Ransomware: Wie KI und Mensch gemeinsam schützen

Trotz gesteigerter Sensibilisierung und Investitionen in Cyber-Security-Massnahmen nimmt die Anzahl Cyber-Angriffe weiterhin rasant zu – allen voran Ransomware. Der Eindruck täuscht nicht: Laut dem Cyber Threat Intelligence (CTI) Team der InfoGuard waren Ransomware-Vorfälle im Jahr 2022 besonders verbreitet und schwerwiegend. Zahlreiche Unternehmen, darunter auch internationale Konzerne, gehen mittlerweile damit an die Öffentlichkeit. Die rasche Digitalisierung während der Covid-19-Pandemie führte zu teils massiven Sicherheitseinbussen, was Tür und Tor für Cyber-Kriminelle geöffnet hat. Angriffe wurden einfacher, häufiger und versprachen schnelles Geld. Geschäftsmodelle wie Ransomware-as-a-Service, bei dem Cyber-Kriminelle Ransomware-Infrastrukturen und -Tools an Dritte vermieten oder verkaufen, um ihnen das Durchführen von Ransomware-Angriffen zu erleichtern, verbreiteten sich zunehmend. Gemäss Untersuchungen des CTI-Teams erfolgen die initialen Zugriffe dabei häufig über Fernzugriffspunkte, legitime Credentials sowie offene Schwachstellen.

Die Konsequenz zunehmender Ransomware-Vorfälle ist, dass Incident Response Teams wie jenes der InfoGuard immer öfters ausrücken müssen. Sie sind somit die «Cyber-Feuerwehr», die zur Stelle ist, wenn es in der digitalen Welt brennt. Idealerweise kommt es jedoch gar nicht soweit. Angriffe können heutzutage kaum verhindert, aber immerhin rechtzeitig erkannt werden. Dazu sollte in einem dedizierten Security Operations Center ein 24x7 Monitoring sichergestellt werden, was modernste Technologien und Fachkräfte voraussetzt. Managed Security Service Provider können hier eine wertvolle Unterstützung sein. Sie nehmen nicht nur aufwändige Arbeiten ab, sondern haben auch die Erfahrung und Einsicht in viele Angriffsmuster und können Angriffswellen besser erkennen sowie proaktiv handeln. Zudem werden hier Tools, welche auf Künstlicher Intelligenz (KI) und Machine Learning (ML) basieren, zur Erkennung und Abwehr von Cyber-Attacken eingesetzt. Diese sammeln grosse Mengen an Daten unterschiedlicher Cases, was nicht nur die Erkennung und Kritikalitätseinstufung optimiert, sondern auch Handlungsempfehlungen oder Hintergrundinformationen zu Sachverhalten liefert. Ebenfalls lassen sich Reaktionen auf Angriffe wie das Blockieren verdächtiger IP-Adressen automatisieren. Aufgrund der zunehmenden Angriffe und des Fachkräftemangels sind solche Tools in Zukunft unabdingbar, wobei auch Vorsicht geboten ist. So zeigt sich beispielsweise im Sprachmodell ChatGPT immer wieder, wie sich ML-Algorithmen austricksen lassen. Intelligente Tools ersetzen den Menschen daher noch lange nicht. Intuition, Erfahrung, kontextbezogenes Verständnis, die Überwachung und Pflege von KI- und ML-Tools sowie die Kommunikation und Zusammenarbeit mit anderen Teams sind unabdingbare menschliche Stärken, die auch in Zukunft unverzichtbar sind.

Die Trends im Bereich Ransomware verheissen nichts Gutes. Zwar bezahlen Unternehmen dank professioneller Hilfe immer seltener Lösegelder, jedoch entwickeln Cyber-Kriminelle ihr Geschäftsmodell weiter. Das CTI-Team der InfoGuard beobachtet seit einiger Zeit, dass sich Kriminelle noch intensiver mit den gestohlenen Daten beschäftigen, um mehr Druck auszuüben. Zudem häufen sich Angriffe auf Infrastrukturen über OT-Netze.

Cyber-Angriffe und besonders Ransomware sind also ernsthafte Bedrohungen für Unternehmen aber auch die Gesellschaft allgemein. Dennoch gibt es Möglichkeiten, sich zu schützen. Ein kombinierter Ansatz, der menschliche Expertise mit Künstlicher Intelligenz und Machine Learning verbindet, kann dazu beitragen, Angriffe zu erkennen und schnell zu reagieren, wenn es nötig ist.

Mathias Fuchs ist seit 2017 bei InfoGuard tätig und aktuell Vice President Investigation & Intelligence. Nebenberuflich arbeitet er als SANS-Instruktor und hält regelmässig auf nationalen sowie internationalen Sicherheitskonferenzen Vorträge zu den Themen Forensik und Incident Response.

Die InfoGuard AG ist ein führendes Cyber-Security-Unternehmen, welches Sicherheitsberatungen, Audits sowie die Architektur und Integration von Netzwerk- und Security-Lösungen anbietet. Aus dem Cyber Defence Center in der Schweiz werden Cloud-, Managed- und SOC-Services erbracht. Der Hauptsitz ist in Baar/Zug mit Niederlassungen in Bern, München und Wien. Insgesamt gewährleisten 200 Expert*innen tagtäglich die Sicherheit von über 400 Kunden. InfoGuard ist ISO/IEC 27001:2013 zertifiziert, Mitglied bei FIRST und BSI-qualifizierter APT-Response-Dienstleister.