Netzpalaver sprach mit Michael Veit, Security-Experte bei Sophos, über die enorme Diskrepanz zwischen den Angriffskosten, welche die Cyberkriminellen stemmen müssen, und den viel höheren Kosten für die Schäden bei den Opfern. Die Logik sagt, dass sich Unternehmen besser schützen sollten, anstatt das ungleich höhere Risiko enormer Schadenssummen tragen zu müssen.
Netzpalaver: Cyberkriminalität wird inzwischen als ein globales Business mit einem Jahresvolumen von 1,5 Billionen US-Dollar beschrieben. Wodurch lässt sich diese starke Asymmetrie zwischen den geringen Kosten von Angriffen und den hohen finanziellen Auswirkungen auf die Opfer erklären?
Michael Veit: Dies ist ein komplexes Thema mit vielen Ursachen. Häufig ist der Gewinn für den einzelnen Kriminellen nur ein sehr kleiner Bruchteil der Schäden, die durch Angriffe wie etwa Ransomware verursacht werden. Im Rahmen solcher Vorfälle stellen die Opfer oft fest, dass sie zu wenig in die Cybersicherheit investiert haben. Sie müssen nicht nur hohe, ungeplante Ausgaben für die Wiederherstellung von Systemen und die Untersuchung des Vorfalls bestreiten, sondern auch ihre Systeme auf einen modernen Stand bringen, wobei sie häufig veraltete Sicherheitsprotokolle und -systeme nachrüsten müssen.
Netzpalaver: Branchendaten zeigen, dass Angriffe, die nur einige Hundert oder Tausend Dollar kosten, Verluste in Millionenhöhe verursachen können. Warum investieren Organisationen in der Praxis weiterhin weniger in Prävention, als sie später durch Sicherheitsvorfälle verlieren?
Michael Veit: Das ist pauschal schwer zu beantworten, aber in vielen Fällen, an denen ich beteiligt war, besteht ein mangelndes Verständnis für die Reichweite dieser Angreifer sowie die Wahrnehmung, man sei zu klein oder zu unbedeutend, um Ziel ausgefeilter Angriffe zu werden. Mit der zunehmenden Komplexität der Bedrohungen fehlt zudem oft das Bewusstsein dafür, dass Abwehrmaßnahmen rund um die Uhr aufrechterhalten werden müssen, spezialisierte Fähigkeiten erfordern und nicht einfach eine Aufgabe des IT-Teams sind. Kleine und mittelständische Organisationen erzielen zunehmend besseren Schutz, wenn sie mit MDR-Dienstleistern zusammenarbeiten oder MSSPs einsetzen, um ihre Sicherheitsmaßnahmen zu verwalten und zu überwachen.
Netzpalaver: Wie verändert KI-basierte Automatisierung das Profil von Attacken? Sind Angriffe dadurch schneller, anpassungsfähiger und schwerer zu entschärfen?
Michael Veit: Der Einfluss von KI war bislang gering, doch wir können davon ausgehen, dass der wichtigste Effekt eine Beschleunigung der Angriffe sein wird, weniger eine Zunahme ihrer Raffinesse. Wir sehen bereits, dass KI eingesetzt wird, um professioneller wirkende Phishing-Köder mit weniger grammatikalischen Fehlern zu erstellen, insbesondere in nicht englischsprachigen Ländern. Zudem ist zu erwarten, dass Deepfakes, die Menschen dazu bringen sollen, die „Drecksarbeit“ der Kriminellen zu erledigen, weiter zunehmen.
Es gibt zudem Hinweise darauf, dass weniger erfahrene Angreifer KI als Einstieg in eine Cyberkriminalitätskarriere nutzen. Die Abwehr von Angreifern, die mit KI arbeiten, unterscheidet sich jedoch kaum von der Abwehr bestehender Cybercrime-Gruppen. Die Zunahme der Angriffe wird vor allem dazu beitragen, dass Schwachstellen immer schneller entdeckt und ausgenutzt werden.
Netzpalaver: Die Verbreitung von „as-a-service“-Angeboten im Darknet, etwa DDoS-for-hire oder Ransomware, hat das Risiko für Unternehmen maßgeblich verändert. Hat dieses Phänomen Cyberkriminalität zugänglicher und weiter verbreitet gemacht als je zuvor?
Michael Veit: Ja, die Einstiegshürde für eine Karriere in der Cyberkriminalität ist so niedrig wie kaum zuvor. Jeder mit böswilliger Absicht kann einen Einstieg in kriminelle Aktivitäten finden, was dazu beigetragen hat, dass unzureichend geschützte Systeme sehr schnell ausgenutzt werden.
Netzpalaver: Branchenschätzungen zufolge lassen sich groß angelegte Angriffe, etwa DDoS-Angriffe auf Netzwerk- oder Anwendungsebene, zu relativ geringen Kosten starten. Sind kritische Infrastrukturen und essenzielle digitale Dienste auf diese Art dauerhafter Bedrohung vorbereitet?
Michael Veit: Groß angelegte DDoS-Angriffe sind seit fast 20 Jahren zu geringen Kosten möglich. Websites, die für solche Störungen anfällig sind, mussten bereits Content Delivery Networks (CDNs) und andere DDoS-Abwehrstrategien implementieren. Allerdings besteht die Sorge, dass dies zu einer Konsolidierung des Internets hinter einer kleinen Anzahl von Internetunternehmen führt, was bei einer Unterbrechung der Dienstverfügbarkeit zu weitreichenden Ausfällen führt.
Netzpalaver: Warum reichen reaktive Sicherheitsansätze, die sich ausschließlich auf Incident Response stützen, im Kontext massiver Botnetze und KI-gestützter automatisierter Angriffe nicht mehr aus?
Michael Veit: Die Abkehr von Prävention hin zu rein reaktiven, auf Incident Response basierenden Ansätzen ist sehr arbeitsintensiv und erfordert eine große Zahl hochqualifizierter Fachkräfte. Unsere Erfahrung zeigt, dass Organisationen bessere Ergebnisse erzielen, wenn sie einen ausgewogeneren Ansatz verfolgen, der einen klaren Schwerpunkt auf Prävention legt. Menschen sind für komplexe Warnmeldungen unverzichtbar, arbeiten jedoch am effektivsten, wenn sie nur eine begrenzte Anzahl von Ereignissen verarbeiten müssen. Ein präventionsorientierter Ansatz reduziert Alarmmüdigkeit und ermöglicht es, menschliche Aufmerksamkeit schneller auf die kritischsten Situationen zu lenken.
Netzpalaver: Welche Rolle spielen heute Traffic Intelligence, maschinelles Lernen und Echtzeitanalysen bei der frühzeitigen Erkennung und Abwehr von Angriffen wie Ransomware, der Ausnutzung von Schwachstellen oder Angriffen auf der Anwendungsebene?
Michael Veit: Die meisten modernen Firewalls und Endpoint-Security-Lösungen haben sich schrittweise von der Erkennung spezifischer Bedrohungen hin zu verhaltens- und machine-learning-basierten Ansätzen entwickelt. Zudem beobachten wir eine zunehmende Verbreitung von NDR-Technologien, was mehr Möglichkeiten für Defense-in-Depth-Erkennungen schafft.
Der Schlüssel für eine erfolgreiche Verteidigung mit diesen modernen Werkzeugen liegt in geschultem Personal, das in der Lage ist, auf frühe Warnmeldungen zu reagieren. Viele Organisationen erhalten zwar früh Hinweise auf bösartige Aktivitäten, sind jedoch nicht darauf vorbereitet, angemessen darauf zu reagieren. Überwachung und Reaktion sind entscheidend, um von Frühwarntechnologien zu profitieren.
Netzpalaver: Mit Blick auf die nächsten Jahre: Welche Risiken unterschätzen Organisationen am häufigsten im Zusammenhang mit Zero-Days, verteilten Angriffen und der ständigen Weiterentwicklung der Angriffstechniken?
Michael Veit: Ich denke es sind Geschwindigkeit und Menschen. Kriminelle werden weiterhin mehr Automatisierung einsetzen, unabhängig davon, ob diese KI-getrieben ist oder nicht. Das wird dazu führen, dass ungepatchte Systeme und Fehlkonfigurationen immer schneller entdeckt werden. Zudem bedeutet es, dass Angreifer nach einem ersten Eindringen wahrscheinlich immer schneller administrative Rechte sowie Zugriff auf sensible Daten erlangen können.
Der häufigste Weg, über den Kriminelle initialen Zugang zu Opfern erhalten, sind der Diebstahl von Zugangsdaten, Phishing-Angriffe und das Erraten von Passwörtern. Dies wird sich mit immer ausgefeilteren Phishing-E-Mails, Deepfakes und anderen auf den Menschen abzielenden Social-Engineering-Methoden weiter verschärfen. Die Umstellung auf phishing-resistente Authentifizierungsverfahren wie Passkeys und FIDO2-konforme Lösungen wird entscheidend sein, um unbefugten Zugriff zu reduzieren.
#Sophos
