Jakub Jirsák - stock.adobe.com
KI-Technologien für IAM- und CIAM-Systeme
Seit Jahren schon setzen Cyberkriminelle auf KI, um die Erfolgschancen ihrer Angriffe zu erhöhen. Dabei sind Identitätsdaten das primäre Angriffsziel. Dagegen gilt es vorzugehen.
In den unterschiedlichsten Bereichen der IT kommt mittlerweile die noch vergleichsweise junge Technologie der künstlichen Intelligenz (KI) zur Anwendung. Zur Rationalisierung von Aufgaben, zur Verschlankung der Datenverarbeitung, zur Senkung der IT-Kosten und des IT-Arbeitskräftebedarfs und – last but not least – zur Steigerung der Effektivität und Effizienz der IT-Sicherheit.
In drei Aufgabenfeldern können IT-Sicherheitsteams von KI-gestützten Tools bereits profitieren: dem Aufspüren von Schwachstellen, dem Erkennen von Anomalien und dem Reagieren auf Sicherheitsverletzungen. All dies kann dank KI automatisiert, in Echtzeit und proaktiv erfolgen. Das ist auch bitter nötig. Denn auch Cyberkriminelle setzen zunehmend auf KI – um die Erfolgschancen ihrer Angriffe zu erhöhen. Laut der aktuellen Sapio Research-Umfrage Generative AI and Cybersecurity: Bright Future or Business Battleground führen 85 Prozent aller IT-Sicherheitsexperten den letztjährigen massiven Anstieg von Cyberangriffen auf den wachsenden Einsatz von generativer KI durch Cyberkriminelle zurück. Diese KI ermöglichte es ihnen, die Quanti- und Qualität ihrer Angriffe noch einmal deutlich auszuweiten – bei vertretbaren Kosten.
In Deutschland setzen bislang, laut einer Bitkom-Umfrage aus dem Jahr 2023, trotzdem nur wenige Unternehmen auf KI-gestützte Sicherheitslösungen. Lediglich 14 Prozent der befragten IT-Entscheider gaben in der Umfrage zu Protokoll, auf KI zur Optimierung ihrer IT-Sicherheit zu setzen. Dabei ist KI-gestützte Überwachung, Analyse und Reaktion gerade in Zusammenhang mit einem zentralen Bereich der IT-Sicherheit mittlerweile von existenzieller Bedeutung. Dem Haupteinfallstor Nr. 1 der Cyberkriminellen: den Zugangs- und Identitätsdaten der Endanwender, die die Angreifer zu kompromittieren und für ihre Zwecke zu missbrauchen suchen.
KI-gestützte Cyberkriminelle und digitale Identitäten
Bislang erfolgte die Aneignung von Identitäts- und Zugangsdaten zur Aushebelung der Sicherheitskontrollen von IAM- und CIAM-Systemen – und damit der IT-Sicherheitsarchitektur – in aller Regel manuell. Phishing und Social Engineering kamen zum Einsatz. Nur selten waren die Angriffe von Erfolg gekrönt. Um aus der niedrigen Erfolgsquote Kapital schlagen zu können, mussten die Cyberkriminellen auf schiere Masse setzen.
Arbeitsaufwendige Spear-Phishing-Angriffe – mit höheren Erfolgsquoten – bildeten die Ausnahme. Mit der wachsenden Verfügbarkeit von KI ändert sich dies nun gerade. Innerhalb kürzester Zeit können automatisiert aus dem Web und Darknet Datensätze zu riesigen Opfermengen zusammengetragen, analysiert und passend aufbereitet werden. E-Mails und Chatnachrichten kann die KI dann zielgerichtet an jedes Opfer einzeln versenden, aus deren Reaktionen lernen, sich optimieren und immer erfolgreicher darin werden, Endnutzer zur Preisgabe ihrer Zugangs- und Identitätsdaten zu bringen.
Auch in Deutschland haben KI-gestützte Angriffe mittlerweile besorgniserregende Ausmaße erreicht. Der TÜV-Verband stuft die sich abzeichnende Entwicklung als ernst ein. Bereits im Sommer 2023 warnte er in der Studie Cybersicherheit in deutschen Unternehmen explizit vor dem Missbrauch von KI-Systemen durch Cyberkriminelle – auch und gerade im Kontext der Personalisierung und Optimierung von Social-Engineering- und (Spear)-Phishing-Kampagnen. Doch KI kann auch genutzt werden, um Cyberkriminelle, die auf kompromittierte Zugangs- und Identitätsdaten als Einfallstor setzen, aufzuspüren und aus dem Netzwerk auszuschließen – bevor diese Schäden anrichten können.
KI stärkt IAM-Systeme – API Intelligence
Seit einiger Zeit schon versuchen Cyberkriminelle zunehmend, über kompromittierte Anmeldedaten in APIs vorzudringen. Traditionelle API-Sicherheitsmaßnahmen, wie Content Delivery Networks (CDNs), Firewalls für Webanwendungen (WAF) und Next Generation-Firewalls werden von ihnen auf diese Weise einfach umgangen. APIs ermöglichen es Softwareentwicklern, Informationen direkt von einer App an eine andere Anwendung zu senden und dabei die Nutzeroberfläche zu umgehen, um zu prüfen, ob die Ausgabedaten korrekt sind.
„Das Risiko, dass es Angreifern gelingt, sich in den Besitz von Zugangs- und Identitätsdaten zu bringen, es wird steigen. Unternehmen müssen dies akzeptieren und beginnen, sich entsprechend vorbereiten.“
Detlev Riecke, Ping Identity
Cyberkriminelle nutzen diese Möglichkeit, um in den Systemen nach Schwachstellen zu suchen, die sie dann für ihren eigentlichen Angriff missbrauchen können. Hiergegen helfen kann API Intelligence. Die KI-gestützte Technologie koppelt API-Traffic an Nutzeridentitäten und überwacht und analysiert dann die Lage. Sie lernt typisches API- und Nutzerverhalten und nutzt vorgefertigte KI-Modelle, um guten von schlechtem Traffic zu unterscheiden. Auch API-Honeypots kommen zum Einsatz. API-Missbrauch, -Fehler und -Schwachstellen können so, dank API Intelligence, frühzeitig erkannt, blockiert und behoben werden.
KI stärkt CIAM-Systeme – Intelligent Fraud Prevention
94 Prozent aller deutschen Online-Shops waren schon einmal mit einem Betrug oder Betrugsversuch konfrontiert. In der gesamten DACH-Region liegt Online-Betrug, laut einer aktuellen CRIF-Umfrage, seit Jahren auf einem konstant hohen Niveau. Als populärste betrügerische Praxis gilt in Deutschland dabei nach wie vor der Identitätsdiebstahl. 92 Prozent der deutschen E-Commerce Unternehmen sahen sich mittlerweile mindestens schon einmal mit ihm konfrontiert. Auch, da hier traditionelle Sicherheitsverfahren nicht greifen – ganz im Gegensatz zu KI-gestützten Intelligent-Fraud-Prevention-Lösungen. Netzwerk-, Geräte- und Nutzerverhalten werden hier kombiniert überwacht und analysiert. Dabei wird die gesamte User beziehungsweise Customer Journey in den Blick genommen. Schon vor der Anmeldung werden dynamisch mehrere Risikosignale ausgewertet, um eine Gesamtrisikobewertung jedes einzelnen Endnutzers zu erstellen. Zu diesen Signalen zählen unter anderem Analysen des Nutzer- und Entitätsverhaltens, biometrische Verhaltensdaten, IP- und Netzwerk-Reputationstelemetrie und Gerätetelemetrie. Die Risikobewertung liefert dann die Basis zur Erstellung individueller – und damit sichererer – Identifizierungs-, Authentifizierungs- und Autorisierungsrichtlinien. Jeder Versuch, sich unberechtigt einzuloggen, kann dann sofort erkannt und abgeblockt oder mit einer zusätzlichen Authentifizierungsabfrage abgesichert werden – automatisiert, in Echtzeit, ohne, dass IT-Sicherheitsteams hinzugezogen werden müssten.
In den kommenden Jahren wird künstliche Intelligenz bei Cyberangriffen eine immer größere Rolle spielen. Gerade im Bereich der Kompromittierung digitaler Identitäten. Das Risiko, dass es Angreifern gelingt, sich in den Besitz von Zugangs- und Identitätsdaten zu bringen, es wird steigen. Unternehmen müssen dies akzeptieren und beginnen, sich entsprechend vorbereiten. Mit KI-gestützten IT-Sicherheitslösungen, die anormales Nutzerverhalten in den Mittelpunkt ihrer Betrachtungen rücken.
Über den Autor:
Detlev Riecke ist Regional Vice President Central Europe bei Ping Identity.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.