Trending Topics Cybersicherheit – August 2023

Künstliche Intelligenz (KI) ist Fluch und Segen zugleich: Einerseits werden KI-Systeme in vielen Branchen erfolgreich eingesetzt, um Prozesse zu optimieren und Verfahren zu automatisieren. Andererseits nutzen auch Cyberkriminelle vermehrt intelligente Systeme, um ohne viel Aufwand Phishing-Kampagnen aufzusetzen oder täuschend echte Kopien von Webseiten zum Abgreifen von Nutzerdaten zu erstellen.

Welches enorme Schadenspotenzial in KI-Systemen steckt, hat nun ein britisches Forscherteam analysiert. Der Gruppe gelang es, mit dem Einsatz von Deep-Learning-Modellen anhand von Tippgeräuschen auf der Tastatur Passwörter abzugreifen – und das mit einer Genauigkeit von 95 Prozent. Die Methode funktioniert auch mit ähnlich hohen Erfolgsquoten aus der Ferne. So konnten die Forschenden mit einer Genauigkeit von 93 Prozent Passworteingaben in Videokonferenzen ermitteln. Solche akustischen Attacken sind speziell vor dem Hintergrund der seit Corona stark gestiegenen Remote-Tätigkeit vieler Angestellter besonders kritisch.

OWASP Top 10 für KI

Ebenfalls mit KI-Systemen, genau genommen mit LLMs (Large Language Models), hat sich das Expertenteam des OWASP (Open Worldwide Application Security Project) beschäftigt. Die Sicherheitsforschenden untersuchten die Risiken für LLM-Systeme und fassten diese in einer Top-10-Rangliste zusammen. Darin sind neben technischen Schwachstellen wie „Insecure Plugin Design“ auch konzeptionelle Fehlerquellen enthalten. So können Angreifer etwa mittels „Model Denial of Service“ gezielt ressourcenintensive Anfragen an LLM-Systeme stellen, um damit die dahinterliegenden Server zu überlasten oder besonders hohe Betriebskosten zu provozieren – das Vorgehen ähnelt damit klassischen DDoS-Angriffen, die darauf abzielen, Webserver lahmzulegen.

Auch das Analysehaus Gartner hebt in einer aktuellen Umfrage die Risiken hervor, die aus der Massenverfügbarkeit von generativer KI resultieren. Laut Gartner ergeben sich für Unternehmen in diesem Zusammenhang primär Probleme in den Bereichen Urheberrecht, Datenschutz und Cybersicherheit. So kann derzeit etwa kaum sichergestellt werden, dass geistiges Eigentum nicht von KI-Lösungen aus dem Internet in die Trainingsdatenbanken einfließen. Gleichfalls besteht die Gefahr der Weitergabe von sensiblen oder persönlichen Informationen sowie Geschäftsgeheimnissen durch generative KI-Tools. Und dass Cyberkriminelle die neuen Lösungen als Werkzeug für Angriffe, Schadcode und Missbrauch nutzen, wurde bereits mehrfach beobachtet.

Die Top-Themen der IT-Sicherheit im August:

IT-Security-Trends

Bundeslagebild Cybercrime: 2022 rund 137.000 Fälle polizeilich erfasst

Trotz eines Rückgangs um 6,5 Prozent gegenüber dem Vorjahr sieht das Bundeskriminalamt (BKA) bei den Fallzahlen ausdrücklich keine Trendwende. Zumal die Behörde das Dunkelfeld auf bis zu 90 Prozent schätzt. Das bedeutet, dass von zehn Fällen lediglich einer zur Anzeige gebracht wird. Außerdem erfasst die BKA-Statistik keine Angriffe, die aus dem Ausland durchgeführt werden.

OWASP Top 10 für LLM gestartet: Diese Risiken bedrohen KI-Systeme

Das OWASP hat erstmals die größten Sicherheitsschwachstellen von großen Sprachmodellen (Large Language Models, LLMs) untersucht. Das neue Ranking umfasst unter anderem die Risiken Prompt-Injektion, das Vergiften von Trainingsdaten sowie Modell Denial of Service. Zu den bekanntesten LLMs, die von solchen Risiken bedroht sind, zählt etwa das ChatGPT zugrundeliegende GPT-3.5 von OpenAI.

NIS-2 Quick-Check: Online-Tool prüft Betroffenheit in wenigen Schritten

NIS-2 definiert neue Geltungsbereiche und strengere IT-Sicherheitsvorgaben für Betreiberfirmen. Ab Oktober 2024 erhöht sich damit die Zahl der betroffenen Unternehmen immens. Ab sofort können Firmen die individuelle Betroffenheit über ein interaktives Online-Tool der Compliance-Fachleute von Reuschlaw prüfen. In wenigen Schritten liefert die Anwendung eine Ersteinschätzung der geltenden Compliance-Anforderungen. Darüber hinaus dient die Webseite als Infohub mit den wichtigsten Informationen rund um NIS-2.

KI kann Passwörter durch Tippgeräusche identifizieren

Sicherheitsforschenden ist es gelungen, mit einer KI-Lösung Passworteingaben anhand von Tastaturtippgeräuschen mit einer Genauigkeit von 95 Prozent zu identifizieren. Selbst bei der Übertragung der Geräusche durch gängige Videokonferenzlösungen soll über die Methode das Abhören von Kennwörtern mit einer Trefferquote von 93 Prozent möglich sein.

Kritische Infrastrukturen durch Sicherheitslücken in Steueranlagen gefährdet

Sicherheitsforschende haben insgesamt 15 schwerwiegende Schwachstellen im Software Development Kit (SDK) Codesys V3 entdeckt. Angreifer könnten diese ausnutzen, um DDoS-Attacken zu starten oder Schadcode auszuführen. Angeblich ließen sich so vertrauliche Informationen stehlen oder gar ganze Kraftwerke abschalten. Sicherheitspatches stehen bereit.

Gartner-Umfrage: KI-Lösungen als Risiko für Unternehmen

Eine aktuelle Gartner-Umfrage unter leitenden Risikoverantwortlichen ergab, dass generative KI zunehmend als Gefahr für Unternehmen betrachtet wird. Besonders hinsichtlich Urheberrecht, Datenschutz und Cybersicherheit ergeben sich laut Gartner Risiken durch die neue Technologie.

Cybercrime

Cyberangriff beeinträchtigt Patientenversorgung in US-Krankenhaus

Die kritische Cyberattacke auf die Systeme von Waterbury Health sorgte Anfang des Monats für Ausfälle in verschiedenen Bereichen des Krankenhauses – ambulant wie auch stationär. Betroffen waren etwa die diagnostische Radiologie, Bereiche zur Blutabnahme sowie das kardiopulmonale Reha-Zentrum der Klinik. Bis die Systeme der Einrichtung wieder einsatzbereit sind, müssen die Mediziner auf analoge Papierunterlagen zurückgreifen. Aktuell dauern die Probleme noch an (Stand 22.08.2023).

Gesundheitsdaten von Millionen Menschen über MOVEit-Lücke geleakt

Über 4 Millionen Menschen informierte das Department of Health Care Policy and Finance (HCPF) im US-amerikanischen Colorado über den unkontrollierten Datenabfluss ihrer Gesundheitsinformationen. Die Angreifer nutzten offenbar die MOVEit-Sicherheitslücke, um die sensiblen Daten aus den Systemen des Ministeriums abzugreifen.

US-Behörden warnen amerikanische Weltraumindustrie vor Cyberspionage

Ausländische Cyberakteure haben es auf US-Raumfahrttechnologie abgesehen. Das geht aus einer gemeinsamen Warnung des FBI, des National Counterintelligence and Security Center (NCSC) sowie des Air Force Office of Special Investigations (AFOSI) hervor.

LinkedIn-Konten im Visier von Cyberkriminellen

Medienberichten zufolge häufen sich derzeit Kompromittierungen von LinkedIn-Konten. Cyberkriminelle übernehmen dabei die Accounts von Nutzerinnen und Nutzern des Business-Netzwerks und verlangen teilweise Lösegelder, um die Zugänge wieder freizugeben. Wer nicht auf die Forderungen der Angreifer eingeht, riskiert die dauerhafte Löschung des Kontos. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät in diesem Zusammenhang zur Nutzung der Zwei-Faktor-Authentifizierung (2FA), um Online-Konten proaktiv vor solchen Angriffen zu schützen.

Israelisches Krankenhaus mit Daten von Politikern erpresst

Cyberkriminelle drohen dem Krankenhaus Mayanei Hayeshua Medical Center (MHMC) im israelischen Bnei Berak mit der Veröffentlichung von sensiblen Gesundheitsdaten bekannter Politiker. Bei den Informationen soll es sich um vertrauliche Krankenakten von Premierministern, Abgeordneten, hochrangigen Rabbinern und anderen bekannten Personen der Öffentlichkeit handeln. Die Täter fordern ein Lösegeld von dutzenden Millionen Schekel (4 Schekel entsprechen etwa 1 Euro). Die sensiblen Informationen wurden im Zuge eines Ransomware-Angriffs erbeutet.

Cyberaktivisten starten Angriffe gegen japanische Kernkraftunternehmen

Das internationale Cyberkollektiv Anonymous hat aus Protest gegen die geplante Ableitung von radioaktivem Kühlwasser aus dem havarierten Kernkraftwerk Fukushima ins Meer DDoS-Angriffe gegen die Webportale verschiedener japanischer Kernkraftunternehmen gestartet. Betroffen waren die Japan Atomic Energy Agency, Japan Atomic Power und die Atomic Energy Society of Japan.

Best Practice, Defense & Mitigation

Wie das FBI gegen DDoS-for-hire-Dienste vorgeht

In einem Interview auf der Cybersecurity-Konferenz Black Hat in Las Vegas erläutert FBI-Agent Elliott Peterson, wie die US-Behörde im vergangenen Dezember erfolgreich gegen dutzende DDoS-for-hire-Portale vorgegangen ist. Cyberkriminelle können auf diesen Webseiten DDoS-Attacken als Servicedienstleistung buchen und somit Angriffe starten, ohne über besondere technische Kenntnisse oder die erforderliche Hardware zu verfügen.

NIS2UmsuCG macht Cybersicherheit zur Chefsache

Das geplante Umsetzungsgesetz der NIS-2-Richtlinie stellt für viele betroffene Firmen in Deutschland eine große Herausforderung dar: verschärfte Vorgaben, größerer Geltungsbereich und kritischere Konsequenzen gilt es zu adressieren. Compliance-Spezialist Dennis-Kenji Kipker gibt einen Ausblick auf den Status quo.

Einstieg in Informationssicherheit: BSI veröffentlicht Checklisten für Kommunen

Das BSI hat im Rahmen seines Projekts „Weg in die Basis-Absicherung“ (WiBA) 18 Checklisten zum Einstieg in die Informationssicherheit als Community Draft veröffentlicht. Kommunen sind aufgerufen, Rückmeldungen zu Struktur und Inhalten der Checklisten zu geben. Diese umfassen Prüffragen und Umsetzungshilfen für technische und organisatorische Schutzmaßnahmen, etwa für Serversysteme oder Backups.

Internationale Ermittlungsbehörden legen Hosting Server von Cyberkriminellen lahm

Europäische und US-amerikanische Ermittlungsbehörden haben in Zusammenarbeit die Server des Hosting-Services Lolek Hosted lahmgelegt und fünf Betreiber des Dienstes verhaftet. Lolek Hosted wurde von Cyberkriminellen für verschiedene Aktivitäten wie DDoS-Attacken, Botnet Server Management oder auch Spam Distribution genutzt.

Things to know

Was ist ein SSL/TLS-Zertifikat?

Ein SSL/TLS-Zertifikat ist ein Datensatz, der alle benötigten Informationen enthält, um die Authentizität eines Webservers durch kryptografische Verfahren zu prüfen. Es soll sicherstellen, dass etwa der Betreiber einer Website auch wirklich der ist, der er vorgibt zu sein.