IT-Onlinemagazin
KI-basierte Angriffswellen von Cyberkriminellen werden immer smarter. Welche Beispiele es gerade gibt und welche Risiken sich auch im SAP-Kontext mit KI verschärfen, erklärt Security-Experte Markus Schumacher im zweiten Teil seiner Artikel-Reihe für das IT-OnlineMagazin.
Im initialen Beitrag „Cyberrisiken durch KI-basierte Systeme: Status und Trends“ meiner Artikelserie habe ich dargestellt, welche Risiken sich durch die Nutzung von KI ergeben, aber vor allem auch, wie KI die Unterwelt der Cyberattacken verändern könnte. Beobachtet man die Schlagzeilen, fällt auf, dass KI mittlerweile bei fast allen „Hacker-Meldungen“ vorkommt. Hier ein paar Beispiele:
„Phishing umgeht Zwei-Faktor-Authentifizierung“
In einem Artikel in der Finanzzeitung Ad Hoc News[1] wird gleich zu Beginn zusammengefasst: „KI macht Betrugsmethoden zunehmend perfekt.“ Im Artikel selbst geht es jedoch um Voice Phishing am Telefon (früher wurde das schlicht Social Engineering genannt), bei dem sich der Anrufer z. B. als Supportmitarbeiter ausgibt, um dem Opfer Zugangsdaten zu entlocken und so auch 2FA zu umgehen. Ein weiterer benannter Angriff ist das sgt. Quishing, bei dem QR Codes an öffentlichen Plätzen (z. B. Parkautomaten) überklebt werden, um so die Opfer elegant über eine gefälschte Bezahlseite zu erleichtern. Mit KI hat das erstmal noch nichts zu tun, auch wenn es richtig ist, dass der KI Einsatz das Erstellen von Phishing Emails oder Fake Sites deutlich erleichtern. Und wir werden zukünftig vermutlich auch Angriffe mit geklonten Stimmen erleben.
„KI-Schadsoftware greift Mac-Nutzer an“
Im Nachrichtenportal Born/City[2] wird behauptet: „Cyberkriminelle nutzen KI-Plattformen wie Claude und ChatGPT, um Mac-Benutzer mit manipulierten Anleitungen zu infiltrieren.“ Das ist in der Tat ein Thema, das auch andere Quellen[3] aufgegriffen und genauer beschrieben haben. Was passiert hier[4]? Angreifer stellen über (gekaperte) Google Ads sogenannte ClickFixes zur Verfügung. Diese werden als Claude Artefakte zur Verfügung gestellt, enthalten aber keinen Fix, sondern sind darauf ausgelegt, dem hilfesuchenden Anwender sprichwörtlich alles zu stehlen (Zugangsdaten, Cryptowallets, etc.). Hier wird auch das Vertrauen der User ausgenutzt, die gutgläubig auf einen *.ai Link klicken. Wird schon gutgehen? Warum eigentlich?
„Hunderte Firewalls mithilfe von KI infiltriert“
Beim Informationsdienst Golem[5] verweist man löblicherweise direkt auf die Quelle, in diesem Fall AWS[6]. Es geht um einen Angriff auf Fortinet Firewalls, wobei allerdings keine Systemschwachstellen ausgenutzt wurden. Es handelte sich vielmehr um eine unzureichende oder schwache Konfiguration. Laut den AWS-Analysen hat die Analyse des Schadcodes ergeben, dass generative KI zur Erstellung verwendet wurde. Viele Schritte des Angriffs scheinen immer noch mit herkömmlichen Angriffsmethoden (Identifizierung von Ports) erfolgt zu sein, es wurde aber auch KI zu unterschiedlichen Zwecken eingesetzt. Die AWS-Analyse ist sehr umfassend, beinhaltet auch eine Art forensisches Angreiferprofil und es lohnt sich daher, reinzuschauen. Die Planung, Automatisierung und auch die Durchführung von Angriffen kann laut dieser Analyse mit immer weniger Sachkenntnissen durchgeführt werden, indem a) KI verwendet wird und b) die Anwender nach wie vor ihre Hausaufgaben nicht machen.
Was bedeutet das für SAP-Umgebungen?
Es tut sich also einiges und es ist davon auszugehen, dass die Nutzung von KI bei Angriffen zunehmen wird. Um das Thema realistisch zu bewerten, ist es wichtig zu prüfen, wieviel KI tatsächlich genutzt wurde. Und auch die Quellen zu benennen und anzuschauen. Viele Angriffe sind immer noch „oldschool“ und funktionieren, weil Zielsysteme nicht gehärtet sind oder Anwender gutgläubig auf die „Angebote“ klicken. Beides war schon immer so und solange das so bleibt, dürften sich diese Risiken durch Nutzung von KI über die Zeit deutlich verschärfen.
Mit der immer weiter zunehmenden Vernetzung der SAP-Komponenten über Cloud- und auch KI-Overlays, verschwimmen die Grenzen aus Sicht der Cybersicherheit. Eine Phishing-Mail kann schnell zum Einfallstor in SAP-Anwendungen werden und User auf Lookalike Seiten schicken, um dort Daten abzugreifen oder die Kontrolle zu übernehmen.
Dr. Markus Schumacher ist Mitgründer und ehemaliger CEO eines Cybersecurity-Unternehmens, das er skaliert, international positioniert und erfolgreich verkauft hat. Seit 2003 ist er im SAP-Umfeld als Mitarbeiter, Partner und Community Mitglied aktiv. Er hat u. a. den Hackathon der DSAG mit initiiert. Heute begleitet er Unternehmen beim Einsatz aber auch der Vermarktung neuer Technologien aus Sicherheitsperspektive, wobei KI immer mehr in den Fokus rückt.
Quellen:
[1] https://www.ad-hoc-news.de/boerse/news/ueberblick/neue-phishing-welle-umgeht-selbst-zwei-faktor-authentifizierung/68602420
[2] https://borncity.com/news/ki-schadsoftware-greift-mac-nutzer-mit-neuen-tricks-an/
[3] https://www.bitdefender.com/en-us/blog/hotforsecurity/hijacked-google-ads-push-fake-7-zip-notepad-and-office-downloads-to-mac-users-via-evernote-pages
[4] https://www.bleepingcomputer.com/news/security/claude-llm-artifacts-abused-to-push-mac-infostealers-in-clickfix-attack/
[5] https://www.golem.de/news/von-unerfahrenem-hacker-hunderte-firewalls-mithilfe-von-ki-infiltriert-2602-205719.html
[6] https://aws.amazon.com/de/blogs/security/ai-augmented-threat-actor-accesses-fortigate-devices-at-scale/
