So hebt KI die Cyberabwehr auf das nächste Level

Manchmal scheint es so, als ob die Diskrepanz immer grösser wird. Auf der einen Seite stehen die konstant zunehmenden Cyberrisiken für Unternehmen. Diese müssen nicht immer von Bedrohungsakteuren ausgehen - auch Regulatorien wie die EU-Richtlinie NIS-2 oder das Informationssicherheitsgesetz (ISG) verschärfen die Anforderungen an Unternehmen. Und auf der anderen Seite mangelt es an Fachkräften; so wird es immer schwieriger, die nötigen IT-Security-Spezialisten zu finden, um diesen Risiken effizient zu begegnen.

Ein Ansatz, der hier helfen könnte, sind sogenannte Managed Detection & Response (MDR) Services. Insbesondere in Verbindung mit der künstlichen Intelligenz (KI) haben diese Dienstleistungen das Potenzial, zum "Security-Mitarbeitenden des Jahres" im Unternehmen zu werden. Wie MDR Unternehmen entlasten und zugleich sicherer machen kann, erklärten SwissCybersecurity.net und Eset in einem gemeinsamen Webinar. Eset beschäftigt sich nach eigenen Angaben nicht erst seit gestern mit KI, sondern schon seit den Neunzigerjahren, als man noch von neuronalen Netzen sprach. 

Der nur scheinbar unscheinbare Endpoint

"Können Sie sich überhaupt daran erinnern, wann Sie das letzte Mal eine Meldung erhielten, dass Sie ein Virus auf Ihrem Gerät haben?" fragte Michael Schröder, Head of Product Marketing bei Eset, zu Beginn des Webinars. "Falls ja, würde mich das schon sehr wundern." Es gebe sogar Generationen, die gar nicht mehr daran glauben würden, dass die Endpoint-Security tatsächlich etwas blockiert. 

Michael Schröder, Head of Product Marketing bei Eset. (Source: Screenshot)

Wofür also braucht man diesen Schutzwall noch? Um diese Frage zu beantworten, skizzierte Schröder zunächst das allgemeine Cyberlagebild. Cyberkriminalität boomt, und die Zahlen sind alarmierend. Allein die Datenlecks, die über Dienste wie "Have I Been Pwned" verfügbar sind, umfassen inzwischen über 14 Milliarden Datensätze kompromittierter Zugangsdaten. Diese bereits gekauften oder geleakten Credentials bilden die Basis für ausgefeilte Phishing-, Spear-Phishing- und CEO-Fraud-Angriffe. Mithilfe von KI können diese inzwischen in nahezu jeder Sprache und Zielrichtung automatisiert erstellt werden.

Auch das Thema Ransomware bleibt weiter rentabel: Schröder listete die Top-10-Varianten von 2023 auf. Insgesamt kann man in den Crypto-Wallets bekannter Ransomware-Akteure Einnahmen durch Lösegelder von mindestens 1,1 Milliarden US-Dollar nachweisen. "Und Sie können mir natürlich glauben", sagte Schröder, "dass die Dunkelziffer nochmal immens höher ist." Diese Erkenntnis unterstreicht die Notwendigkeit, Angriffe frühzeitig zu erkennen, bevor sie weite Teile der Infrastruktur lahmlegen.

Altbewährt und weiterhin effektiv

"Cyberkriminelle müssen ihre Taktiken, Techniken und Prozeduren eigentlich schon seit Jahren kaum oder nur geringfügig anpassen", sagte Schröder. Ändern müssen sie nur noch den Angriffsvektor auf die gerade passende Schwachstelle im Betriebssystem oder auch in der Supply Chain. So grasen die Angreifer die Opfer ab, ohne auf maximalen Widerstand zu stossen. 

Ein Cyberangriff lässt sich in acht Phasen unterteilen – von der ersten Aufklärung über initialen Zugriff bis zur finalen Erpressung oder Datenexfiltration. Schröder betonte, wie entscheidend es sei, schon in den ersten drei Schritten einzugreifen, bevor die Angreifer ihre Rechte eskalieren: "Egal um welchen Bereich es sich handelt, wir müssen in der Lage sein, in diesen ersten drei Schritten - noch bevor die Täter ihre Privilegien erhöhen können - Angriffe zu erkennen und sicher zu stoppen." Und dazu fehle gerade im KMU-Bereich sehr vielen Organisationen die Werkzeuge. Hier spiele Managed Detection and Response weiterhin daher eine ganz zentrale Rolle, denn sie liefere nach wie vor die fundamentale Telemetrie.

Die acht Phasen eines Cyberangriffs. (Source: Screenshot)

Schützen und geschützt werden

Jeder Endpoint ist zugleich auch ein Sensor in der Telemetrie von Eset und kann anonymisiert Bedrohungsdaten erfassen. Dieses Netzwerk nennt das Cybersecurity-Unternehmen Live Grid. Mittlerweile besteht es aus ungefähr 110 Millionen Sensoren in 190 Ländern  - "wir machen keine Geschäfte mehr im russischen Bereich des Planeten." Daneben gibt es noch eine Cloud-Sandbox (ESET Lifeguard Advanced). Diese analysiert über 750’000 verdächtige Samples pro Tag. Die Ergebnisse dieser Analysen fliessen in den Schutz aller Kunden ein. 

An dieser Stelle griff Schröder wieder das Thema Regulatorien - beziehungsweise NIS-2 - auf. Gemäss einer Selbsteinschätzung werden 58 Prozent der von Eset befragten Unternehmen den Anforderungen dieser Richtlinie noch nicht gerecht. Diese Unternehmen verfügen lediglich über einen Grundschutz. Aber bei der Gefahrensuche, bei der Innen- und der Aussensicht, sind sie noch nicht so weit. 

Die Selbsteinschätzung der befragten Unternehmen. (Source: Screenshot)

Sofern die Unternehmen im KRITIS-Bereich unterwegs sind, erklärte Schröder, sind sie aber gezwungen, Vorfälle zu melden. "Und das wird das grösste Problem sein: das Meldewesen vernünftig befeuern zu können." Denn dafür müssten die Unternehmen konkrete Angaben etwa zu den Indicators of Compromise machen, die ohne eine Monitoring-Lösung gar nicht möglich wären. "Was ist genau passiert? Was war der Eintrittsvektor? Welche Informationen haben sie erlangt? Welchen Schweregrad hat das? Und so weiter." Menschen könnten so viele Systemprotokolle, wie für diese Meldungen nötig wären, gar nicht lesen und auswerten. Zudem könnten diese Mitarbeitenden auch krank werden oder das Unternehmen verlassen. 

"Das Unsichtbare sichtbar machen"

Hier setzt der von Schröder vorgestellte KI-gestützte MDR-Service an, um "das Unsichtbare sichtbar zu machen", wie er erklärte. Die Basis bildet Eset Inspect - diese könne man auch selbst on-premises betreiben. Hinzu kommen die Erkenntnisse der Eset-Experten. Die Reaktionen auf die Bedrohung und die Incident-Erstellung sind KI-gestützt, aber die ganze Überwachung im Hintergrund rund um die Uhr übernehmen menschliche Experten in Bratislava. Sie prüfen die automatischen Reaktionen und verfeinern falls nötig die Regelwerke. Die Kombination dieser Faktoren bildet zusammen den MDR-Service von Eset. Der Kunde erhält ein Dashboard, das alle Incidents mit Schweregrad, Status und Handlungsempfehlungen transparent auflistet. Es kann nämlich sein, dass man im Nachgang eines gestoppten Angriffs noch einen Port sperren muss, um zu verhindern, dass so etwas wieder passiert. 

Hinter den Kulissen. (Source: Screenshot)

Die Leistungsfähigkeit untermauerte Schröder mit Messwerten aus September 2024; gemäss diesen lag die Reaktionszeit im Durchschnitt bei zwei Minuten bis zur Incident-Erkennung und 13 Minuten bis zu Remediation. "Das klingt jetzt nach relativ viel", sagte er. Aber: "Die meisten Cyberangriffe ohne ein EDR-System werden erst nach 160 Tagen erkannt und sehr viele unserer Marktbegleiter geben Reaktionszeiten von 30 bis 40 Minuten an."

Deshalb sei der MDR-Dienst der "Mitarbeiter des Jahres". "Der Dienst kann Ihnen unheimlich viel Arbeit abnehmen", sagte Schröder. "Und wir können uns die Verantwortung in einem sehr vernünftigen Rahmen teilen."

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Das im Webinar angesprochene Thema NIS-2 vertieft Eset in einem eigenen Whitepaper. Dieses zeigt auf, wieso diese neue EU-Richtlinie und ihre Auswirkungen auf die Lieferkette auch für Schweizer Unternehmen relevant ist. Das Whitepaper können Sie über das nachfolgende Webinar anfordern.