Künstliche Intelligenz (KI) und IT-Sicherheit, dieses Thema beschäftigt nebst den Sicherheitsexpert:innen weltweit auch die Cyberabwehr der Schweiz. Der Cyber-Defence Campus (CYD Campus) hat eine ausführliche Studie publiziert. Das 250-seitige Buch lässt sich kostenlos herunterladen oder als Hardcover kaufen.
Aktuelle Künstliche Intelligenz (KI) basiert auf den sogenannten grossen Sprachmodellen (Large Language Models, LLM) und generiert neue Inhalte. Somit beeinflussen LLM die Cybersicherheit. «Dabei bietet die generative KI erhebliche Missbrauchsrisiken wie etwa Deep Fakes, gefälschte Nachrichten oder Betrugsversuche. Gleichzeitig kann der bewusste Einsatz von KI auch positive Effekte mit sich bringen», schreiben die Studienautoren.
Die wichtigsten Erkenntnisse der Studie: Die Bedrohungen sind erheblich, die Verwendung von generativer künstlicher Intelligenz beim Staat, in der Wirtschaft und in der Gesellschaft müsse mit Sorgfalt erfolgen und es brauche neue Sicherheitskontrollen in der Datenverarbeitungskette.
Die Studie zeigt, wie anfällig die LLMs selbst sind, wenn sie beispielsweise mit altem, fehleranfälligem Code neue Probleme erzeugen. Ausserdem könnten Eingabedaten modifiziert, Trainingsdaten böswillig verändert, ein Modell gestohlen oder Informationen ausgespäht werden. Umgekehrt könnten LLMs auch in der Cybersicherheit genutzt werden. So kann man beispielsweise Daten aus dem Dark Web zum Training nutzen oder Sprachmodelle speziell auf die Erkennung von Malware und KI-erzeugte Inhalten trainieren.
Die Studie geht im Detail auf diese und weitere Themen ein. «Sie ist nicht nur für die Schweiz, sondern auch für andere Regierungen wertvoll», schreibt Florian Schütz, Direktor des Bundesamts für Cybersecurity (BACS) im Vorwort. «Das ultimative Ziel ist eine sichere Zukunft für alle, um von der neuen Technologie zu profitieren.»
Cyberangriffe
Polyfill-Lieferkettenangriff
Polyfill ist eine beliebte JavaScript-Bibliothek. Sie bietet Unterstützung für moderne Funktionen in älteren Browsern – um deren Kompatibilität zu gewährleisten. Nach der Übernahme durch ein chinesisches Unternehmen begannen jedoch die Angriffe mit Malware. Berichten zufolge sind mehrere hunderttausend Websites, einige davon auch in der Schweiz, betroffen. Abraxas hat umgehend Partner und Kunden in der Schweiz informiert. Der ursprüngliche Polyfill-Entwickler rief dazu auf, die Bibliothek und Referenzen in Code zu entfernen. Sie sei nicht mehr notwendig.
AGOV für Poseidon-Stealer-Angriff missbraucht
E-Mails mit dem vermeintlichen Absender von AGOV, dem Behörden-Login und der Bitte, eine DMG-Datei herunterzuladen: In Tat und Wahrheit handelt es sich bei dem Angriff um die Verbreitung der MacOS-Malware «Poseidon Stealer». Die Analyse (PDF) des Bundesamts für Cybersicherheit (BACS) zeigt, dass die Cyberkriminellen damit gezielt nach sensiblen Informationen wie Anmeldedaten, privaten Schlüsseln, Cookies oder Kryptowallets suchen. AGOV ist von den Cyberkriminellen wohl nicht zufällig ausgewählt worden: Der Authentifizierungsdienst für Behörden befindet sich seit wenigen Monaten in zwei Kantonen im Pilotbetrieb.
Aufgepasst beim Bezahlen am Parkautomaten
Im Kanton Waadt sind gefälschte QR-Codes an Parkautomaten entdeckt worden. Wer einen solchen mit der Smartphone-Kamera einliest, wird auf eine gefälschte Seite umgeleitet, die zum Aktualisieren der Kreditkartendaten auffordert. Sich zu schützen ist einfach: Man sollte QR-Codes zum Bezahlen immer nur mit der jeweiligen Bezahl-App scannen.
15 Millionen Trello-Adressen gestohlen
Inside IT berichtet über einen Angriff auf die beliebte Kanban-Projektmanagementsoftware Trello, die zu Atlassian (bekannt für Confluence) gehört. Über eine ungesicherte API habe ein Hacker 15 Millionen Namen und E-Mail-Adressen von Trello-Usern erbeutet. Atlassian bestätigte den Angriff und Inside IT warnt, die gestohlenen Daten könnten von anderen Cyberkriminellen für Phishing-Angriffe genutzt werden.
Hintergrund
Crowdstrike-Update legt Flughäfen und andere Firmen lahm
Der Schutz vor Cyberkriminalität kann sich gegen einen selbst richten, wenn ein Update schief läuft. Weltweit haben am 19. Juli 2024 Unternehmen infolge eines Updates der Sicherheitssoftware Crowdstrike Falcon Sensor mit immensen IT-Problemen gekämpft. Nach Microsoft-Angaben waren 8,5 Mio. Windows-PCs betroffen, die sich nicht mehr booten liessen. Zahlreiche Prozesse in den Unternehmen fielen aus, Flugzeuge beispielsweise konnten zeitweise nicht mehr landen. Systeme von Abraxas, Kunden und Partnern waren nicht betroffen. Microsoft hat ein Script und Tipps für Admins veröffentlicht. Crowdstrike hat mit Verzögerung eigene Informationen zum Ausfall aufgeschaltet. Dem Unternehmen wird nun vorgeworfen, das Update nicht genügend getestet zu haben. Und Cyberkriminelle versuchen, das Desaster mit Phishing-Kampagnen auszunutzen.
Passwortliste RockYou2024 ist «nur Datenmüll»
Eine riesige Passwortliste namens Rockyou2024 entpuppt sich laut Sicherheitsforschern nur als riesiger Datenmüllhaufen. Die 50 GB schwere Datei mit fast zehn Milliarden Einträgen ist beispielsweise laut der Analyse von Sicherheitsforscher Lars Karlslund, dem Betreiber von ntlm.pw, völlig unbrauchbar. Auch andere Experten stimmen zu. Die Datei sei kein Grund zur Besorgnis.
Der Spion in unseren Smartphones
Wie die «Rundschau» von SRF berichtet, kann fast jedermann Bewegungsprofile von Smartphone-Nutzerinnen und -Nutzern kaufen. Die «anonymisierten» Daten lassen sich rekonstruieren. Man kann sich gegen das Tracking schützen. Drei Schritte genügen, erläutert SRF.
Warnungen von Microsoft nicht ganz reibungslos verteilt
Seit kurzem informiert Microsoft Kunden, die vom Angriff der Hackergruppe Midnight Blizzard betroffen sind, über das Ausmass der Datenabflüsse. Laut dem Sicherheitsforscher Kevin Beaumont landen viele dieser E-Mails im Spamordner. Wer sie öffnet, glaubt zudem oft an einen Phishing-Versuch. Der Angriff hatte bereits im November 2023 begonnen.
Cisco Talos: drei Schwachstellen im Fokus von Ransomware-Banden
Laut einer Analyse von Cisco Talos nutzen Ransomware-Banden besonders häufig drei Schwachstellen aus: CVE-2020-1472 («Zerologon»), CVE-2018-13379 (Fehler in Fortinet FortiOS SSL VPN und CVE-2023-0669 (Goanywhere-MFT-Sicherheitslücke). Dass diese drei alten Schwachstellen immer noch ein Problem sind, ist laut Cisco Talos ein Zeichen für oft fehlendes Patch-Management in Unternehmen und Organisationen.
Schwachstellen
Signal-Messenger unter Verdacht
Zwei Sicherheitsforscher warnen vor der Desktop-App des an sich als sehr sicher geltenden Messengers Signal. Darüber berichtet «Der Standard». Das Problem: Lokal gespeicherte Daten lassen sich problemlos auslesen und kopieren – und somit auf einen anderen Rechner übertragen. Ausserdem sei die Verschlüsselung der Chats auf dem Desktop nutzlos. Das Passwort liege ungeschützt in einer Datei namens config.json. Der Artikel kommt zum Schluss, dass die Vorwürfe stimmten, aber: Weil ein Desktop-Rechner deutlich weniger Sicherheitsrestriktionen als ein Smartphone aufweise, gelte das Problem praktisch für jeden Messenger, der auf einem Computer ausgeführt werde.
Lücken in Cocoapods haben Apple-Geräte gefährdet
Über rund zehn Jahre alte Sicherheitslücken im Dependency-Manager Cocoapods war es bis Oktober 2023 möglich, Schadcode in beliebte Apps für iOS und MacOS einzuschleusen. Darüber berichtet unter anderem golem.de. Sicherheitsforscher von Eva Information Security erklären in jetzt einem Blogbeitrag, dass nahezu jedes Apple-Gerät mit Supply-Chain-Angriffen habe infiziert werden können. Entwicklern wird empfohlen, ihre Projekte sowie deren Abhängigkeiten zu prüfen.
Schwachstelle in Secure Email Gateway von Cisco
Cisco erklärt in einem Sicherheitshinweis, dass eine E-Mail mit einem speziell gestalteten Anhang ausreiche, um ein anfälliges Gateway zu infiltrieren. Es kann so zum Absturz gebracht oder zum Verteilen von Schadcode gezwungen werden. Ein Angriff ist laut Cisco aus der Ferne möglich und erfordert keine Authentifizierung. Der Schweregrad der Lücke CVE-2024-20401 wird mit 9,8 als kritisch eingestuft. Cisco stellt einen Patch bereit.
OpenSSH erneut von alter Schwachstelle betroffen
OpenSSH ist ein beliebtes Tool für die Verwaltung von Remote-Servern. Die neue Sicherheitslücke CVE-2024-6387 («RegreSSHion») erlaubt Angreifern den Fernzugriff und die Ausführung beliebigen Codes. Es handelt sich laut Inside IT um eine alte Lücke, die durch Code-Änderungen wieder aufgetaucht sei. Laut dem Sicherheitsunternehmen Qualys ist jedoch die Ausnützung der Lücke komplex. Dennoch sollte sie mit den empfohlenen Patches geschlossen werden.
Über Bruno Habegger
Bruno Habegger ist Abraxas-Magazin-Autor und Senior Communication Manager. Er verfügt über eine langjährige Erfahrung im ICT- und Energie-Bereich als Journalist, Contentproduzent und Berater. Er war Präsident einer Regionalpartei und an seinem damaligen Wohnort acht Jahre Mitglied der Sicherheitskommission.
