Cyberbedrohungen
Ransomware im Zeitalter der KI
Cyberkriminelle suchen zunehmend neue Erpressungstaktiken, um Opfer zum Zahlen zu bewegen. Dr kommt die KI für die Analyse der gestohlenen Daten gerade recht. Auch sind Daten sehr begehrt, um KI zu trainieren. Was bedeutet diese Entwicklung für Unternehmen?
Save to Folio
Die Idee, Unternehmen an der Arbeit zu hindern und so an den Verhandlungstisch zu zwingen, ist äußerst effizient und erfreut sich auch in legalen Anwendungsfällen (siehe Arbeitskampf) großer Beliebtheit.
Cyberkriminelle haben dieses Prinzip in Form von Ransomware in den vergangenen Jahren beständig weiterentwickelt und perfektioniert. Neben dem bekannten Verschlüsseln von Daten, haben sie sich noch weitere Methoden einfallen lassen, die Unternehmen kennen sollten. Aber nicht nur das – auch qualitativ ändert sich gerade einiges.
Die Erpresser haben derzeit ein Problem, denn selbst wenn es ihnen gelingt, die IT eines Unternehmens vollständig zu verschlüsseln, zahlen immer weniger ihrer Opfer. Die Gründe sind vielfältig: funktionierende Backups, juristische und ethische Hürden oder die Erkenntnis, man müsse seine Systeme ohnehin mal wieder grundlegend modernisieren. Parallel investieren Unternehmen zudem in Cybersicherheitsmaßnahmen und machen das Vorgehen für Kriminelle komplexer und damit teurer.
Wie reagieren die Täter also darauf? Nachdem sie früher die Systeme ihrer Opfer möglichst schnell verschlüsselten, erleben wir derzeit, dass die einschlägigen Gruppen oft monatelang in einem Unternehmen versteckt bleiben. In dieser Zeit haben sie zwei Ziele: Erstens das Backup zu infizieren, um Rücksicherungen kostspielig oder ineffizient zu machen, und zweitens den Abfluss von Daten zu bewerkstelligen. Denn die verlässlichsten Umsätze lassen sich inzwischen damit erzielen.
Die Drohung, Daten des Opfers zu veröffentlichen, ist bekannt. Doch auch diese Sache hat einen Haken: Nur weil die Verbrecher behaupten Daten zu haben, zahlen die Opfer nicht – zumindest die meisten. Die Kriminellen müssen da schon deutlicher werden, indem sie die Daten genauer benennen. Häufig werden deshalb auch Kunden und Partner des Opfers mit Erpressungsbotschaften bedacht. Sie sollen ebenfalls Druck ausüben, denn auch ihre Daten werden angeblich veröffentlicht. Aber das ist derzeit nicht der einzige Umsatztreiber für Cyberkriminelle.
KI für die Datenanalyse und Training
Bislang gab es für die Kriminellen kaum eine effiziente Möglichkeit, die gestohlenen Datenmengen nach sinnvollen Zusammenhängen zu durchforsten. Das hat sich mit der breiten Verfügbarkeit von KI geändert. Teilweise sind entsprechende Agenten bereits auf Opfersystemen vorhanden (z.B. Copilot), oder man schleust sie ein. Wertvolle Daten lassen sich so vom allgemeinen Rauschen trennen und die Erpressung wird persönlicher. Kriminelle weisen auf spezifische Projekte und Kommunikation hin, die seitens der Betroffenen auch nachprüfbar sind. Doch selbst dann gibt es für die Täter noch keine Gewähr, dass ein Unternehmen wirklich zahlt. Schließlich würde es sich damit dem Willen von Verbrechern ausliefern.
Leider existieren noch weitere Möglichkeiten, mit diesen Daten Geld zu machen: Aktuell zahlen verhältnismäßig viele Bieter auf Untergrundmarktplätzen selbst für unbedeutend erscheinenden gestohlenen „Datenmüll“. Der Grund ist ebenfalls KI: Für das Training bestimmter KI-Modelle werden nämlich möglichst „normale“, von Menschen erzeugte Daten benötigt. Die von anderen KIs erzeugten sind dagegen fast schon schädlich (Stichwort: Modellkollaps). Das macht die zehn Jahre alte Frage eines Kollegen nach dem Speiseplan der Kantine für das Training einer KI wichtiger als der neue, auf Hochglanz polierte Unternehmensprospekt.
Die Erpressung mit dem verweigerten Zugriff auf Systeme bleibt nach wie vor das zentrale Element von Ransomware-Angriffen. Der Verkauf gestohlener Daten ist dabei so etwas wie das Öl, mit dem die Maschine am Laufen gehalten wird. Selbst wenn ein Opfer nicht zahlt, lohnt der Angriff für die Täter.
Tipps zum Schutz vor digitaler Erpressung:
Man hört aktuell verhältnismäßig wenig über Ransomware-Angriffe. Das hat zwei Gründe:
- Erstens nehmen dank besserer Cybersecurity die Fälle zu, in denen Unternehmen einen Angriff erkennen, bevor die Verschlüsselung einsetzt.
- Zweitens spielen sich die meisten für Kriminelle erfolgreichen Fälle im Bereich kleiner und mittelständischer Unternehmen ab und sind damit nicht so relevant für die (überregionalen) Medien. Auch KMU sollten sich deshalb mit zeitgemäßen Sicherheitslösungen zur Erkennung und Abwehr von Angriffen (z.B. Detection & Response) schützen.
- Nur weil ein Verbrecher behauptet, Ihnen wichtige Daten gestohlen zu haben, heißt das nicht, dass dem auch wirklich so ist. Ebenso verhält es sich, wenn er behauptet, die Daten nicht weiterzugeben, wenn Sie zahlen. Sollte Ihnen tatsächlich etwas gestohlen worden sein, gehen Sie davon aus, dass dies anderweitig verwendet wird – unabhängig davon, was sie tun. Sie sollten dennoch in der Lage sein, zu erkunden, auf welche Daten die Täter zugegriffen haben, um daraus weitere Maßnahmen wie Ihre Kommunikationsstrategie abzuleiten.
- Treffen Sie entsprechende Vereinbarungen mit Kunden und Lieferanten: Sollte einer von Ihnen erfolgreich angegriffen werden, müssen das die anderen sofort wissen. Die Wahrscheinlichkeit, dass ein Cyberangriff in die Lieferkette (Supply Chain) streut ist hoch und die gegenseitige Information schützt Ihre Handelspartner.
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.