Wandel vom cyberkriminellen Service zum Handlanger
KI-Agenten gestalten kriminelle Aktivitäten neu. Der Wandel von „Cybercrime-as-a-Service“ zu „Cybercrime-as-a-Sidekick“ verändert die operative Dynamik krimineller Unternehmen grundlegend. Wir zeigen den Weg zu automatisierten Angriffssequenzen auf.
Save to Folio
Cyberkriminalität funktioniert heute typischerweise so, als würde man Dienstleistungen aus einem Untergrund-Menü auswählen. Sie brauchen Malware? Es gibt jemanden, der sie Ihnen liefert. Sie suchen gestohlene Finanzdaten? Die kommen aus einer anderen Quelle. Der Prozess funktioniert weitgehend über Menschen, und die Angreifer müssen die erworbenen Teile manuell zusammenfügen. Doch die gerade entstehenden KI-Agenten haben das Potenzial, dieses Modell komplett auf den Kopf zu stellen.
Und hier wird es sowohl interessant als auch besorgniserregend. Es gibt einen Paradigmenwechsel hin zu automatisierten Systemen, die kriminelle Aktivitäten mit minimaler menschlicher Aufsicht koordinieren können – ein Wandel von „Cybercrime-as-a-Service“ zu „Cybercrime-as-a-Sidekick“, wobei KI-Agenten komplexe Angriffssequenzen autonom ausführen, sich an veränderte Umstände anpassen und Operationen exponentiell skalieren. Diese Systeme funktionieren eher wie hochentwickelte Unternehmensplattformen, die in der Lage sind, kriminelle Prozesse von der ersten Erkundung bis zur endgültigen Monetarisierung ohne kontinuierliche menschliche Eingriffe zu verwalten.
Schichten krimineller agentengestützter KI
Die oberste Agentenschicht beherbergt spezialisierte kriminelle Agenten mit Zugang zu Darkweb-Ressourcen und kompromittierter Infrastruktur, während die mittlere Orchestrierungsschicht als kriminelles „Gehirn“ dient, das Angriffe plant, Agenten anleitet und Strategien durch Komponenten wie Angriffsplaner und Engines für die Taktik-Umgehung anpasst. Beide Schichten werden durch eine Datenbasis unterstützt, die gestohlene Informationen, Opferprofile und historische Angriffsdaten enthält und die systematische Ausführung gezielter böswilliger Aktivitäten ermöglicht.
Diese Architektur stellt eine grundlegende Veränderung der Möglichkeiten der Cyberkriminellen dar, die das Angriffsvolumen skalieren und gleichzeitig kriminelle Prozesse vereinfachen, Unternehmens-Cloud- und KI-Systeme wegen ihrer Rechenressourcen ins Visier nehmen und beispiellose Angriffsarten entwickeln können, die die derzeitigen Abwehrmaßnahmen vor neue Herausforderungen stellen.
Game Changer
- Agentische KI wird kriminelle Aktivitäten dramatisch ausweiten, und auch Akteuren mit begrenzten technischen Fähigkeiten können damit Kampagnen orchestrieren.
- Angriffe werden unglaublich flexibel und anpassungsfähig, denn mit KI-Agenten lässt sich die Taktik automatisch anpassen, basierend auf dem, was sie über jedes Opfer herausfinden.
- Diese Systeme werden nur schwer zu stoppen sein, da sie sich über mehrere kompromittierte Server verteilen und automatisch wiederhergestellt werden, wenn Teile davon offline gehen.
- Mit KI werden sich bisher unrentable kriminelle Machenschaften in wirtschaftlich tragfähige Unternehmungen verwandeln lassen. Früher manuell aufwändige Social-Engineering-Angriffe, Scams, wo Akteure Tausende potenzieller Opfer kontaktieren mussten, um Ziele zu identifizieren, warfen im Verhältnis zum erforderlichen Personalaufwand bisher nur geringe Gewinne ab. KI-Systeme sind nun in der Lage, Millionen von Gesprächen gleichzeitig zu führen, wodurch Social-Engineering-Operationen auf Basis des Volumens eine erhebliche Rentabilität und Skalierbarkeit erreichen können.
- Unternehmen werden mit völlig neuen Arten von Cyberangriffen umgehen müssen, die vor KI technisch oder wirtschaftlich nicht realisierbar waren.
Wir haben Proof-of-Concept-Systeme (PoC) entwickelt, die die besorgniserregende Zugänglichkeit und Wirksamkeit von agentenbasierter KI in kriminellen Anwendungen demonstrieren. Die Einzelheiten dazu liefert der Originalbeitrag.
Zeitschiene der agentenbasierten Cyberkriminalität
Die Einführung von agentenbasierter KI in der Cyberkriminalität wird einem vorhersehbaren Entwicklungsmuster folgen, das von dem bestimmt wird, was Trend intern als die „Drei Gesetze der Einführung von Cyberkriminalität“ bezeichnet:
Diese drei Gesetze ermöglichen es vorherzusagen, wann und wie neue Technologien in Cyberkriminalitäts-Ökosystemen eingesetzt werden, wobei eine schnelle Einführung nur dann erfolgt, wenn alle drei Bedingungen gleichzeitig erfüllt sind.
Dieser Zyklus gipfelt in der Regel in einem „Nexus-Ereignis“, einem raschen Anstieg der kriminellen Beliebtheit einer Technologie. Der Fall tritt ein, wenn Erträge mit bestehenden Geschäftsmodellen sinken und neue Technologien alle drei Adoptionskriterien gleichzeitig erfüllen. Derzeit scheint das Ökosystem der Cyberkriminalität für ein solches Ereignis bereit zu sein, da KI erhebliche Produktivitätssteigerungen bietet, während bei etablierten Modellen wie Ransomware aufgrund verbesserter Abwehrmaßnahmen und Geschäftspraktiken mit sinkenden Erfolgsraten zu rechnen ist.
Die Transformation wird sich in drei verschiedenen Phasen mit zunehmend tiefgreifenden Auswirkungen vollziehen.
- Kurzfristig wird KI als Beschleuniger für bestehende kriminelle Aktivitäten wirken. Das äußert sich in KI-gestützten traditionellen Angriffen (verbessertes Phishing und Malware) und KI-abhängigen Bedrohungen (Deepfakes und Social Engineering in großem Umfang).
- Mittelfristig entstehen echte agentenbasierte cyberkriminelle Ökosysteme mit mehrschichtigen Marktplätzen für kriminelle Agenten, ausgeklügelten Orchestrator-Frameworks und dem Wechsel von „Cybercrime-as-a-Service“ zu „Cybercrime-as-a-Sidekick“.
- Langfristig verändern Effekte zweiter Ordnung die kriminelle Landschaft grundlegend durch stark verteilte, selbstheilende Infrastrukturen, autonome kriminelle Unternehmen, die unabhängig von ihren menschlichen Schöpfern agieren können, und das Entstehen neuer Spezialisierungsmuster, bei denen kriminelle Anführer eher zu Entwicklern und Lehrern von KI-Systemen werden als zu direkten Betreibern.
Verlagerung hin zu einer KI-gesteuerten Verteidigung
Während die meisten Cyberkriminellen weiterhin mit rudimentären KI-Fähigkeiten experimentieren, steht der Cybersicherheitsbranche eine bevorstehende Transformation bevor, sobald eine führende kriminelle Organisation die wirtschaftliche Rentabilität vollständig integrierter agentenbasierter Systeme erfolgreich unter Beweis gestellt hat. Dieses erwartete Schlüsselereignis wird wahrscheinlich eine rasche Einführung im gesamten Ökosystem auslösen, ähnlich wie es bei der transformativen Wirkung von Kryptowährungen auf Ransomware-Operationen zu beobachten war.
Als Antwort auf diese sich schnell entwickelnden Bedrohungslandschaft mit agentenbasierter KI müssen Unternehmen Sicherheitslösungen einsetzen, die auf maschineller Ebene und mit maschineller Geschwindigkeit arbeiten können. Diese Empfehlungen zur Verteidigung gelten zwar allgemein für Cybersicherheitsbedrohungen, der entscheidende Unterschied liegt jedoch darin, wie gut Sicherheitsplattformen mit dem automatisierten Tempo und dem enormen Ausmaß der agentenbasierten Cyberkriminalität Schritt halten können.
Der exponentielle Anstieg des Angriffsvolumens und der Angriffsgeschwindigkeit, der für agentenbasierte Cyberkriminalität charakteristisch ist, erfordert Verteidigungssysteme, die sich automatisch skalieren lassen und sofort über große digitale Fußabdrücke hinweg reagieren können.
Die Trend Vision One™ Cyber Risk Exposure Management One-Platform (CREM) und das Vulnerability Management wurden entwickelt, um gleichzeitig eine umfangreiche Bedrohungsbewertung und eine schnelle Risikopriorisierung in gesamten Unternehmensumgebungen durchzuführen. Diese Plattform nutzt KI-gesteuerte Automatisierung, um Tausende potenzieller Schwachstellen und Risiken mit Maschinengeschwindigkeit zu verarbeiten.
Den ganzen Bericht können Sie hier lesen.