5second - stock.adobe.com
Der Erfindungsreichtum der Crowd gegen Cyberkriminalität
Wenn KI in Crowdsourcing-Plattformen eingesetzt wird, kann das helfen, Ressourcen zu bündeln und die Offenlegung von Schwachstellen effizienter zu gestalten.
Für viele Unternehmen hat Sicherheit inzwischen oberste Priorität. Die digitale Transformation ist an die zweite Stelle gerückt. Der Grund ist leicht ersichtlich. Der Schutz der Infrastrukturen erfordert häufig mehr Ressourcen als der Ausbau des Geschäftes. Zwar steigen IT-Ausgaben insgesamt schnell, aber die Kosten für Cybersicherheit steigen noch schneller.
Laut Gartner werden sich die weltweiten IT-Ausgaben im Jahr 2024 auf fast 5 Billionen US-Dollar belaufen, was einem Anstieg von 6,8 Prozent gegenüber 2023 entspricht. Gartner schätzt, dass die Ausgaben für Cybersicherheit im Jahr 2024 215 Milliarden US-Dollar erreichen werden, was einem Anstieg von 14,3 Prozent gegenüber dem Vorjahr entspricht.
Dabei machen die Ausgaben für die Cybersicherheit nur einen Bruchteil der weltweiten Kosten der Cyberkriminalität aus, die von dem Forschungsunternehmen Cybersecurity Ventures auf 9,5 Billionen Dollar im Jahr 2024 geschätzt werden. Das ist fast das Doppelte der weltweiten jährlichen Ausgaben für IT. Wäre Cyberkriminalität eine Volkswirtschaft, so wäre sie nach den USA und China die drittgrößte der Welt.
Traditionelle Verteidigung funktioniert nicht
Solange der Kampf gegen Cyberkriminelle auf traditionelle Weise geführt wird, stehen die Verteidiger auf verlorenem Posten. Die Angreifer sind zahlreich und gut organisiert. Es sind schon lange keine Einzelkämpfer mehr, die in einem schmuddeligen Keller vor Computern sitzen. Vielmehr verfügen sie ebenso wie seriöse Unternehmen über Büros, ein Management, eine ausgefeilte IT und erfolgreiche Strategien. Zudem sind sie durch die Höhe des möglichen Gewinns hoch motiviert. Kriminalität ist ihr Kerngeschäft.
Im Gegensatz dazu ähneln die Verteidiger eher unwilligen Rekruten in einem Krieg, den sie lieber nicht führen würden. Oftmals sind sie auf sich allein gestellt, denn Unternehmen stellen lediglich so viele Cybersicherheitsexperten ein, wie es ihr Budget erlaubt. Vorausgesetzt, sie können sie finden.
Die ISC2 Cybersecurity Workforce Study 2023 diagnostiziert einen zunehmenden Fachkräftemangel im Bereich der Cybersicherheit. Geschätzt vier Millionen Stellen sind derzeit unbesetzt. Diese Zahl steigt stetig an, zum einen, weil das Angebot nicht mit der Nachfrage Schritt halten kann, und zum anderen, weil Arbeitsplätze im Bereich der Cybersicherheit zunehmend stressig und repetitiv sind. In der ISC2-Studie werden Burnout und sinkende Zufriedenheit mit der Arbeit für die hohe Fluktuation in der Belegschaft verantwortlich gemacht.
Der Kampf in der Cybersecurity ist grundlegend ungleich. Während die Verteidiger immer zu 100 Prozent richtig liegen müssen, reicht den Angreifern eine einzige gelungene Attacke. Diese Asymmetrie erklärt, warum die Arbeit im Bereich der Cybersicherheit zu einem undankbaren Beruf geworden ist.
Den Lauf der Dinge ändern
Wie lässt sich also das Blatt wenden? Die Cyberkriminalität lässt sich nicht gänzlich verhindern, aber wie lassen sich ihre Auswirkungen verringern? Die einzige logische Lösung besteht darin, das Ungleichgewicht zwischen Angreifern und Verteidigern zu beseitigen, das durch verschiedene Faktoren verursacht wird:
- Organisation - Kriminelle sind gut organisiert und hoch konzentriert. Kriminalität ist ihr Kerngeschäft. Die Verteidiger müssen daher besser organisiert sein, auch wenn die Verbrechensbekämpfung nicht ihr Kerngeschäft ist.
- Motivation - Verbrechen zahlt sich sehr gut aus. Die Profite für einen Kriminellen sind um ein Vielfaches höher als das, was ein Cybersicherheitsexperte in einem Jahr verdienen kann.
- Arbeitszufriedenheit - Es gibt nicht viele Daten darüber, ob kriminelle Hacker mit ihrer Arbeit zufrieden sind, aber es ist bekannt, dass viele der „Guten“ es nicht sind. Das muss sich ändern.
- Qualifikationen - Selbst, wenn sich die Unternehmen alle benötigten Fachkräfte leisten könnten, gibt es nicht genug Cybersecurity-Experten für alle. Wie lassen sich die vorhandenen also besser nutzen?
- Die „Hundert-zu-Eins-Regel“ - Die Angreifer werden immer im Vorteil sein, aber gibt es möglicherweise etwas, das getan werden kann, um die Waage auszugleichen?
- Technologie - Beide Seiten werden immer Zugang zur gleichen Technologie haben. Die Frage ist, ob die Verteidiger bessere Waffen herstellen oder sie intelligenter einsetzen können.
Crowdsourced Return on Investment
Crowdsourced Security bietet die besten Voraussetzungen für eine Lösung dieser Probleme. Zum einen macht Crowdsourced Security einen größeren Talentpool für mehr Unternehmen verfügbar. Sie können sich alle benötigten Fähigkeiten beschaffen und zahlen nur für das, was sie brauchen.
Zweitens können Bug-Bounty- und Schwachstellen-Offenlegungsprogramme die Motivation und die Arbeitszufriedenheit steigern. Wenn ethische Hacker für das Aufspüren von Schwachstellen bezahlt werden, bedeutet dies, dass talentierte Leute ein gutes Einkommen erzielen können. Das ist vielleicht nicht so lukrativ wie das ihrer kriminellen Kollegen, aber nach den meisten Maßstäben doch gut bezahlt. Millionäre unter den ethischen Hackern sind keine Seltenheit. Außerdem vermeiden ethische Hacker die moralischen Gefahren der Kriminalität und das Risiko einer Gefängnisstrafe. Es ist anzunehmen, dass sie deutlich besser schlafen.
Drittens ist die ergebnisorientierte Wirtschaftlichkeit von Crowdsourced Security für Kunden attraktiv, denn sie müssen sich nicht mehr darum kümmern, alle erforderlichen Sicherheitskompetenzen auf die eigene Gehaltsliste zu setzen. Auch die Kapitalrendite (ROI) ist leichter zu berechnen. Es geht nicht mehr darum, die Kosten von Sicherheitsverletzungen aufzulisten. Vielmehr können nun die Einsparungen kalkuliert werden, die durch die Abwehr potenziellen Katastrophen erzielt wurden.
Die richtige Zutat
Die Superkraft des Crowdsourcing besteht in der Ausnutzung der menschlichen Motivation, das Richtige zu tun. Natürlich werden auch ethische Hacker von Belohnungen angetrieben, aber die müssen nicht immer materieller Natur sein. In einer im Jahr 2023 veröffentlichte Umfrage unter 1.000 ethischen Hackern gaben 75 Prozent der Befragten nicht-finanzielle Faktoren als Hauptmotivation für das Hacken an. 87 Prozent meinten, dass es ihnen wichtiger sei, eine kritische Schwachstelle aufzudecken, als damit Geld zu verdienen.
Natürlich werden Unternehmen auch weiterhin Sicherheitsteams und Entwickler beschäftigen müssen, um die benötigten Dienste bereitzustellen. Diese Teams werden allerdings Zugang zu mehr Fähigkeiten, besseren Informationen und einer früheren Warnung vor Problemen haben. Der entscheidende Wandel besteht darin, von einem reaktiven zu einem proaktiven Ansatz überzugehen. Das gilt für alle, die an der Sicherung digitaler Werte beteiligt sind.
Penetrationstests, mit denen Schwachstellen in Systemen aufgedeckt werden sollen, bevor ein Angreifer sie findet, sind nicht neu. Sie waren auf traditionellem Wege aber schwer zu organisieren, weil sie mit langen Projektzyklen und einem erheblichen Verwaltungsaufwand verbunden waren. Das hielt den Kunden häufig von diesen Tests ab.
„Die beste Form der Verteidigung ist nicht der Angriff, sondern die Erhöhung der Widerstandsfähigkeit gegen Angriffe, die sich aus der Entwicklung von „Secure-by-Design“ ergibt.“
Sajeeb Lohani, Bugcrowd
Geeignete Crowdsourcing-Plattformen verringern diesen bürokratischen Aufwand erheblich. Pentesting entwickelt sich von einem gelegentlichen, punktuellen Service zu einem kontinuierlichen Prozess. Das wird der sich ständig weiterentwickelnden Natur moderner Unternehmenssoftware viel besser gerecht.
Kann KI für gleiche Wettbewerbsbedingungen sorgen?
Wie sieht es mit den Auswirkungen der KI aus? Offensichtlich ist es so, dass künstliche Intelligenz zwar einen großen Unterschied im Umfang der Angriffe, aber kaum einen Unterschied im Kräfteverhältnis zwischen Angreifern und Verteidigern bewirken wird. KI wird die Angriffe erleichtern und möglicherweise die Einstiegshürde für weniger erfahrene Kriminelle senken, aber natürlich wird sie auch die Verteidiger mit effizienteren Werkzeugen ausstatten.
Was denken also die ethischen Hacker? Fast alle Teilnehmer der erwähnten Umfrage gaben an, dass sie KI bei ihrer Arbeit einsetzen oder bald einsetzen werden (94 Prozent). Die meisten (72 Prozent) glauben nicht, dass KI jemals ihre menschliche Kreativität ersetzen wird, und noch mehr (91 Prozent) denken, dass sie sich positiv auswirken und den Wert des Ethical Hacking erhöhen wird.
Ist dieser Optimismus gerechtfertigt? Das wird sich zeigen. Aber die klugen Hacker sind der Meinung, dass KI letztlich als Verteidigungsinstrument wertvoller sein wird als als Angriffswaffe. Und warum? Weil sie von den Angreifern für härtere Attacken und von den Verteidigern für eine intelligentere Verteidigung eingesetzt werden kann.
Die Kriminellen werden KI nutzen, um die Zahl der Angriffe zu erhöhen, während sich ethische Hacker auf die Raffinesse der Verteidigung konzentrieren. Das dritte Element in dieser Gleichung ist der Einsatz von KI in Crowdsourcing-Plattformen, um Ressourcen zu bündeln und Bug-Bounty- und Programme für die Offenlegung von Schwachstellen effizienter zu managen. Wenn alle über die gleichen Waffen verfügen, wird die besser organisierte Seite schließlich die Oberhand gewinnen.
Veränderung des Sicherheitsbewusstseins
Es besteht kein Zweifel darüber, dass KI zu großen Veränderungen führen wird, aber der technologische Wandel allein ist nicht entscheidend. Der Schlüssel liegt vielmehr in einem Wandel der Mentalität, insbesondere in der Einstellung der Kunden hinsichtlich der Art und Weise, wie das Crowdsourcing die Sicherheit nachhaltig verbessern kann.
„Als weltweit führender Anbieter von Cloud-Anwendungen und KI für Unternehmen legt SAP größten Wert auf die Sicherheit der Kundendaten und verfolgt unternehmensweit eine umfassende Sicherheitsstrategie, um sichere und zuverlässige Lösungen zu gewährleisten“, erklärte Stuart Short, Experte für Produktsicherheit bei SAP, vor kurzem auf der DACHSec Show. „Unser Bug-Bounty-Programm hilft uns, die Perspektive der Hacker zu verstehen, und hat unserem Sicherheitsteam neue Ideen rund um das Testen gebracht.“
Die beste Form der Verteidigung ist nicht der Angriff, sondern die Erhöhung der Widerstandsfähigkeit gegen Angriffe, die sich aus der Entwicklung von „Secure by Design“ ergibt.
Das Schlüsselwort beim Nachdenken darüber, wie Crowdsourced Security zur Bekämpfung von Kriminellen eingesetzt werden kann, heißt „managed“. Bug Bounty, Offenlegung von Schwachstellen und Pentesting werden zwar schon seit Jahren eingesetzt, aber die magische Zutat ist die Intelligenz, die mit den Plattformen verbunden ist, die diese Dienste anbieten. Diese Plattformen können zum Beispiel die Vorlaufzeit für die Einrichtung und Durchführung eines standardisierten Pentests verkürzen. Sie verwenden Algorithmen, um die Ergebnisse eines Programms zur Aufdeckung von Schwachstellen zu priorisieren und eine schnellere Behebung zu ermöglichen. Oder, wie SAP feststellte, können die Erkenntnisse aus diesen Programmen genutzt werden, um den Entwicklungsprozess zu überdenken.
Die Crowd ist eine erstaunliche Ressource, aber nur, wenn man sie beherrscht. Sie bildet den Unterschied zwischen einem Mob und einer gut ausgebildeten Armee. In einem ansonsten ungleichen Wettstreit mit den Bösen ist es die Bereitschaft der Guten, zusammenzuarbeiten, und ihre Fähigkeit, bessere organisatorische Instrumente zu schaffen, die mit besserer Intelligenz untermauert sind, um das Kräfteverhältnis in die richtige Richtung zu verschieben.
Über den Autor:
Sajeeb Lohani ist ein ethischer Hacker und Senior Director bei Bugcrowd.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.