Cyberbedrohungen
Die kriminelle Zukunft: Gleiches Muster aber skaliert
Die jahrelange stetige Beobachtung des kriminellen Untergrunds zeigt interessante Muster, die auch Rückschlüsse auf Trends in der IT-Sicherheitswelt der mittelfristigen Zukunft erlauben. Lassen Sie sich überraschen.
Wie üblich zum Jahresende gibt es die Vorhersagen verschiedener Hersteller für 2024 - auch die von Trend Micro können Sie hier nachlesen. Doch wenn man einen Schritt weitergeht und sich eine mögliche weitere Entwicklung über die Jahre ansieht, ist das gewagt? Bei dem rasanten Fortschreiten der IT muss doch gerade die noch dynamischere IT-Security schwer vorhersagbar sein, oder doch nicht? Die Fachleute beobachten und analysieren seit über 30 Jahren sowohl die IT-Sicherheit und ihren Erzfeind, den digitale Untergrund. Dabei lässt sich ein interessantes Muster beobachten, welches es uns erlaubt, auch die IT-Sicherheitswelt der nächsten Jahre vorhersehbar zu machen. Ein Blick zurück macht deutlich, was gemeint ist.
Rückblick
Vor nur knapp sieben Jahren waren die Top Themen Bankentrojaner und Kreditkartenbetrug. Die Nachrichten 2016 debattierten auch an prominenter Stelle Datendiebstähle -- Sie gehören heute zum IT-Sicherheitsalltag. Auch gab es bereits gelegentliche Berichte über staatliche Akteure – der Begriff „Advanced Persistent Threat“ (APT) war noch verhältnismäßig neu und nicht so normal, dass kaum noch darüber berichtet wird. Und wir sahen das zweite Boom-Jahr einer im Verhältnis alten Taktik die man als Ransomware bezeichnet, damals noch auf Konsumenten ausgerichtet mit Preisen die häufig schon bei knapp 300 € lagen. Fast ist man versucht, von der „guten alten Zeit“ zu sprechen.
Situation heute
Viel hat sich seither verändert. Bankentrojaner wurden umfunktioniert, und die Regulierungen der Finanzbranche zeigten Wirkung. Das große Geschäft ist mit Kreditkartenbetrug nicht mehr zu machen. Aber das braucht es auch nicht, denn die großen Summen laufen gar nicht mehr über Banken. Kryptowährungen haben ihren Platz eingenommen. Und wo früher die Konsumenten noch durch Versicherungen und die Cashflow Kontrollen der Banken zumindest teilweise geschützt waren, herrscht im Kryptowährungsbereich wieder Goldgräberstimmung, die wie damals Hand in Hand mit Straftaten geht. Wurden 2016 knapp 100 Millionen Dollar in Bitcoin & Co gestohlen, so waren das 2022 nach Analyse der Firma Chainalysis bereits 3,8 Milliarden Dollar.
Aber auch der Datendiebstahl insgesamt hat sich verändert. Wurde früher noch in Foren besprochen, welche technischen Möglichkeiten existieren, um an diese Daten zu gelangen, gibt es heut ganze Marktplätze, die nicht nur den Weiterverkauf bewerben, sondern Discounts, Marketing und ähnliches für den „Anbieter“ bereithalten. Auch den Käufer unterstützen fortschrittliche Suchoptionen bei den „richtigen“ Geschäftskontakten -- Die Branche hat sich professionalisiert. Alles wird schneller, größer und profitabler. Die Geschäftsmodelle aber sind im Grunde gleichgeblieben. Es ist Diebstahl, der Handel mit gestohlener oder verbotener Ware, Erpressung und natürlich Betrug. Was sich ändert sind die Größenordnungen und natürlich die Technologie.
Die Dynamik der IT
Was ist also von der Zukunft zu erwarten? Wohl wenig überraschend: Die Geschäftsmodelle werden sich nicht ändern, aber die Skalierungseffekte. Dabei geht es um zwei prinzipielle Trends - Qualität und Quantität. Quantität bedeutet, es gibt mehr Attacken desselben Typs. So hat beispielsweise die Anzahl der infizierten Cloud-Instanzen drastisch zugenommen, und das dank der zunehmenden Automatisierung auf Seiten der Kriminellen. Über die letzten Jahre haben mehrere Gruppen mit verhältnismäßig niedrigem technischem Knowhow bewiesen, wie einfach man mit Krypto-Mining, bzw. anders ausgedrückt, mit gestohlener Energie Geld machen kann. Nun sind professionelle Gruppen damit beschäftigt, Skalierungseffekte zu erzeugen, indem sie beispielsweise mit Hilfe gestohlener Zugänge ganze virtuelle Rechenzentren für ihre Zwecke instrumentalisieren.
Das andere ist die Qualität der Angriffe. Die Entwicklung lässt sich bei Ransomware-Angriffen der vergangenen Jahre beobachten. Die Professionalisierung des Geschäftsmodells ist heute so weit gediehen, dass selbst Neueinsteiger mit Talent und ohne Gewissen (anders herum ist’s immer noch schwer) zu ernsthaften Gegnern werden können. Sogar Unternehmen mit gut ausgebildeten und trainierten Sicherheitsfachkräften sind vor Angriffen nicht sicher, wie immer wieder demonstriert wird.
Trends: die sozialen Medien
Das Aufkommen der sozialen Medien hat große soziale Änderungen angestoßen, deren Auswirkungen noch nicht abzusehen sind. Konzepte wie die Demokratie an sich aber auch „der freie Meinungsaustausch“ stehen wie nie zuvor auf dem Prüfstand. Lügen, Hass und Anfeindungen sind zu etwas Alltäglichem geworden und haben sich in anfälligen Regionen zu handfesten Krisen weiterentwickelt.
Diese mit der IT eng zusammenhängenden Konflikte werden unsere Branche weiter bestimmen. Staaten und Menschen bzw. Gruppen mit politischen Zielen werden die IT zunehmend als Betätigungsfeld ihrer Aggressionen betrachten. Neben staatlichen Konflikten stehen auch die Themenkomplexe Religion, Umwelt sowie soziale Umwälzungen auf der politischen Agenda. Und Cyberangriffe auf Andersdenkende werden von den jeweiligen „Bubbles“ bereits gefeiert. Der Diebstahl, die Manipulation oder der Zugang von und zu Daten stehen dabei im Mittelpunkt. Die 2016 begonnene Diskussion um manipulierte Wahlen in den USA, Großbritannien und Frankreich waren dabei nur der Anfang.
Trends: künstliche Intelligenz
Auf der technischen Ebene hat das Thema künstliche Intelligenz (KI) den Mainstream erreicht. Genauso wie Sie vermutlich überlegen, wie es Ihre Arbeitswelt bereichern kann, tun dies Kriminelle auch. Auf beiden Seiten ist klar, dass KI vor allem eines kann, sie kann verbessern. Sie macht aus Sprachanfängern Muttersprachler und aus langsamen Kriminellen schnelle. Sie wird deshalb auf die Cyberkriminalität massiven Einfluss ausüben, indem sie bestehende Geschäftsmodelle „boostet“.
Der Betrug wird durch KI internationalisiert. Durch verbesserte Sprachfähigkeiten und genauere Ausdrucksweisen aber auch durch das Verständnis für nationale Diskussionen erhalten international agierende Betrugsbanden neue Absatzmärkte. KI und auch massive Datendiebstähle werden es auch erlauben, die Angriffe persönlicher und gezielter zu machen.
Der Fokus der Kriminellen wird beim Thema Datendiebstahl in den nächsten Jahren auf der Verarbeitung der Datenberge liegen. Das Klassifizieren bzw. Bewerten gestohlener Daten erlaubt die gezieltere Verwertung in Betrugsdelikten aber auch für andere Aktivitäten wie politische Agitation, Aktienbetrug, etc. Von den Opfern fordern die Täter dabei immer häufiger nicht nur Lösegeld, sie stellen sie gezielt vor die Wahl, sich mit einer Art Schweigegeld von den Folgen der Datendiebstähle freizukaufen.
Trends: Erpressung
Bei Erpressungsangriffen werden wir Skalierungseffekte erleben. So genannte „Supply Chain“-Attacken nehmen beispielsweise kleinere Unternehmen und deren IT-basierte Verknüpfungen ins Visier. Ein Beispiel für eine solchen Angriff gab es im November in Südwestfalen. Den Tätern geht es dabei darum, mit wenig Aufwand möglichst viele Ziele auf einmal zu treffen, um den „Return of Investment“ ihres Geschäftsmodelles zu vervielfältigen.
Neben Unternehmen wird auch die Erpressung von Einzelpersonen zunehmen. Durch KI-gestützte Techniken, etwa Deep Fakes, können echt aussehende Video- und/oder Tonaufnahmen von Menschen erstellt werden. Ein Dienstleistungsgewerbe, das aus Realbeispielen gefälschte Filme oder Aussagen erstellt, mag in der Comedy starten, kann aber im Darkweb alle Arten von Aufnahmen erzeugen. Die hübsche Nachbarin als Hauptdarstellerin im eigenen Erwachsenen Video ist damit nur noch ein paar Bitcoin entfernt. Genauso werden Betrugsdelikte wie „virtuelle Entführungen“ oder der bekannte Enkeltrick davon profitieren, wenn am Telefon tatsächlich die Stimme der erwarteten Person zu hören ist.
Lichtblicke
Wir vergessen bei den Analysen zum kriminellen Untergrund häufig, dass sich hinter Technologien Menschen verbergen, die zudem in ihren charakteristischen Wesenszügen klassischen Kriminellen sehr ähnlich sind. Es sind Menschen, die mit möglichst wenig Aufwand schnell reich werden wollen. Die KI ist auf diesem Weg nur ein Werkzeug und sie wird vor allem dazu verwendet, bestehende Geschäftsmodelle zu optimieren … wie in der normalen Wirtschaft auch. Echte Innovationen, Geschäftsrisiken oder gar aufwendige Entwicklungsarbeit kommen im digitalen Untergrund dagegen selten vor.
So kommt es dann zu manch überraschenden Diskussionen mit Journalisten und Kunden. Als ChatGPT beispielsweise den KI Hype auslöste, wurden wir als erstes gefragt, ob denn nun ein Supervirus zu erwarten sei. Aufmerksamkeit wäre uns sicher gewesen, wenn wir nur das virtuelle Ende der Welt verkündet hätten. Aber wir langweiligen Sicherheitsforscher haben das nicht getan - es wird schlichtweg nicht passieren.
Kein Supervirus mit KI
Könnten Kriminelle oder auch staatliche finanzierte Täter eine Malware entwickeln lassen, die fast das gesamte Internet infiziert? Natürlich, doch dann beschäftigen sich auf einen Schlag jede Menge Sicherheitsforscher mit der Problematik. Gegenmaßnahmen werden gefunden und den Betroffenen geholfen.
Für die Kriminellen bedeutet das nichts Gutes. Sehen sie sich einem Heer von Cybersecurity-Experten und politischen Machthabern gegenüber, unterliegen sie schnell und verlieren nicht nur ihre Chance auf Kapital, sondern auch ihre Freiheit. Aber noch ein zweites Problem haben Flächenangriffe, und das hält auch staatliche Täter ab. Flächenangriffe stoppen nicht an Grenzen. Sie treffen alle, die bestimmte Voraussetzungen haben, das heißt auch diese selbst. Und würden sie es nicht tun, wäre eine eindeutige Attribuierung möglich. Man könnte also auch gleich einen Krieg erklären.
Hindernisse für die Kriminalität
Die gegenwärtige Professionalisierung der Kriminalität lässt sich vor allem auf zwei Grundpfeiler zurückführen. Zum einen profitieren die Täter von Ländern, in denen sie praktisch ohne Gefahr einer Strafverfolgung Ziele in anderen Ländern angreifen können. Da dies aber in beide Richtungen gilt, ist es durchaus möglich, dass es zu internationalen Einigungen kommt. In der heutigen Krisensituation scheint das undenkbar, aber es wäre ein Weg, ohne Gesichtsverlust eine schnelle Annäherung für alle Seiten zu erzielen.
Der zweite Pfeiler sind Kryptowährungen. Diese erlauben nicht nur den Geldtransfer großer Summen, sondern auch das Bezahlen von Dienstleistungen im Cyberuntergrund. Mit der Kryptobörse Binance hat sich in den USA dieses Jahr erstmals ein großer „Player“ diesbezüglich „schuldig“ bekannt. Die Rekordstrafe von 4,3 Milliarden Dollar scheint hoch, ist aber angesichts der Vorwürfe – u.a. Unterstützung von Terrorismus und Kinderpornografie – noch im Verhältnis milde. Nichtsdestotrotz ist ein für die USA wichtiger Präzedenzfall geschaffen worden. Wie die Branche und die Justiz darauf reagiert, könnte massiven Einfluss auf die Möglichkeiten der Kriminellen haben.
Fazit
Für Unternehmen ist und bleibt es wichtig, sich selbst zu schützen. Um dieser Aufgabe gerecht zu werden hat die Europäische Union mit der NIS 2 Direktive ein Stück IT-Security Legislatur geschaffen, dessen Inhalte die Grundzüge einer modernen Cyberverteidigung widerspiegeln. Als Hersteller entsprechender Angebote unterstützen wir sie gerne bei der Umsetzung einer für Ihr Unternehmen optimierten Lösung.