Wie KI die Gesetze der Cybersicherheit verschiebt

Lesedauer beträgt 4 Minuten
Autor: Michael Krassnitzer

Cyberkriminelle nutzen immer häufiger Künstliche Intelligenz für Attacken auf IT-Systeme. Die digitale Sicherheitsbranche rüstet ihre Lösungen nach.

Es ist paradox: Die NIS-2-Richtlinie soll die Cybersicherheit in rund 4.000 österreichischen Unternehmen und Einrichtungen stärken, darunter alle Krankenhäuser. Obwohl offiziell noch nicht in Kraft getreten, arbeiten Österreichs Gesundheitseinrichtungen derzeit auf Hochtouren an der Umsetzung der in der Richtlinie geforderten Sicherheitsmaßnahmen. Doch das bindet in den IT-Abteilungen Ressourcen, die für die alltägliche Abwehr von Cyberangriffen dringend benötigt werden. Weil die Umsetzung der NIS-2-Richtlinie in Unternehmen und Einrichtungen zu einem erhöhten Personalbedarf geführt hat, ist auch der Arbeitsmarkt für IT-Experten wie leergefegt. Fachpersonal ist Mangelware. Auf diese Weise führt NIS-2 kurzfristig wohl zu einer Schwächung der Cybersicherheit in Österreich.

Wie alle anderen großen Unternehmen müssen sich auch Krankenhäuser gegen diverse Angriffe aus dem Internet schützen. Tagtäglich versuchen Hacker, die Firewall zu durchdringen und Schadsoftware in die Krankenhaus-IT einzuschleusen. Eine beliebte Methode dabei ist, einen Mitarbeiter dazu zu bringen, Zugangsdaten unter Vorspiegelung falscher Tatsachen oder unwissentlich preiszugeben. In jüngster Zeit haben die Kriminellen, die hinter diesen Angriffen stehen, neue Kanäle für ihre Machenschaften gefunden. „Dass man bei E-Mails vorsichtig sein muss, weiß dank intensiver Schulungen mittlerweile jeder Mitarbeiter. Aber bei Chatprogrammen oder Videokonferenzprogrammen ist das Vertrauen oft blind“, weiß Rainer Kloimstein, Chief Information Security Officer (CISO) der Oberösterreichischen Gesundheitsholding (OÖG), die knapp 16.000 Mitarbeiter beschäftigt und sechs Kliniken betreibt.

Infiziert. Gesundheitseinrichtungen sind zu bevorzugten Zielen von Hackern geworden. KI verändert deren Vorgangsweise. Sicherheitslösungen nutzen KI, um Angriffe bereits im Vorfeld zu identifizieren.

Künstliche Intelligenz

Neu ist auch, dass die Angreifer Künstliche Intelligenz (KI) einsetzen, um an ihr Ziel zu kommen. Mithilfe von KI-Anwendungen lassen sich im Handumdrehen täuschend echt aussehende gefälschte Webseiten herstellen. KI-Anwendungen können den schriftlichen Ausdruck konkreter Personen perfekt imitieren und bekommen sogar die Stimme und den individuellen Sprechstil einer konkreten Person gut hin. Phishing und das sogenannte Social Engineering – sozusagen personalisiertes Phishing – werden dadurch sowohl einfacher durchzuführen als auch schwieriger zu entlarven. Die kriminellen Angreifer setzen KI auch ein, um nach bislang unentdeckten Schwachstellen in Programmen zu fahnden. Diese können dann genutzt werden, um unbemerkt ins System einzudringen.

Doch auch die Verteidiger bedienen sich mittlerweile der Künstlichen Intelligenz. Die OÖG setzt eine KI-basierte Anwendung ein, die unter anderem typische Verhaltensmuster von Schadsoftware aufspürt. Denn zunächst müssen sich die Angreifer ja ein Bild von dem System machen, in das sie eingedrungen sind. Das hinterlässt Spuren. Auch im Fall, dass Ransomware damit beginnen würde, die Daten des Systems zu verschlüsseln, würde die KI die damit verbundenen Aktivitätsmuster sofort erkennen und den Prozess stoppen.

Unverzichtbar sind auch regelmäßige Penetrationstests, bei denen das IT-Team in die Rolle von Angreifern schlüpft und mithilfe von im Internet verfügbaren Tools selbst nach Schwachstellen im System sucht. „Es ist ein ungleicher Kampf“, sagt Kloim­stein: „Die Verteidiger müssen unzählige Lücken stopfen, während die Angreifer nur eine einzige Lücke zu finden braucht.“

Mangelndes Risikobewusstsein

Sich in die Hacker hineinzuversetzen, das ist auch der Ansatz von Cyber Security Austria (CSA), einem gemeinnützigen Verein, der sich das Ziel gesetzt hat, die IT-Sicherheit in Österreich zu fördern. Die CSA veranstaltet regelmäßig Wettbewerbe, in denen sich junge IT-Interessierte im Rahmen einer Challenge als sogenannte White-Hat-Hacker versuchen dürfen, also als Hacker, die im Auftrag und im Interesse des Angegriffenen handeln. Das Ziel dieses „ethical hacking“ ist es, junge Menschen für das Thema Cybersicherheit zu begeistern – nicht zuletzt in Hinblick auf den Fachkräftemangel auf diesem Gebiet. In erster Linie aber geht es der CSA nicht nur um technische Abwehrmaßnahmen gegen Cyberangriffe. Der Verein will vielmehr Bewusstsein schaffen für die Bedeutung organisatorischer Maßnahmen und Krisenmanagement in Zusammenhang mit Cybersecurity.

Franz Hoheiser-Pförtner ist Vorstandsmitglied von Cyber Security Austria und ehemaliger IT-Security-Chef des heutigen Wiener Gesundheitsverbundes. Er ist davon überzeugt, dass nicht die Cyberangriffe selbst, sondern das mangelnde Bewusstsein für die damit verbundenen Risiken die größte Gefahr für die Cybersicherheit in Österreich darstellt. „Wir sind in ein Abhängigkeitsverhältnis zu den digitalen Prozessen geraten und sind uns viel zu wenig bewusst, wie verwundbar diese Versorgungsadern sind“, bekräftigt Hoheiser-Pförtner. So wie es Pläne für den Fall von Naturkatastrophen wie Hochwasser oder Murenabgängen gibt, so müsse es auch Pläne geben, falls das IT-System eines Krankenhauses infolge eines Cyberangriffes, aber auch infolge eines technischen Gebrechens, ausfällt. In diesem Sinn begrüßt der Experte die NIS-2-Richtlinie, die derzeit in Österreichs Krankenhäusern implementiert wird. Diese verpflichtet die Betreiber kritischer Infrastruktur unter anderem zu entsprechenden Risikoanalysen und Notfallplänen. Daher hält es Hoheiser-Pförtner für unabdingbar, dass digitale Prozesse stets so aufgesetzt werden, dass auch eine analoge Alternative für Notfälle machbar ist. Das Projektteam muss sich also bereits vorab gut überlegen, wie der entsprechende analoge Prozess aussieht. Das ist keine einfache Aufgabe: „So wie man einen analogen Prozess nicht eins zu eins in einen digitalen überführen kann, ist ein digitaler Prozess nicht eins zu eins ins Analoge rückführbar“, unterstreicht er.

Digitale Demenz. Franz Hoheiser-Pförtner ist Vorstandsmitglied von Cyber Security Austria und ehemaliger IT-Sicherheitschef eines Klinik­verbundes. Er warnt vor der totalen Abhängigkeit von digitalen Prozessen.

Digitale Demenz

Ein ganz grundsätzliches Problem ist das, was Hoheiser-Pförtner „digitale Demenz“ nennt. Er verdeutlicht dieses Phänomen mit Beispielen aus dem Alltag. Kaum jemand kennt noch die Telefonnummern seiner Familienangehörigen, weil diese am Handy gespeichert sind, Autofahrer und Wanderer verlassen sich auf Google Maps. Aber was, wenn das Handy ausfällt oder die Verbindung unterbrochen ist? Wer hat noch irgendwo eine handschriftliche Liste seiner wichtigsten Telefonnummern, eine Straßenkarte im Handschuhfach oder eine Wanderkarte im Rucksack? Übertragen aufs Krankenhaus müsste es für die digitalen Prozesse analoge Notfall-Alternativen geben, die auch ohne IT-Unterstützung funktionieren. Ein weiteres Beispiel: Autofahrer, die jahrelang die Einparkhilfe nutzen, laufen Gefahr, irgendwann das Einparken zu verlernen. Übertragen auf das Krankenhaus bedeutet das: Auch die alten analogen Prozesse müssen weiterhin geübt werden, damit sie nicht in Vergessenheit geraten.

Hoheiser-Pförtner ist sich dessen bewusst, dass all die von ihm in den Raum gestellten Maßnahmen mit hohem organisatorischem, personellem und auch finanziellem Aufwand verbunden sind. „Aus Kosten-Nutzen-Überlegungen werden wir uns wohl nicht gegen alle Risiken absichern können“, räumt der Experte ein: „Aber wir müssen uns dieser Risiken zumindest bewusst sein. Denn wer glaubt, sicher zu sein, ist selbst Teil des Problems.“

Das will NIS-2

NIS-2 steht für die zweite Netzwerk- und Informationssicherheitsrichtlinie (Network and Information Security Directive 2). Sie ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie der Europäischen Union, die 2016 in Kraft trat. Die Mitgliedstaaten haben bis zum 17. Oktober 2024 Zeit, um die erforderlichen nationalen Vorschriften und Gesetze zur Umsetzung der NIS-2-Richtlinie zu erlassen und in Kraft zu setzen.

NIS-2 zielt darauf ab, die Cybersicherheit in der EU zu verbessern, indem sie einen einheitlicheren und strengeren rechtlichen Rahmen für die Sicherheit von Netz- und Informationssystemen schafft. Im Vergleich zur ersten NIS-Richtlinie wird der Anwendungsbereich von NIS-2 deutlich erweitert. Die neue Richtlinie erfasst eine breitere Palette von Sektoren und Unternehmen, darunter Energie, Transport, Gesundheit, Wasserwirtschaft, digitale Infrastruktur, Verwaltung von IKT-Diensten, Raumfahrt und viele mehr. Auch kleinere und mittlere Unternehmen können unter bestimmten Bedingungen erfasst sein.

Spitäler gelten als wesentliche Einrichtungen und fallen zur Gänze unter NIS-2. Sie müssen Sicherheitsvorfälle innerhalb von 24 Stunden nach Entdeckung an die zuständigen Behörden melden. Außerdem müssen geeignete technische und organisatorische Maßnahmen ergriffen werden, um Risiken für ihre Netz- und Informationssysteme zu bewältigen. Dazu gehören die Implementierung von Richtlinien und Strategien, die den Schutz der Netz- und Informationssysteme sicherstellen.

Jede Klinik benötigt eine systematische Analyse und Bewertung der Risiken für die Netz- und Informationssysteme. Die Maßnahmen zum Schutz vor Bedrohungen wie Malware, Ransomware, Phishing und anderen Cyberangriffen müssen State of the Art sein. Zudem müssen umfassende Maßnahmen ergriffen werden, um die IT-Sicherheit zu verbessern und rechtliche Anforderungen zu erfüllen. Und es braucht interne und externe Audits, um sicherzustellen, dass die Unternehmens-Compliance mit den NIS-2-Anforderungen übereinstimmen.

Diese Artikel könnten Sie auch interessieren:

Weiterlesen

Qualitätssicherung durch die Standardisierung von Prozessen

Wenn bei mir eine größere neue Anschaffung ansteht, informiere ich mich oft über die verschiedenen Angebote einzelner Hersteller. So reift bei mir die Vorstellung, welche Eigenschaften die angebotenen Produkte voneinander unterscheiden und welche Produkte ich als qualitativ hochwertig oder minderwertig einstufen würde. Das sind wichtige Entscheidungskriterien für meine Kaufentscheidung …