Cyberversicherungen sind nach wie vor ein großes Thema. Aufgrund der Tatsache, dass gerade die zunehmenden Fälle von Ransomware und damit einhergehende Lösegeldthematiken immer wieder zu massiven Verlusten auf Seiten der Versicherer geführt haben, wurden über die letzten Jahre zum einen die Preise entsprechender Versicherungen spürbar angehoben. Zum anderen gelten inzwischen auch deutlich höhere Ansprüche hinsichtlich der technischen Voraussetzungen, die Unternehmen bei Abschluss einer entsprechenden Police zu erfüllen haben.
Neben einem insgesamt immer weiter ansteigenden Preis- und Anforderungsniveau ist gleichzeitig von einer zunehmenden Vertikalisierung einschlägiger Angebote auszugehen. Schließlich zeichnet sich ab, dass einige Branchen im Jahr 2023 mehr und vor allem „schlagzeilenwirksamer“ mit IT-Sicherheitsbedrohungen zu kämpfen haben werden als andere – worauf natürlich auch die Versicherungsunternehmen reagieren, indem sie Kosten und Vorgaben für die spezifischen Zielgruppen gezielt nachjustieren.
Im Fokus stehen hierbei vor allem Unternehmen des Gesundheitswesens, aus dem Bereich „Kritische Infrastrukturen“, dem Finanzsektor sowie Anbieter von Managed Services (MSP). Diese können sich mit hoher Wahrscheinlichkeit auf Mehrkosten und strengere Vorgaben bei Versicherungsabschluss einstellen. Laut Annahme der Watchguard-Experten zielt das ebenso auf Anbieter von Cybersicherheitsprodukten ab. Es ist kaum auszuschließen, dass einige Versicherer Listen mit „zulässigen Sicherheitsanbietern“ einführen werden und nur noch Policen für Unternehmen zeichnen, die Sicherheitslösungen ausgewählter Hersteller verwenden.
Bewertung und Validierung von Lösungsanbietern
Angriffe auf die digitale Lieferkette haben seit zwei Jahren Hochkonjunktur. Hierfür reicht ein schwaches Glied in Bezug auf die eingesetzte Hard- und Software aus – beispielsweise bei einer Sicherheitslücke im Produkt selbst oder im Fall der Kompromittierung des jeweiligen Anbieters. Es besteht die immanente Gefahr, dass sich das Risiko auch auf Unternehmen, die dessen Lösung einsetzen, überträgt.
Gängige Beispiele sind die Attacken auf Solarwinds und Piriform, bei denen ein erfolgreiches Eindringen ins Herstellernetzwerk dazu führte, dass Produkte wie Orion und CCleaner „infiziert“ und deren Anwender ins Straucheln gebracht wurden. Nicht zu vergessen der Vorfall bei Kaseya: Hier wurde eine Zero-Day-Schwachstelle im beliebten Virtual System Administrator (VSA)-Produkt des Unternehmens genutzt, um dem Einschleusen von Ransomware auf Kundenseite den Weg zu bereiten. Diese Fälle sind nur die Spitze des Eisbergs und die Liste der Übergriffe auf die Lieferkette ließe sich noch beliebig fortsetzen.
Genau aus diesem Grund schauen Unternehmen bei der Auswahl von Herstellern und Partnern mittlerweile deutlich genauer hin: Sicherheitsaspekte spielen eine zunehmend stärkere Rolle. Schließlich sollte das Security-Konzept in den eigenen Reihen nicht durch Fehler von anderen ins Wanken gebracht werden.
Die Herstellervalidierung und Risikoanalyse von Drittanbietern sind inzwischen sogar zu einem eigenen Geschäftszweig geworden: Hierbei helfen spezifische Produkte, um die Sicherheitsprogramme von externen Anbietern zu überprüfen und zu verfolgen. Der Umgang mit dem Thema Sicherheit auf Anbieterseite wird künftig zu einem der wichtigsten Auswahlfaktoren werden – sowohl bei Soft- und Hardware als auch im Rahmen von Dienstleistungen – und sich direkt hinter Kriterien wie Preis und Leistung einordnen.
Metaversum öffnet Angreifern die Tür
Ob man die Idee nun liebt oder hasst: Das Metaversum hat in letzter Zeit für Schlagzeilen gesorgt. Riesige Unternehmen wie Meta (Facebook) und die Muttergesellschaft von Tiktok, Bytedance, investieren Milliarden in den Aufbau neuer vernetzter virtueller Welten, von denen sie glauben, dass sie in nicht allzu ferner Zukunft ein fester Bestandteil der Gesellschaft sein werden.
Allerdings entsteht aus den modernen Möglichkeiten rund um Virtual Reality (VR) weiterer Nährboden für gezielte Manipulationen und Social Engineering. Bereits heute geben viele Menschen ihre privaten Daten online via Maus und Tastatur preis – wenn jetzt noch Geräte mit zahlreichen Kameras und Infrarot- (IR) sowie Tiefensensoren hinzukommen, die Kopf-, Hand-, Finger-, Gesichts- und Augenbewegungen erfassen, potenziert sich das Risiko von Manipulationen ins Unendliche.
VR- oder Mixed-Reality-Headsets (MR) wie das „Meta Quest Pro“ bilden bei Benutzung Zimmer, Möbel, sogar ganze Häuser in 3D ab – und nicht zuletzt auch Computertastaturen. Sobald die Software, die diese Daten speichert, Ziel von Hackern wird, steht dem Verbrechen kaum noch etwas im Wege. So könnten Cyberbösewichte im Zuge krimineller Machenschaften beispielsweise ein virtuelles Deepfake von Online-Avataren erstellen, das sich genauso bewegt und verhält wie der ursprüngliche Besitzer.
Selbst wenn solche spezifischen Bedrohungen noch fünf bis zehn Jahre entfernt sind, bedeutet das nicht, dass das Metaversum nicht schon jetzt ins Visier genommen wird. Die Watchguard-Experten gehen davon aus, dass der erste Metaverse-Angriff auf Unternehmen an einer Stelle ansetzt, die bereits heute als Angriffsvektor bekannt ist und durch VR-Optionen ganz neue Sprengkraft entwickelt.
Ende 2022 brachte Meta das „Meta Quest Pro“ als „Enterprise“-VR/MR-Headset zur Unterstützung von Produktivitäts- und Kreativitätsinitiativen im geschäftlichen Umfeld auf den Markt. Darüber kann unter anderem eine Remote-Verbindung zum herkömmlichen Computer-Desktop hergestellt werden, sodass Anwender den Bildschirm ihres Computers in einer virtuellen Umgebung betrachten und darüber hinaus viele weitere virtuelle Monitore und Arbeitsbereiche für den Computer erstellen können. Dezentral agierende Mitarbeiter werden zudem in die Lage versetzt, virtuelle Besprechungen zu starten, die (im Gegensatz zu Videobesprechungen) angeblich eine viel menschlichere Interaktion ermöglichen.
So neumodisch dies auch klingen mag: Im Zuge dessen kommen im Wesentlichen bekannte Remote-Desktop-Technologien wie Microsoft Remote Desktop oder Virtual Network Computing (VNC) zum Tragen, auf die es Cyberkriminelle bereits in der Vergangenheit unzählige Male abgesehen hatten. Daher liegt die Vermutung nahe, dass 2023 der erste große Metaverse-Hack mit Auswirkungen für Unternehmen auf der Kombination bekannter Schwachstellen und neuen VR-Möglichkeiten basiert, beispielsweise bei Verwendung von Remote-Desktop durch ein VR/MR-Headset der neuesten Generation.
Multifaktor-Authentifizierung fördert Social Engineering
Anwender von Multifaktor-Authentifizierungslösungen (MFA) sind Cyberbösewichten zunehmend ein Dorn im Auge. Wie eine Studie von Thales bestätigt, erfreut sich diese Form des Identitätsschutzes inzwischen hoher Beliebtheit: Die MFA-Nutzung im Unternehmensumfeld ist 2022 um weitere sechs Prozentpunkte auf 40 % geklettert. Daher werden Angreifer in den kommenden Monaten gezielt nach Wegen suchen, um diese zusätzliche Ebene der Validierung zu „knacken“. Denn sollte es ihnen nicht gelingen, solche Mechanismen zu umschiffen, verlieren sie schließlich einen Großteil ihrer potenziellen Zielgruppe.
Insofern prognostiziert Watchguard, dass im Jahr 2023 etliche neue MFA-Schwachstellen und Umgehungstechniken ans Licht kommen. Die erfolgreichste und damit häufigste Art und Weise der MFA-Umschiffung ist und bleibt dabei geschicktes Social Engineering. So ist beispielsweise der Erfolg von Prompt-Bombing nicht per se ein MFA-Versagen, sondern setzt bei menschlichen Schwächen an.
Warum sollten sich Angreifer an den hohen technischen Barrieren der MFA-Lösung die Zähne ausbeißen, wenn sie auch ganz einfach deren Benutzer austricksen und beispielsweise so zermürben können, bis diese ganz von allein auf einen bösartigen Link klicken? Ebenso geht von Man-in-the-Middle (MitM)-Techniken im Zuge einer legitimen MFA-Anmeldung auf Anwenderseite eine klare Gefahr aus, wenn Hacker versuchen, auf diese Weise in den Besitz von Authentifizierungssitzungs-Token zu gelangen. In jedem Fall ist im Jahr 2023 mit vielfältigen Social-Engineering-Angriffen zu rechnen, die auf MFA abzielen.
Künstliche Intelligenz von Robotaxis im Fokus der Angreifer
Mehrere Technologieunternehmen wie Cruise, Baidu und Waymo haben in Städten wie San Francisco und Peking damit begonnen, sogenannte Robotaxis auf ihre Praxistauglichkeit zu testen. Dabei handelt es sich um selbstfahrende Autos, die eine Uber- oder Lyft-ähnliche Erfahrung bieten, ohne dass jemand am Steuer sitzen muss. So erklärt beispielsweise Baidu, dass bereits mehr als eine Million dieser autonomen Fahrten erfolgreich durchgeführt wurden und die meisten Fahrgäste begeistert waren. Klar, dass dadurch andere „Unternehmenslenker“ ob der enormen Kosteneinsparungspotenziale aufhorchen.
Dabei liefen solche Pilotprojekte bei Weitem nicht immer glatt. Im Juni war eines der Robotertaxis von Cruise in einen Unfall verwickelt, bei dem sowohl die drei Insassen als auch der Fahrer eines anderen Fahrzeugs verletzt wurden. Cruise behauptet zwar, dass die Schuld beim „menschlich“ gesteuerten Fahrzeug lag, jedoch trägt dieser Vorfall nicht unbedingt dazu bei, das Vertrauen in die Künstliche Intelligenz (KI) von Autos zu stärken – insbesondere, wenn sich diese schon von kreativ verteiltem Streusalz aus dem Konzept bringen lässt.
Bereits früher haben Sicherheitsstudien gezeigt, dass mit dem Internet verbundene Autos gehackt werden können. Zudem besteht kein Zweifel mehr daran, dass Menschen mit einfachen Mitteln in der Lage sind, KI zu manipulieren. Dieser Umstand in Kombination mit einem mobiltelefonbasierten Service, den jeder nutzen kann, birgt essenzielle Risiken. Es spricht vieles dafür, dass Robotaxis das Interesse von Hackern wecken – sei es aus Vergnügen oder Profitgier – und wir in dem Zusammenhang mindestens einen IT-Security-bezogenen Vorfall erleben werden.
Da die autonomen Fahrzeugdienste noch so neu sind und sich nach wie vor in der Testphase befinden, ist nicht davon auszugehen, dass dies zu einem gefährlichen Unfall führen wird. Aber es besteht durchaus eine hohe Wahrscheinlichkeit, dass sich Sicherheitsforscher oder Grey-Hat-Hacker 2023 beispielsweise einen Spaß damit erlauben, ein solches Fahrzeug im Verkehr stecken zu lassen und diesen dadurch zum Erliegen bringen.
KI-Codierungswerkzeuge tragen Schwachstellen in Entwicklungsprojekte
Auch die letzte Prognose von Watchguard ist unmittelbar mit dem KI-Thema verknüpft. Obwohl Maschinelles Lernen (ML) und Künstliche Intelligenz (KI) zwar nicht ganz so mächtig sind, wie einige Tech-Evangelisten immer behaupten, haben sich die damit einhergehenden Themenfelder doch erheblich weiterentwickelt – mit vielen neuen praktischen Möglichkeiten. Mit einschlägigen Tools lässt sich nicht nur Kunst per Computeraufforderung schaffen, sondern auch Code zur Unterstützung fauler (oder cleverer) Entwickler schreiben. In beiden Fällen greift die KI auf bestehende Daten zurück, um daraus neue Kreationen zu bilden.
Bei Copilot von Github handelt es sich um ein solch automatisiertes Codierungstool. Github trainiert Copilot anhand der „Big Data“ von Milliarden von Codezeilen, die in seinen Repositories zu finden sind. Wie bei jedem KI-/ML-Algorithmus steht und fällt die Qualität des Ergebnisses jedoch mit der Qualität der zugrundeliegenden Trainingsdaten und zu verarbeitenden Eingabeaufforderungen. Anders ausgedrückt: Wenn in den Quellen bereits der „Wurm“ drin ist, können darauf basierende KI-erzeugte Codierungen nicht mit Unfehlbarkeit glänzen.
Studien haben gezeigt, dass der von Copilot generierte Code in bis zu 40 % aller Fälle sicherheitsrelevante Schwachstellen aufweist. Dieser Prozentsatz erhöht sich noch, wenn Schwächen im Code des Entwicklers hinzukommen. Entsprechend verwundert es kaum, dass Github Nutzer ausdrücklich darauf hinweist, dass sie selbst dafür verantwortlich sind, die Sicherheit und Qualität des Codes bei der Verwendung von Copilot sicherzustellen.
Folglich sind die Experten von Watchguard recht überzeugt davon, dass 2023 ein unwissender und/oder unerfahrener Entwickler, der sich zu sehr auf Copilot oder ein ähnliches KI-Codierungstool verlässt, eine App veröffentlichen wird, die eine auf automatische Codierung zurückführbare kritische Sicherheitslücke enthält.