Welche Rolle spielt Künstliche Intelligenz bei den Cyberangriffen auf Unternehmen? Wie können sie ihre digitale Sicherheit sichern? Wie beeinflusst der russische Krieg in der Ukraine Cyberattacken? Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Hochschule Bremen, beantwortet diese Fragen und erklärt im Interview, warum das laufende Jahrzehnt das "Zeitalter der digitalen Resilienz" ist.
Herr Kipker, was sind die Hauptgründe für den Anstieg von Cyberangriffen auf deutsche Unternehmen?
Dennis-Kenji Kipker: Einerseits hat der russische Angriffskrieg in der Ukraine dazu geführt, dass das Grundrauschen von Cyberangriffen grösser geworden ist. Andererseits werden wir seit knapp über zwei Jahren zunehmend von KI-gestützten Cyberangriffen überschwemmt. Hinzu kommt das ohnehin schon seit 2016 durchgängig hohe Level an Ransomware-Angriffen.
Welche Akteure stellen die grösste Bedrohung dar und welche Rolle spielt dabei der russische Angriffskrieg in der Ukraine?
Wir sehen eine vielschichtige Situation, bestehend aus staatlichen Angreifern, darunter Militär und Geheimdienste, Aktivisten sowie Unternehmen, die Cyberangriffe als bezahlbare Dienstleistung anbieten. Gleichzeitig hat die Vernetzung in den letzten fünf Jahren massiv zugenommen. Eine grosse Bedrohung stellen daher nicht nur die Cyberangreifer selbst dar, sondern auch die Hersteller, wenn sie unsichere Produkte anbieten, die sich leicht attackieren lassen.
Wie bewerten Sie die Massnahmen der deutschen Bundesregierung zur Stärkung der Cyberabwehr und wo sehen Sie Verbesserungsbedarf?
Es ist nicht so, dass Deutschland in den letzten zehn Jahren nichts im Bereich der Cyberabwehr geleistet hat, dennoch gibt es noch erheblichen Verbesserungsbedarf. Positiv ist, dass es seit Jahren Anforderungen für Kritische Infrastrukturen (KRITIS) gibt, um ihre IT-Systeme sicherer zu machen. Neu hinzu kommen nun auch Anforderungen für viele mittelständische Unternehmen. Allerdings weiss derzeit niemand genau, wie die Einhaltung strengerer Cybersicherheitsvorgaben für Zigtausende betroffene Unternehmen in Zukunft überwacht werden soll. Zudem ist der Staat selbst ein Cybersicherheitsproblem, weil Bund, Länder und Kommunen in Sachen Cybersicherheitsrisikomanagement noch nicht so weit sind, wie sie es sein sollten. Es kann nicht sein, dass Unternehmen einerseits deutlich mehr Verantwortung aufgebürdet wird, während der Staat in vielen Fällen seine eigene Cybersicherheit vernachlässigt. Nicht umsonst hat der Bundesrechnungshof die Bundesregierung erst kürzlich für ihr Vorgehen in der Cybersicherheitspolitik massiv kritisiert.
Manche Unternehmen sehen Cyberangriffe inzwischen als lukratives Geschäftsmodell für Hacker. Wie kann dieses Modell effektiver bekämpft werden, auch im Hinblick auf das deutsche Finanzsystem und finanzielle Transaktionen, die Hacker anfordern?
Das erste Problem ist, dass die finanziellen Transaktionen der Cyberangreifer oft in schwer nachverfolgbaren Kryptowährungen erfolgen. Das zweite – und mindestens genauso schwerwiegende – Problem ist, dass die Angreifer logischerweise häufig ausserhalb der Europäischen Union agieren und sich so der Strafverfolgung durch deutsche und europäische Behörden entziehen. Natürlich hören wir immer wieder von spektakulären Aktionen, bei denen es zu Verhaftungen kommt, wenn die Polizeibehörden wie Europol, FBI in den USA und Bundeskriminalamt (BKA) international zusammenarbeiten. Leider ist das aber nur die Spitze des Eisbergs – Cyberkriminelle kommen immer wieder nach, eben weil das Geschäft so lukrativ ist und Millionen verdient werden können. Mit der Automatisierung von Cyberangriffen durch Künstliche Intelligenz (KI) sehen viele darin den schnellen Reichtum. In den meisten Fällen sind geleistete Zahlungen an Cyberkriminelle unwiederbringlich verloren oder nur ein Bruchteil kann sichergestellt werden.
Was lässt sich dagegen tun?
Vor allem in Prävention investieren und vorausschauend handeln! Und ganz wichtig: Keine Ransomware-Zahlungen vornehmen, denn dadurch unterstützt man diese Geschäftsmodelle und kriminelle Vereinigungen aktiv.
Welche Risiken birgt der KI-Einsatz bei Cyberangriffen?
KI hat die Landschaft der Cyberangriffe auf zweierlei Arten verändert: Zum einen ermöglicht sie Personen, die zuvor kaum über entsprechende Fähigkeiten verfügten, Cyberangriffe durchzuführen. Zum anderen hat sie professionelle Cyberangreifer befähigt, ihre Ressourcen effizienter zu nutzen und effektiver zu arbeiten – ähnlich wie in vielen anderen Berufsfeldern. Im Kern ist KI jedoch ein weiteres Werkzeug, ein zusätzlicher Angriffsvektor, der genutzt werden kann, um Cybersicherheit zu gefährden.
Wie können Unternehmen diese Technologie zur Abwehr nutzen?
Im Endeffekt ist KI nichts anderes als ein weiteres Instrument, das Hacker nutzen können, um die Sicherheit von IT-Systemen anzugreifen und zu gefährden. Auch Unternehmen können diese Technologie zur Abwehr einsetzen, indem sie KI-gestützte Sicherheitslösungen verwenden, die potenzielle Bedrohungen frühzeitig erkennen und automatisiert darauf reagieren, um Angriffe zu verhindern, bevor sie Schaden anrichten.
Gibt es erfolgreiche Beispiele für den KI-Einsatz gegen Cyberangriffe?
Natürlich haben Anbieter von Software wie ChatGPT und ähnlichen Programmen ethische Schutzmechanismen eingebaut, um zu verhindern, dass KI für Cyberangriffe missbraucht wird. Diese Schutzmassnahmen lassen sich jedoch mit sogenanntem KI-Jailbreaking umgehen, indem man beispielsweise vorgibt, einen Cyberangriff nur zu Übungszwecken durchzuführen oder ein Buch darüber zu schreiben und dafür Informationen über Angriffsmethoden zu recherchieren. KI ist in gewisser Weise leicht manipulierbar, fast wie ein gutgläubiges Kind. Auf der anderen Seite wird KI seit Jahren auch in der Cybersicherheit erfolgreich eingesetzt. Oft hilft sie dabei, grosse Mengen an Daten in Netzwerken auszuwerten, um Anomalien zu erkennen – also ungewöhnliche Aktivitäten, die auf einen Angriff hindeuten könnten. KI wird auch verwendet, um automatisiert auf Angriffe zu reagieren, zum Beispiel, indem sie IT-Systeme vom Netz trennt, sobald eine Bedrohung erkannt wird. In der Praxis gibt es bereits viele erfolgreiche Anwendungen dieser Technologie.
Sind deutsche Unternehmen ausreichend auf KI-gestützte Cyberangriffe vorbereitet?
Ich würde es so formulieren: Deutsche Unternehmen sind auf KI-Cyberangriffe genauso gut oder schlecht vorbereitet wie auf andere Angriffe auch. Das ist aber kein speziell deutsches Phänomen. Generell ist es so, dass sich die Qualität von KI-gestützten Cyberangriffen schon ganz deutlich verbessert hat.
Wie können deutsche Unternehmen ihre Kapazitäten im Bereich der KI-gestützten Cybersicherheit stärken?
Da muss man schauen, zu welchen unterschiedlichen Zwecken KI verwendet werden kann. Es geht nicht nur darum, massenhaft Websites lahmzulegen oder Schadsoftware mithilfe von KI zu entwickeln, sondern auch darum, Menschen in leitenden betrieblichen Funktionen zu täuschen und Geld zu erbeuten. Dies wird als CEO-Fraud oder Chef-Betrug bezeichnet, bei dem sich Angreifer als hochrangige Führungskräfte ausgeben. Oder virtuelle Erpressungsanrufe: Heutzutage ist es schon möglich, mit einigen wenigen Sekunden Audiomaterial die KI-Stimme einer Person nachbilden zu lassen, zum Beispiel mit YouTube-Clips. Anschliessend wird dann bei Verwandten angerufen, die Stimme imitiert und behauptet, man habe eine Person entführt und will Lösegeld, ohne dass die Polizei darüber in Kenntnis gesetzt wird. Cyberkriminelle sind da äusserst kreativ, wenn es um Geld geht.
Inwiefern bleibt der menschliche Faktor eine Schwachstelle in der Cybersicherheit?
Ein Grossteil der Cyberangriffe wird durch Mitarbeiterschaft ermöglicht. Das ist leider die Realität, auch wenn viele Betriebe das oft nicht wahrhaben wollen. Meist ist sogar die Geschäftsleitung selbst ein schlechtes Vorbild. Unabhängig davon, in welcher Position man in einem Unternehmen tätig ist, muss man sich mittlerweile darauf einstellen, jederzeit, zu jeder Stunde, von Cyberangreifern ins Visier genommen zu werden. Selbst E-Mails von Kolleginnen sollte man genau prüfen, bevor man auf etwas klickt oder Dateien herunterlädt. Denn häufig spionieren Cyberangreifer ein Unternehmen schon im Vorfeld aus und ermitteln Zusammenhänge sowie kollegiale Beziehungen. Vertrauen im Cyberspace gibt es nicht!
Wie können Unternehmen ihre Mitarbeiter besser gegen Cyberangriffe sensibilisieren?
Schulungen sind hier nur sehr begrenzt tauglich, dieser akuten Bedrohung Herr zu werden, denn die Inhalte sind schnell vergessen, die Gefahr wirkt zu oft nur theoretisch-abstrakt. Vielmehr sollte die Geschäftsleitung ihren Mitarbeitern anhand konkreter Beispiele regelmässig verdeutlichen, zu was Unachtsamkeit führen kann und warum es sich deshalb lohnt, wachsam zu sein, im Cybersecurity-Slang auch "Awareness" (Bewusstsein) genannt.
Was sind die grössten zukünftigen Herausforderungen für Unternehmen im Bereich der Cybersicherheit, insbesondere im Hinblick auf neue geopolitische Entwicklungen?
Wir sind mit diesem neuen Jahrzehnt seit 2020/2021 auch in ein neues weltpolitisches Zeitalter eingetreten: die Corona-Pandemie, der Krieg in der Ukraine, Kriege in Nahost und die nach wie vor unsichere geopolitische Situation zwischen der Volksrepublik China und Taiwan. Die grossen Herausforderungen liegen zukünftig darin, die Sicherheit und Verfügbarkeit unserer digitalen Lieferkette zu gewährleisten. Wo wir in den vergangenen 20 Jahren viel IT-Outsourcing, also die Auslagerung von IT-Aufgaben an externe Anbieter, betrieben haben, versuchen wir jetzt, wieder verstärkt regionale IT zu betreiben. Eine weitere Herausforderung besteht darin, die Halbleiterversorgung in der EU künftig verlässlich sicherzustellen.
Wie beeinflussen neue Technologien diese Herausforderungen, und welche spezifischen Risiken sind künftig zu beachten?
Hersteller und Produktanbieter werden zukünftig immer mehr darauf achten müssen, ihre Produkte vor Cyberangriffen abzusichern, das wird im Internet of Things (Internet der Dinge) zurzeit noch ziemlich vernachlässigt. Man denke nur an die Sicherheitslücke im Kamera- oder Schliesssystem im Smarthome, das will niemand erleben. Aber natürlich lassen sich diese IT-Probleme auch auf grosse Industrieanlagen und teils auch auf Kritische Infrastrukturen übertragen. Das letzte Jahrzehnt war ein Zeitalter der Digitalisierung, das laufende ist ein Zeitalter der digitalen Resilienz.
Über den Gesprächspartner
- Dennis-Kenji Kipker (Jahrgang 1987) ist Professor für IT-Sicherheitsrecht an der Hochschule Bremen. Er forscht und lehrt in den Bereichen Cybersecurity, Datenschutzrecht und IT-Compliance. Als Experte beschäftigt er sich mit rechtlichen Fragen der digitalen Sicherheit und ist in nationalen sowie internationalen Fachgremien aktiv. Neben seiner akademischen Tätigkeit hat Kipker auch staatliche Stellen in Fragen der Cybersecurity und IT-Sicherheitsgesetzgebung beraten.
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.