KI verändert Cyberangriffe, und OT-Netzwerke müssen sich darauf vorbereiten
Noch vor wenigen Jahren wurden Cyberangriffe von vielen Unternehmen als rein theoretische Möglichkeiten angesehen. Unternehmen konnten in der Regel davon ausgehen, dass sie keine strategischen Ziele darstellten, die für Cyberkriminelle von geringem Interesse waren. Angriffe wurden nicht als tatsächliche Bedrohung wahrgenommen.
Heutzutage ist jedoch fast jedes Unternehmen mit Schwachstellen konfrontiert, die sich aus IT-Sicherheitsproblemen und der Möglichkeit eines Cyberangriffs ergeben. Neue Technologien, wie z. B. generative künstliche Intelligenz (KI), machen es böswilligen Akteuren noch einfacher, Ihr Netzwerk zu infiltrieren.
Cybersicherheit: Die aktuelle Situation
Die Größe, die Branche und die bisherige Gefährdung eines Unternehmens bestimmen oft das Ausmaß des Cybersicherheitsrisikos. Kritische Infrastrukturen (KRITIS), wie z. B. Infrastrukturen in den Bereichen Verkehr, Telekommunikation und Energie, erfordern häufig bestimmte Sicherheitsmaßnahmen und -standards für Haftungs- und Rechtszwecke. Selbst in Sektoren, die nicht unternehmenskritisch sind, müssen spezifische Industriestandards und -anforderungen eingehalten werden, wie z. B. der TISAX-Standard für die Automobilindustrie.
Auch wenn es in anderen Branchen keine Vorschriften zur Standardisierung von Sicherheitsstufen gibt, bedeutet das nicht, dass Sicherheit nicht wichtig ist. Unternehmen, die Maßnahmen ergreifen, um sich zu schützen, sind zuverlässigere Geschäftspartner und Lieferanten und können sicher mit Kundendaten umgehen. Mit anderen Worten: IT-Sicherheit wird immer mehr auch zu einem wirtschaftlichen Faktor.
Wie neue Technologien Cyberangriffe beschleunigen
Da Technologien wie KI in der Wirtschaft immer häufiger für analytische Zwecke eingesetzt werden, nutzen böswillige Akteure diese Verbreitung, um ihre Angriffe effektiver, qualitativer und kostengünstiger zu gestalten.
KI trägt dazu bei, neue Möglichkeiten für Angreifer zu schaffen, insbesondere während der Erstinfektion (die Methode, mit der man sich zum ersten Mal Zugang zu einem System verschafft).
Denken Sie zum Beispiel an Social Engineering und Systemschwachstellen. Generative KI macht Social Engineering deutlich gefährlicher. Während Sensibilisierungsschulungen die Mitarbeitenden darauf vorbereiten, Phishing-E-Mails und zweifelhafte Inhalte zu erkennen und damit umzugehen, kann KI die Erkennung dieser Angriffe erschweren. Mit der Technologie lassen sich qualitativ hochwertigere Angriffe erstellen, die auf bestimmte Personen oder Berufsbezeichnungen innerhalb eines Unternehmens zugeschnitten sind.
Neben der Generierung hochspezifischer Phishing-Inhalte können KI-Sprachgeneratoren Informationen aus öffentlich zugänglichen Datenbanken (z. B. einem YouTube-Video) nutzen, um die Stimmen von Führungskräften oder Kollegen zu simulieren. Indem sie die Stimmen dieser vertrauenswürdigen Personen nachahmen, erstellen böswillige Akteure überzeugende Phishing-Versuche, die mit größerer Wahrscheinlichkeit täuschen können, weil sie schwerer zu unterscheiden sind.
Die generative KI kann nicht nur Bilder, Videos und Stimmen imitieren und erstellen, sondern auch Code schreiben, wodurch Angreifer schneller und einfacher bestimmte Malware-Programme erstellen können. In kürzester Zeit können Programme geschrieben werden, die Schwachstellen automatisch erkennen und ausnutzen, ohne dass menschliches Eingreifen erforderlich ist. KI ermöglicht es böswilligen Akteuren auch, eine größere Anzahl von Unternehmen gleichzeitig ins Visier zu nehmen. Während die Qualität des Angriffs steigt, sinken die Kosten pro Angriff.
Die Sensibilisierung interner Teams für das sich verändernde Umfeld der Cybersicherheit ist von entscheidender Bedeutung, um sicherzustellen, dass Social-Engineering-Angriffe erkannt werden können.
Bereiten Sie sich auf die Systemwiederherstellung vor, um Kosten zu senken und Zeit zu sparen
Für viele betroffene Unternehmen ist die Systemwiederherstellung nach einem Angriff die eigentliche Mammutaufgabe.
Mit den neuen Möglichkeiten, die sich Angreifern bieten, ist es jetzt an der Zeit, dass Unternehmen, die sich bisher als unattraktive Ziele gesehen haben, proaktive Sicherheitsmaßnahmen ergreifen. Wenn ein Angriff nicht verhindert werden kann, helfen die richtigen Sicherheitslösungen bei der Schadensbegrenzung und IT-Forensik.
Sie sollten beispielsweise über Systeme verfügen, mit denen Sie die folgenden Fragen sofort nach einem Sicherheitsvorfall beantworten können:
- Welche Systeme waren betroffen?
- Wie hat sich der Angreifer Zugang verschafft?
- Wie lange ist der Angreifer schon im System?
- Welche Systeme müssen isoliert werden?
- Welche Systeme müssen neu installiert werden?
- Ist es zu einem Datenverlust gekommen?
Ihr Team muss auch in der Lage sein, Backups von dem Zeitpunkt vor dem Eindringen des Angreifers in das System zu identifizieren, und zu überprüfen, ob der Angreifer Hintertüren installiert hat, um die Möglichkeit mehrerer Angriffe auszuschließen.
Der Neustart von Systemen kann kompliziert sein, insbesondere in OT-Umgebungen. Einzelne Schritte der Systemwiederherstellung können mehrere Wochen oder Monate dauern und zu einem größeren finanziellen Verlust führen als der Cyberangriff selbst. So müssen beispielsweise nach einem Angriff auf einen ÖPNV-Anbieter die Betriebssysteme der Fahrkartenautomaten neu installiert werden. Diese Aufgabe erfordert zwar keine komplexen IT-Kenntnisse, verschwendet aber wertvolle Zeit und Ressourcen, da Servicetechniker an jeder Maschine vor Ort arbeiten müssen.
Im besten Fall sind die Schritte zur Systemwiederherstellung klar und dokumentiert, lange bevor es zu einem Angriff kommt.
Sichern Sie Ihre OT-Umgebung
Mit macmon Network Access Control (NAC) gewinnen Sie Transparenz, sichere Authentifizierung und granulare Zugriffskontrolle über Ihre kritischen Netzwerke hinweg, um die Cybersicherheit zu verbessern.
Sie können Ihre OT-Umgebung schützen, indem Sie alle nicht unbedingt notwendigen Geräte vom Netzwerk fernhalten und Sicherheitszonen basierend auf der Kritikalität einrichten. Es werden Informationen über das Betriebssystem, den Domänennamen und den Gerätenamen eines Endpunkts gesammelt, um angeschlossene Geräte eindeutig zu identifizieren. Diese Informationen können dann verwendet werden, um Angriffe aller Art zu erkennen, abzuwehren und zu lokalisieren.
Weiterführende Links:
- 6 Best Practices zur Verbesserung der OT-Sicherheit inmitten der IT-OT-Konvergenz
- IT-Sicherheit im Vergleich zu OT-Sicherheit: Was sind die wichtigsten Unterschiede?
- Interoperabilität und Verfügbarkeit: Feinde oder Verbündete der Cybersicherheit?
Über den Autor
Sarah Kolberg ist seit April 2023 als Software-Content-Marketing-Managerin für das Belden-Team tätig. Von Deutschland aus hilft sie bei der Erstellung von Inhalten zur industriellen Cybersicherheit.