Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene

Redaktion: Heinz Schmitz


Safer Internet Day

Safer Internet Day
Anlässlich des Safer Internet Day rufen Experten dazu auf, die eigen Aktivitäten im Netz zu überdenken. (Quelle: geralt/Pixabay)

Seit nunmehr 15 Jahren findet jährlich im Februar der internationale Safer Internet Day (SID) statt. Am heutigen Aktionstag ruft unter anderem die EU-Initiative klicksafe zu mehr Achtsamkeit im Netz auf. Auch Sicherheitsexperte Avira nimmt diesen Tag zum Anlass, um auf verschiedene Malware-Arten und deren Schadenspotential aufmerksam zu machen. In einem aktuellen Blogbeitrag beschreibt Avira die größten Cyber-Gefahren, deren Aufkommen neben dem persönlichen Verhalten im Web auch von länderspezifischen Sicherheitsstandards abhängig ist. Um bestmöglich gegen Angriffe gewappnet zu sein, definiert Alexander Vukcevic, Leiter des Avira Protection Labs, folgende Schutzmaßnahmen:

 

  1. Achten Sie auf PUA-Warnungen Ihrer Software: PUA/CryptoMiner zapfen die Rechenleistung Ihres Computers an.

 

  1. Öffnen Sie keine verdächtigen E-Mails oder deren Anhänge: TR/Dropper wird bspw. bei Phishing-Angriffen verwendet.

 

  1. Laden Sie Apps mit Bedacht herunter: PUA/OpenCandy lässt sich nicht komplett durch Sicherheitssoftware blocken. InstallCore greift in die Suchleiste des Browsers ein und drosselt die Laufgeschwindigkeit des PCs.

 

  1. Verwenden Sie Sicherheitssoftware, die Webseiten nach Infektionen durchsucht: HTML/Infected.

 

  1. Schließen Sie Sicherheitslücken mit Patches, z. B. im Windows-Treiber für OpenType-Schriftarten. Durch Updates kann der Exploit verhindert werden.

 

KI – Freund oder Feind?

Phishing Mails, die Passwörter entlocken, falsche Online-Aufforderungen zur Bekanntgabe von Bankdaten oder Fake News – der Safer Internet Day sensibilisiert für die Bedrohungen im Netz und von IT-Systemen. Der Hackerangriff auf den Bundestag Ende des letzten Jahres und die Cyberattacke "Wanna Cry" auf die Deutsche Bahn im Mai 2017 sind nur zwei Beispiele für Angriffe auf die IT-Systeme von Staat und Wirtschaft. Holger Hanselka, Lenkungskreismitglied der Plattform Lernende Systeme und Präsident des Karlsruher Instituts für Technologie (KIT) erklärt im Interview, wie Künstliche Intelligenz (KI) die IT-Sicherheit verbessern kann und wo sie Einfallstore für neue Bedrohungen eröffnet.

 

Im Jahr 2017 belief sich der durch Wirtschaftsspionage, Sabotage oder Datendiebstahl entstandene Schaden in Deutschland auf 55 Milliarden Euro, so eine Studie des Bitkom. Mit der zunehmenden Vernetzung von Unternehmen und öffentlichen Einrichtungen im Zuge der Digitalisierung wächst deren potenzielle Verwundbarkeit durch Cyber-Angriffe. Und die rasanten Fortschritte im Bereich der KI und des maschinellen Lernens sorgen für eine neue Dynamik bei der IT-Sicherheit.

 

Herr Hanselka, wie kann Künstliche Intelligenz Internetanwendungen sicherer machen?

Generell gilt: Ein Schutz nur an den Außengrenzen eines komplexen IT-Systems reicht nicht aus. Denn wir müssen auch reagieren können, wenn ein Teil des IT-Systems von einem Angreifer übernommen wurde. Hierfür brauchen wir eine verlässliche Angriffserkennung und genau dort werden KI-Systeme ihr großes Potential ausspielen können und die Sicherheit substantiell erhöhen. Auch ist es möglich, IT-Systeme vorausschauend gegen Angreifer zu härten, indem man das System von KI- Systemen angreifen lässt und so Schwachstellen entdeckt, bevor es in die Anwendung geht. Aber uns muss klar sein: KI hat wie viele Technologien einen Dual-Use-Charakter. So kann die Anwendung von KI einerseits IT- Systeme „härten“. Andererseits kann das Angreifen mit KI zu einem neuen Wettlauf zwischen Angreifern und Verteidigern führen.

 

Drohen also neue Gefahren, wenn auch Cyberkriminelle Künstliche Intelligenz nutzen?

Genau, denn selbstverständlich setzen auch die "Gegner" KI ein und es werden hier zwei Effekte auftreten. KI-Systeme können völlig neue Verwundbarkeiten aufdecken und Angriffe erkennen. Gleichzeitig werden aufwendige Angriffe, die bisher nur menschliche Experten durchführen können, in Zukunft automatisiert von statten gehen und so in viel größerer Zahl vorkommen. Ich denke hier vor allem an das Social Engineering. Hier geht es darum, Menschen durch geschickte Täuschung zu veranlassen etwa ihre Bankdaten preiszugeben. KI-Systeme können ebenso maßgeschneiderte Phishing-Mails automatisieren, wie in echt wirkenden Telefonanrufen vortäuschen, Menschen zu sein, denen man dringend das Passwort geben muss. Aber Social Engineering wird, weiter gefasst, auch gezielte Beeinflussung durch Halbwahrheiten oder Fake News umfassen. Hier ist es besonders beunruhigend, dass KI-Systeme schon automatisiert Video- und Audiodateien verfälschen können, Menschen aber das, was man sieht oder hört, als sehr glaubwürdig empfinden.

 

Welche Herausforderungen sind zu meistern, um das Potenzial der Künstlichen Intelligenz für die IT-Sicherheit auszuschöpfen?

Bei der IT-Sicherheit wollen wir belastbare Garantien geben. Daher können wir IT-Sicherheit nicht einfach ausprobieren, da man die Absichten und den Plan eines intelligenten Angreifers nicht vorausahnen kann. Eines der Probleme, die es beim Einsatz von KI gibt, ist, dass wir bisher nicht verstehen, warum eine KI dies oder jenes tut. Hier brauchen wir dringend weitere Forschung und Fortschritte in dieser Frage, bevor man sich auf KI-Systeme in kritischen Entscheidungen verlassen kann. Eine Kombination aus klassischen Algorithmen und KI könnte ein Weg sein, bei der die Algorithmen die Vorschläge der KI überprüfen. Eine weitere Möglichkeit wären KI-Systeme, die nicht nur Entscheidungen ausgeben, sondern auch den Grund für die Entscheidung nennen.

 

Gerade im Umfeld der IT-Sicherheit bleibt also noch einiges zu erforschen.

Wir brauchen einen systematischen ingenieurwissenschaftlichen Zugang zur IT-Sicherheit, gerade in einer immer komplizierteren Welt, in der nicht immer klar ist, ob die KI Freund oder Feind ist.

 

Wie gefährlich ist der Talentmangel im Bereich Cybersecurity?

Zum Safer Internet Day 2019 berichtet Marcin Kleczynski, Gründer und CEO von Malwarebytes, über den Talentmangel im Bereich Cybersecurity und die Gefahr, dass Kriminelle immer einen Schritt voraus sind, weil qualifizierte Fachkräfte fehlen: "Hacker haben schon in den 1990er Jahren realisiert, dass es zwar grundsätzlich Spaß machen kann, Codes von Videospielen zu knacken und Daten von unbedarften Nutzern zu stehlen, aber leider gab es darüber hinaus tatsächlich echtes Geld zu verdienen. Hacker suchten daraufhin nach neuen, komplexeren Angriffen.

 

Mittlerweile haben sich Cyberkriminelle einen deutlichen Vorteil verschafft und Wege gefunden, um aus Sicherheitslücken enormes Kapital zu schlagen. Unternehmen auf der ganzen Welt werden von immer destruktiveren Cyberangriffen wie NotPetya und WannaCry hart getroffen. NotPetya etwa lähmte vor nicht allzu langer Zeit große Unternehmen wie FedEx und Merck und verursachte damit insgesamt mehr als zehn Milliarden US-Dollar Schaden.

 

In allen Branchen sind Experten deshalb fieberhaft auf der Suche nach den richtigen IT-Sicherheitstalente - diejenigen, die ausgebildet, zertifiziert und in der Lage sind, den heutigen IT-Bedrohungen einen Schritt voraus zu sein. Dieser Talentmangel bietet Cyberkriminellen eine unglaubliche Chance, Netzwerksicherheitsteams mit einer Vielzahl von Bedrohungsmeldungen und Fehlalarmen zu überwältigen und Unternehmen damit in ernsthafte Bedrohungslagen zu versetzen. Ob Banken, Einzelhandel, Produktion oder Bildung – keine Branche ist immun gegen Cyber-Bedrohungen und jede muss ihre Sicherheitsstrategien weiterentwickeln, um mit der heutigen Bedrohungslandschaft Schritt zu halten.

 

Die Zunahme von Sicherheitsereignissen veranlasst Unternehmen dazu, kurzfristig Sicherheitsbudgets zu erhöhen. Die Malwarebytes-Studie „The True Costs of Fighting Cybercrime“ fand heraus, dass die durchschnittlichen globalen Kosten für die Behebung nur eines einzigen großen Sicherheitsereignisses ca. 290.000 US-Dollar für ein 2.500 Mitarbeiter umfassendes Unternehmen betragen – das entsprach in etwa 25 Prozent des gesamten Budgets im Bereich Cyber-Sicherheit, das solchen Firmen zur Verfügung steht. In den USA steigen die durchschnittlichen Kosten auf über 429.000 US-Dollar.

 

 

Auf der anderen Seite fühlen sich allerdings 30 Prozent der US-Sicherheitsexperten für ihre Arbeit ungerecht entlohnt. Eine echte Diskrepanz, in deren Folge sich sogenannte „ethische Hacker“ der deutlich lukrativeren Black Hat-Community anschließen.

 

Mit dem Potenzial für einen Black Hat (Hacker mit krimineller Intention), mehr als 100.000 Dollar im Monat zu verdienen, ist es keine Überraschung, dass ein IT-Sicherheitsexperte mit einem Anfangsgehalt von 65.000 Dollar pro Jahr versucht sein könnte, sich den Gray Hats (Hacker, die sich mit Sicherheitssystemen und deren Schwachstellen mit einem höheren Ziel auseinandersetzen) anzuschließen, um sein Einkommen zu erhöhen. Die White Hats (Hacker, die ihr Wissen innerhalb der Gesetze bspw. für Penetrationstests einsetzen) sind sich dieser Unterschiede schmerzhaft bewusst. Tatsächlich glauben fast 60 Prozent der legitimen Sicherheitsexperten, dass Black Hats mehr Geld verdienen als sie. Das wirft natürlich die Frage auf: Ist es das Risiko wert, die Seite zu wechseln? Fast jeder zehnte Sicherheitsprofi in den USA denkt das tatsächlich und hat sich mit der Black-Hat-Thematik beschäftigt.

 

Wie können die Guten gewinnen?

Wie können sich Unternehmen also schützen und Cyberkriminalität besiegen, wenn die Aussichten für Cyberkriminelle so gut stehen? Unternehmen sollten in ihre Mitarbeiter investieren, ihnen eine kontinuierliche Weiterbildung ermöglichen. Cyberkriminelle entwickeln ihre Techniken jeden Tag weiter. Man muss kontinuierliche Aus- und Weiterbildung und ein Netzwerk von gleichgesinnten Fachleuten anbieten, um das Wachstum der Mitarbeiter weiter zu fördern. Auch im Bereich der durchschnittlichen Amtszeit eines CSO oder CISO von etwa 18 Monaten muss bessere Arbeit geleistet werden, um professionelle Mitarbeiter zu halten und zu belohnen.

 

Um dies zu erreichen, müssen wir die Notwendigkeit einer angemessenen Sicherheitsfinanzierung auf die Ebene der Geschäftsleitung und des Vorstands hochstufen. Dazu gehört auch die Aktualisierung von Endgerätesicherheitslösungen sowie die Einstellung und Belohnung der besten und leistungsfähigsten Sicherheitsexperten, die Endgeräteschutz-, Erkennungs- und Abhilfelösungen verwalten.

 

Wir brauchen eine Neugestaltung unseres Bildungssystems. Wir müssen junge Menschen – Jungen wie Mädchen – für sogenannte MINT-Fächer begeistern sowie über die Gefahren des Internets aufklären, wie sie sicher sein können und auf der Guten Seite bleiben können.  Eine frühzeitige Einführung in MINT-Fächer vor dem Gymnasium, mit Einführungskursen zur IT-Sicherheit sollte junge Leute darin ermutigen, Sicherheit als eine Karrieremöglichkeit zu betrachten.

 

Der sich ausweitende Fachkräftemangel ist hauptsächlich auf ein Defizit an Bildung und Bewusstsein während der Schulzeit zurückzuführen. Wir brauchen einen radikalen Wandel, um Jugendliche mit technischen Fähigkeiten davon zu überzeugen, verantwortungsvolle Wege einzuschlagen und nicht als Black Hat ihr Geld zu verdienen. Schulen müssen sich Außenseitern annehmen und ihnen helfen, ihre Fähigkeiten positiv einzusetzen, damit sie nicht versucht sind, sich der dunklen Seite anzuschließen. Als Beispiel aus den USA: anstatt alle Cyberkriminelle strafrechtlich zu verfolgen, hat das FBI Initiativen angestoßen, Straftäter im Cybersecurity-Bereich rekrutieren und sie damit für sich zu gewinnen. Ein Ansatz, der Schule machen sollte."

 

Siehe auch:

https://www.klicksafe.de/ueber-klicksafe/safer-internet-day/sid-2019/

https://de.malwarebytes.com/

https://blog.avira.com/de/der-standort-zaehlt-bei-getraenken-wie-bei-malware/

https://blog.malwarebytes.org/

Zurück