SECURITY17. Oktober 2024

Threat Intelligence-Interview: So verteidigt sich Creditplus gegen KI‑gestützten Cyberangriffe

Schwerpunkt: Threat Intelligence
Dennis Pokupec, CSO Creditplus Bank Creditplus

Der Begriff “Threat Intelligence” wird gelegentlich mit anderen Begriffen aus dem Bereich der Cybersicherheit zusammengeworfen. Meistens werden “Bedrohungsdaten” und “Threat Intelligence” als Synonyme verwenden, aber die beiden sind nicht dasselbe: Bedrohungsdaten sind eine Liste von möglichen Bedrohungen. Bei der Threat Intelligence wird das Gesamtbild betrachtet, die Daten werden in einem breiteren Kontext analysiert, um auf dieser Grundlage Entscheidungen über das weitere Vorgehen zu treffen. Dennis Pokupec, Chief Security Officer (CSO) bei der Creditplus Bank, zeichnet ein Bild der hausinternen Sicherheitsstratgie.

von Dunja Koelwel

Herr Pokupec, Threat Intelligence wird häufig in drei Kategorien unterteilt: strategisch, taktisch und operativ. Welche Kategorie sehen Sie als die wichtigste an?

In der heutigen komplexen Bedrohungslandschaft ist es schwierig, eine einzelne Kategorie von Threat Intelligence als die wichtigste hervorzuheben. Vielmehr sollte man die drei Kategorien – strategisch, taktisch und operativ – als gleichwertige Elemente eines ganzheitlichen Sicherheitsansatzes betrachten.

  • Strategische Threat Intelligence bietet einen breiten Überblick über Trends und Muster, die für die langfristige Planung und Risikobewertung entscheidend sind. Diese Informationen unterstützen Unternehmen dabei, informierte Entscheidungen zu treffen und ihre Sicherheitsstrategien an die sich ständig verändernde Bedrohungslandschaft anzupassen.
  • Taktische Threat Intelligence hingegen fokussiert sich auf spezifische Bedrohungen und Schwachstellen. Sie liefert praktische Informationen, die es Sicherheitsanwendungen und -teams ermöglichen, gezielte Verteidigungsmaßnahmen zu entwickeln. Dies ist besonders wichtig, um auf aktuelle Bedrohungen schnell reagieren zu können.
  • Operative Threat Intelligence ist schließlich die Umsetzung dieser Strategien in der täglichen Sicherheitsarbeit. Sie umfasst die konkrete Identifikation und Reaktion auf Bedrohungen in Echtzeit, was essenziell ist, um Unternehmen vor Angriffen zu schützen. Insgesamt ist eine integrierte Betrachtung und Kombination dieser drei Kategorien entscheidend. Ohne die strategische Planung können Unternehmen nicht proaktiv auf Bedrohungen reagieren.

Gleichzeitig sind taktische und operative Ansätze unerlässlich, um Sicherheitsmaßnahmen effektiv umzusetzen. Ein ausgewogenes Verhältnis dieser Elemente führt letztlich zu einer robusteren Sicherheitsarchitektur, die den heutigen Herausforderungen gewachsen ist.

Google Threat Intelligence bietet Einblicke in die Bedrohungslandschaft, sodass Google Sicherheitsteams auf der ganzen Welt detaillierte und aktuelle Bedrohungsinformationen zur Verfügung stellen können. Nutzen Sie dieses Tool?

Nein, wir nutzen bei der Creditplus Google Threat Intelligence nicht. Obwohl dieses Tool wertvolle Einblicke in die Bedrohungslandschaft bietet und eine nützliche Ressource für viele Sicherheitsteams weltweit darstellt, haben wir uns entschieden, auf andere Lösungen zurückzugreifen, die besser auf unsere spezifischen Bedürfnisse und Anforderungen zugeschnitten sind.

In unserer Sicherheitsstrategie legen wir großen Wert auf maßgeschneiderte Lösungen, die nicht nur aktuelle Bedrohungen, sondern auch unsere spezifischen Geschäftsrisiken und -anforderungen berücksichtigen.”

Daher nutzen wir eine Kombination aus internen und externen Datenquellen, die es uns ermöglichen, ein umfassenderes Bild der Bedrohungen zu erhalten, mit denen wir konfrontiert sind.

Zusätzlich arbeiten wir eng mit spezialisierten Anbietern zusammen, die sich auf bestimmte Aspekte der Cybersecurity konzentrieren. Dies ermöglicht es uns, unsere Sicherheitsmaßnahmen kontinuierlich zu optimieren und auf dem neuesten Stand der Technik zu bleiben. Während wir die Vorteile von Google Threat Intelligence anerkennen, glauben wir, dass unsere derzeitige Strategie uns effektiver dabei unterstützt, unsere Sicherheitsziele zu erreichen und potenzielle Bedrohungen proaktiv zu managen.

Dennis Pokupec, CSO Creditplus
Dennis Pokupec arbeitet seit 2022 als Chief Security Officer (CSO) bei der Creditplus Bank (Website) und verantwortet die Bereiche Informationssicherheit, Gebäudeschutz und Notfallmanagement (BCM). Zuvor war der studierte Security Engineer als CISO bei der Viridium Gruppe und als Security Consultant bei Sopra Steria.

Angreifergruppen nutzen zunehmend KI zur Aufklärung gegen Zielorganisationen, deren Aktivitäten und Mitarbeiter. Informationen können hierbei in hoher Geschwindigkeit ausgewertet werden. Dazu kommen Folgeaktivitäten wie die KI-gestützte Ausnutzung von Schwachstellen, Social Engineering und KI-unterstützte Desinformationskampagnen. Hatten Sie schon Erfahrungen mit KI-gestützten Angriffen?

Die Frage, ob wir bereits Erfahrungen mit KI-gestützten Angriffen gemacht haben, ist schwer zu beantworten. Ein zentrales Problem ist, dass wir oft nur die direkten Angriffe sehen, die bei uns ankommen, und nicht die Vorbereitungen oder Methoden, die dahinterstehen. Das bedeutet, dass wir nicht immer erkennen können, ob und in welchem Umfang KI-Technologien eingesetzt werden. Es ist jedoch sehr wahrscheinlich, dass KI bereits eine Rolle in den Angriffen spielt, insbesondere bei Phishing-Angriffen.

Angreifer können durch den Einsatz von KI in der Lage sein, personalisierte und glaubwürdige Nachrichten zu erstellen, die gezielt an Mitarbeitende versendet werden. Diese Art von automatisierter und maßgeschneiderter Kommunikation erhöht die Wahrscheinlichkeit, dass die Angriffe erfolgreich sind.

Es gibt Hinweise darauf, dass KI auch in anderen Bereichen, wie bei der Analyse von Daten aus sozialen Netzwerken, genutzt wird, um potenzielle Zielpersonen zu identifizieren oder deren Schwachstellen auszunutzen.”

Während wir also keine direkten Beweise für KI-gestützte Angriffe in unserer Organisation haben, ist es durchaus wahrscheinlich, dass solche Technologien bereits Teil der Bedrohungslandschaft sind, mit der wir uns auseinandersetzen müssen. Daher bleiben wir wachsam und investieren in Technologien und Schulungen, die uns helfen, besser auf diese Herausforderungen vorbereitet zu sein.

Angreifergruppen zielen aber auch auf KI-Systeme, die innerhalb von Zielorganisationen eingesetzt werden, wie etwa organisationsinterne Chatbots. Zur Gewinnung sensibler Informationen können etwa so genannte „Prompt Jailbreaks“ eingesetzt werden. Dabei werden spezielle Fragen generiert, die der KI internes Wissen entlocken. Haben Sie auch damit schon Bekanntschaft gemacht?

Wir haben bei der Creditplus bislang keine Erfahrungen mit Prompt Jailbreaks gemacht, unter anderem da der Chatbot der Creditplus Bank so konzipiert ist, dass er keinen Zugriff auf sensible Informationen hat. Unser Fokus liegt darauf, die Sicherheit und Integrität unserer Systeme zu gewährleisten, indem wir sicherstellen, dass unsere KI-Anwendungen in einer kontrollierten und sicheren Umgebung betrieben werden.

Dennoch gibt es einige besorgniserregende Beispiele, die auf die potenziellen Risiken hinweisen, die mit dem Einsatz von Chatbots verbunden sind. Ein prägnantes Beispiel ist der Vorfall bei Air Canada. Dort gab ein Chatbot falsche Auskünfte zu Flugpreisen. Diese Falschauskunft hatte eine Gerichtsverhandlung zur Folge in der bestätigt wurde, dass Unternehmen für die Aussagen von Chatbots haftbar sind.

Ein weiteres Beispiel ist der Jailbreak von „DAN“, einer modifizierten Version von ChatGPT. In diesem Fall wurde eine Methode entwickelt, um die KI dazu zu bringen, von den üblichen Sicherheitsprotokollen abzuweichen und unangemessene oder sensible Inhalte zu generieren. Nutzer konnten durch spezifische Eingaben die KI dazu bringen, Antworten zu geben, die normalerweise blockiert würden, was die Verwundbarkeit solcher Systeme aufzeigt.

Diese Vorfälle verdeutlichen, dass wir eine kritische Haltung gegenüber den KI-Technologien einnehmen müssen, die wir in unserer Organisation einsetzen.”

Es ist unerlässlich, dass wir kontinuierlich die Sicherheit unserer KI-Anwendungen evaluieren und stärken. Dazu gehören strenge Zugriffskontrollen, regelmäßige Sicherheitsüberprüfungen und Schulungen für Mitarbeiter, um sie für potenzielle Bedrohungen zu sensibilisieren. Unser Ziel ist es, proaktive Maßnahmen zu ergreifen, um die Risiken im Zusammenhang mit der Nutzung von KI-Technologien zu minimieren und gleichzeitig deren Vorteile zu nutzen.

Herr Pokupec, vielen Dank für das Gespräch.dk

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert