Immense Schäden durch Cyberkriminalität

Ein Artikel von Anja Thamm, Projektleiterin, Bankenforen Leipzig | 16.07.2019 - 13:24
Fotolia_197452446_L_Copyright.jpg

Die Bedrohungssituation für ­Finanzinstitute verschärft sich durch die täglich steigende Zahl an Sicherheitswarnungen © sdecoret

Laut Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), verdient die organisierte Kriminalität seit 2009 mehr Geld mit Cybercrime als mit Drogen. Die geschätzten Kosten der Cyberkriminalität liegen derzeit weltweit bei 520 Milliarden Euro, weshalb Cyberrisiken und damit verbundene Geschäftsausfälle im Fokus stehen und weltweit die gravierendsten Geschäftsrisiken für Unternehmen darstellen.1 Eine Studie des IT-Sicherheitsunternehmens Trend Micro bestätigt dies, denn 65 Prozent der befragten IT-Sicherheitsbeauftragten aus der Finanzwirtschaft gaben an, dass eine Cyberattacke wie bspw. ein Business Process Compromise (BPC) sich signifikant auf den laufenden Betrieb eines Finanzinstituts auswirken würde.1

Demgegenüber verfügen in Deutschland, laut GBB-Blitzumfrage 2019, 81 Prozent der befragten Finanzdienstleistungsunternehmen über zu wenige Fachkräfte zur Sicherstellung von Cybersicherheit und 23,3 Prozent der Unternehmen stehen Cyberattacken unvorbereitet gegenüber. Gleichwohl ist ihnen bewusst, dass Cyber­angriffe mit einem hohen Risiko an Reputations- und Datenverlust einhergehen.3 Eine täglich steigende Zahl an Sicherheitswarnungen und teilweise sehr hohe Bearbeitungszeiten zur Behebung von Störfällen bringen eine sich stetig ­verschärfende Bedrohungssituation für ­Finanzinstitute mit sich.  

Hohe Bedrohungslage durch „intelligentere“ Angriffe

Aufgrund der hohen Bedrohungslage wurde im Rahmen einer G7-Konferenz zum Thema „Cybersicherheit: Koordinierung der Bemühungen zum Schutz des Finanzsektors in der Weltwirtschaft“ verkündet, ab 7. Juni 2019 auf G7-Ebene eine umfassende, dreitägige Cyberattacke auf die Finanzwirtschaft zu simulieren, an der 24 Finanzinstitute unterschiedlicher G7-Staaten teilnehmen werden. Ziel der Simulation ist die ­Prüfung des Abwehrvermögens und der Stabilität der Finanzwirtschaft sowie eine Verbesserung der länderübergreifenden Zusammenarbeit zur Stärkung der Widerstandskraft.4

Angesichts der aktuellen Entwicklungen stellt sich zunehmend die Frage, wie Finanzinstitute die wachsende Kluft zwischen täglich steigen IT-Sicherheitsvorfällen und fehlenden Kompetenzträgern in der IT-Sicherheit bewältigen können. Der Einsatz neuer Technologien wie beispielsweise Künstlicher Intelligenz (KI) könnte hierbei der Schlüssel zum Erfolg sein. Eine Studie des IBM Institute for Business Value brachte hervor, dass der Einsatz KI-basierender Sicherheitssysteme in Zukunft signifikant steigen wird.5

KI-Systeme besitzen die Fähigkeit, aus Mustern und Anomalien zu lernen. Infolgedessen ist es ihnen möglich, beispielsweise Sicherheitswarnungen von IT-Systemen nach einem menschlich ­unterstützten Lernprozess in deutlich kürzerer Zeit als Menschen selbst als kritisch oder unkritisch einzustufen und ein weiteres Handeln einzuleiten. Ebenso bieten KI-Systeme eine Verstärkung bei der Suche unentdeckter Cyberattacken oder Sicherheitslücken im Unternehmen und erhöhen somit die Erkennungsrate von Angriffen, fehlerhaften Prozessen oder auch Anwenderfehlern. Dies lässt schlussfolgern, dass KI-basierende Sicherheitssysteme aufgrund der Übernahme sicherheitsrelevanter Prozesse zu einem gewissen Teil einen ­Ausgleich der fehlenden Sicherheitsfachkräfte erreichen können.

Immer ausgefeiltere Methoden und Strategien

Mit dem Segen, den Künstliche Intelligenz zur Erhöhung der IT-Sicherheit in Finanzinstituten bringen kann, geht auch ein Fluch einher, denn auch hochspezialisierte Angreifer bringen diese Technik bei Cyberangriffen zum Einsatz. Diese Dual-Use-Problematik lässt sich an einem einfachen Anwendungsfall aufzeigen: KI kann unternehmensintern Sicherheitslücken erkennen und somit Unternehmen im besten Fall vor Angriffen schützen. Auf der anderen Seite unterstützt die vom Angreifer in einer Cyberattacke eingesetzte KI ebenfalls, entsprechende Sicherheitslücken ausfindig zu machen oder gar durch Modifikation ­Lücken für einen weiterführenden Angriff herzustellen. 

Als prägnantes Beispiel hierfür kann die von IBM zu Testzwecken entwickelte, auf Künstlicher Intelligenz basierende Malware „DeepLocker“ genannt werden, die Malware wie bspw. WannaCry über ein Videokonferenzsystem verbreiten kann. Mit Hilfe Künstlicher Intelligenz ist es DeepLocker nach dem Einschleusen in ein IT-System möglich, sich unentdeckt zu tarnen und die Verbreitung der Malware erst dann zu aktivieren, wenn eine zuvor festgelegte Zielperson in einer Videokonferenz erscheint.6  

Künstliche Intelligenz und Machine Learning (ML)-Systeme erhöhen in operativen Prozessen die Angriffsfläche und die Suche nach sicherheitsrelevanten Fehlern in ML-Systemen bringt noch einmal ganz neue Aufgaben mit sich. Denn viele der ML-Systeme finden ­Heuristiken, die nicht einfach erklärbar sind. Und daher ist auch nicht einfach erklärbar, ob sie Fehler enthalten, die von ­Angreifern ausgenutzt werden können. Solche sogenannten Adversarial ­Attacks bilden mittlerweile ein eigenes Forschungsfeld.

Sowohl durch die fortschreitende Digitalisierung von Produkten und Geschäftsprozessen wie bspw. die Nutzung von Cloud-Services, als auch durch die ­Umsetzung von Regularien wie die ­Zahlungsdiensterichtlinie PSD2 erhöht sich das Risiko für Cyberangriffe in der ­Finanzdienstleistung auch zukünftig. ­Finanzinstitute stehen hierbei hochspezialisierten Angreifern gegenüber, die alle technischen Mittel ausreizen, um Sicherheitslücken im Finanzsystem aufzuspüren oder gar mittels Künstlicher Intelligenz zu erschaffen, mit dem Bestreben, möglichst unentdeckt bspw. Zahlungs- und Datenströme umzuleiten und somit der Finanzwirtschaft hohen Schaden zuzuführen. Banken werden nicht darum herumkommen, ebenfalls hochspezialisierte Fachkräfte einzusetzen, um den Kampf gegen zukünftige intelligente Angriffsmethoden aufnehmen zu können. 

Eine Patentlösung zur unternehmensweiten Herstellung von IT-Sicherheit durch Künstliche Intelligenz gibt es nicht. Sie kann jedoch bei richtigem Einsatz dazu beitragen, die Sicherheit im Unternehmen zu erhöhen. Dessen ungeachtet sollte der Mensch – d. h. jeder einzelne Mitarbeiter eines Finanzdienst­leistungsinstituts – nicht außer Acht gelassen werden, denn auch hier lauert die Gefahr. Eine Sensibilisierung aller Mitarbeiter trägt ebenfalls zu einem nicht unerheblichen Teil zur Erhöhung der ­IT-Sicherheit eines Finanz­instituts bei. 

Für IT-Spezialisten der Finanzwirtschaft sollte neben der Implementierung von Notfallmechanismen ein gemeinsamer Austausch im Vordergrund stehen, um gemeinschaftlich der Cyberkriminalität entgegentreten zu können. 

 

1)https://www.agcs.allianz.com/content/dam/onemarketing/agcs/agcs/reports/Allianz-Risk-Barometer-2019.pdf

2) https://www.it-finanzmagazin.de/g7-hacker-stresstest-banken-security-ethische-hacks-89573/

3) https://www.gbb-rating.eu/de/presse/blitzumfrage/Documents/Auswertung%20Cyber%20Security%20-%20Status%20Quo%20und%20Herausforderungen.pdf

4) https://www.it-finanzmagazin.de/g7-hacker-stresstest-banken-security-ethische-hacks-89573/

5) https://www.ibmbigdatahub.com/blog/cyber-security-powered-ai-and-machine-learning

6) https://securityintelligence.com/deeplocker-how-ai-can-power-a-stealthy-new-breed-of-malware/