Cyberkriminelle professionalisieren sich und verwenden künstliche Intelligenz, um die Chancen erfolgreicher Hacking-Angriffe zu steigern. Das Thema der Cybersicherheit beschäftigt die EU. Mitgliedsstaaten sind 2024 angehalten, die Ende 2022 beschlossene NIS-2-Richtlinie endlich umzusetzen. Daraus folgend sind Unternehmen vielfach gefordert, Cybersecurity ernster zu nehmen.

 

Künstliche Intelligenz auf dem Vormarsch

Künstliche Intelligenz versetzt Cyberkriminelle in die Lage, Phishing-Angriffe zu verfeinern. Während es in der Vergangenheit ein Leichtes war, Phishing-E-Mails zu erkennen, die Passwörter und andere sensible Daten rauben wollten, wird dies in Zeiten von KI immer kniffliger. Bei geschicktem Einsatz von Sprachmodellen ist es für Laien undurchsichtiger geworden, seriöse E-Mails von böswilligen Botschaften zu unterscheiden. Für Unternehmen wird es daher zunehmend wichtiger, Mitarbeiter zu schulen und technische Lösungen einzubauen, die Phishing erschweren.

Wenn der Alarm losgeht, ist es zu spät, für Sicherheit zu sorgen. Quelle: Pixabay.de

 

Dennoch sollte KI nicht nur als Risikofaktor angesehen werden. KI lässt sich umgekehrt auch einsetzen, um Bedrohungen frühzeitig zu erkennen und Cyberangriffe im Keim zu ersticken. Insbesondere bei der Mustererkennung ist KI essenziell. 2024 und in den Folgejahren wird es aus diesem Grund zu einem Wettrüsten kommen. Menschen mit böswilligen Absichten werden KI als Werkzeug gebrauchen, um Angriffe zu stärken – und Unternehmen werden auf KI vertrauen, um Gefahren den Garaus zu machen. Daher ist es besonders wichtig, die IT-Abteilungen mit den besten Werkzeugen auszustatten, sonst kann sich schnell ein perfekter Sturm zusammenbrauen.

 

Zunahme von Deepfakes

Deepfakes sind gefälschte Bilder, Audiodateien und Videos, die Promis oder Politiker zeigen. Erstellt werden diese Aufnahmen mithilfe von künstlicher Intelligenz. Obgleich KI derzeit noch Probleme hat, Mimik nachzuahmen, ist die Gefahr nicht zu verkennen. In den nächsten Monaten und Jahren dürften häufiger Fehlinformationen verbreitet werden, täuschend echt und für Laien niemals sofort zu erkennen.

Schutz ist so wichtig, wie nie zuvor. Quelle: Pixabay.de

 

Angesichts dessen ist der AI Act geplant, ein EU-Gesetz zum Thema künstliche Intelligenz. Demnach sollen Deepfakes künftig gekennzeichnet werden. Allerdings ist nicht zu erwarten, dass böswillige Cyberakteure dieser Forderung nachkommen. Auch wurde umgeschrieben, wie Deepfakes zu definieren sind. Neben Personen können nun auch Orte und Ereignisse Deepfakes sein. 2023 hatte das Deepfake einer Explosion nahe dem Pentagon etwa zu Bewegungen an der US-Börse geführt. Dies stellt einmal mehr unter Beweis, welche Gefahr von Deepfakes ausgehen könnte.

 

Faktor Mensch: Schwachstelle Nummer eins

Ungeachtet künstlicher Intelligenz ist das Zünglein an der Waage stets der Mensch. Die meisten Hacker verschaffen sich mittels Social Engineering Zugang zu fremden IT-Systemen. Mal mehr, mal weniger geschickt, wird der Versuch unternommen, Menschen zu manipulieren. Besonders gewiefte Hacker spionieren das Opfer zuerst aus, um den Cyberangriff maßzuschneidern und die Erfolgschancen beträchtlich zu erhöhen.

Um diese Schwachstelle besser in den Griff zu bekommen, setzen beispielsweise Online Casinos auf umfassenden Sicherheitsmaßnahmen, die verhindern sollen, dass ein unbedachter Klick die eigenen System für Angreifer öffnet. Immerhin vertrauen die Kunden darauf, dass die besten Online Casinos mit der besten Auszahlungsquote in Deutschland ihre Zusagen bezüglich der Auszahlungsquote auch einhalten können. Die Anbieter nutzen daher beispielsweise die SSL-Verschlüsselung, um sensible Daten, wie Kundengelder vor Angriffe zu schützen.

Da immer mehr Mitarbeiter im Homeoffice arbeiten oder Cloud-Dienste nutzen, rückt für Unternehmen Zero Trust Security stärker in den Mittelpunkt. Diese Sicherheitsstrategie trifft die Annahme, dass nichts sicher ist. Zero Trust sträubt sich, User, Geräte oder Netzwerke als sicher anzuerkennen. Wiederholt müssen sich Benutzer authentisieren; Geräte werden fortwährend überprüft, um jedwede Gefahr abzuwehren.

Jeder Angriff hinterlässt »digitale Fingerabdrücke«. Quelle: Pixabay.de

 

Auch 2024 wird die Aufgabe darin bestehen, das Bewusstsein aller Mitarbeiter für Cybersecurity zu schärfen. Anmeldeprozesse können noch so sicher gestaltet werden: Letzten Endes ist der Mensch das schwächste Glied in der IT-Sicherheitskette.

 

Steigende Gefahr von Ransomware-Angriffen

2023 war das Jahr der Ransomware-Angriffe. Hacker sollen im Jahresverlauf Lösegelder von 1,1 Milliarden US-Dollar erpresst haben, etwa doppelt so viel wie noch im Vorjahr. Bei Ransomware verschlüsseln die Täter Computer dergestalt, dass die Opfer – in der Regel Unternehmen – nicht mehr dem eigentlichen Tagesgeschäft nachgehen können. Um die IT-Systeme zu entsperren, sind Lösegelder zu zahlen. Nicht selten wird Opfern angedroht, erbeutete Daten der Öffentlichkeit zugänglich zu machen. Ziel ist es, so den Zahlungsdruck zu erhöhen.

Sicherheitsvorkehrungen zu treffen, um sich gegen Ransomware zu wappnen, wird 2024 für alle Unternehmen von entscheidender Bedeutung sein. Zu beobachten ist in diesem Zusammenhang, dass Cyberangriffe mit politischen Motiven zunehmen. Feindliche gesinnte Nationen probieren, Stromnetze zu sabotieren oder den Finanzmarkt zu destabilisieren. Auch dies unterstreicht, dass Unternehmen und Staaten in Cybersecurity investieren müssen. Cyberangriffe sind kostspielig. Günstiger ist es, die IT-Sicherheit in Stellung zu bringen, bevor Ransomware ein Loch in die Firmenkasse reißt.

 

NIS-2-Richtlinie stärkt Cyberabwehr der EU

Ursprünglich ist die NIS-2-Richtlinie bereits Anfang 2023 in Kraft getreten. Allerdings haben die Mitgliedsstaaten der EU Zeit, die neue Richtlinie zur Netzwerk- und Informationssicherheit in nationales Recht zu überführen. NIS-2 verpflichtet die EU-Staaten, Strategien zur Cybersicherheit zu ersinnen. Kritische Unternehmen sind verpflichtet, Störungen und Cyberangriffe sofort einer nationalen Behörde für Cybersecurity zu melden.

Strategien gegen Angriffe sind gefragt. Quelle: Pixabay.com

 

Allein in Deutschland sind laut Hochrechnungen etwa 30.000 Unternehmen von der Neuregelung betroffen. Firmen aus den Bereichen Energie, Finanzmarkt, Verkehr und Gesundheitsversorgung sollen gerüstet werden, um Cyberangriffen zu widerstehen. Gesetze im Sinne der NIS-2-Richtlinie sind bis Oktober 2024 zu beschließen. Für betroffene Unternehmen besteht eine der größten Herausforderungen darin, Schwächen in der IT-Sicherheit auszubessern. Neben der angeführten Meldepflicht herrscht zum Teil enormer Nachholbedarf. Standards wie ISO/IEC 27001, die einen IT-Grundschutz gewährleisten, dürften nicht ausreichen, um den gewachsenen Anforderungen der NIS-2-Richtlinie gerecht zu werden.

NIS-2 hat außerdem die Absicht, die EU-Mitgliedsstaaten zu einer kooperativen Zusammenarbeit zu bewegen und Sanktionsmaßnahmen anzugleichen. Ein Zuwiderhandeln zieht für Unternehmen empfindliche Strafen nach sich, die bis 10 Millionen Euro reichen, respektive zwei Prozent des Jahresumsatzes.