbei sowohl als Server als auch als Client. Das verhindert in einem verteilten Netzwerk zielsicher einen klar erkennbaren Angriffsvektor. In Sachen Verteidigung sorgt das für mehr Widerstandsfähigkeit und ist von Vorteil. Allerdings gilt das auch für Angriffsszenarien mit enorm vielen Bots, die sich nicht einfach abschalten lassen. Es ist aber nicht nur die schiere Zahl. Auch die Komplexität und die Anzahl der Mutationen der Bots wächst. Fortgeschrittene Bot-Skripts sind mittlerweile in der Lage, grundlegende menschliche Verhaltensweisen auf Websites nachzuahmen, wie etwa individuelle Tastenanschläge und Mausbewegungen. Und selbst acht Jahre nachdem das Mirai-IoT-Botnetz Millionen anfälliger IoT-Geräte infiziert hat, finden sich in modernen Botnetzen noch immer Varianten dieses Quellcodes. Ein Beispiel ist NoaBot, das seit 2023 auf SSH-Server für Krypto-Mining abzielt.
Finanzielle Anreize
Ob das Ziel nun die unbefugte Nutzung von Computerressourcen oder das Erpressen von Lösegeld ist: Cyberkriminellen muss es nur ein einziges Mal gelingen, sich Zugriff zu verschaffen, während Unternehmen ständig für ihre Sicherheit sorgen müssen. Angreifer profitieren also von Skaleneffekten, indem sie Angriffe in beispiellosem Ausmaß lancieren. Über das Phorpiex-Botnetz wurden Berichten zufolge Millionen Nachrichten mit LockBit Black (3.0) übermittelt. Dabei handelt es sich um eine Form von Ransomware-as-a-Service. Mit dem Dienst verbundene Benutzer bekommen eine Provision, wenn die Opfer ihre Zahlungen leisten. Angreifern ist natürlich bewusst, dass der Schaden für ein Unternehmen weit über den finanziellen Verlust hinausgeht. Die Kosten für den Rufschaden lassen sich zwar schwer beziffern, wirken sich aber langfristig aus. Addiert man diesen zu den Kosten für Wiederherstellung und Ausfallzeiten, summiert sich das bis zum Zehnfachen des ursprünglichen Lösegeldbetrags.
Es geht also nicht nur darum, ob ein Unternehmen sich diese Zahlungen leisten kann. Es geht darum, ob es sich leisten kann, die Zahlung nicht zu leisten. Das gilt nicht zuletzt angesichts der steigenden Zahl bösartiger Bots, die ihre Gestalt stetig modifizieren.
Evasions-Taktiken
Der Anstieg von KI-gesteuerter polymorpher Malware erlaubt es Bots, die Erkennung von Nutzerdaten automatisch zu umgehen. Das zeigt sich beispielsweise bei polymorpher Schadsoftware wie BlackMamba. Hier verändert generative KI die Codestruktur und die Signatur dynamisch, ohne dabei ihre Funktionalität zu beeinträchtigen. Das erlaubt es Angreifern und Bots nach der Infiltration eines Netzwerks langfristig unentdeckt zu bleiben.
Die Größenvorteile auf der Seite der Verteidiger
Aber nicht nur die Angreiferseite profitiert von den Segnungen der KI, sondern auch die Cybersicherheit. In einem Bot-gegen-Bot-Szenario kommt dann eine Bot-basierte Verteidigung in Echtzeit zum Einsatz. Sie beginnt bei den Grundlagen in vier wirtschaftlich sinnvollen und skalierbaren Bereichen.
Zentralisierte Sicherheitsprozesse
Bots sind in der Lage, sich dynamisch anzupassen. Um den Betrieb im großen Stil abzusichern, kann man eine adaptive Authentifizierung verwenden, beispielsweise dynamische MFA. Beispiele sind neue Anmeldungen oder Anmeldungen mit einem höheren Risikowert. Hier wird automatisch eine zusätzliche Überprüfung angefordert. Diese Methode gegen Bot-Angriffe hilft dabei, einige Herausforderungen bei der Verwaltung großer und oft fragmentierter Netzwerke in den Griff zu bekommen.
Austausch von Threat Intelligence
Wenn man die typischen Silos überwindet, lassen sich nützliche Daten und Erkenntnisse austauschen, die bei der Eindämmung von Bedrohungen helfen. Es geht nicht nur darum, „Datenmüll“ von sinnvollen Daten zu trennen, sondern alle Daten so zu filtern, um Muster in Bot-basierten Verhaltenssignalen zu erkennen. Der Mehrwert entsteht durch die Kombination von maschinellem Lernen und KI, um mithilfe von „User and Entity Behavior Analytics“ (UEBA) Profile für die Echtzeiterkennung zu erstellen.
Automatisierte Verteidigung
Durch die Verbesserung und Erweiterung von Profilen, verbessern auch Bots die automatische Angriffserkennung und minimieren Fehlalarme. Diese Daten werden schließlich zu einer Quelle für Business Intelligence und liefern umsetzbare Erkenntnisse, um die Sicherheitslage insgesamt zu optimieren. Cybersicherheitsexperten können ihrerseits die gewonnene Zeit nutzen, um sich komplexeren Problemen zu widmen. Respektive können sie strategisch planen, statt täglich auf Vorfälle reagieren zu müssen. Das schafft Mehrwert und schont die Unternehmensressourcen.
Kosteneinsparungen
Bot-Scans zu implementieren, spart zusätzlich Kosten. Damit lassen sich bot-bedingte Traffic-Spitzen und Auswirkungen auf die Bandbreite abmildern und so die Kosten für die IT-Infrastruktur senken. Dazu kommen Vorteile bei der User und Customer Experience. Beispielsweise kann es in einem E-Commerce-Shop mit überlasteten Servern zu einer höheren Website-Latenz kommen. Amazon stellte fest, dass jeweils 100 Millisekunden Latenz 1 Prozent der Verkäufe kostet. Beim E-Commerce dominiert die Verbraucherseite das Kräfteverhältnis. Was die KI im Bereich der Cybersicherheit angeht, ist das Verhältnis aufgrund von Bots jedoch etwas heikler.
Das Kräfteverhältnis
Der Anstieg bei Remote Work und dezentralen Arbeitsmodellen bedeutet gleichzeitig, dass mehr Anwendungen, mehr APIs und mehr Systeme ins Spiel kommen. Diese Endpunkte werden kontinuierlich zum Ziel von bösartigen Bots, und damit zu einer fortschrittlichen und anhaltenden Bedrohung.
Ein ständiges Wettrüsten
Auch wenn es gelingt, Bots den Zugriff zu verwehren, können sie dennoch wiederholt angreifen, ohne dass hohe Kosten entstehen. Bei der Verteidigung sieht das anders aus. Diese KI-basierten Varianten traditioneller Brute-Force-Angriffe wirken sich auf Websites ähnlich aus wie Angriffe vom Typ „distributed denial-of-service (DDoS)“. Die Server werden langsamer und die Reaktionszeiten verzögern sich.
Darüber hinaus hat ein herkömmliches CAPTCHA keinerlei abschreckende Wirkung mehr. KI-gestützte Bots nutzen heute APIs, um Menschen – die in CAPTCHA-Farmen arbeiten – dazu zu veranlassen, die herkömmlichen Challenge Response Authentication Mechanisms in Echtzeit zu lösen.
Kontinuierliche Innovation
Nehmen wir das Beispiel Credential Stuffing. Die entsprechenden Angriffe profitieren nicht nur von der Automatisierung. Viele im Alltag genutzte Systeme und Apps verlassen sich immer noch auf Passwörter. Diese Passwörter sind oft schwach, werden online weitergegeben und wiederverwendet (für bis zu 16 von 22 Konten). Dadurch vergrößert sich die potenzielle Angriffsfläche weiter. Firmen sollten mehr tun als bloßes Patchen und sich auf passwortlose und mehrschichtige Methoden konzentrieren. Die lassen sich weniger leicht von Bots umgehen oder fälschen.
Die KI aufrüsten – Ende nicht in Sicht
Dank der sich vergrößernden Angriffsfläche kommen Bots immer häufiger an Endpunkten und in Hybridarchitekturenzum Zug. Die wachsende Zahl hochentwickelter Botnetze, für die man so gut wie keine fachliche Expertise braucht, machen botbasierte Angriffe wirtschaftlich äußerst lukrativ.
Auf der Seite der Verteidigung sollte man ähnliche ökonomische Vorteile erzielen können. Dazu müssen aber bestimmte Voraussetzungen erfüllt sein. Es gilt Abläufe zu zentralisieren und Erkenntnisse für prädiktive Strategien zu gewinnen. Wenn man zwischen verschiedenen Stellen Informationen austauscht, lässt sich die Abwehr gemeinsam verbessern. So wie KI-Bots den Angreifern mehr Optionen bieten, erlauben sie durch die Automatisierung zusätzliche Möglichkeiten bei der Schadensminderung, der Verteidigung und erlauben es sogar, Kosten zu sparen. Im Übrigen trägt das auch dazu bei auf der menschlichen Seite Kenntnisse und Fähigkeiten weiterzuentwickeln.
Fazit
In einer sich ständig verändernden Bedrohungslandschaft wird das Rennen Bot versus Bot-KI mit Hochdruck weitergehen. Firmen tun also gut daran, auf dem Laufenden zu bleiben, was das Thema KI-basierende Cybersicherheit angeht.
*Der Autor Stephan Hausmann ist Software Sales Engineer für Identity und Access Management (EMEA), One Identity.
Be the first to comment