Thought Leadership
Das britische NCSC warnt vor einer erzwungenen Patch-Welle technischer Schulden. KI-gesteuerte Angriffe erfordern schnellere Updates und neue Abwehrstrategien.
Das britische National Cyber Security Centre (NCSC) hat eine Warnung an Organisationen aller Größen herausgegeben. Hintergrund ist die Beobachtung, dass Künstliche Intelligenz zunehmend von qualifizierten Akteuren genutzt wird, um jahrzehntealte „technische Schulden“ in Soft- und Hardware-Ökosystemen massenhaft und in hoher Geschwindigkeit auszunutzen. Das NCSC prognostiziert eine bevorstehende „erzwungene Korrektur“, die sich in einer beispiellosen Welle von Sicherheits-Patches über den gesamten Technologie-Stack hinweg äußern wird.
KI als Katalysator für die Ausnutzung technischer Schulden
Unter technischen Schulden versteht das NCSC den Rückstau an technischen Problemen, der entsteht, wenn kurzfristige Gewinne über die Entwicklung resilienter und langlebiger Produkte gestellt werden. In der Vergangenheit konnten diese Schwachstellen oft über Jahre unentdeckt oder zumindest schwer ausnutzbar bleiben. Mit dem Aufkommen spezialisierter KI-Modelle, wie sie bereits im Kontext von Anthropic’s „Mythos“ oder spezialisierten Cyber-LLMs diskutiert wurden, hat sich die Lage grundlegend geändert.
Diese KI-Systeme ermöglichen es Angreifern, den gesamten Technologie-Stack, einschließlich Open-Source-Komponenten, kommerzieller Software und Cloud-Diensten, automatisiert nach Mustern zu scannen, die auf latente Schwachstellen hindeuten. Das NCSC erwartet daher, dass Softwarehersteller und Distributoren gezwungen sein werden, in kurzer Zeit eine Vielzahl von Updates zu veröffentlichen, um diese nun unter Druck geratenen Sicherheitslücken zu schließen.
Identifizierung und Minimierung externer Angriffsflächen
Organisationen müssen laut NCSC-Leitfaden umgehend Maßnahmen ergreifen, um ihre internetseitigen und extern exponierten Angriffsflächen zu identifizieren. Die Behörde empfiehlt eine klare Priorisierungsstrategie: Zuerst müssen Technologien am Perimeter (der Netzwerkgrenze) abgesichert werden, bevor der Fokus auf interne Cloud-Instanzen und On-Premises-Umgebungen ausgeweitet wird.
Eine Reduktion der Angriffsfläche sei entscheidend, um das Risiko zu minimieren, das von noch unbekannten (latenten) Schwachstellen ausgeht. Sollte eine Organisation aufgrund begrenzter Kapazitäten nicht in der Lage sein, den gesamten Technologie-Stack gleichzeitig zu aktualisieren, müsse die Priorität zwingend auf der externen Angriffsfläche und kritischen Sicherheitssystemen liegen.
Ersatz von Altsystemen bei fehlender Patch-Möglichkeit
Das NCSC weist explizit darauf hin, dass Patching allein nicht in allen Fällen ausreichen wird. Ein erheblicher Teil der technischen Schulden ist in sogenannten „End-of-Life“-Systemen (EOL) oder Legacy-Technologien gebunden, die nicht mehr vom Hersteller unterstützt werden. Da für diese Systeme keine Sicherheits-Updates mehr erstellt werden, stellt das reine Verbleiben dieser Hardware oder Software im Netzwerk ein dauerhaftes Risiko dar.
In solchen Instanzen fordert das NCSC Organisationen auf, diese Technologien entweder vollständig zu ersetzen oder sie durch spezifische Wartungsverträge wieder in den Support-Status zu überführen. Dies gilt insbesondere dann, wenn diese veralteten Systeme Teil der externen Angriffsfläche sind. Ein „Weiterbetrieb wie bisher“ wird angesichts der KI-gestützten Scan-Geschwindigkeit als nicht mehr vertretbares Risiko eingestuft.
Implementierung von Hot-Patching und automatischen Updates
Um die Arbeitslast für IT-Support-Teams zu bewältigen, empfiehlt das NCSC die Aktivierung von automatisierten Mechanismen, sofern diese verfügbar sind. Ein Fokus liegt hierbei auf dem „Hot-Patching“, also dem Einspielen von Sicherheitskorrekturen ohne Unterbrechung des laufenden Dienstes oder Neustart des Systems.
Wo automatisierte Updates (auch für eingebettete Geräte) möglich sind, sollten diese standardmäßig aktiviert werden. Für Systeme, bei denen keine automatisierten Lösungen greifen, müssen Organisationen ihre Risikobereitschaft und ihre internen Prozesse anpassen, um skalierte Updates in hoher Frequenz zu unterstützen. Das NCSC empfiehlt hierbei die Nutzung des „Stakeholder Specific Vulnerability Categorisation“ (SSVC) Systems, um eine risikobasierte Entscheidungsgrundlage für die Installationsreihenfolge zu erhalten.
Systemische Lösungen durch Memory Safety und CAF-Frameworks
Über das kurzfristige Patch-Management hinaus appelliert das NCSC an Technologieproduzenten, die systemische Sicherheit zu erhöhen. Dies umfasst den Einsatz von speichersicheren Programmiersprachen und Containment-Technologien wie CHERI (Capability Hardware Enhanced RISC Instructions). Diese Technologien verhindern ganze Klassen von Schwachstellen bereits auf Hardware-Ebene.
Für Betreiber kritischer Infrastrukturen (Energie, Gesundheitswesen, Transport) bleibt die Umsetzung des „Cyber Assessment Framework“ (CAF) oder der „Cyber Essentials“ oberste Priorität. Für Organisationen mit erhöhtem Bedrohungsprofil hat das NCSC zudem spezifische Anleitungen für Privileged Access Workstations (PAWs) und Cross-Domain-Architekturen veröffentlicht. Ziel ist es, die Resilienz so weit zu erhöhen, dass ein potenzieller Einbruch in seinen Auswirkungen begrenzt bleibt (Containment).
Abschließend betont das NCSC, dass die Vorbereitung auf die Patch-Welle jetzt beginnen muss. Größere Organisationen sind zudem angehalten, die Bereitschaft ihrer Lieferketten, sowohl im kommerziellen als auch im Open-Source-Bereich, zu prüfen und sicherzustellen, dass auch dort die Kapazitäten für eine schnelle Reaktion vorhanden sind.
