Best Practice by InfoGuard 17.09.2023, 23:58 Uhr

«Das Missbrauchspotenzial ist gestiegen»

Immer mehr und immer raffinierter – auf diese Formel lässt sich die Entwicklung bei den Cyberangriffen bringen. Stephan Berger, Head of Investigations bei InfoGuard, gibt einen ­Einblick in die Sicherheitslage und ordnet Technologien wie ChatGPT und KI ein.
Stephan Berger
(Quelle: InfoGuard/Florian Roth)
Einen alles entscheidenden Sieg über die Cyberkriminellen wird es nicht geben. Stattdessen liefern sich Angreifer und Verteidiger ein ewiges Wettrüsten mit neuen Technologien und Konzepten. Jüngst haben Fortschritte bei der generativen KI das Spiel verändert. Aber auch dagegen, davon ist InfoGuard-Analyst Stephan Berger überzeugt, können sich die Unternehmen schützen – mit weniger Aufwand, als viele befürchten.
Computerworld: Wenn Angreifer in ein Unternehmen eindringen können, bleiben sie oft erschreckend lange unentdeckt. Verstecken sie sich zu raffiniert oder wird nicht nach den richtigen Spuren gesucht?
Stephan Berger: Die meisten Angreifer – abgesehen von staatlichen – gehen nicht besonders raffiniert vor. In Wahrheit setzen viele Firmen zu wenige Überwachungsmittel ein oder suchen gar nach den falschen Spuren. Die vorgestellten forensischen Artefakte können helfen, Kompromittierungen und Infektionen im eigenen Netzwerk schneller und zuverlässiger zu identifizieren.
Computerworld: InfoGuard hat die in der Schweiz am meisten verbreitete Malware untersucht. Haben diese zehn Malware-Familien etwas gemeinsam oder unterscheiden sie sich sehr?
Berger: Interessanterweise zeigen die forensischen Spuren der zehn Malware-Familien relativ starke Überschneidungen. Für uns als Sicherheitsexperten und -expertinnen ist das natürlich ein Vorteil: Wir können weniger Alarme für eine grössere Anzahl von Malware-Familien setzen und dadurch die Wahrscheinlichkeit erhöhen, eine Infektion oder einen Angreifer frühzeitig zu erkennen.
Computerworld: Braucht es zur Abwehr der Top-10-Malware besondere Werkzeuge? Wie kann man sich auf diese Schädlinge vorbereiten?
Berger: Bei unserer Untersuchung haben wir ausschliesslich Open-Source-Programme zur Suche und Analyse der vorgestellten Spuren eingesetzt. Diese Programme können kostenfrei aus dem Internet heruntergeladen und genutzt werden. Der richtige Einsatz erfordert ein gewisses Know-how, aber grundsätzlich sollten die Kosten kein Hindernis für eine effiziente Cyberüberwachung darstellen.
Computerworld: Noch herausfordernder wird die Sicherheitslage derzeit durch eine Technik, die seit Monaten die Schlagzeilen beherrscht: künstliche Intelligenz. Wie gross sind die Gefahren, die davon ausgehen?
Berger: Künstliche-Intelligenz-Modelle, wie ChatGPT, machen es Angreifern einfacher, auf «Befehl» Schadcode generieren zu lassen. Das Missbrauchspotenzial ist daher gestiegen und Angreifer können auch ohne um­fassendes Vorwissen potenzielle Angriffe durchführen. Je nach Entwicklung der KI könnte sogar eine vollständig automatisierte Kompromittierung von Netzwerken realisierbar werden.
Computerworld: Auch wenn KI derzeit alles Interesse auf sich zu ziehen scheint, bleiben die anderen Security-Themen unverändert auf der Tagesordnung. Welche Trends sind aus Ihrer Sicht aktuell denn die wichtigsten? Vielleicht sogar wichtiger als KI?
Berger: Noch bedeutender als KI – und meiner Ansicht nach am wichtigsten – ist eine Härtung der Betriebssysteme, des Active Directory und allgemein des Netzwerks. Basierend auf meinen Erfahrungen aus Hunderten von Incident-Response-Fällen kann ich sagen, dass viele Unternehmen der Cyberhygiene innerhalb ihrer Netzwerke noch immer ungenügend Beachtung schenken. Dazu zählen klassischerweise Patchmanagement, zu hohe Benutzerberech­tigungen und fehlende Multi-Faktor-Authentisierung.
Computerworld: Worum sollten sich Unternehmen aus Ihrer Sicht grundsätzlich am dringlichsten kümmern?
Berger: Ein starker Security-Partner, der das Netzwerk 24/7 überwacht, ist unerlässlich. Die aktuelle Bedrohungslage lässt nicht mehr zu, dass kritische Alarme über Nacht oder gar über das Wochenende unbearbeitet bleiben. Viele Angreifer erlangen, sobald sie Zugang zum internen Netzwerk haben, innerhalb weniger Stunden höchste Berechtigungen. Schnelles und professionelles Handeln ist daher zwingend.
Zur Person
Stephan Berger
ist heute als Head of Inves­tigations bei InfoGuard tätig. Er stiess 2020 als Senior Cyber Security Ana­lyst zu dem Sicher­heits­spezialisten aus Baar. Zuvor war er jeweils vier Jahre in ähnlicher Funk­tion beim Bundesamt für Informatik und Telekommunikation BIT und der Schweizerischen Post beschäftigt. Berger hält einen Master in Engi­nee­r­ing mit Vertiefung Computer Science/IT-Security von der Berner Fachhochschule.

Johann Scheuerer
Autor(in) Johann Scheuerer



Das könnte Sie auch interessieren