Beinahe im Tagesrhythmus meldeten Unternehmen und Behörden in den letzten Monaten des vergangenen Jahres neue, schwerwiegende Cyberangriffe. So wurden etwa der Autozulieferer Allgaier bei Stuttgart, das Berliner Edelkaufhaus KaDeWe, der kommunale Dienstleister Südwestfalen IT oder die Hotelkette Motel One zuletzt Opfer von Hackergruppen wie AlphV, Black Basta oder der Ransomware-Bande Play.
Fast immer handelte es sich dabei um Erpressungsattacken, bei denen die Angreifer die IT-Systeme ihrer Opfer verschlüsselten oder sensible Daten raubten und mit deren Veröffentlichung drohten, oftmals beides zugleich. Nach einer Prognose des IT-Verbandes Bitkom dürften sich die Schäden für die deutsche Wirtschaft durch Erpressung mit gestohlenen oder verschlüsselten Daten im Jahr 2023 auf gut 16 Milliarden Euro summiert haben.
Dieses überaus lukrative Geschäftsmodell der Cyberkriminellen wird auch 2024 Bestand haben, davon sind IT-Sicherheitsexperten überzeugt. Daran ändert auch wenig, dass es einem Verbund aus internationalen Ermittlern, unter anderem vom FBI, von Europol, dem BKA sowie Cyberfahndern aus Baden-Württemberg Anfang Dezember gelang, die Systeme der AlphV-Gruppe stillzulegen. „Der Schlag schwächt die Gruppe und es ist fraglich, ob sie irgendwann die alte Bedeutung zurückgewinnt, aber die kriminellen Entwickler dahinter werden sich andere ‚Arbeitgeber‘ suchen und weiter machen“, sagt Richard Werner, Technologieexperte beim IT-Sicherheitsdienstleister Trend Micro.
Dazu kommt, dass die Schattenwirtschaft im Netz nicht nur überaus profitabel ist, sondern auch hochinnovativ, wenn es darum geht, neue Taktiken zu entwickeln und Schwachstellen zu identifizieren, über die sie ihre Opfer attackieren können, wie eine Umfrage unter Cyberexperten belegt. Zum Jahresbeginn beschreiben sie für die WirtschaftsWoche, vor welchen Angriffsstrategien sich Firmen und Verbraucher 2024 besonders hüten müssen:
Künstliche Intelligenz programmiert Schadcode
Dass generative KI nicht bloß in der Lage ist, Stärken-Schwächen-Analysen für Unternehmen zu verfassen, Gedichte zu verfassen, Gemälde zu erzeugen oder Musik zu komponieren, sondern auch Schadcode für Cyberangriffe zu programmieren, hatten IT-Spezialisten schon kurz nach der öffentlichen Vorstellung des KI-Bots ChatGPT demonstriert. Was zunächst nur ein Prototyp war, um auf das neue Risiko hinzuweisen, dürfte in diesem Jahr zur einer Bedrohung auf breiter Front heranwachsen.
Als besonderes vielversprechendes Angriffsziel dürften Hacker dabei sogenannte Open-Source-Softwaremodule ins Visier nehmen. Sie werden von der Netzcommunity entwickelt und zigtausendfach von Unternehmen oder anderen Softwareentwicklern lizenzkostenfrei in ihre IT integriert. „Angreifer werden generative KI nutzen, um subtile Schwachstellen in Open-Source-Software einzubauen“, warnt etwa Julian Totzek-Hallhuber vom IT-Spezialisten Veracode.
Dabei optimierten die Angreifer die KI-generierten Sicherheitslücken so weit, dass sie bei regulären Codechecks nicht aufgedeckt werden können. Sofern es den Hackern gelinge, die mit getarnten Hintertüren modifizierten Open-Source-Softwarepakete breit im Netz zu verbreiten, warnt der Experte, könnte ihnen das zugleich die Chance geben, diese Hintertüren in einer kaum überschaubaren Zahl von Unternehmensanwendungen zu platzieren.
Automatisierte Erpressung
Vereinfacht gesagt gibt es zwei Extremformen von Angriffsstrategien bei Cyberattacken. Einerseits die, bei denen Hacker sehr unspezifisch einen möglichst großen Kreis potenzieller Opfer mit angreifen, mit ihren Schadprogrammen quasi wie mit Schrot ins Netz feuern. Andererseits solche, bei denen die Kriminellen gezielt einzelne Personen ausspähen und mithilfe hochgradig personalisierter Angriffe attackieren. Während ersteres vor allem durch die enorme Reichweite zur Bedrohung wird, ist letzteres wegen des erforderlichen Aufwandes zwar recht selten, zugleich aber sehr erfolgreich.
Auch in diesem Fall aber dürfte der Einsatz Künstlicher Intelligenz Hackern ihre Attacken künftig deutlich erleichtern. Denn längst erlauben spezialisierte KI-gestützte Recherche-Bots es auch Kriminellen, das Netz nach detaillierten Informationen zu ihren Zielpersonen zu durchforsten und – basierend auf den gewonnen Erkenntnissen – beispielsweise automatisch hochgradig personalisierte Phishing-Botschaften zu erzeugen und diese zugleich in großer Zahl zu verschicken. „Solch ein KI-gestütztes Social Engineering könnte zu einer der Hauptursachen für ‚erfolgreiche‘ Cyberangriffe werden“, prognostiziert Michal Pechoucek, Technologiechef beim Sicherheitsdienstleister Gen.
Datenschutz als Erpresserwerkzeug
Ausgerechnet die zunehmend schärferen Datenschutzvorgaben und Meldeauflagen für Unternehmen, wie sie die EU etwa mit der DSGVO oder die US-Börsenaufsicht SEC und andere US-Regulatoren inzwischen erlassen haben, können sich zu einem Druckmittel für IT-Erpresser entwickeln. Denn in der hochgradig arbeitsteiligen Hacking-Szene im Netz gibt es inzwischen spezialisierte Dienstleister, die nach erfolgreichen Cyberangriffen Informationen sammeln, ob Unternehmen, bei denen die Angreifer sensible Daten erbeuten konnten, diese Attacken auch den zuständigen Regulierungsbehörden gemeldet haben.
Finden sie keine Indizien – seien es unternehmenseigene Meldungen, Medienberichte oder andere Hinweise –, dass die Hacking-Opfer ihren Meldepflichten nachgekommen sind, kann diese Information für die Erpresser höchst lukrativ sein. Dann nämlich, so warnt etwa Andrew Shikiar, Executive Director beim auf Identitätssicherheit spezialisierten Branchenverband FIDO Alliance, können die Kriminellen zusätzlich Druck auf ihre Opfer aufbauen mit der Drohung, selbst die Behörden über den Vorfall zu informieren. Und das dürfte für Unternehmen, die ihren Meldepflichten nicht nachgekommen sind, heikel sein: Schließlich drohen ihnen dann potenzielle Geldstrafen durch die Regulierer.
Riskanter Weg in die Cloud
Nach langer Zurückhaltung nutzt inzwischen auch die deutsche Wirtschaft intensiv IT-Dienste aus der Cloud. Knapp 90 Prozent der Unternehmen hierzulande nutzten im vergangenen Jahr Anwendungen aus dem Netz. Das entspricht einer Verdoppelung innerhalb des vergangenen Jahrzehnts. Mehr Flexibilität, niedrigere Kosten, vielfach auch der Zugriff auf nur noch online verfügbare Anwendungen beschleunigt den Weg ins Netz. Zugleich mache der Trend Unternehmen aber auch verletzbarer für Angriffe durch Cyberkriminelle, warnt etwa Rüdiger Trost: „Fehlkonfigurationen bei Cloud-Diensten bei der Einrichtung und Verwaltung von Cloud-Infrastrukturen und -Ressourcen können zu zusätzlichen Sicherheitslücken, Datengefährdung und betrieblichen Problemen führen“, erklärt der Experte beim Sicherheitsdienstleister WithSecure.
Dazu kommt, dass die digitale Vernetzung von Unternehmen, ihren Lieferanten und Kunden – sei es direkt oder über Cloud-Dienste –, die potenzielle Angriffsfläche für Hacker noch vergrößert. Welches Risiko in solchen Attacken gegen die Software-Lieferketten steckt, zeigen Attacken auf IT-Dienstleister wie SolarWinds, CyberLink oder MoveIT, bei denen Cyberkriminelle Unternehmen nicht direkt attackiert, sondern Schwachstellen bei den Entwicklern der von den Firmen genutzten IT-Anwendungen ausgenutzt haben. Auf diesem Umweg konnten Hacker Schadsoftware in zehntausende Unternehmen einschleusen, ohne deren Cybersicherheitssysteme selbst knacken zu müssen. „Das Risiko nimmt in Zukunft noch zu“, prognostiziert Trost, und es unterstreiche, wie wichtig es für Unternehmen 2024 werde, „nicht nur interne Systeme, sondern auch die von Drittanbietern gegen Cyberattacken zu schützen“.
Lesen Sie auch: Neue IT-Sicherheitsregeln sollen kritische Infrastrukturen besser gegen Cyberangriffe sichern. Doch Bund und Länder wollen ausgerechnet die von Hackern stark attackierten Kommunen von den Vorgaben ausnehmen.
