IT-SA Expo&Congress 2024

Cybercrime und KI

Die Fachmesse für IT-Sicherheit, it-sa Expo&Congress, in Nürnberg bot durch Foren und Kongressbeiträge ein reichhaltiges Informationsangebot zu Fragen der IT-Sicherheit.

Claudia Plattner, Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Deutschland, erklärte als einen der beiden Tätigkeitsschwerpunkte ihrer Behörde die Umsetzung der NIS-2 Richtlinie (RL) der EU in innerstattliches deutsches Recht. Von der Richtlinie sind 29.000 wichtige und besonders wichtige Unternehmen betroffen. Auf sie werden Veränderungen zukommen, was Nachweis- und Meldepflichten betrifft. Ein Betroffenheits-Checker ermöglicht Unternehmen eine Selbsteinschätzung, ob sie der Richtlinie unterliegen werden oder nicht. Das BSI als Aufsichtsbehörde legt den Schwerpunkt auf Hilfestellung und Kooperation. Das Grundschutzhandbuch des BSI, ein Standardwerk der IT-Sicherheit, soll verschlankt, praxistauglicher und maschinell lesbar gemacht werden.

Cyber-Kriminalität.

Udo Littke, Mitglied im Hauptvorstand des Branchenverbands der deutschen Informations- und Telekommunikationsbranche (Bitkom e.V.), stellte einen neuen Bericht des Bitkom zum Wirtschaftsschutz vor. Befragt wurden 1.000 Führungskräfte von Unternehmen in Deutschland mit mindestens zehn Beschäftigten und einem Jahresumsatz von mehr als einer Million Euro. 70 Prozent der Befragten gaben an, stark durch analoge und digitale Angriffe bedroht zu sein. 81 Prozent waren in den letzten zwölf Monaten von solchen Angriffen betroffen, weitere zehn Prozent vermuteten das. Der Gesamtschaden ist 2024 auf 267 Milliarden Euro gestiegen (2023: 206 Milliarden). 67 Prozent davon (179 Milliarden) wurden auf Cyber-Attacken zurückgeführt. 70 Prozent des Schadens wurden der organisierten Kriminalität zugeordnet, mit steigender Tendenz seit 2022 (51 Prozent; 2023: 61 Prozent). Die Angriffe stammten hauptsächlich aus China, Russland, Osteuropa und den USA.
Gewonnen wurden die Erkenntnisse aus der Analyse von Log-Dateien, durch interne Untersuchungen und von Behörden-Informationen. Bei Datendiebstahl standen Kommunikations- und Kundendaten, Passwörter und Patente im Fokus. Der durchschnittliche Anteil des Budgets für IT-Sicherheit im Verhältnis zum gesamten IT-Budget ist von neun Prozent im Jahr 2022 auf 17 Prozent für 2024 angestiegen. 83 Prozent der Unternehmen sehen durch die künstliche Intelligenz (KI) eine Verschärfung der Bedrohungslage für die Wirtschaft. 60 Prozent sind der Auffassung, sie erleichtere Cyber-Angriffe. Andererseits sehen 61 Prozent die KI als Chance, deren Einsatz die IT-Sicherheit deutlich verbessern könne.
Da die Anforderungen an die IT-Sicherheit ständig steigen, steigt auch die Nachfrage nach Betreuung durch Dienstleister (IT-Sicherheit as a Service). Den Angaben eines solchen Dienstleisters nach hat 2024 bereits die Hälfte der befragten Unternehmen ihre IT-Sicherheit einem Dienstleister übertragen, im Vorjahr war es ein Drittel. Empfohlen wurde auch, Anhänge von E-Mails ungeöffnet in eine „Sandbox“ zu übertragen, um in sicherer Umgebung zu überprüfen, welche Schadfunktionen sie allenfalls entwickeln.

Ransomware-Gangs seien wie Unternehmen aufgebaut, mit CIO und CFO, mit Verwaltungs- und IT-Abteilung, schilderte Carsten Meywirth, Leiter der Abteilung Cyber-Sicherheit des deutschen Bundeskriminalamts, die Organisationsstruktur am Beispiel der 2022 zerschlagenen „Conti-Bande“, die Ransomware as a Service vertrieben hat. Die operative Abteilung dieser Organisation war aufgegliedert in Teams für Malware-Coding, -scripting, Counter Antivirus und OSINT, in Hacking- und Verhandlungsteams. Mitarbeiterinnen und Mitarbeiter wurden von der Verwaltungsabteilung über Ausschreibungen im Internet angeworben. „Wer im Internet bei Spitzenbezahlung zu 100 Prozent Homeoffice leistet und von seinem Chef nur den Nickname kennt, dem sollte bewusst sein, dass er wohl kaum für ein legales Unternehmen arbeitet“, sagte Meywirth.
Über Spamming, Phishing oder mit Schadprogrammen wie Dropper oder Keylogger werden von Initial Access Brokern Zugänge zu IT-Systemen eröffnet. Die Sicherheitssoftware des angegriffenen Unternehmens sowie seine Umsätze werden analysiert. Dann bieten die Broker die eröffneten Zugänge samt Nachweisen (Credentials) zum Verkauf an. Im Franchise-Modell erhält der Franchisegeber 20 Prozent des künftigen Gewinns. Der Angreifer verschlüsselt die Daten des Unternehmens und fordert Lösegeld für die Entschlüsselung beziehungsweise droht mit weiteren Nachteilen (Veröffentlichung von Daten) für den Fall der Nichterfüllung seiner Forderungen.
„In einem solchen Fall sollten infizierte Systeme schnellstmöglich abgetrennt, ein Krisenstab gebildet, ein Incident-Dienstleister eingeschaltet und die Polizei informiert werden“, rät Meywirth. Präventiv wirken sichere Passwörter, weiters Zwei-Faktor-Authentifizierungen, eingeschränkte Benutzerkonten, Virenschutz und Firewall, Verschlüsselungsmechanismen, digitale E-Mail-Signaturen, Sicherheitsupdates, regelmäßige Backups und Schulung der Mitarbeiterinnen und Mitarbeiter.

Bekämpfung.

Die Strategie der Polizei bei der Bekämpfung dieser Art von Kriminalität beruht in internationalen Allianzen, auf der Identifizierung und erfolgreichen Verfolgung von Cyber-Kriminellen (Akteuransatz), der Störung krimineller Infrastrukturen (Infrastrukturansatz) und der Verfolgung der Zahlungsströme sowie der Beschlagnahme von Finanzmitteln (Finanzansatz). Auf diese Art gelang es im Jänner 2021, den Ursprung der Schadsoftware Emotet in der Ukraine zu ermitteln, die Geldflüsse umzuleiten, Tausende Bots vom Netz zu nehmen und letztlich das System zu zerschlagen.
Der Darknet-Marktplatz Hydra Market wurde im April 2022 geschlossen; Bitcoins im Wert von 23 Millionen Euro wurden sichergestellt. Der Takedown des weltweit umsatzstärksten Krypto-Geldwäschers ChipMixer gelang im März 2023. Es wurde 90 Millionen Euro in Kryptowährung sichergestellt. Ebenfalls im März 2023 wurde im Zusammenwirken unter anderem mit dem FBI der illegale Darknet-Marktplatz Nemesis Market abgeschaltet. 94.000 Euro wurden sichergestellt.
Die zur Verbreitung von Ransomware genutzte, in Deutschland befindliche Serverstruktur Oakbot wurde im August 2023 zerschlagen. Im Dezember 2023 wurde in einer international koordinierten Aktion die über mehrere Länder verteilte Serverinfrastruktur des illegalen Darknet-Marktplatzes Kingdom Market geschlossen. Im Februar 2024 brachten Europol sowie Polizeibehörden der USA, Japans und von Kanada im Zusammenwirken die Gruppierung Lockbit unter Kontrolle, die Ransomware as a Service betrieb und bei namhaften Unternehmen großen Schaden angerichtet hatte.
Im April 2024 wurde in Deutschland das illegale Online-Service AegisTools.pw abgeschaltet. Die Plattform ermöglichte es, Schadsoftware zu tarnen. Wie auch in anderen Fällen wurde auf der Website der Plattform ein Sicherstellungsbanner („this platform has been seized“) veröffentlicht.
In der Operation Endgame im Mai 2024, die gegen sechs Top-Schadsoftwarevarianten in Deutschland, Frankreich, Großbritannien und Dänemark geführt wurde, gelang dem Bundeskriminalamt und internationalen Partnern der bisher größte Schlag gegen weltweite Cyber-Kriminalität. Es wurden Gruppierungen zerschlagen, die zur Erstinfektion von Computern bestimmte Dropper vertrieben hatten, eigenständig ausführbare Computerprogramme, die zur Freisetzung von Computerviren dienen.

Künstliche Intelligenz.

„Die klassische KI lernt von Daten, um Vorhersagen zu treffen, Anomalien zu detektieren und Muster zu finden, wogegen die generative KI von Daten lernt, um Ähnliches zu generieren, wie etwa Text, Bilder, Codes oder Stimmen“, machte Ralf Schneider, Leiter AI Security der Deutschen Telekom Security GmbH, den Unterschied deutlich. Schon die klassische KI hat die Bedrohungslage im Cyber-Raum verstärkt, indem beispielsweise mit ihrer Hilfe Schwachstellen in IT-Systemen automatisiert erkannt werden können. Die Möglichkeiten generativer KI verschärfen die Bedrohungslage. Social Engineering wird erleichtert, Deepfakes täuschen Menschen vor, Stimmen werden nachgeahmt, Dark-Chatbots entwickelt und Vulnerabilitäten generiert. Die Aufdeckung und Abwehr dieser Angriffe werden letztlich auch wieder durch KI erfolgen: KI versus KI, ein Kampf der Maschinen.
Das Problem, dass es immer schwieriger wird, in Medien zu erkennen, was real und was gefälscht ist, zeigte Prof. Dr. Norbert Pohlmann auf. Fake News sind frei erfundene Nachrichten. In von der KI generierten Filterblasen werden Menschen in ihren Ansichten bestärkt. Deepfakes verfälschen Audio- und Videosequenzen, indem andere Texte unterlegt werden.
Wahr und falsch zu unterscheiden, könnte laut Pohlmann mit Hilfe von KI erfolgen. Über die jeweilige Wahrscheinlichkeit würde ein Score ausgegeben werden, der allerdings niemals den Wert von 100 Prozent erreichen könnte. Im Übrigen steht einem solchen Verfahren die enorme Menge der zu verarbeitenden Daten entgegen. Die Lösung des Problems sah Pohlmann darin, dass in einer entsprechend entwickelten Infrastruktur Nachrichten digital signiert werden (Trusted Media).
„Quo vadis cyber risks?“, fragte der Schweizer Experte für Cyber-Sicherheit Peter Hacker in seinem Vortrag. Er ging am Beispiel der Erzählung über die Verdoppelung der Zahl von Reiskörnern auf einem Schachbrett auf die exponentiell voranschreitenden Digitalisierung und die dadurch ebenso ansteigenden Bedrohungen der IT-Sicherheit ein. Diese gehöre bei den Unternehmen organisatorisch auf Führungsebene (C-Level) angehoben, was jedoch im DACH-Raum nur bei etwa vier Prozent der Fall sei.

Bei der it-sa 2024 wurden auf sechs Foren in vier Hallen rund 400 Vorträge gehalten, die online übertragen wurden. Beim begleitenden Kongress wurden in 56 Sessions vertieft Fragen der IT-Sicherheit behandelt. Zudem fanden während der Messe Arbeitstreffen von Vertretern der für die IT-Sicherheit zuständigen europäischen Behörden statt.
Die nächste it-sa Expo&Congress wird vom 7. bis 9. Oktober 2025 wiederum im Messezentrum Nürnberg abgehalten.

Kurt Hickisch

---

Öffentliche Sicherheit, Ausgabe 1-2/2025

 Druckversion des Artikels (pdf, 305 kB)