Experten-Interview: Dr. Yvonne Bernard über Künstliche Intelligenz

Experten-Interview: Dr. Yvonne Bernard über Künstliche Intelligenz

 

Das Thema Künstliche Intelligenz ziert derzeit jede Diskussion über Digitalisierung. Als ehemalige Forscherin für offene Systeme und Vertrauens- und Sicherheitsmechanismen, hat diese Entwicklung unseren Head of Productmanagement Dr. Yvonne Bernard dazu veranlasst einmal genauer hinzusehen. In ihrem kürzlich veröffentlichten Beitrag: „AI – the same procedures as last century?“ blickt sie hinter den aktuellen Hype. Im folgenden Interview mit Yvonne erfassen wir die Hintergründe der innovativen Technologie, werfen einen Blick auf die Anwendung von künstlicher Intelligenz im unternehmerischen Kontext und diskutieren abschließend den Einsatz in der IT-Sicherheit.

Was hat dich dazu veranlasst, dem Thema KI nochmal näher nachzugehen?

Vor allem in den letzten Jahren habe ich eine enorme Zunahme von KI-Technologien festgestellt, die von Technologieunternehmen und Anbietern auf der ganzen Welt eingesetzt und – vielleicht noch wichtiger – beworben werden. Da ich mich in Forschung und Lehre bereits einige Jahre mit dem Thema auseinandergesetzt habe, war ich wirklich neugierig: Haben sich die Mechanismen, die ich an der Leibniz Universität Hannover genutzt und gelehrt habe, weiterentwickelt? Zwar dauert die Grundlagenforschung wie man sagt bis zu 20 Jahre, um (wenn überhaupt) aus der Grundlagenforschung in der wirtschaftsrelevanten Technologie herausgenommen zu werden, aber um ehrlich zu sein, ein Teil der Dinge, die wir damals genutzt haben wie z.B. Künstliche Neuronale Netze, waren bereits damals schon älter als ich.

Wenn du sagst, diese Technologie existiert bereits seit Jahrzehnten, warum wird sie erst jetzt angewandt?

Was den Einsatz von KI-Technologien mittlerweile wirklich lohnenswert macht, ist die Möglichkeit große Datenmengen zu speichern und zu verarbeiten und auch die Verarbeitungsschemata bei Bedarf anzupassen. Big Data bedeutet nicht, alles zu speichern und dann zu gucken was man damit macht: Man muss sich durchaus Gedanken um Datentypen machen, um auf Grundlage dieser Datenmengen effizient und effektiv rechnen zu können. Auch die Vermarktung dieser Technologien, die bereits seit Jahren angewendet werden, hat natürlich ihren Beitrag zum Hype geleistet. Ein weiterer Aspekt, ist die wachsende Anzahl und Qualität von frei verfügbaren und nicht mehr nur von Forschen nutzbaren Bibliotheken. Man muss nicht mehr lange nach geeigneter Software oder Frameworks suchen, um seine KI-Ideen in funktionierenden Code umzusetzen. Zu nennen wären hier Frameworks wie TensorFlow, Caffe und CNTK. Somit wird KI zunehmend zur schnellen und (nahezu) optimalen Lösung von realen Problemen eingesetzt.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Was hat den Einsatz von KI in Unternehmen überhaupt möglich gemacht und worin besteht die Notwendigkeit?

Wie bereits erwähnt, sind vor allem die steigende Anzahl und Qualität an Bibliotheken sowie die Möglichkeit mit großen Datenmengen zu arbeiten, Wachstumstreiber der Anwendung von KI im unternehmerischen Umfeld. Darüber hinaus können mittlerweile ganz neue und zusätzliche Techniken wie das Supervised Machine Learning, zu Deutsch: überwachtes Lernen, eingesetzt werden. Hier wird eine bestimmte Teilmenge der verfügbaren Gesamtdaten verwendet, bei der man davon ausgeht, dass sie den Daten, für die die Algorithmen angelernt werden, sehr ähnlich sind. Ein „verlernen“ gewünschter Eigenschaften soll somit ausgeschlossen werden. Zum Vergleich: In Forschungslaboren muss immer darauf geachtet werden, dass die anzuwendenden Algorithmen gut parametrisiert und für den anvisierten Datensatz geeignet sind. Im Geschäftsleben möchte und kann man diese Zeit oft nicht aufwenden, um jeden möglichen Parametersatz zu bewerten. Zudem ist ein Lernalgorithmus, der etwas Unerwartetes lernt, für einen Forscher großartig, kann im Geschäftsleben jedoch nicht toleriert werden.

In welchen Branchen und Abläufen siehst du die größten Chancen für die Anwendung von Künstlicher Intelligenz?

Es ist sicher zu sagen, dass die KI nicht die einzige Lösung für jedes der heutigen Probleme sein wird. Aber es gibt Bereiche, in denen KI-Techniken einfacher und zugänglicher denn je sind und nichts sollte Entwickler und Systementwickler davon abhalten, die ehemalige reine Forschungstechnologie in irgendeiner Weise zu nutzen, die ihnen hilft, eine gute (oder wenn möglich die beste) Lösung für ihre realen Probleme zu finden. Ich möchte betonen, dass – auch bei Hornetsecurity – bereits viele Verfahren aus der Menge der KI-Methoden schon seit Jahren erfolgreich im Einsatz sind. Früher wurden derartige Verfahren jedoch nicht bewusst beworben, wohingegen KI heute als Qualitätskriterium oder zumindest als innovativ wahrgenommen wird. Allgemein ist die Anwendung grundsätzlich im Bereich der Optimierungsverfahren verbreitet und auch zu empfehlen, da reine Heuristiken oftmals qualitativ nicht ausreichen, die Ermittlung der eindeutig optimalen Lösung jedoch aufgrund der Laufzeitkomplexität nicht in der erwünschten Zeit möglich wäre. Geeignete Lernverfahren können hier in kurzer Zeit hervorragende Ergebnisse erzielen – wenn man sie sinnvoll zu verwenden weiß. Optimierungsverfahren lassen sich in nahezu allen Branchen finden.

Und abschließend: Bist du der Meinung das Künstliche Intelligenz die IT-Sicherheit beeinflussen und verändern wird?

Ja, absolut, und zwar in beide Richtungen: Nicht nur die Security-Forschung, sondern auch die Angreifer werden die Zugänglichkeit dieser Technologien verstärkt nutzen. Mit dem umfassenden Verständnis und der bereits seit vielen Jahren angewandten Erfahrung für diese Algorithmenklasse, sind wir bei Hornetsecurity bereits bestens auf dieses „Arms Race“ vorbereitet.

Ghidra – Reverse Engineering Tool der NSA

Ghidra – Reverse Engineering Tool der NSA

Am 5.3.2019 wurde das lange erwartete Reverse Engineering Tool des US-Geheimdienstes NSA auf der RSA Conference vorgestellt. Unser Head of Product Management Dr. Yvonne Bernard war live vor Ort dabei und schildert hier ihre Eindrücke.


Ghidra! – selbst unser Security Lab ist gespannt, was das Tool, das die NSA als “Open Source Software” veröffentlichen wird, mitbringt. Reverse Engineering Tools sind rar und hochpreisig – für Security Researcher und Malware Analysten aber unerlässlich um verdächtigen Dateien auf den Zahn zu fühlen. Der Andrang zum Vortrag von Rob Joyce, Senior Advisor for Cybersecurity (NSA), war entsprechend groß, sodass der Vortragsraum vergrößert werden musste. Rob Joyce startete seinen Vortrag mit einer Prise Humor, denn er stellte fest, dass die Hälfte der Zuschauer doch nur dabei sei, weil “NSA” im Titel stand.
Direkt eingehend stellte er klar, das Tool habe keine Backdoor; wenn es eine Community gebe in der man es sich nicht erlauben könne, dann sei es diese. Gegebenenfalls anders als bei offenen Betriebssystemen – „Each of your Android phones has a little bit of NSA in it“. Erste Stimmen im Netz wiederlegen jedoch die Aussage zu fehlenden Hintertüren bei Ghidra – derzeit ist der Java Debug-Port im Gespräch.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Ghidra bietet eine große Bandbreite von nützlichen Funktionen für Security Researcher und es ist für kollaborative Nutzung ausgelegt: Analysten können auf Projektbasis zusammenarbeiten und Informationen einfach und weltweit teilen. Dies ist eines der Ziele die sich der Geheimdienst mit der Veröffentlichung setzte.
Durch die einfache Erweiterbarkeit können Forscher eigene Tools ergänzen und eigene kleine Programme z. B. in Java oder Python einbinden.
Ein generisches Prozessormodell (Sleigh) im Hintergrund ermöglicht es, bei Veränderungen einzelner Stellen im Binary in allen Schichten direkt die Auswirkungen zu sehen und somit fremde Software besser zu verstehen. Neben dem interaktiven Benutzer-Interface sind auch Batch Jobs möglich, um große Mengen von Analysen gleichzeitig parallel auszuführen.

Ein wichtiges Feature ist die Undo/Redo-Funktion, mit der bestimmte Aktionen rückgängig gemacht werden können, ohne die kompletten Analyseergebnisse zu verstehen. Zudem kann man damit auch Aktionen auf andere Samples übertragen.
Der erste Eindruck des Tools ist sehr vielversprechend, trotzdem wird die Software bei Hornetsecurity allenfalls in isolierten gesicherten Umgebungen nur auf Datenbeispiele, die hierfür geeignet sind, getestet – denn etwas Skepsis bleibt.

Bilder vom Vortrag der NSA über Ghidra

Social Engineering – Wie Hacker ohne Programmierkenntnisse an Daten gelangen

Social Engineering – Wie Hacker ohne Programmierkenntnisse an Daten gelangen

„Es gibt heute keine Technologie, die nicht durch Social Engineering überwunden werden kann.“ (Kevin Mitnick, ehemaliger Hacker & Experte im Bereich Social Engineering)

 

Selbst mit den besten technischen Sicherheitsvorkehrungen besteht in jedem Unternehmen ein Risikofaktor, der nur schwer kontrolliert werden kann: der Mensch. Um Zugriff auf wichtige Daten oder Zugänge zu erhalten, muss ein Hacker nicht nur Computer verstehen, sondern den Menschen an sich. Was genau ist Social Engineering und wie kann man sich davor schützen? Im folgenden Beitrag klären wir die wichtigsten Fragen dazu.

Das steckt hinter „Social Engineering”

Beim Social Engineering geht es um die zwischenmenschliche Beeinflussung einer Person. Dabei versucht der Hacker das Vertrauen des Opfers zu gewinnen und ihn so zum Beispiel zur Preisgabe von vertraulichen Informationen oder zur Freigabe von Kreditkartendaten und Passwörtern zu bewegen.

Social Engineering findet nicht nur im Internet statt, sondern ist eine Betrugsmasche, die schon seit vielen Jahrzenten genutzt wird. Eine der bekanntesten Maschen ist der Enkel-Trick, bei der Trickbetrüger über einen Telefonanruf ältere Menschen davon überzeugen, dass sie ein Verwandter seien und dringend Geld benötigen (Polizeiliche Kriminalprävention, 2017).

Auch auf Online-Partnerbörsen wird Social Engineering von Kriminellen immer wieder angewandt, um sich finanziell zu bereichern. Eine vermeintlich junge, attraktive Frau kontaktiert einen Mann, der offensichtlich auf der Suche nach einer neuen Partnerin ist. Der Betrüger spielt seine Rolle als verliebte Single-Frau so gut, dass das Vertrauen des Opfers nach einem relativ kurzen Zeitraum gewonnen wird. Beispielsweise für eine Reise zum „neuen Partner“, bittet der Kriminelle schließlich um die finanzielle Unterstützung durch das Opfer. Danach wird der Kontakt häufig abgebrochen.

Social Engineering Angriffe auf Unternehmen

Wenn der Social Hack im privaten Umfeld funktioniert, dann sind Unternehmen das nächst höhere Ziel für Kriminelle – vor allem weil hier oftmals höhere Geldbeträge zu erbeuten sind. Das Vorgehen der Hacker verläuft ähnlich wie bei Privatpersonen, wobei das Einholen der nötigen Informationen für einen professionellen Angriff wesentlich mehr Zeit in Anspruch nimmt. So sind hauptsächlich folgende Angaben für Cyberkriminelle relevant:

  • Wer ist der Chef (CEO) des Unternehmens und welche Personen befinden sich in Führungspositionen?
  • Wer ist befugt Überweisungen zu tätigen?
  • Wann ist der Chef im Urlaub oder auf Geschäftsreise?
  • Welche geschäftlichen Aktivitäten finden derzeit statt?

Mit einer gefälschten E-Mail-Adresse, ähnlich der des Vorgesetzten, wendet sich der Hacker mit dringenden Worten zumeist an einen Mitarbeiter, der befugt ist finanzielle Transaktionen durchzuführen.

Beispiele für Social Engineering:

Durch die mutmaßliche Dringlichkeit des Anliegens befindet sich der Empfänger der E-Mail nun in der Situation, dem Auftrag des Vorgesetzten zügig nachzukommen, ohne eventuell große Rückfragen zu stellen. Sind die Daten erst einmal übermittelt, macht sich der Cyberkriminelle direkt ans Werk oder die Überweisung geht direkt auf das Konto der „Social-Hacker“. Große Unternehmen wie der österreichische Luftfahrtzulieferer FACC und der Nürnberger Kabelhersteller Leoni machten 2016 finanziell schwerwiegende Erfahrungen mit dieser Vorgehensweise und mussten einen Verlust von mehreren Millionen Euro erleiden.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Aber Achtung, denn nicht nur Personen aus der Buchhaltung und Geschäftsführer sind gefährdet:

„Hey, hier ist Felix aus der IT-Abteilung. Mir sind bei deinem Account in unserem System ein paar Unregelmäßigkeiten aufgefallen, kannst du mir einmal deine Zugangsdaten geben, damit ich das einmal überprüfen kann?

Gruß Felix

Wie würden Sie auf solch eine Nachricht reagieren? Würden Sie antworten? Sie kennen zwar nicht alle IT-Mitarbeiter, aber Felix ist scheinbar ein Kollege und möchte Ihnen helfen, die Sicherheit der internen IT zu gewährleisten.

Insbesondere in großen Unternehmen kennen die Mehrzahl der Mitarbeiter nicht alle IT-Mitarbeiter. Wer solch einer E-Mail vertraut, ermöglicht den Diebstahl sensibler Daten und gefährdet neben der IT-Sicherheit auch viele weitere Bereiche eines Unternehmens immens.

Phishing, die unpersönliche Art des Social Engineerings

Eine weniger aufwendige Art des Social Engineerings ist die klassische Phishing E-Mail. Meist handelt es sich dabei um gefälschte PayPal E-Mails mit hinterlegtem Link zu einer nachgebildeten Website, der Originalen so ähnlich, dass ein Betrug kaum auffällt. In der E-Mail wird darum gebeten, auf dieser Website seine Login-Informationen zu aktualisieren oder Zugangsdaten zu verifizieren. Jedoch gelangen die Daten so direkt in die Hände der Betrüger.

Anstelle einer persönlichen E-Mail sind diese Nachrichten sehr generisch. Hintergrund der klassischen Phishing E-Mail ist das einfache und weniger aufwendige Verfahren. So werden ganze Massen an E-Mails versendet. Selbst wenn nur ein Bruchteil der Empfänger auf den Trick hereinfällt, hat sich die Social Engineering Attacke für den Hacker gelohnt.

Social Engineering erfordert keine Programmierkenntnisse

Allein durch das Anwenden psychologischer Tricks werden technische Hürden überwunden. Der Hacker nutzt den Menschen als das schwächste Glied der IT-Sicherheits-Kette. Selbst der sicherste Tresor der Welt kann geöffnet werden, wenn die Zugangsdaten an unbefugte Personen weitergegeben werden. So spart sich der Kriminelle einen großen technischen Aufwand und das Risiko durch die IT-Sicherheitsvorkehrungen entdeckt zu werden.

Wenn Sie auf die obige E-Mail von Felix geantwortet hätten, wäre der Hacker innerhalb von wenigen Minuten in das Unternehmensnetzwerk eingedrungen. Ohne Aufwand, ohne Programmierkenntnisse, ohne großes Risiko. Kriminelle nutzen das Grundvertrauen und die Neugier der Mitarbeiter, um Daten oder Geld stehlen zu können.

Wie schütze ich mich und mein Unternehmen vor Social Engineering?

Organisieren Sie regelmäßig präventive Schulungen, in denen Sie sich und Ihre Mitarbeiter für die Gefahren durch gefälschte E-Mails sensibilisieren. Ebenso können reguläre Info E-Mails helfen Aufmerksamkeit für das Thema zu schaffen.

Solange der Kriminelle sich keinen Zugang zum E-Mail Account eines Mitarbeiters oder des Geschäftsführers verschafft hat, gibt es verschiedene Möglichkeiten gefälschte E-Mails zu erkennen:

  • Absender-Adresse prüfen: Prüfen Sie die Absender-Adresse sorgfältig. Ist die E-Mail-Adresse wirklich korrekt? Wurden vielleicht Buchstaben vertauscht? Oder ein kleines L mit einem großen I vertauscht? Häufig steht hinter der E-Mail-Adresse noch eine weitere, automatisch generierte und nicht nachvollziehbare. Sollten Sie misstrauisch gegenüber einer E-Mail sein, können Sie sich den Header genauer ansehen. Im Header einer E-Mail stehen alle Informationen, wie der tatsächliche Absender und der Server, von dem die Nachricht versendet wurde. In den meisten Fällen ist der Absender das eindeutigste Kriterium, an dem eine Fraud Attacke erkannt werden kann.
  • Persönlich nachfragen: Kontaktieren Sie Ihre Kollegen persönlich, wenn Sie sich unsicher sind. Rufen Sie an oder sprechen Sie Face-to-Face mit der entsprechenden Person.
  • Rhetorik: Gerade bei CEO-Fraud Attacken ist es wichtig, sich nicht einschüchtern zu lassen. Hinterfragen Sie, ob der Chef wirklich ohne das Wissen Anderer 20.000 € auf ein unbekanntes Konto überweisen will. Oder überlegen Sie sich, ob der IT-Kollege Felix tatsächlich „ungewöhnliche Aktivitäten“ feststellen konnte und warum er dazu überhaupt Ihre Zugänge benötigt. Auch als Privatperson hilft ein kurzer Anruf beim Support des Unternehmens, bei dem Sie Kunde sind, sollte eine erhaltene E-Mail bei Ihnen für Verwunderung sorgen.
  • Auf Rechtschreibfehler achten: Gerade in Phishing E-Mails finden sich viele Rechtschreibfehler. Angefangen bei der falschen Schreibweise des Namens, bis hin zu einer unsauberen Sprache, die darauf schließen lässt, dass der Text nicht von einem Muttersprachler verfasst, sondern beispielsweise von einem automatischen Sprachprogramm übersetzt wurde.
  • Nicht direkt auf Links klicken: Sollte Sie der Inhalt einer E-Mail verunsichern, klicken Sie am besten nicht auf einen Link in der E-Mail, sondern rufen Sie die jeweilige Website direkt über den Browser auf. Fordert Sie beispielsweise Amazon auf Ihre Daten zu aktualisieren, gehen Sie am besten direkt auf Amazon.com und suchen dort nach einer entsprechenden Meldung. Ist dort nichts zu finden, handelt es sich wahrscheinlich um eine Phishing E-Mail.
  • Über einen Link hovern: Bevor Sie einen Link öffnen, gehen Sie mit der Maus über den Link. In den meisten Browsern wird unten links ein kleines Fenster geöffnet. Dies ist die URL, die mit einem Klick auf den Link aufgerufen wird. Eine Kontrolle der URL gibt Aufschluss über das tatsächliche Ziel der angezeigten Web-Adresse.

Phishing Quiz von Google: Der kostenlose Awareness-Check

Vor wenigen Wochen hat Google auf das starke Wachstum von Phishing Angriffen mit einem Security Quiz reagiert. In diesem Quiz müssen Sie versuchen eine Phishing E-Mail zu erkennen. Durchschauen Sie jeden Social Engineering Angriff? Finden Sie es hier heraus.

Zusätzlicher Schutz mit Advanced Threat Protection von Hornetsecurity

Klassische Phishing E-Mails werden in aller Regel von einem guten Spamfilter erkannt und direkt aussortiert. Ein personalisierter Social Engineering Angriff unterscheidet sich aber nicht groß von einer ganz normalen E-Mail. So landen, trotz Spamfilter, die ungewollten E-Mails im eigenen Postfach.

Advanced Threat Protection geht einen Schritt weiter: Verschiedene tiefgreifende Filter und heuristische Erkennungsmechanismen enttarnen fast jede gefälschte E-Mail. Mit der Unterstützung von AI lernt der Filter mit jedem Angriff dazu und steigert so täglich seine Erkennungsrate. Advanced Threat Protection übernimmt viele der oben genannten Punkte vollständig automatisiert.
Am Ende gilt aber immer, jede E-Mail zu hinterfragen und bei der Weitergabe von Daten mit Bedacht vorzugehen.

Malware – Die wachsende Bedrohung im Cyber Century

Malware – Die wachsende Bedrohung im Cyber Century

WannaCry, Petya und Ryuk – diese Malware-Arten haben in den letzten zwei Jahren besonders verdeutlicht, dass Schadprogramme und Cyberangriffe durchaus in der Lage sind Unternehmen bei unzureichender Cyber-Sicherheit an den Rand des Betriebsstillstands bis hin zur Insolvenz zu führen.

Das Hornetsecurity Security Lab beobachtete im Jahr 2018 einen enormen Anstieg an E-Mails mit schadhaften Anhängen. Besonders vor den Trojanern Emotet, Hancinator, Zeus und Trickbot mussten sich Unternehmen in Acht nehmen – gemessen an ihrem E-Mailvolumen, gehören sie zu den größten Malware-Kampagnen 2018. Die Infografik zeigt das monatliche Aufkommen und die Verteilung von Malware Attacken über das Jahr 2018. Hornetsecurity analysierte die einzelnen Kampagnen und stellt anschaulich dar, hinter welchen Formaten und Dateien sich die Schadprogramme versteckten.

Malware gilt mittlerweile als die größte Bedrohung für Unternehmen, denn laut des „Lageberichts der IT-Sicherheit in Deutschland 2018“ des BSI, sind 57% aller erfassten Cyberangriffe auf Infektionen mit Schadprogrammen zurückzuführen. Als Hauptübertragungsweg gilt die E-Mail-Kommunikation: Getarnt als harmlose E-Mail, verbirgt sich die Malware beispielsweise als Office-Datei im Anhang.

Ransomware, Crypto-Miner und Spyware verstecken sich sowohl hinter Word-Dokumenten als auch hinter Web-Links und zählen zu den beliebtesten Malware-Arten der Cyberkriminellen. Während ungezielte Massenmails mit Schadprogammen, auch als Spam bekannt, über die vergangenen Jahre deutlich zurückgingen, sind Unternehmen vor allem immer öfter gezielten und komplexen Angriffskampagnen ausgesetzt. Mittels Social Engineering und Spear-Phishing schleusen Hacker vermehrt Malware in die Betriebssysteme von Unternehmen.

Der Anteil von Schadprogramm-infizierten E-Mails am gesamten verzeichneten E-Mail-Verkehr stieg innerhalb der letzten zwei Jahre auf rund 1,3 Prozent an. Bei einem Volumen von 1.000 E-Mails pro Tag bedeutet das, dass mindestens 13 E-Mails Malware enthalten: Für ein Unternehmen, welches mehrere tausend E-Mails am Tag erhält, ist ohne ausreichende E-Mail-Security, das Risiko Opfer eines Malware-Angriffs zu werden, extrem hoch. Denn: Die Methode stellt sich für Cyberkriminelle als besonders lukrativ dar. Im Jahr 2017 und 2018 entstand alleine für die deutsche Industrie durch Schadsoftware ein Gesamtschaden von rund 43 Millionen Euro.

Durch Entwicklungen wie die fortschreitende Vernetzung und sich wandelnde Kommunikationsplattformen, werden Angriffe mit Schadprogrammen und die damit einhergehende Schadenssumme voraussichtlich noch weiter ansteigen – Cyber-Risiken gelten als eine der größten Bedrohungen der Digitalisierung. Insbesondere durch Ransomware, eine der verbreitetsten Malware-Arten, versprechen sich Hacker große Gewinne. Seit der Einführung der europäischen Datenschutzgrundverordnung (DSGVO) hat sich die Zahlungsbereitschaft von Unternehmen bei Ransomware-Angriffen versechsfacht. Zu groß ist die Befürchtung, durch negative PR und unzureichende Sicherung der unternehmensinternen Daten mögliche weitreichende Folgen davonzutragen.

Die Tendenz der Verbreitung von Malware ist durch die letzten Jahre klar zu erkennen: Malware-Attacken werden weiterhin stark zunehmen. Solange Unternehmen E-Mail- und Cyber-Sicherheit nicht als unabdingbare Voraussetzung für eine gefahrlose Aufrechterhaltung der Unternehmenskommunikation und Betriebsprozesse sehen, werden Cyberkriminelle weiterhin erfolgreich zur Kasse bitten.

 

Weiterführende Informationen:

 

 

Cyberkriminalität: Skrupellos, hochkomplex und kein Ende in Sicht

Cyberkriminalität: Skrupellos, hochkomplex und kein Ende in Sicht

Kein Jahr zuvor hat in Sachen digitaler Kriminalität für mehr Schlagzeilen gesorgt als 2018. Zu diesem Ergebnis kommt die neuste Ausgabe des Hornetsecurity Cyberthreat Reports. Dabei hat nicht nur die Quantität der Straftaten rasant zugenommen, sondern auch ihre Qualität. Wie ein Sprecher des LKA-Niedersachsens auf Anfrage der HAZ mitteilte, ist die Anzahl krimineller Aktivitäten über das Internet allein in den letzten Jahren um 30% angestiegen.

Sowohl Cyberattacken wie Advanced Persistent Threats, Malware und Spam als auch die Verlagerung von „herkömmlichen“ kriminellen Aktivitäten in die Online-Welt sorgen für die rasante Zunahme. Zu diesen herkömmlichen kriminellen Aktivitäten gehören beispielsweise Waffen- und Drogenhandel, illegale Pornographie und der Handel mit gefälschten Papieren. „Täter nutzen extensiv die Möglichkeiten der Digitalisierung und das nicht nur bei der Kommunikation “, stellt LKA-Sprecher Marius Schmidt fest. Insbesondere das Darknet spiele dabei eine immer größere Rolle.

Die Dunkelziffer ist gigantisch

Wie dem Cyberthreat Report zu entnehmen ist, gilt Cyberkriminalität nach Umweltkatastrophen und politischen Spannungen, weltweit als drittgrößte Bedrohung. In Deutschland konnte das BKA im Jahr 2017 bundesweit knapp 86.000 Fälle von Cyberkriminalität feststellen – vier Prozent mehr als noch im Jahr zuvor.

Die Schadenssumme stieg genauso rapide an. Verursachte Cybercrime in der Bundesrepublik im Jahr 2016 noch einen wirtschaftlichen Schaden von 50,9 Millionen Euro, mussten 2017 bereits 71,4 Millionen verschmerzt werden. Das besonders Bittere an diesen Zahlen: Es handelt sich lediglich um durch das BKA registrierte Fälle. Experten schätzen, dass diese Quote lediglich 9% des Gesamtschadens darstellt. Das ergibt eine gigantische Dunkelziffer von mehr als 90%.

Doch warum ist die Dunkelziffer so riesig? Experten gehen davon aus, dass Cyberangriffe nicht selten viel zu spät oder überhaupt nicht bemerkt werden. Oft werden sie durch die betroffenen Unternehmen aber auch gar nicht erst an die zuständigen Stellen gemeldet. Grund hierfür sind die befürchteten Verluste an Reputation und Image. Der neuste, gewaltige Cyberangriff auf die Hotelkette Marriott ist ein Paradebeispiel für einen solchen Vorfall. Hacker hielten sich über Jahre hinweg unbemerkt im Netzwerk des weltweit drittgrößten Hotel-Konzerns auf und erbeuteten unter anderem Kreditkartendaten von einer halben Milliarde Kunden. Der Branchenverband Bitkom kommt aufgrund von solchen cyberkriminellen Vorfällen zu ganz anderen Ergebnissen. Hier spricht man über eine gewaltige Schadenssumme von 55 Milliarden Euro.

Advanced Persistent Threats anhaltend beliebt

Wie auch bereits im Jahr 2017, setzt sich die Beliebtheit von Advanced Persistent Threats unter Cyberkriminellen ungebrochen fort. Mit dem Angriff auf den französischen Baukonzern Ingérop bewiesen die Hacker noch einmal das beträchtliche Gefahrenpotential von solch ausgeklügelten Angriffen. Ihnen gelang mittels einer professionell angelegten Phishing-Kampagne auf Mitarbeiter des Konzerns, Schadsoftware in die IT-Infrastruktur einzuschleusen. Diese diente als Türöffner für einen groß angelegten Datendiebstahl. Insgesamt erbeuteten die Hacker 65 Gigabyte sensibler Daten, darunter Baupläne von Atomanlagen und Hochsicherheitsgefängnissen. Weiterhin kamen sensible persönliche Daten von insgesamt 1.200 Ingérop-Angestellten abhanden.

Auch beim Rüstungskonzern Krauss Maffei ereignete sich erst vor Kurzem ein Angriff dieser Art. Hacker drangen in die IT-Systeme des Unternehmens ein und verseuchten sie mit Malware. Die Produktion musste danach eine Woche stillstehen. Im Anschluss habe es einen Erpressungsversuch mit Lösegeldforderung gegeben.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Malware bleibt Standardrepertoire

Im Vergleich zu Advanced Persistent Threats ist das Prinzip Malware längst nicht so komplex, aber dennoch weiterhin erfolgreich. Im Großen und Ganzen dient sie dazu, bei Benutzern unerwünschte oder schädigende Funktionen auszuführen. Diese nutzen die Cyberkriminellen, um sich beispielsweise finanziell zu bereichern. Die große Vielfalt der Malware macht sie zu einem universell einsetzbaren und damit beliebten Tool für Hacker.

Auch in der Verbreitung spiegelt sich die Beliebtheit wieder: Im Zeitraum zwischen 2006 und 2017 nahm die Zahl der Malware-Delikte immer weiter zu. Die E-Mail-Kommunikation ist das Haupteinfallstor von schädlichen Dateianhängen. Als Tarnung besonders beliebt: Office-Dateien. Jede dritte versandte Malware tarnte sich als Word, Excel oder auch PowerPoint-Datei, wie ferner aus dem Cyberthreat Report zu entnehmen ist.

Spam-E-Mails – Gefahrenpotential steigt

Der Spamversand ist bei Cyberkriminellen längst nicht mehr so beliebt wie noch vor zehn Jahren. Der Hornetsecurity Cyberthreat Report kommt zu dem Ergebnis, dass 2018 nicht mal mehr jede zweite E-Mail eine Spam-E-Mail war. 2009 sah dies noch anders aus. Hier waren es noch knapp 100 Prozent aller E-Mails. Wer nun denkt, dass diese Entwicklung doch durchaus positiv ist, der irrt leider. Während vor zehn Jahren so gut wie keine Spam-E-Mail Malware enthielt, ist dies heutzutage ganz anders. Immer mehr E-Mails sind mit Malware, wie Viren, Trojanern, Ransomware oder auch Spyware gespickt.

Fazit: Der Kampf ist noch lange nicht verloren

Auch wenn die Schäden durch Cyberkriminalität stetig zunehmen und es immer schwieriger wird, der komplexen Bedrohungslage Herr zu werden, ist die letzte Schlacht noch nicht geschlagen. Immer mehr Unternehmen setzen auf das richtige Pferd und führen sowohl ausgeklügelte IT-Sicherheitskonzepte, wie auch effektiv arbeitende Managed Security Services zum Schutz vor Cyberattacken ein.

Während sich die Ausgaben für Managed Security Services im Jahr 2016 noch auf insgesamt 4,27 Milliarden US-Dollar beliefen, wird sich diese Summe im Jahr 2021 auf insgesamt 8,26 Milliarden US-Dollar verdoppelt haben. Die Unternehmen haben erkannt, dass sie Cyberbedrohungen von Grund auf vorbeugen müssen. Ist die Bedrohung erst einmal in die IT-Infrastruktur eingedrungen, dann ist es bereits zu spät.

In unserem aktuellen Cyberthreat Report erfahren Sie im Detail, welche Trends und Entwicklungen die Welt der Cyberkriminalität zurzeit besonders prägen und welche Gefahren daraus resultieren.

Security-Awareness: Der Mensch als Sicherheitslücke

Security-Awareness: Der Mensch als Sicherheitslücke

Rückblickend war das Jahr 2018 sehr ereignisreich – vor allem im Hinblick auf Cybersicherheit. So listet das amerikanische Tech-Magazin WIRED in seinem Rückblick der „Worst Hacks in 2018“ neben der Datenpanne bei Marriott und dem Cambridge Analytica Skandal um Facebook auch den Leak bei Quora und einige weitere. Auch das neue Jahr startete mit brisanten Nachrichten: persönliche Daten von über 900 aktiven sowie inaktiven Politikern standen frei zugänglich im Netz. Kurze Zeit später entdeckte der „Haveibeenpwned“-Gründer, Troy Hunt, eine Sammlung von über 700 Millionen Passwörtern aus vergangenen und aktuellen Hacks.

Innenminister Horst Seehofer (CSU) warnte vor dem Hintergrund des Politiker-Datenleaks vor Sorglosigkeit seitens der Nutzer und forderte ein risikobewusstes Handeln jedes Einzelnen. Denn kein IT-Sicherheitssystem sei zu 100 Prozent sicher. Schaut man sich die vielfältigen Angriffsarten an, setzen gerade Social Engineering-Attacken auf soziale Manipulation – also den Menschen als Schwachstelle.

Neben Angriffen wie Phishing, bergen CEO-Fraud– und Whaling-Attacken genau hier große Gefahren. Ihr Ziel ist es, Mitarbeiter eines Unternehmens zu täuschen, um an vertrauliche Daten wie beispielsweise Passwörter zu gelangen. Die Angreifer üben dazu emotionalen sowie zeitlichen Druck aus, um schneller an ihr Ziel zu gelangen. Laut einer Befragung von „KnowBe4“ gaben 77 Prozent der Befragten als Hauptursache für Angriffe im Jahr 2018 Social Engineering an – eine ernstzunehmende Erkenntnis.

Der Mensch als Schwachstelle im System – ist die Lücke zu schließen?

Ein Klick auf eine vermeintlich seriöse E-Mail, die Verwendung externer Datenträger, der Einsatz von unsicheren Passwörtern – schon kann es um die unternehmensinterne IT geschehen sein. Oftmals ohne Absicht, sondern eher durch Naivität oder Unwissenheit, gefährden Mitarbeiter ihr Unternehmen. Es fehlt die Sensibilisierung für solche Sicherheitsrisiken und das Wissen um ihre Vermeidung. Durch sogenannte „Security-Awareness-Trainings“ werden Mitarbeiter für Themen der IT-Sicherheit sensibilisiert. Ihnen werden verschiedene Angriffsarten zu Gemüte geführt und Ratschläge gegeben, wie sie sich und das Unternehmen davor schützen können.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Doch geht es um den Nutzen von Security-Awareness-Schulungen, scheiden sich die Geister. Einige Security-Experten halten derartige Maßnahmen für wirkungslos. Der amerikanische IT-Security Guru Bruce Schneier ist der Meinung, dass die dafür aufgewendeten Budgets stattdessen in sichere Software-Entwicklung und bessere Security-Schnittstellen investiert werden sollten. Er veranschaulicht dies mit einem Beispiel aus dem Gesundheitsbereich: Das Wissen um eine gesündere Lebensweise besitzen die meisten Menschen, doch geht es um die Umsetzung, erscheint der Weg aufs Sofa weitaus attraktiver als der ins Fitnessstudio. Auf die IT-Sicherheit übertragen, öffnet sich folgendes Bild: Das Kerngeschäft von Unternehmen liegt in unterschiedlichen Bereichen, jedoch oftmals nicht im IT-Sicherheitsbereich. Die Akzeptanz und Unterstützung von IT-Sicherheit durch die Mitarbeiter ist daher keine universelle Voraussetzung. Die meisten von ihnen kennen wahrscheinlich die gängigen Regelungen, empfinden doch einige davon als zu aufwendig, um sie in ihren Arbeitsalltag einzubinden.

Security-Awareness im Unternehmen nicht zu fördern, wäre jedoch fatal. Olaf Petry, CISO bei Hornetsecurity meint dazu: “Es ist schwierig, Awareness mit Zahlen konkret und aussagekräftig zu messen. IT-Sicherheit wird von den Verantwortlichen meist als zu kostenintensiv und ohne erkennbares Ergebnis wahrgenommen. Wichtig ist jedoch, dass sie Einzug in die Köpfe der Mitarbeiter erhält und im Arbeitsprozess eingebunden, aktiv gefordert und gefördert wird.“

Security & Awareness:

Das Wissen um das richtige IT-Sicherheitsverhalten ist das eine, den Grund dafür zu verstehen ist das andere. Die Ausmaße eines Datenleaks oder Hackerangriffs scheinen vielen nicht bewusst. Und darüber hinaus: Warum sollte es gerade mich treffen? Eine Security-Awareness-Schulung sollte daher nicht nur Was- und Wie-Fragen beantworten können, sondern auch das „Warum“ und „Wieso“ in den Fokus stellen. Mitarbeiter müssen verstehen, welche Auswirkungen ein Hackerangriff haben kann und was er selbst tun kann, um diese zu vermeiden. Dabei ist es wichtig, dass IT-Sicherheit nicht nur firmenbezogen, sondern übergreifend gelebt wird, denn auch die private Sicherheit hat Einfluss auf die Unternehmenssicherheit. Nehmen wir zwei Beispiele, um das zu verdeutlichen:

1. Beispiel: Mitarbeiter der Marketingabteilung:

Die Aufgaben von Mitarbeitern in der Marketingabteilung erstrecken sich auf viele Bereiche. Im Social Media-Bereich bauen sie eine Präsenz des Unternehmens in Netzwerken wie Facebook, Instagram und LinkedIn auf, pflegen diese mit regelmäßigen Inhalten und stärken so die Markenbekanntheit. Um eine Unternehmensseite zu erstellen, benötigt man im Fall von Facebook und LinkedIn ein persönliches Profil, um über dieses die Unternehmensseite aufbauen zu können. Beide Profile sind dann miteinander verknüpft. Diese Verknüpfung stellt zugleich ein Sicherheitsrisiko dar, denn hat der Mitarbeiter ein vergleichsweise einfach zu knackendes Passwort, haben die Cyberkriminellen freie Hand über das Unternehmensprofil, sobald ihnen die Zugangsdaten des Mitarbeiters in die Hände fallen.

2. Beispiel: BYOD im Unternehmen

In einigen Unternehmen herrscht eine „Bring-your-own-device“-Kultur – kurz: „BYOD“, das heißt, Mitarbeiter können auch mit privaten Endgeräten im Unternehmen arbeiten. Die Kultur bringt so seine Vorteile mit sich, jedoch auch einige Nachteile, wenn es um die firmeninterne IT-Sicherheit geht. Über eine ungepatchte Sicherheitslücke auf dem heimischen Laptop nistet sich eine fiese Malware ein. Der Mitarbeiter bekommt davon nichts mit: sie macht sich nicht bemerkbar und bleibt im Hintergrund. Greift der Mitarbeiter mit seinem Laptop auf unternehmensinterne Systeme zu, nutzt die Malware die Chance aufs große Ganze und verbreitet sich über die IT-Infrastruktur des Unternehmens weiter.

Vor dem Hintergrund dieser beiden Anwendungsbeispiele ist es sinnvoll, Mitarbeiter auch zur privaten IT-Sicherheit zu schulen und Programme zum Schutz zu empfehlen. „Für Hacker reicht meist ein kleines Schlupfloch aus. Sie arbeiten sich dann so weit hoch, bis sie quasi die ganze Lebensgeschichte des Opfers kennen. Im Unternehmensnetzwerk ist das ähnlich: Hier gibt es einiges für Hacker zu holen. Um daran zu kommen, suchen sie sich das schwächste Glied – und das ist eben der Mensch“, so Olaf Petry weiter.

Das Interesse für IT-Sicherheit steigt immens, wenn es um den Mitarbeiter persönlich geht. Einen Blick auf die eher unternehmensfremden Anwendungen wie WhatsApp und Dropbox zu werfen, kann sich daher lohnen.

Das Optimum aus Security-Awareness-Schulungen rausholen

Für die Konzeption eines Trainings empfiehlt Hornetsecurity IT-Sicherheitsexperte Olaf Petry folgendes: „Security-Awareness-Trainings sollten sich immer nach der Zielgruppe richten – stehe ich vor Mitarbeitern eines IT-Unternehmens oder einer Bank? Das technische Know-How ist bei der Themenauswahl sehr wichtig, um die Teilnehmer weder zu überfordern noch zu unterfordern. Jedoch sollten gängige Themen wie Passwortsicherheit immer Bestandteil einer Schulung sein.“

Generell sollte eine Schulung ausgewählte Awareness-Aspekte zum Thema haben. So könnte es ein Ziel sein, dass Mitarbeiter nach der Schulung eine der folgenden Fragen sofort beantworten können:

  • Wie sieht die aktuelle Bedrohungslage aus?
  • Welche Risiken ergeben sich für das Unternehmen und den Mitarbeiter?
  • Welche Schutzmaßnahmen muss ich im Fall einer Nutzung eines externen Datenträgers ergreifen?
  • Welche Gefahren ergeben sich durch soziale Netzwerke?
  • Wie gehe ich sicher mit meinen E-Mails und Passwörtern um?
  • Was ist Phishing und wie läuft eine entsprechende Attacke ab?
  • Wie verhalte ich mich bei Malware-Befall?

Wie bereits beschrieben, können Verbindungen zur privaten IT-Sicherheit sehr nützlich sein. Damit steigt auch die Motivation, überhaupt an einer Awareness-Schulung teilzunehmen. Interesse und Motivation sind dabei die Treiber, die den Lernprozess anschieben. Der Mitarbeiter möchte etwas lernen, also fällt es ihm leichter zu verstehen was er tun muss und warum er das tun muss.

Da Angriffe immer professioneller werden und neue Angriffsvektoren wie zum Beispiel durch das Internet of Things entstehen, sollten solche Schulungen in regelmäßigen Abständen wiederholt und aufgefrischt werden. Informationen zur aktuellen Bedrohungslage müssen zudem frühzeitig kommuniziert werden. So wissen Mitarbeiter wann besonders hohe Aufmerksamkeit gefordert ist.

Durch die schnelle Entwicklung neuer Technologien bleibt festzuhalten, dass IT-Sicherheit ein lebenslanges Lernen voraussetzt. So ist es mit einer Schulung nicht getan. „Aus Sicht der IT-Sicherheit müssten Awareness-Schulungen täglich durchgeführt werden, praktisch lässt sich das allerdings kaum realisieren“, so Petry.

Aktueller Einsatz von Security-Awareness-Schulungen

Rund die Hälfte der deutschen Unternehmen setzen laut BSI Lagebericht 2018 bereits auf Security-Awareness-Schulungen und nehmen Trainingsangebote von einem mittlerweile breiten Anbietermarkt wahr. Für 29 % der Unternehmen kommen derzeit und auch in Zukunft keine Security-Awareness-Trainings zum Einsatz. 19 % der befragten Unternehmen planen jedoch ein entsprechendes Schulungsangebot für ihre Mitarbeiter.

Einsatz von Security Awareness-Schulungen in Unternehmen

%

Ja

%

Nein

%

In Planung

Die Untersuchung von KnowBe4 zeigt weiter, dass etwa 84 Prozent der Befragten angeben, dass ihr Unternehmen einen Rückgang von erfolgreichen Social Engineering-Angriffen (Phishing, CEO-Fraud etc.) feststellen konnte, nachdem Security-Awareness-Trainings implementiert wurden. Olaf Petry meint dazu: „Es liegt nicht allein am Menschen, dass etwa eine Phishing-E-Mail Erfolg hat. Hier spielen viele Sicherheitsebenen eine Rolle. Das menschliche Verhalten als einzige gemessene und bewertete Kenngröße ist hier nicht aussagekräftig.“

Der Erfolg einer Schulung kann nur geschätzt werden und der Effekt der Schulung ist vielleicht auch nur von kurzer Dauer. Es besteht immer eine Wahrscheinlichkeit, dass der Mitarbeiter am Ende wieder in alte Muster verfällt. „Für mich ist eine Schulung bereits dann erfolgreich, wenn jemand bei einer Phishing-E-Mail misstrauisch wird und den Angriff aufgrund seines vorhandenen Wissens aus der Schulung im Keim erstickt“, resümiert Petry.

Somit können auch wir sagen: Wenn wir es schaffen, dass eine Person, die diesen Beitrag liest, eine Attacke abwehrt, ist unser Ziel hiermit erreicht.

Weiterführende Informationen: