Der Blick nach vorn: Security-Vorhersagen 2023 (Teil 2)
Absehbare Entwicklungen im Bereich der Cyberversicherungen, die zunehmende Bedeutung von Sicherheitsaspekten im Rahmen der Herstellerauswahl und die mit dem Metaversum einhergehenden Risiken für den Schutz von Unternehmensdaten und -netzwerken sind bereits im vorangegangenen Blog-Beitrag thematisiert worden. Doch damit ist gerade erst Halbzeit. Vollständig sind die WatchGuard-Prognosen für 2023 erst mit den folgenden Betrachtungen.
Einsatz von Multifaktor-Authentifizierung (MFA) führt zu einem Anstieg von Social Engineering
Anwender von Multifaktor-Authentifizierungslösungen sind Cyberbösewichten zunehmend ein Dorn im Auge. Wie eine Studie von Thales bestätigt, erfreut sich diese Form des Identitätsschutzes inzwischen hoher Beliebtheit: Die MFA-Nutzung im Unternehmensumfeld ist 2022 um weitere sechs Prozentpunkte auf 40 Prozent geklettert. Daher werden Angreifer in den kommenden Monaten gezielt nach Wegen suchen, um diese zusätzliche Ebene der Validierung zu „knacken“. Denn sollte es ihnen nicht gelingen, solche Mechanismen zu umschiffen, verlieren sie schließlich einen Großteil ihrer potenziellen Zielgruppe.
Insofern prognostiziert WatchGuard, dass im Jahr 2023 etliche neue MFA-Schwachstellen und Umgehungstechniken ans Licht kommen. Die erfolgreichste und damit häufigste Art und Weise der MFA-Umschiffung ist und bleibt dabei geschicktes Social Engineering. So ist beispielsweise der Erfolg von Prompt-Bombing nicht per se ein MFA-Versagen, sondern setzt bei menschlichen Schwächen an. Warum sollten sich Angreifer an den hohen technischen Barrieren der MFA-Lösung die Zähne ausbeißen, wenn sie auch ganz einfach deren Benutzer austricksen und beispielsweise so zermürben können, bis diese ganz von allein auf einen bösartigen Link klicken? Ebenso geht von Man-in-the-Middle (MitM)-Techniken im Zuge einer legitimen MFA-Anmeldung auf Anwenderseite eine klare Gefahr aus, wenn Hacker versuchen, auf diese Weise in den Besitz von Authentifizierungssitzungstoken zu gelangen. In jedem Fall ist im Jahr 2023 mit vielfältigen Social-Engineering-Angriffen zu rechnen, die auf MFA abzielen.
Künstliche Intelligenz von Robotaxis im Fokus der Angreifer
Mehrere Technologieunternehmen wie Cruise, Baidu und Waymo haben in Städten wie San Francisco und Peking damit begonnen, sogenannte Robotaxis auf ihre Praxistauglichkeit zu testen. Dabei handelt es sich um selbstfahrende Autos, die eine Uber- oder Lyft-ähnliche Erfahrung bieten, ohne dass jemand am Steuer sitzen muss. So erklärt beispielsweise Baidu, dass bereits mehr als eine Million dieser autonomen Fahrten erfolgreich durchgeführt wurden und die meisten Fahrgäste begeistert waren. Klar, dass dadurch andere „Unternehmenslenker“ ob der enormen Kosteneinsparungspotenziale aufhorchen.
Dabei liefen solche Pilotprojekte bei Weitem nicht immer glatt. Im Juni war eines der Robotertaxis von Cruise in einen Unfall verwickelt, bei dem sowohl die drei Insassen als auch der Fahrer eines anderen Fahrzeugs verletzt wurden. Cruise behauptet zwar, dass die Schuld beim „menschlich“ gesteuerten Fahrzeug lag, jedoch trägt dieser Vorfall nicht unbedingt dazu bei, das Vertrauen in die Künstliche Intelligenz (KI) von Autos zu stärken – insbesondere, wenn sich diese schon von kreativ verteiltem Streusalz aus dem Konzept bringen lässt. Bereits früher haben Sicherheitsstudien gezeigt, dass mit dem Internet verbundene Autos gehackt werden können. Zudem besteht kein Zweifel mehr daran, dass Menschen mit einfachen Mitteln in der Lage sind, KI zu manipulieren. Dieser Umstand in Kombination mit einem mobiltelefonbasierten Service, den jeder nutzen kann, birgt essenzielle Risiken. Es spricht vieles dafür, dass Robotaxis das Interesse von Hackern wecken – sei es aus Vergnügen oder Profitgier – und wir in dem Zusammenhang mindestens einen IT-Security-bezogenen Vorfall erleben werden. Da die autonomen Fahrzeugdienste noch so neu sind und sich nach wie vor in der Testphase befinden, ist nicht davon auszugehen, dass dies zu einem gefährlichen Unfall führen wird. Aber es besteht durchaus eine hohe Wahrscheinlichkeit, dass sich Sicherheitsforscher oder Grey-Hat-Hacker 2023 beispielsweise einen Spaß damit erlauben, ein solches Fahrzeug im Verkehr stecken zu lassen und diesen dadurch zum Erliegen bringen.
KI-Codierungswerkzeuge tragen Schwachstellen in Entwicklungsprojekte
Auch die letzte Prognose von WatchGuard ist unmittelbar mit dem KI-Thema verknüpft. Obwohl Maschinelles Lernen (ML) und Künstliche Intelligenz (KI) zwar nicht ganz so mächtig sind, wie einige Tech-Evangelisten immer behaupten, haben sich die damit einhergehenden Themenfelder doch erheblich weiterentwickelt – mit vielen neuen praktischen Möglichkeiten. Mit einschlägigen Tools lässt sich nicht nur Kunst per Computeraufforderung schaffen, sondern auch Code zur Unterstützung fauler (oder cleverer) Entwickler schreiben. In beiden Fällen greift die KI auf bestehende Daten zurück, um daraus neue Kreationen zu bilden.
Bei Copilot von GitHub handelt es sich um ein solch automatisiertes Codierungstool. GitHub trainiert Copilot anhand der „Big Data“ von Milliarden von Codezeilen, die in seinen Repositories zu finden sind. Wie bei jedem KI-/ML-Algorithmus steht und fällt die Qualität des Ergebnisses jedoch mit der Qualität der zugrundeliegenden Trainingsdaten und zu verarbeitenden Eingabeaufforderungen. Anders ausgedrückt: Wenn in den Quellen bereits der „Wurm“ drin ist, können darauf basierende KI-erzeugte Codierungen nicht mit Unfehlbarkeit glänzen. Studien haben gezeigt, dass der von Copilot generierte Code in bis zu 40 Prozent aller Fälle sicherheitsrelevante Schwachstellen aufweist. Dieser Prozentsatz erhöht sich noch, wenn Schwächen im Code des Entwicklers hinzukommen. Entsprechend verwundert es kaum, dass GitHub Nutzer ausdrücklich darauf hinweist, dass sie selbst dafür verantwortlich sind, die Sicherheit und Qualität des Codes [bei der Verwendung von Copilot] sicherzustellen.
Folglich sind die Experten von WatchGuard recht überzeugt davon, dass 2023 ein unwissender und/oder unerfahrener Entwickler, der sich zu sehr auf Copilot oder ein ähnliches KI-Codierungstool verlässt, eine App veröffentlichen wird, die eine auf automatische Codierung zurückführbare kritische Sicherheitslücke enthält.
Eine unterhaltsame Auseinandersetzung mit den Security-Vorhersagen in Videoform gibt es hier. Reinschauen lohnt sich.