Wie sich die Cyber Security (nicht) verändert
Oktober war der Monat der Cybersecurity Awareness, eine von der U.S. Cybersecurity & Infrastructure Security Agency (CISA) ins Leben gerufene Bildungsplattform, die im Jahr 2023 ihr 20-jähriges Bestehen feierte. Obwohl sich seit 2004, als das Programm zum ersten Mal eingeführt wurde, viel verändert hat, hat die CISA beschlossen, sich dieses Jahr darauf zu konzentrieren, die Grundlagen zu bekräftigen (siehe Video unten). Die Botschaft ist klar: Ja, Cybersecurity ist ein Bereich, der sich ständig weiterentwickelt, aber es gibt bestimmte Verhaltensweisen und Richtlinien, die sich mittlerweile als erfolgreich erwiesen haben, wenn es um den Schutz vertraulicher Daten geht.
Wir bei PTC teilen diese Einschätzung und möchten unseren Teil dazu beitragen, die Komplexität der Cybersecurity zu verdeutlichen, insbesondere wie sie sich im Zuge der zunehmenden Digitalisierung unserer Welt verändert - und wie sie sich nicht verändert.
Veränderung: KI und die neue Cyber-Bedrohung
Heutzutage kann man kaum eine Website, Zeitschrift oder Zeitung zum Thema Technologie lesen, ohne etwas über künstliche Intelligenz (KI) zu erfahren. KI in Form von großen Sprachmodellen wie ChatGPT hat einen Großteil des technologischen Zeitgeistes von 2023 beherrscht und zu sehr gegensätzlichen Reaktionen geführt. Während sich viele für die neue Technologie und ihre Möglichkeiten einsetzen, mahnen andere zur Vorsicht.
Was die Cybersecurity angeht, so fügen ChatGPT und ähnliche Programme eine neue Bedrohungsebene zu einem bereits überfüllten Ökosystem hinzu. Wie die Harvard Business Review kürzlich feststellte, wirkt sich ChatGPT am deutlichsten durch Phishing auf die Cybersecurity aus. Unter Phishing versteht man jede Art von Kommunikation, die unter Vorspiegelung falscher Tatsachen erfolgt und darauf abzielt, den Benutzer dazu zu bringen, entweder bereitwillig Informationen preiszugeben (in der Regel unter Androhung von Konsequenzen) oder auf einen bösartigen Link zu klicken, über den eine Art von Malware installiert wird.
Eines der verräterischen Zeichen zur Erkennung einer Phishing-E-Mail war früher die schlampige Rechtschreibung und Grammatikstruktur. Die oft mit primitiven Übersetzungswerkzeugen erstellte Kommunikation enthielt falsch geschriebene Wörter, einen verworrenen Satzbau und zahlreiche andere Hinweise darauf, dass die fragliche E-Mail nicht wirklich von einem Mitarbeiter des Unternehmens stammte. ChatGPT hingegen kann mit einer kurzen Eingabeaufforderung ein realistisch klingendes Schreiben erstellen und hat eine viel bessere Bilanz bei der genauen Übersetzung.
Dies erhöht die Wahrscheinlichkeit, dass eine gefälschte Phishing-E-Mail völlig echt aussieht. Angesichts der Häufigkeit von Phishing-Angriffen (eine der häufigsten Formen der Cyberkriminalität) ist es wichtig, dass IT-Teams angemessene Vorsichtsmaßnahmen treffen. Es gibt zwar Technologien, die erkennen können, ob ChatGPT verwendet wurde, doch sollte dies nicht als Allheilmittel betrachtet werden.
Es gibt immer noch andere verräterische Hinweise auf Phishing-Methoden, darunter gefälschte Absenderdomänennamen und der gesunde Menschenverstand. Eine todsichere Methode zur Bekämpfung dieser raffinierteren Form des Phishings ist die einfache doppelte Überprüfung. Ja, Mitarbeiter kommunizieren per E-Mail, aber sie kommunizieren auch über Teams, Slack, SMS und eine Vielzahl anderer Tools. Wenn eine E-Mail fragwürdig erscheint, sollten die Mitarbeiter einfach eine andere Kommunikationsplattform wählen, um sich zu melden und zu fragen: "Hallo, haben Sie mir gerade diese E-Mail geschickt?"
Konstante: Alles beginnt mit den Menschen
Die Technologie mag sich ändern, aber der Mensch bleibt derselbe. Es gibt keine Softwarelösung, keine Cybersecurity-Initiative, die das menschliche Element in der Gleichung überwinden oder ergänzen kann. Menschliches Versagen ist für die meisten Cyberangriffe verantwortlich, egal ob versehentlich oder absichtlich - und das war in den letzten 20 Jahren immer so. Daher ist es unerlässlich, dass Unternehmen den Menschen weiterhin in den Mittelpunkt ihrer Cybersecurity-Strategie stellen. Aufklärung, sei es über Phishing, KI-gestütztes Phishing, Spam oder Malware oder Denial-of-Service-Angriffe, ist die erste Verteidigungslinie gegen Cyberkriminalität. Die Mitarbeiter sollten daran erinnert werden, dass ihre vertraulichen Informationen (und die des Unternehmens) nicht weitergegeben werden sollten. Wenn sie angefordert werden, sollten die Mitarbeiter über die richtigen Kanäle prüfen, ob die Anfrage echt ist. Cyber-Kriminelle ermutigen oft zur Dringlichkeit, so dass keine Zeit zum Nachdenken bleibt. Indem die Mitarbeiter geschult werden, langsamer auf bestimmte Arten von Nachrichten zu reagieren - entweder solche, die mit Konsequenzen drohen, oder solche, die mit einer "Handle jetzt oder verpasse diese tolle Gelegenheit"-Mentalität locken - können diese Mitteilungen als Betrug entlarvt werden, bevor ein Schaden entsteht.
Veränderung: Ihr IT-Team kann es nicht alleine schaffen
Während die Menschen seit langem das Rückgrat einer robusten Cybersecurity-Verteidigung bilden, sind viel zu viele Organisationen - vor allem kleinere Unternehmen mit begrenzten Ressourcen - der Meinung, dass das Thema an die IT-Abteilung delegiert werden kann. Während die Standard-IT-Abteilung vor einem Jahrzehnt in der Lage war, den Datenschutz allein zu kontrollieren, ist dies heute nicht mehr die Realität.
Eine IT-Abteilung, selbst wenn sie aus Dutzenden von Fachkräften besteht, kann nicht mit der Litanei von Cyber-Bedrohungen mithalten, die heute die Landschaft bevölkern. Diese Bedrohungen reichen von einem unvorsichtigen, versehentlichen Mitarbeiter bis hin zum koordinierten Chaos durch ausländische Regierungen. Dieses Ausmaß der Cyberkriegsführung war vor 10 Jahren noch nicht zu erwarten, ist aber heute alltäglich geworden. Und täuschen Sie sich nicht, es handelt sich um einen Krieg um die Informationssicherheit, der jedes Jahr Milliarden kostet.
Um kurz auf die unglückliche Realität für kleinere Unternehmen zurückzukommen: Nur weil Sie kein riesiges Unternehmen sind, bedeutet das nicht, dass Cyberkriminelle Sie ignorieren werden. Die Wahrheit ist, dass jede Organisation, die vertrauliche Daten aufbewahrt, ein Ziel für Cyberkriminelle ist. Taktiken wie Phishing können problemlos auf Hunderte oder Tausende von Personen gleichzeitig angewendet werden (das Ausmaß dieser Angriffe wird mit KI-gestützten Tools wahrscheinlich noch zunehmen), so dass böswillige Dritte ihre Ziele nicht unbedingt nach Prioritäten ordnen müssen, so wie es Diebe bei der Planung von Raubüberfällen traditionell tun mussten. Ein und derselbe gut ausgerüstete Cyberkriminelle kann innerhalb eines einzigen Tages buchstäblich Dutzende, wenn nicht Hunderte von Unternehmen auf der ganzen Welt angreifen. Wenn man sich die Vielzahl der Tools und Techniken vor Augen führt, ganz zu schweigen von den Ressourcen, über die einige dieser Gegner verfügen, ist es leider nicht realistisch, von einer einzigen IT-Abteilung zu erwarten, dass sie das gesamte Risiko verwaltet und eindämmt.
Konstante: Einige Softwarelösungen sind sicherer als andere
Es gibt jedoch einen konstanten Lichtblick in der neuen unbehaglichen Realität der Cyberkriminalität - und das ist, dass es viele gute Akteure gibt, die versuchen, die bösen Akteure zu bekämpfen. Zu diesem Zweck haben auf Cybersecurity spezialisierte Personen neue Arten von Softwareprogrammen entwickelt, die Sicherheit und Datenschutz in den Vordergrund stellen, Software, die von vornherein sicher ist und nicht erst im Nachhinein.
In unserem jüngsten Whitepaper hat PTC die Qualitäten dieser Softwarelösungen hervorgehoben. Um die Sicherheit Ihres Unternehmens zu gewährleisten, empfehlen wir die Verwendung von Software, die auf dem Prinzip des "Zero Trust" basiert, d. h. der Zugriff auf vertrauliche Daten wird auf ein Minimum beschränkt. Moderne sichere Lösungen verfügen in der Regel über eine standardmäßige Multi-Faktor-Authentifizierung, die es einem Eindringling erschwert, sich durch den Diebstahl eines Passworts Zugang zu verschaffen.
Software-as-a-Service (SaaS)-Lösungen, die in der Regel cloud-nativ sind, bieten ebenfalls einen Sicherheitsvorteil. Es liegt in der Natur der Sache, dass SaaS-Lösungen leichter auf dem neuesten Stand zu halten sind. Der Lösungsanbieter aktualisiert seine Software und kann dann sofort einen automatischen Aktualisierungsaufruf an alle Kunden senden, unabhängig vom Standort. Die Software wird dann sofort aktualisiert, ohne dass die IT-Abteilung die Aktualisierung koordinieren muss, wie es bei On-Premise-Lösungen der Fall wäre.
Viele Cyberkriminelle suchen nach Schwachstellen in älteren Versionen von Softwareplattformen, daher ist es wichtig, Ihre Technologie auf dem neuesten Stand zu halten, um böswillige Akteure auszusperren. Bei PTC ist ein Teil unseres Strebens nach SaaS-Produktlösungen in dieser Fähigkeit verankert, unseren Kunden ein höheres, konsistentes Sicherheitsniveau zu bieten.
Fazit
Die digitale Welt bietet viele Möglichkeiten, die vorher nicht möglich waren, aber sie bringt auch neue Gefahren mit sich. Auch im 20. Jahr des Cybersecurity Awareness Month besteht die Notwendigkeit, weiterhin wachsam zu sein und sich ständig für Cybersecurity zu interessieren. Nicht alles ändert sich von Jahr zu Jahr, aber das Aufkommen der künstlichen Intelligenz und die zunehmende Eskalation der Cyberkriege auf der ganzen Welt erfordern, dass wir bereit sind und ständig daran arbeiten, sicherzustellen, dass die Datensicherheit für jede Organisation, egal wie groß oder klein, oberste Priorität hat.