Schutz kritischer Infrastruktur erfordert menschliche und künstliche Intelligenz

»Insight the Mind of a Hacker 2020« bietet einen Überblick über den Status Quo der internationalen ethischen Hacker-Gemeinschaft.

(c) bugcrowd

Bugcrowd stellte die Ergebnisse der Studie »Inside the Mind of a Hacker 2020« vor [1]. Demnach spielen Kreativität und Einfallsreichtum eine wichtige Rolle, um kriminell motivierten Hackern den entscheidenden Schritt voraus zu sein. So reicht für 78 Prozent der befragten Sicherheitsforscher der alleinige Einsatz von KI-Lösungen nicht aus, um Cyberangriffen im Verlauf des kommenden Jahrzehnts zuvorzukommen. Nahezu jeder neunte Umfrageteilnehmer gab zudem an, dass Schwachstellen-Scanner bei weitem nicht so viele kritische oder unbekannte Sicherheitslücken aufdecken, wie auf diese Aufgabe spezialisierte Experten.

 

Ermittlung von Sicherheitslücken zahlt sich aus

2019 wendeten auf der Bugcrowd-Plattform aktive White-Hat-Hacker durch das frühzeitige Auffinden von Schwachstellen Cyberangriffe ab, die Unternehmen schätzungsweise 8,9 Milliarden US-Dollar gekostet hätten. Analog dazu nahm die Summe der ausgezahlten Prämien gegenüber dem vorangegangen Untersuchungszeitraum um 38 Prozent zu. In den kommenden fünf Jahren soll der durch die Arbeit der Hacker verhütete finanzielle Schaden voraussichtlich über 55 Milliarden US-Dollar betragen.

 

Hacker sind jung und neurodivergent

53 Prozent der ethischen Hacker sind jünger als 24 Jahre und 13 Prozent neurodivers. Fast die Hälfte davon (6 Prozent) leidet an Aufmerksamkeitsdefizit-Hyperaktivitätstörungen (ADHS). Dank ihrer neurologischen Fähigkeiten sind sie vor allem in von raschem Wandel geprägten Berufen erfolgreich, die unkonventionelles Denken und Kreativität fordern. Die ihnen eigenen kognitiven Stärken – eine hohe Gedächtnisleistung, ein gutes Auge für Details, Muster und Anomalien, ein ausgeprägtes logisches Denkvermögen und ein gutes Verständnis für Systeme – verleihen von ihnen durchgeführten Sicherheitstests ein Plus an Tiefe und Dimension.

 

Hacker sind Weltbürger

Die Untersuchung zeigt, dass Bugcrowd-Hacker auf sechs Kontinenten und in mehr als hundert Ländern zu Hause sind. Den größten Anteil stellt mit 83 Prozent derzeit Indien. Des Weiteren geht aus der Studie hervor, dass fast jeder Dritte zwei oder mehr Sprachen spricht.

 

Unternehmen und Hacker sind sich ihrer gesellschaftlichen Verantwortung bewusst

Die diesjährige Bugcrowd-Studie legt nahe, dass Hackern die Übernahme gesellschaftlicher Verantwortung wichtig ist. 93 Prozent erklärten, dass es ihnen beim Aufdecken von Sicherheitslücken vor allem um das Wohl der Organisationen geht, die sie mit dieser Aufgabe betrauen. Gleiches gilt für Unternehmen. In den letzten zwölf Monaten nahm die Zahl der von ihnen verantwortungsvoll offengelegten Schwachstellen um das fünffache zu. Aus Sicht des Bugcrowd-Gründers, Vorstandsvorsitzenden und Chief Technology Officer (CTO) Casey Ellis unterstreicht ihr transparentes Verhalten, dass sie ihre soziale Verantwortung ernster nehmen als je zuvor.

 

Sicherheitsrisiko Corona

Seit Ausbruch der Covid-19-Pandemie stieg die Zahl an Cyberangriffen laut FBI um 400 Prozent an. Als Reaktion darauf legen Unternehmen verstärkt Bug-Bounty-Programme auf. 61 Prozent der Bugcrowd-Sicherheitsforscher bestätigten diese Entwicklung.

Fast die Hälfte der befragten ethischen Hacker (48 Prozent) vertritt die Auffassung, dass vorwiegend Gesundheitseinrichtungen im Zuge der anhaltenden Corona-Krise ins Visier von Internetkriminellen geraten werden. Weitere 17 Prozent sehen im Bildungswesen oder in der kommunalen Förderung tätige Organisationen als gefährdet an. Regierung und Militär sind für 16 Prozent ebenso denkbare Angriffsziele.

Im Hinblick auf die bevorstehenden US-Präsidentschaftswahlen im November gaben 72 Prozent der Umfrageteilnehmer zudem vollständig unabhängig voneinander an, dass sie die Stimmabgabe per Internet oder Briefwahl für risikobehaftete unsichere Verfahren halten.

 

[1] Für die Studie »Inside the Mind of a Hacker 2020« analysierte Bugcrowd von 3.493 aktiven Sicherheitsforschern eingegangene Umfrageantworten, zwischen dem 1. Mai 2019 und dem 30. April 2020 über die eigene Plattform abgewickelte Hacking-Aktivitäten sowie Daten von 1.549 Programmen und 7,7 Millionen Plattform-Interaktionen.
[Studie] »Inside the Mind of a Hacker 2020« https://itmoah.bugcrowd.com

 

Simulierte Cyberattacken: Übungen als Schutz vor Cyberrisiken?

Immer mehr IT-Abteilungen vertrauen auf Penetrationstests oder Bug-Bounty-Programme und simulieren Cyberattacken, um ihre Mitarbeiter zu sensibilisieren. Grund dafür ist der explosionsartige Anstieg von Cyberbedrohungen. Egal ob man nun die Sicherheitsmaßnahmen oder die digitalen Reflexe der Angestellten prüfen möchte: Die Simulation von Cyberattacken trägt zu einer erhöhten Wahrnehmung von Cyberrisiken bei. Kennen Sie Jeremy aus dem…

Spam-E-Mails und keine Ende

Derzeit kursieren Spam-E-Mails, die vermeintlich vom Bundesministerium für Gesundheit stammen. Sie enthalten ein geändertes Antragsformular für »Familien- und Krankenurlaub«, das der Mail als Word-Dokument beigefügt ist. Die Anlage ist mit dem Trojaner Trickbot infiziert. Phishing-Ratgeber zur Identifizierung gefälschter E-Mails gibt es viele. Vor allem an die Verantwortung des einzelnen Mitarbeiters wird appelliert. Aber ohne die…

Fünf unterschätzte Punkte beim Kampf gegen immer raffiniertere Cyberattacken

IT-Sicherheitssysteme sind immer nur so stark wie ihr schwächstes Glied. Die Schulung der eigenen Mitarbeiter und die Schaffung eines entsprechenden Bewusstseins für die Gefahren durch Cyberkriminelle stehen deshalb bei vielen Unternehmen ganz oben auf der Liste der Abwehrmaßnahmen. Dieser Ansatz ist allerdings zu kurz gegriffen, erklärt der Sicherheitsspezialist Bromium. Nicht immer sind es komplexe Algorithmen…

Kriminelle nutzen Corona-Virus für großangelegte Cyberattacken

Als ob der Schaden für die Allgemeinheit, für Unternehmen und für viele Menschen auch im privaten Umfeld nicht schon groß genug wäre: Kriminelle nutzen die aktuelle Unsicherheit rund um das Corona-Virus SARS-CoV-2 und die Pandemie COVID-19 für umfangreiche Cyberangriffe. Das berichten die Cybersicherheitsforscher des US-amerikanischen Cybersecurity-Unternehmens Proofpoint. Es handelt sich um eine der größten, wenn…

Unternehmen zu zögerlich im Umgang mit professionellen Hackern

CISOs: Softwareprojekte aus Angst vor Sicherheitsproblemen nicht umgesetzt. Bei einer Umfrage [1] zur Zusammenarbeit zwischen Unternehmen und Hackern wurde deutlich, dass die Sicherheitsverantwortlichen (CISO, Chief Information Security Officer) im Unternehmen zwar einerseits beklagen, dass Softwareprojekte aus Angst vor Sicherheitslücken gar nicht erst umgesetzt werden. Andererseits nutzen diese CISOs jedoch noch zu selten die Möglichkeit, ihre…

KI und Ethik – Wunsch kontra Wirklichkeit

Studie zeigt: Mehrheit hält ethische Auseinandersetzung mit künstlicher Intelligenz für wichtig. Ethische Richtlinien in Unternehmen sind aber noch in den Kinderschuhen. Künstliche Intelligenz (KI) verändert die Unternehmenswelt. Dem stimmen die meisten der 600 befragten Unternehmensvertreter aus dem aktuellen »Digitalisierungsmonitor 2020« der Management- und Technologieberatung BearingPoint zu. Dass bei weltverändernden Innovationen auch immer die Frage der…

Datenethik für KI wird zur Top-Priorität

CIOs müssen die ethische Nutzung von Daten zu einer Top-Priorität machen, um mit der sich schnell entwickelnden Regulierungslandschaft Schritt zu halten. Wir befinden uns inmitten der vierten industriellen Revolution. Daten sind zu einem der wertvollsten Güter geworden, nicht zuletzt deshalb, weil künstliche Intelligenz stark von ihnen abhängt. KI und maschinelles Lernen werden derzeit in vielen…

Keine Mails sind auch keine Lösung

In Behörden und Verwaltungen finden sich in hohem Umfang vertrauliche Daten von Bürgerinnen und Bürgern. Zudem können sie eigentlich weder den Empfang von E-Mail-Anhängen noch den Zugriff auf Webseiten strikt reglementieren, da sie berechtigte Anliegen enthalten können. Jedenfalls war das der bisherige Ansatz: Niedersachsens Finanzbehörden blockieren nun Mails mit Linkadressen oder Office-Anhängen und gehen damit…

Teamarbeit – Welche Typen braucht ein erfolgreiches Team?

Ein gut funktionierendes Team ist ein Schlüsselfaktor, um Vorhaben zum Erfolg zu führen – das gilt im Sport genauso wie in der Wissenschaft oder Wirtschaft. Millionen brillanter Entwicklungen haben nie den Weg in die Produktion oder den Verkauf gefunden, weil dem genialen Techniker jemand fehlte, der Geldgeber finden, das Management überzeugen oder das Marktpotenzial aufschlüsseln…

KI mit Byte und Siegel? Eine Einschätzung zu den KI-TÜV-Plänen der Bundesregierung

  Jetzt macht Deutschland in künstliche Intelligenz (KI): mit Formularen, Verordnungen und Prüfplaketten. Diesen Eindruck erwecken einige Überschriften der letzten Tage. Die Pläne des sogenannten KI-TÜVs der Bundesregierung machten die Runde. Im Bundesministerium für Arbeit und Soziales angesiedelt, soll das KI-Observatorium – so die offizielle, etwas altbackene Bezeichnung – das Thema KI voranbringen. Der Zwischenbericht…

»Nightmare Before Christmas« oder wie Sie verhindern, dass Saisonkräfte zum Sicherheitsalbtraum werden

Viele Einzelhändler sind in der Weihnachtszeit mehr denn je auf Saisonkräfte angewiesen. Eine bewährte Praxis. Allerdings ist sich die Branche oftmals nicht ausreichend bewusst, welche Sicherheits- und Datenschutzrisiken sie sich quasi mit einkauft. Im vergangenen Jahr haben Einzelhändler in den USA über 757.000 Zeitarbeiter eingestellt. Auch europäische Unternehmen suchen nicht zuletzt in der Logistik- und…

Den Mythen der IT-Sicherheit auf der Spur

Rund um das Thema IT-Sicherheit kursieren immer noch zahlreiche falsche Vorstellungen.   Die hohe Bedeutung von IT-Sicherheit stellt kaum jemand mehr in Frage. Doch wer ist dafür verantwortlich und wie ist sie realisierbar? Hier gibt es nach wie vor viele Irrtümer. Bromium räumt mit fünf gängigen auf. Cyber-Security ist in erster Linie ein Thema für…

Bug-Bounty-Programme erfolgreich aufsetzen, aber wie?

Cyberangriffe beherrschen weiterhin die Schlagzeilen. Nicht zuletzt, weil Datenschutzverletzungen zunehmend schwerwiegende Auswirkungen auf Geschäftsprozesse und Unternehmen haben. Und wo in einem Netzwerk Schwachstellen sind, da werden sie vermutlich auch irgendwann ausgenutzt. Man muss allerdings nicht tatenlos zusehen bis es tatsächlich passiert. Eine Methode, die sich inzwischen etabliert hat, sind sogenannte Bug-Bounty-Programme. Darüber werden erfahrene White-Hat-Hacker…

Wenn Cyberkriminelle die Seiten wechseln – Der Einsatz von Ethical Hacker

Unternehmen stehen ständig vor der Herausforderung, mit der wachsenden Bedrohungslandschaft Schritt zu halten. Eine Möglichkeit, um Sicherheitslücken in Systemen frühzeitig zu identifizieren, ist der Einsatz sogenannter Ethical Hackers. Zu ihren Aufgabengebieten gehören etwa Penetrationstests von Netzwerken, Rechnern, webbasierten Anwendungen und anderen Systemen, um potenzielle Bedrohungen aufzudecken. Oft handelt es sich bei diesen Mitarbeitern um Hacker,…

Was uns ein US-Präsidentschaftskandidat über Hacker lehrt

Im letzten Monat wurde ein nicht ganz uninteressanter Fakt publik gemacht. Beto O’Rourke, der neueste Kandidat im Wettlauf um die US-Präsidentschaft und potenzieller Gegner von Donald Trump, ist ein ehemaliges Mitglied einer der ältesten Hackergruppierungen in den USA, den – Cult of the Dead Cow. Eine Gruppierung, die insbesondere dafür bekannt war, sich gegen staatliche…

Bundesamt für Sicherheit in der Informationstechnik untersucht Sicherheitseigenschaften von Windows 10

Das Betriebssystem Windows 10 sendet umfangreiche System- und Nutzungsinformationen an Microsoft. Eine Unterbindung der Erfassung und Übertragung von Telemetriedaten durch Windows ist technisch zwar möglich, für Anwender aber nur schwer umzusetzen.   Das ist das Ergebnis einer Untersuchung der zentralen Telemetriekomponente von Windows 10, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführt hat.…

Microsoft-Sicherheitslücken seit 2013 mehr als verdoppelt

Aufhebung von Administratorrechten könnte 80 Prozent der kritischen Sicherheitslücken von 2017 entschärfen. Avecto hat seinen jährlichen Bericht zu Microsoft-Schwachstellen veröffentlicht, der mittlerweile zum fünften Mal erscheint. Er basiert auf einer Untersuchung sämtlicher 2017 gemeldeter Microsoft-Schwachstellen und zeigt, dass deren Zahl beträchtlich gestiegen ist. Zum Vergleich: Im Jahr 2013 wurden 325 Sicherheitslücken entdeckt, im vergangenen Jahr…

Massenmarkttauglichkeit autonomer Fahrzeuge steht noch vor großen Hürden

Sicherheitsrisiken, Regulatorik und Datenschutz hemmen Wachstum. 2030 wickeln Megacities ein Fünftel des Verkehrs mit Robotaxis ab. 40 Prozent weniger Staus durch selbstfahrende Autos. Autonomes Fahren steht zunehmend im Spannungsfeld verschiedener Interessen. Denn die neue Art der Mobilität bringt große Veränderungen mit sich – für Gesellschaft, Gesetzgeber, Automobil- und Versicherungsindustrie sowie Dienstleister wie das Taxigewerbe. Nach…