Automatisierte Cyberangriffe

Große Datenlecks vermeiden

6. April 2022, 7:00 Uhr | Ramses Gallego/am
LL2017-12-web

Automatisierung ist das Thema der Stunde in der IT-Sicherheitsbranche. Doch gleichzeitig rüsten auch Cyberkriminelle auf. Machine Learning lässt sich mittlerweile auch als Service beziehen und die Demokratisierung dieser Technik sorgt dafür, dass Angriffe mit fortschrittlichen Algorithmen stattfinden. Das Ziel sind die immer größeren Datenberge, die Unternehmen anhäufen.

Es ist sehr wahrscheinlich, dass 2022 das größte bisher bekannte Datenleck auftreten wird. Das liegt daran, dass dieser traurige Rekord praktisch jedes Jahr gebrochen wird, da sich auch jedes Jahr immer mehr Daten anhäufen. Die Tera- oder sogar Petabytes, die Unternehmen in verschiedenen Silos speichern, bieten eine enorme Angriffsfläche.

Die Sicherheitsbranche hat in den letzten Jahren verstärkt auf maschinelles Lernen und künstliche Intelligenz gesetzt, um ihre Produkte zu verbessern. Diese Techniken sind allerdings auch für andere Akteure zugänglich. Es ist daher nicht überraschend, dass es Beispiele für Malware gibt, die diese Techniken nutzt, um zu entscheiden, welche Schwachstelle den meisten Erfolg verspricht.

Es gab bereits Beispiele, bei denen zwei Algorithmen gegeneinander arbeiteten. Ein Algorithmus scannte das System, um eine Schwachstelle zu finden, mit der er das System ausnutzen konnte, während ein anderer Algorithmus Ports schloss, Sicherheitsmaßnahmen hinzufügte, Warnhinweise gab und die Administratoren benachrichtigte, um das System sicher zu halten. Aus einer technischen Perspektive klingt das faszinierend, aus der Unternehmenssicht ist es allerdings alarmierend. Vor uns liegt ein Zeitalter der automatisierten Cyberangriffe, in dem autonom agierende Malware-Bots Wege suchen werden, sich durch das Internet zu verbreiten und auf alle erdenklichen Arten in Systeme einzudringen.

Auf der einen Seite steht dieses große Drohpotenzial, auf der anderen Seite scheint die Gesellschaft Datenlecks immer weniger ernstzunehmen. Vor einigen Jahren waren solche Vorfälle noch mediale Großereignisse, heute eher Randnotizen. Das ist ein normaler Gewöhnungseffekt: Je häufiger etwas geschieht, desto weniger relevant ist das Einzelereignis für die Gesellschaft. Doch im Fall der IT-Sicherheit können solche Gewöhnungseffekte ein echtes Problem darstellen, wenn man Datensicherheit und Datenschutz dadurch stiefmütterlich behandelt. Ist ein Unternehmen gehackt, kann das enorme direkte Folgen haben. Hacker können die Geschäftstätigkeit vollständig zum Erliegen bringen. Sekundäre Folgen sind beispielsweise Rufschädigung und der Verlust von Kunden.

Die Zukunft des SOC

Stellt man sich heute ein Security Operations Center (SOC) vor, so hat man meist einen Raum voller Menschen vor Augen, die auf viele Monitore starren, um eingehende Daten zu analysieren und neue Schwachstellen und aktive Malware zu finden. Diese Art des SOCs wird es aber nicht mehr lange geben. Die Geschwindigkeit, mit der sich Malware entwickelt, verändert und arbeitet, macht es immer schwieriger, Schadsoftware von Hand zu analysieren und zu erkennen. Das SOC muss zum größten Teil automatisiert arbeiten. Der Großteil der Erkennung und Prävention wird in Zukunft automatisiert stattfinden. Ein SOC ganz ohne Menschen ist jedoch nicht möglich. Man braucht immer Mitarbeiter, die auf einer höheren Ebene Maßnahmen ergreifen.

Das SOC sollte eine Single Source of Truth sein, in der alle Bedrohungsdaten zusammenlaufen. Das ist wichtig, denn die meisten Unternehmen verwenden Dutzende von Sicherheitslösungen, die manuell kaum zu überwachen sind. Das SOC muss die Ergebnisse all dieser Sicherheitslösungen an einem Ort zusammenführen. KI und maschinelles Lernen können diese Daten anschließend nutzen, um Korrelationen herzustellen, Anomalien zu erkennen und erste Abwehrmaßnahmen einzuleiten.

Ein modernes SOC sollte über Data Lakes verfügen, in denen man Bedrohungen sammelt und Threat-Research-Tools, die diese Informationen analysieren und akute Bedrohungen identifizieren können. So können Unternehmen sehen, welche Bedrohungen am aktivsten sind oder in ihrer Region oder Branche bekannt sind. Außerdem haben CISOs (Chief Information Security Officer) die Möglichkeit, ihre Erfahrungen mit anderen CISOs zu teilen, so dass sie voneinander lernen können. Sie können beispielsweise Aktionspläne austauschen oder mitteilen, wie sie mit bestimmten Bedrohungen umgegangen sind. Das sind wertvolle Informationen, wenn Unternehmen mit einer Datenschutzverletzung oder mit einer bestimmten Bedrohung konfrontiert sind.

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass

  1. Große Datenlecks vermeiden
  2. Cyberresilienz in vier Punkten

Verwandte Artikel

Micro Focus GmbH

Cyber-Angriff

Cybersicherheit