Wie ein «Schwarzer Schwan» die Schweiz ins IT-Verderben stürzen könnte

Dieser Beitrag dreht sich um aktuelle und unterschätzte Cybergefahren.

Die Swisscom spricht von einer «explosiven Mischung», was die aktuelle Cyber-Bedrohungslage betrifft. Eine Einordnung.

Das grösste Schweizer Telekom-Unternehmen hat diese Woche seinen neusten Bericht zur IT-Sicherheit veröffentlicht. Der «Cyber Security Threat Radar» der Swisscom soll KMUs, Grossunternehmen und anderen Organisationen helfen, sich einen «Überblick zur Bedrohungslage im Cyberraum» zu verschaffen.

watson fasst die wichtigsten Erkenntnisse zusammen, die alle Menschen in der Schweiz betreffen. Spoiler: Wir müssen über Schwarze Schwäne reden.

«Unsichere Weltlage trifft auf professionelle Akteure und künstliche Intelligenz: Das ist die durchaus explosive Mischung, aus der heutige Cyber­bedrohungen entstehen.»

– Swisscom –

Was ist ein «Schwarzer Schwan»?

Gemeint ist nicht das Naturphänomen. Der Begriff wurde von Nassim Nicholas Taleb geprägt, einem Finanzmathematiker, ehemaligen Wall-Street-Händler und kontrovers diskutierten Buchautor. Er schrieb:

«Ein Schwarzer Schwan ist ein unvorhersehbares Ereignis, das über die Erwartungen an eine solche Situation hinausgeht und potenziell schwerwiegende Folgen hat.»

Damit können alle möglichen Ereignisse gemeint sein, die unsere Welt ins Chaos stürzen. Sei dies eine Naturkatastrophe, ein militärischer Konflikt, Finanzcrash oder der Ausbruch einer Pandemie.

In unserer modernen, immer stärker von Digitalisierung und Vernetzung geprägten Welt müssen wir aber auch die Cyberbedrohungen ins Auge fassen.

Dazu hält der Swisscom-Bericht fest:

«Im richtigen Moment auf Sicherheitsstrategien und -prozedere zurückgreifen zu können, die gefestigt und erprobt sind, hilft uns, mit Unvorhersehbarkeiten – sogenannten Schwarzen Schwänen – zurechtzukommen.»

Und damit sind wir bei der Frage, was am Anfang eines Schwarzen (IT-)Schwans stehen könnte …

1. Manipulative KI

ChatGPT kennt (und nutzt) mittlerweile fast jedes Kind. Und einige Leute dürften inzwischen von den Gefahren der generativen künstlichen Intelligenz wissen.

Dazu gehört das Risiko von «Schatten-KI» (Shadow AI). Gemeint ist eine unkontrollierte KI-Nutzung am Arbeitsplatz respektive mit sensiblen Informationen. Einzelne Mitarbeitende können durch unvorsichtiges Verhalten die Geheimhaltung von Unternehmens-, Kunden- oder sonstigen schützenswerten Daten gefährden.

In Zusammenhang mit Schwarzen Schwänen müssen wir aber insbesondere über Sicherheitsrisiken reden, die über die Nutzung solcher – zugegeben praktischen – Tools im Alltag von uns allen hinausgehen.

Der Swisscom-Bericht listet mehrere Angriffsmöglichkeiten auf, die manipulierte KI-Systeme betreffen:

• Manipulation von Inputs, zum Beispiel durch sogenannte «Prompt Injections»: Bei solchen Angriffen wird versucht, über manipulative User-Eingaben bestehende Sicherheitsmechanismen zu umgehen. Das attackierte KI-System wird zu Schritten veranlasst, die vom Betreiber überhaupt nicht vorgesehen sind. Beispielsweise können ChatGTP und Co. dazu gebracht werden, Firmengeheimnisse etc. preiszugeben.
• Poisoning-Angriffe: Schon in der Trainingsphase von KI-Systemen kann durch das Einschleusen von schlechten, falschen oder korrumpierten Daten das gesamte System manipuliert, oder anders ausgedrückt vergiftet, werden. Mit unabsehbaren Folgen.
• «Supply Chain Attacks»: Dabei handelt es sich um Angriffe, die sich gegen externe Komponenten eines KI-Systems richten. Zum Beispiel könnte Schadcode in Open-Source-Bibliotheken eingeschleust werden, die in einem KI-Modell verwendet werden. Auch hier lassen sich die Konsequenzen kaum abschätzen.

2. Sicherheitsrisiken durch zunehmende Digitalisierung und Vernetzung

Immer mehr Geräte sind miteinander verbunden, Stichwort Internet der Dinge (Internet of Things, IoT). Und in Organisationen, die wichtige Infrastruktur betreiben, laufen sogenannte OT-Systeme (Operational Technology). Gemeint ist damit Hardware und Software, die wiederum andere Geräte und Anlagen überwacht und steuert und ihrerseits attackiert werden könnte.

Im Swisscom-Bericht heisst es warnend:

«Unsichere oder schwach geschützte IoT/OT-Geräte können kompromittiert und sabotiert werden und so zum Einfallstor für Cyberangriffe werden. So können sie in der eigenen Funktion, z. B. der Verfügbarkeit oder der Datenintegrität, nicht nur eingeschränkt werden, sondern auch die physische Sicherheit und das Wohl der Menschen bedrohen.»

Wer denkt, dass dies übertrieben alarmistisch ist, sollte an die folgenden Angriffsszenarien denken:

• Eine Sicherheitsverletzung könnte dazu führen, dass kritische Systeme vorübergehend oder dauerhaft ausfallen, mit kostspieligen Auswirkungen.
• Wenn Angreifer Daten von IoT/OT-Geräten manipulieren und falsche Informationen generieren, könnte dies zu fehlerhaften Entscheidungen oder Produkten führen. In industriellen Umgebungen könnten technisch versierte Angreifer kritische Infrastrukturen lahmlegen oder manipulieren, was Betriebsausfälle oder Schlimmeres zur Folge haben könnte.
• Einmal kompromittiert, könnten IoT/OT-Geräte «als Sprungbrett» dienen, um tiefer in Netzwerke einzudringen und weiteren Schaden anzurichten.

3. Desinformation und Destabilisierung – was hilft?

Der Swisscom-Bericht hält fest:

«Die bewusste Verbreitung falscher Informationen, sogenannter Fake News, kann zu wirtschaftlicher und gesellschaftlicher Destabilisierung führen. Dafür wird gezielt auch der Cyberraum missbraucht.»

KI-generierte Fake News und Cyberangriffe seien weltweit «das unmittelbare Top-Risiko» – insbesondere mit Blick auf die Wahlen in grossen Ländern wie den USA, Grossbritannien und Indien, so der Bericht.

Falschmeldungen sind aber auch in der vermeintlich sicheren Schweiz ein zunehmendes Problem. Der russische Despot Wladimir Putin und andere Demokratiefeinde im Westen setzen auf raffinierte Desinformations-Kampagnen, um die Bevölkerung zu verunsichern.

Im Swisscom-Bericht werden mehrere Massnahmen empfohlen, die nicht nur bei der Bekämpfung von russischen Falschinformationen helfen:

• Stärkung der internen Kommunikation: Eine klare und transparente interne Kommunikations-Strategie sei essenziell, um sicherzustellen, dass Mitarbeitende richtige Informationen erhalten und verbreiten.
• Schulung und Sensibilisierung: Mitarbeitende müssten regelmässig geschult werden, um Attacken zu erkennen und richtig darauf zu reagieren.
• Proaktive Öffentlichkeitsarbeit und Krisenmanagement: Organisationen sollten Vorbereitungspläne entwickeln, um auf Attacken reagieren zu können, einschliesslich der Zusammenarbeit mit (journalistischen) Medien und der Nutzung eigener Kanäle, um korrekte Informationen zu verbreiten.
• Partnerschaften und Kooperationen: Die Zusammenarbeit mit externen Fachleuten, anderen Unternehmen und Organisationen könne wertvolle Einblicke liefern und den eigenen Schutz verstärken.
• Einsatz von Technologie: Schliesslich kann KI nicht nur für Angriffe missbraucht, sondern auch zur Verteidigung eingesetzt werden. Inzwischen existiert eine Vielzahl von Machine-Learning-Lösungen, die in Netzwerken Bedrohungen automatisiert erkennen.

PS: Übertreibt die Swisscom, weil sie mit Cybersicherheit (viel) Geld verdient?

An dieser Stelle sollten wir erneut über die Schwarzen Schwäne und ihre Folgen reden. Geht es nach der populärwissenschaftlichen Theorie von Nassim Nicholas Taleb, melden sich nach einem unerwartet katastrophalen Ereignis viele Menschen zu Wort, die es schon seit Langem gewusst oder zumindest geahnt hatten. So werde nachträglich eine Erzählung geschaffen, um einem Ereignis einen plausiblen Grund zu verleihen.

Sicher ist: Ein Schwarzer (IT-)Schwan kann nicht nur direkt betroffene Unternehmen oder die entsprechenden Organisationen immens viel kosten. Ein solches Ereignis hat auch gesellschaftlich weitreichende Folgen, man denke etwa an die Verunsicherung der Bevölkerung sowie den drohenden Vertrauensverlust.

Und damit sind wir bei einem grundlegenden Problem, das alle Cybersicherheits-Fachleute umtreibt: In Anlehnung an das Präventionsparadox sieht die Öffentlichkeit die Schäden nicht, die dank erhöhter Wachsamkeit und IT-Abwehrmassnahmen ausbleiben. Daraus aber zu schliessen, dass solche Massnahmen unnötig bzw. übertrieben sind, wäre grobfahrlässig.

Der deutsche «Tagesspiegel» konstatierte:

«Gebe ich viel Geld zur Gefahrenabwehr aus, bleibt der Ernstfall aus – und irgendwann wird die Frage gestellt, ob der Aufwand und die Ausgaben gerechtfertigt waren.»

Halten wir fest: Cyberbedrohungen bis hin zu Worst-Case-Szenarien lassen sich unter Berücksichtigung aller bekannten Faktoren berechnen, um darauf basierend eine Kosten-Nutzen-Abwägung zu treffen. Schwarze Schwäne bleiben aber eine unheimliche Herausforderung, der es nach Kräften entgegenzuwirken gilt.

Quellen