Thought Leadership
Cyberwarfare ist zu einer unmittelbaren Bedrohung geworden. Staatlich unterstützte Bedrohungsakteure wie Volt Typhoon und Salt Typhoon haben es schon seit Jahren auf kritische Infrastrukturen abgesehen.
Laut dem neuesten Bericht von Armis, “Warfare Without Borders: AI’s Role in the New Age of Cyberwarfare” sind mehr als 87 Prozent der weltweiten IT-Entscheidungsträger über die Auswirkungen von Cyberwarfare besorgt. Weltweit nennen IT-Entscheider durchweg drei dominierende staatlich unterstützte Bedrohungen: Russland (73%), China (73%) und Nordkorea (40%). Insbesondere glauben 73 Prozent, dass Bedrohungsakteure aus China das größte Risiko darstellen. Ebenso stimmen 74 Prozent der IT-Entscheidungsträger zu, dass KI-gestützte Angriffe die Sicherheit ihres Unternehmens erheblich bedrohen. Im Schatten der chinesischen Cyberangriffe müssen Cybersicherheitsexperten pragmatisch sein. Unternehmen müssen die Verantwortung für ihre eigenen Cybersicherheits- und Compliance-Programme übernehmen. Das bedeutet, dass sie die Art der Bedrohungen, mit denen sie konfrontiert sind, verstehen und prüfen müssen, wie sie KI-gestützte Cyberangriffe mit KI-gestützten Lösungen entschärfen können, und einen proaktiveren Ansatz mit präventivem Schutz wählen.
Global denken, lokal handeln
Die Zuordnung von APTs wie (Advanced Persistent Threat) Volt Typhoon und Salt Typhoon ist nützlich, um die Motive der für diese Kampagnen Verantwortlichen zu verstehen. Cybersecurity-Experten sind jedoch gut beraten, die TTPs (Tactics, Techniques, and Procedures) dieser APTs und die damit verbundenen Anzeichen einer Kompromittierung (Indicators of Compromise, IOCs) nicht zu übersehen.
In der Vergangenheit hat sich die CISA als wichtige Ressource für das Verständnis dieser Nuancen erwiesen. Der Modus Operandi von Volt Typhoon umfasst eine umfassende Erkundung von Netzwerkarchitekturen, möglichen Einfalltoren, Schwachstellen von öffentlich zugänglichen Netzwerkgeräten und eine Vielzahl von LOTL-Techniken (Living-Off-The-Land), um unentdeckt zu bleiben. Salt Typhoon hat ein ähnliches Verhalten an den Tag gelegt, indem es anfällige Netzwerkgeräte ins Visier nahm und LOTL-Techniken einsetzte.
Der Erfolg dieser Angriffe offenbart eine beunruhigende Realität. Viele Unternehmen haben immer noch Schwachstellen, wie z. B. anfällige Geräte oder falsch konfigurierte Dienste, und sie tun sich schwer, die böswillige Nutzung legitimer System-Tools und -Prozesse zu erkennen. Erfahrene Sicherheitsteams wissen, dass selbst modernste Abwehrmaßnahmen unzureichend sein können, wenn die grundlegenden Prinzipien vernachlässigt werden. Um die Verteidigung zu stärken, bietet die Orientierung an etablierten Vorschriften und gemeinsamen Standards, wie zum Beispiel NIST 800-53 einen robusten Rahmen: etwa durch den Aufbau eines vollständigen Asset-Verzeichnisses und eines konsequenten Schwachstellenmanagements.
Das KI-Wettrüsten
Die Tatsache, dass OpenAI ChatGPT-Konten verboten hat, die zu nationalstaatlichen Hackergruppen gehören, zeigt eine weitere harte Realität: KI ist ein unglaublich leistungsfähiges Werkzeug, aber sie wird auch als Waffe genutzt. Der OpenAI-Bericht deckt sich mit Gesprächen, die mit Führungskräften aus dem Bereich der Cybersicherheit geführt wurden. Bedrohungsakteure setzen KI ein, um ihre Angriffe effizienter und effektiver durchzuführen. Cybersecurity-Teams müssen mit diesem Tempo Schritt halten.
Nach Angaben von OpenAI nutzen chinesische Hacker KI, um Social-Engineering-Kampagnen durchzuführen und bösartigen Code zu optimieren. Die Armis Labs-Studie “Chinas AI Surge: New Front in Cyber Warfare” zeigt weitere Bedrohungsvektoren auf, die es zu berücksichtigen gilt. So hat Google beispielsweise demonstriert, dass KI Zero-Day-Schwachstellen entdecken kann, was als Proof-of-Concept für chinesische Bedrohungsakteure dient.
China könnte KI auch nutzen, um seine Aufklärungsarbeit und Cyberangriffe zu automatisieren. KI-Tools können Netzwerke kontinuierlich nach Schwachstellen durchsuchen und Angriffe ohne menschliches Zutun durchführen oder Ziele identifizieren, bei denen es unwahrscheinlich ist, dass Angriffe entdeckt werden. All diese Fähigkeiten lassen sich auf die gängigen TTPs von Volt Typhoon und Salt Typhoon zurückführen, was unterstreicht, warum es so wichtig ist, die Schwachstellen, auf die sie abzielen, präventiv zu beheben.
Proaktive Verteidigung notwendig
Der Erfolg ihrer Angriffe auf kritische Infrastrukturen hat chinesische APTs ermutigt, ihre Kampagnen voranzutreiben und gezielt KI zu integrieren. Trotz des Verbots von ChatGPT-Konten weichen sie mühelos auf andere KI-Modelle aus.
Sicherheitsteams müssen ihre blinden Flecken identifizieren und Lücken in IT-, OT- und Cloud-Umgebungen, einschließlich IoT-Geräten und virtualisierten Systemen, schließen. Ein Fokus auf Compliance und etablierte Standards (CSF) kann helfen – doch entscheidend ist ein klarer Einblick in Risiken und Schwachstellen. KI-gestützte Lösungen können das Kräfteverhältnis ausgleichen, indem sie kontinuierlich überwachen und neue Bedrohungen wie unverwaltete Geräte oder bislang unerkannte Schwachstellen frühzeitig identifizieren.
Prädiktive KI-Modelle erkennen Bedrohungen in Echtzeit, auch bösartiges Verhalten, das auf LOTL-Techniken hindeutet – typische TTPs chinesischer APTs. Wer sich gezielt mit diesen Mustern auseinandersetzt, stärkt seine Verteidigung erheblich. Noch immer reagieren laut dem aktuellen Armis-Bericht mehr als die Hälfte der Unternehmen erst nach einem Angriff. Jetzt ist es an der Zeit zu Handeln und angesichts der drohenden Gefahr präventive Schutzmaßnahmen zu ergreifen.
Autor: Alex Mosher, Präsident von Armis
