Im Gespräch mit: Stéphane Duguin vom CyberPeace Institute

Das führt uns zu dem zugrunde liegenden Problem, das wir derzeit in der Cyber-Security-Industrie überall beobachten können: Burnout. Wir haben zu viele Daten, zu viele Fälle, aber nicht genug Zeit.

Das Zusammenwirken vielschichtiger Faktoren macht die aktuelle Cyber-Bedrohungslage komplex wie nie zuvor. Um die beteiligten Elemente genauer zu beleuchten, führte SoSafe ein spannendes Interview mit Stéphane Duguin, dem CEO des CyberPeace Institute.

Als Organisation zeichnet sich das CyberPeace Institute durch eine lobenswerte Mission aus: die Stärkung der Sicherheit im Cyberraum und der Schutz besonders gefährdeter Gemeinschaften im digitalen Raum. Für NGOs wirkt das CyberPeace als Hoffnungsträger, da es ihre Abwehr gegen Cyberbedrohungen unterstützt und dabei gezielt auf ihre spezifischen Schwachstellen eingeht.

In diesem aufschlussreichen Gespräch analysieren wir zusammen mit Stéphane Duguin die angespannte Cyber-Bedrohungslage und die größten Herausforderungen für Organisationen. Zudem beleuchten wir, vor welche Herausforderungen uns KI stellt, wie weitreichend die Auswirkungen von Ransomware sein können und wie Burnout in der Security-Industrie sowie geopolitische Entwicklungen die Cyber-Bedrohungslage weiter verschärfen. Vor allem bietet Duguin aber seine Expertensicht auf einen Bereich, in dem er besonders stark verwurzelt ist: die zerstörerischen Auswirkungen der vielschichtigen Bedrohungslage auf NGOs.

Welche Art von Organisationen unterstützt das CyberPeace Institute und was sind ihre größten Herausforderungen?

Das CyberPeace Institute hat die Mission, die am stärksten gefährdeten Akteure im Cyberspace zu schützen und fokussiert sich deshalb auf NGOs insbesondere im humanitären Bereich. Die Gründe liegen für uns auf der Hand, da ein erfolgreicher Cyberangriff auf Nichtregierungsorganisationen immense Auswirkungen auf das Wohl der Menschen hat. Wir sollten weniger über Netzwerke, Computer und Geld sprechen, und stattdessen mehr über die Menschen. NGOs befinden sich in einer besonders heiklen Lage, da sie sowohl aus finanziellen Gründen von kriminellen Gruppierungen als auch aus geopolitischen Motiven von staatlichen Akteuren ins Visier genommen werden – und gleichzeitig ist ihr Reifegrad im Bereich Cyber Security nicht hoch genug, um sich vor Angriffen zu schützen.

Welche Dienstleistungen bieten Sie NGOs an?

Wir haben kürzlich das Humanitarian Cybersecurity Center ins Leben gerufen, das eine Reihe von Services für NGOs anbietet. Einer dieser Services ist ein Freiwilligenprogramm namens „CyberPeace Builders“. Im Rahmen dieses Programms haben wir uns mit Unternehmen aus dem privaten Sektor zusammengetan, die nicht nur sich selbst schützen, sondern auch einen Beitrag für die Gemeinschaft leisten wollen. Wir stellen dabei sicher, dass die Freiwilligen den NGOs kostenlose Hilfe im Bereich Cybersicherheit bereitstellen können. Das Ziel ist, die Resilienz der NGOs zu steigern oder ihnen nach einem Angriff wieder auf die Beine zu helfen – wir bieten allerdings keine Incident Response an. Derzeit wirken 330 Freiwillige bei der Unterstützung von 117 NGOs mit. Unser Ziel ist es, bis 2025 kostenlose Cybersicherheitsdienste für 1.000 NGOs anzubieten.

Sie erwähnten, dass bei Ihrer Arbeit der Mensch im Fokus steht. Wie können sich Cyberangriffe Ihrer Erfahrung nach auf einzelne Personen auswirken?

Wir sollten uns stets bewusst sein, dass die meisten Cyberangriffe mit der emotionalen Reaktion ihrer Zielpersonen spielen, das heißt, die Manipulation spielt eine entscheidende Rolle. Ransomware ist beispielsweise eine der wenigen Angriffsmethoden, bei denen das Opfer als Komplize agieren muss. Tappt man in die Falle von Erpressungssoftware, steht man vor komplizierten Entscheidungen mit psychologischem Faktor, wie: Zahle ich das Lösegeld oder melde ich den Angriff? Als zweiter Faktor kommen die Schuldgefühle der Zielperson ins Spiel. NGOs werden sehr häufig Opfer von CEO-Fraud. In solchen Fällen muss sich die Person, die den Fehler begangen hat, vor der gesamten Organisation verantworten.

Eine weitere Folge betrifft eher das System und hängt von der Art von Aktivität der jeweiligen Organisation ab – und zwar die Auswirkungen auf die Begünstigten der NGO. Das Gesundheitssystem ist hier ein gutes Beispiel. Wird zum Beispiel ein Krankenhaus durch Ransomware oder einen anderen Angriff lahmgelegt, erhalten die Patientinnen und Patienten nicht mehr dasselbe Maß an Pflege. Eine Studie der Vanderbilt-Gruppe zeigte, dass die Nachwirkungen eines Cyberangriffs in Krankenhäusern noch Monate – oder sogar Jahre – danach spürbar sein können. So stieg bei Patientinnen und Patienten in kritischem Zustand das Risiko für einen tödlichen Ausgang aufgrund der Tatsache, dass sie nicht dieselben hohen Standards an Pflege erhielten. Das hängt damit zusammen, dass die Krankenhäuser noch damit beschäftigt sind, sich von dem Angriff zu erholen und ihre Systeme wieder vollständig aufzubauen, was zu längeren Reaktionszeiten führt.

Auch die langfristigen psychologischen Auswirkungen für die Zielperson sind nicht zu unterschätzen. Ein sehr gutes Beispiel hierfür ist der Ransomware-Angriff auf die Vastaamo Clinic in Finnland. Nachdem das Krankenhaus die Lösegeldzahlung verweigerte, erpressten die Cyberkriminellen alle Patienten und Patientinnen damit, ihre privaten Informationen zu ihrem psychologischen Befinden zu veröffentlichen. Damals war Finnland gezwungen, eine Ad-hoc-Opferhilfe zu organisieren, um mehr als 25.000 Personen zu betreuen.

Wie hat sich die Cyber-Bedrohungslage Ihrer Ansicht nach im vergangenen Jahr verändert?

Das Cybercrime-as-a-Service-Geschäftsmodell hat deutlich an Fahrt aufgenommen. Kriminelle Gruppierungen machen außerdem verstärkt Gebrauch von innovativen Technologien. Cyberkriminelle schließen sich häufig zusammen und machen sich nun neue Technologien als Angriffsvektoren zunutze. Das wird heute mit ChatGPT deutlich, aber war auch schon lange vorher zu beobachten, als die ersten Deepfakes auftauchten. 

Zweitens sehen wir keine Verbesserung in den staatlichen Schutzmaßnahmen der Bevölkerung vor Cyberangriffen. Dazu müssten Gesetze, Normen und Richtlinien im Cyberspace konsequenter umgesetzt werden. Es herrscht die Überzeugung, dass es für den Cyberraum keine Regelungen gibt, was schlichtweg falsch ist. Es gibt sehr wohl Cybersicherheitsgesetze – sie werden bloß nicht ausreichend vollstreckt. Die Ressourcen der Strafverfolgung reichen nicht aus, um systematisch gegen Cyberkriminelle vorzugehen. Überwachungsangriffe sind ein weiterer Aspekt, der uns zeigt, dass Länder nicht aktiv zur Verbesserung der Bedrohungslage beitragen – im Gegenteil: Indem Staaten ihre Ressourcen weiterhin zur Durchführung von Überwachungsangriffen nutzen, investieren sie aktiv in eine globale Cyber-Unsicherheit, denn damit solche Überwachungen funktionieren, sind sie auf Schwachstellen im Cyberspace angewiesen.

Die dritte Problematik besteht bereits seit längerer Zeit, ist heute aber durch den Ukraine-Krieg besonders relevant geworden: die „Zivilisierung“ von Cyberangriffen. Das heißt, die Zivilbevölkerung wird durch Krisen oder Konflikte dazu getrieben, sich an großflächigen Cyberangriffen zu beteiligen. Zum Beispiel gab es russische Kriminellengruppen, die jede Person angriffen, die sich gegen die Interessen Russlands äußerte, und Hacker, die sich freiwillig der ukrainischen IT-Armee anschlossen. Diese Art von Crowdsourcing von Cyberangriffen ist äußerst besorgniserregend, da es die Grenzen zwischen Zivilpersonen, Militär und Opfern immer mehr verschwimmen lässt.

Cyberkriminelle schließen sich häufig zusammen und machen sich nun Technologien als Angriffsvektoren zunutze.

Welche Angriffsmethoden kommen Ihrer Meinung nach am häufigsten vor?

Beim Blick auf die Geschehnisse in der Ukraine wird deutlich, dass es sich in über 90 Prozent der Fälle um DDoS-Angriffe handelt. Sprechen wir von den alltäglichen Cyberangriffen, so ist und bleibt Phishing der häufigste Angriffsvektor. Phishing kann bei beinahe jeder Angriffsmethode eingesetzt werden: bei Angriffen auf Banken, CEO-Fraud, Ransomware-Angriffen und Credential Theft, um nur einige wenige zu nennen. Der Vormarsch der Ransomware-Angriffe und ihrer innovativen Varianten ist ebenfalls besorgniserregend – solche Angriffe können für ganze Organisationen und Gemeinschaften den Ruin bedeuten.

Aktuell gehört der Ukraine-Krieg zu den größten Krisen. In Anbetracht des Anstiegs an Cyberangriffen seit Beginn des Kriegs, können wir Ihrer Einschätzung nach von „hybrider Kriegsführung“ sprechen?

Die Zahlen bestätigen eindeutig, dass es sich hier um einen Hybridkrieg handelt. Unsere Plattform ist die einzige Plattform weltweit, die die Cyberangriffe seit Kriegsbeginn öffentlich aufzeichnet. Seit Russlands Einmarsch verzeichneten wir über 1.300 Cyberangriffe, das sind rund 20 Angriffe pro Woche. An diesen Angriffen, die 20 Sektoren in über 45 Ländern betrafen, waren mehr als 87 kriminelle Akteure beteiligt.

Wie wirkt sich die geopolitische Situation auf die Cyber-Bedrohungslage von NGOs aus?

Derzeit jagt eine Krise die andere: COVID-19, der Krieg in der Ukraine und das Erdbeben in Syrien und der Türkei sind nur einige Beispiele. Wann immer eine Krise auftritt, kommt es zu einer emotionalen Reaktion der Öffentlichkeit – Menschen wollen an wohltätige und humanitäre Organisationen spenden, es fließen immense Mengen an Geld. Da Kriminelle von Geld angezogen werden, nehmen sie genau den Sektor ins Visier, der ohnehin nicht über die nötigen Ressourcen für Cybersicherheitsmaßnahmen verfügt. Die NGOs und Spenderinnen und Spender werden ungewollt zu indirekten Komplizen. Auf der einen Seite bitten die NGOs um Gelder für ihre Hilfszwecke, nicht aber für ihre Cybersicherheit. Auf der anderen Seite stehen die Spenderinnen und Spender, die ihr Geld nicht für die Cybersicherheit der NGOs, sondern für deren Hilfszwecke bereitstellen. Daraus wird deutlich, dass Cyber Security in diesem Bereich nicht ernst genug genommen wird. Und genau das wollen wir ändern.

Derzeit jagt eine Krise die andere. Und mit jeder neuen Krise kommt es zu einer emotionalen Reaktion der Öffentlichkeit – Menschen wollen an wohltätige und humanitäre Organisationen spenden. Da Kriminelle von Geld angezogen werden, nehmen sie genau den Sektor ins Visier, der ohnehin nicht über die nötigen Ressourcen für Cybersicherheitsmaßnahmen verfügt.

Neue Tools wie ChatGPT haben zu einem regelrechten Boom der künstlichen Intelligenz gesorgt. Wie wird sich das Ihrer Meinung nach auf die Cyber-Bedrohungslage auswirken?

KI hat schon 2017 für viele Entwicklungen im Bereich Deepfake-Engineering gesorgt. Seitdem ist einige Zeit vergangen. Heute ist es für Hackergruppen ein Leichtes, die Menschen mit extrem überzeugenden und authentischen Inhalten zu manipulieren – sei es durch die Imitation von Stimmen, Gesichtern oder durch ausgeklügelte E-Mails. Darüber hinaus werden KI-basierte Technologien eingesetzt, um unser soziales Ökosystem auszuspionieren, mit dem Ziel, effiziente Social-Engineering-Angriffe oder Angriffsvektoren zu entwickeln.

Eine weitere Methode, die unter Cyberkriminellen immer beliebter wird, sind generative KI-Angriffe bzw. KI-basierte Angriffsmethoden. Angriffe können so besser automatisiert und die Infrastruktur leichter aufgedeckt werden. Im Rückschluss bedeutet das: Wir müssen verstärkt KI-Tools einsetzen, um uns besser vor Angriffen zu schützen.

Da wir gerade von den Vorteilen von KI als Teil unserer Cybersicherheit sprechen: Welche Herausforderungen prognostizieren Sie bei einer solchen Verwendung von KI?

Ein großes Risiko besteht darin, dass die künstliche Intelligenz massive Datenmengen hervorbringt, die dann von echten Menschen überprüft werden müssen. Das führt uns zu dem zugrunde liegenden Problem, das wir derzeit in der Cyber-Security-Industrie überall beobachten können: Burnout. Wir haben zu viele Daten, zu viele Fälle, aber nicht genug Zeit. KI wird diese Problematik leider weiter verschärfen, da sie die Datenmenge um ein Vielfaches erhöhen wird – eine beunruhigende Vorstellung.

Aus einem breiteren Blickwinkel betrachtet ist einer der Gründe für Burnout, dass man den Wert der eigenen Arbeit nicht mehr sieht. In der Ära der künstlichen Intelligenz ist die Wahrscheinlichkeit, den Unterschied zwischen echten und manipulierten Materialien zu erkennen, eher gering, was das Fundament der Demokratie ins Wackeln bringt. Als Folge kann zum Beispiel vor Gericht jeder behaupten, dass die Beweise manipuliert wurden. Dieser Zweifel bringt das gesamte System, in dem digitale Forensiker und Sicherheitsexperten tätig sind, zum Einstürzen und sie verlieren den Glauben an ihre Arbeit.

Die wichtigsten Takeaways aus dem Interview mit dem CyberPeace Institute

Dieses Gespräch verdeutlicht die beispiellose Komplexität der Cyber-Bedrohungslage. Dabei beleuchteten wir aktuelle Angriffsmethoden wie Phishing, Ransomware und CEO-Fraud und wie sich diese in Zeiten rasanter, durch KI getriebener Innovation entwickeln. Die Steigerung ihrer Häufigkeit und Effektivität hat zur Folge, dass Cyberkriminelle diese Taktiken schonungslos nicht nur auf Unternehmen, sondern auch auf besonders anfällige NGOs anwenden. Das komplexe Netz an Herausforderungen wird durch die instabile geopolitische Lage weiter intensiviert – umso besser muss die Security-Branche in Zukunft vorbereitet sein. Wie Stéphane Duguin zudem aufzeigt, erhöhen Fachkräftemangel und Burnout unter Sicherheitsexperten den Druck auf Sicherheitsteams weiter – und damit das Risiko der Organisationen.

Doch wenn schon Unternehmenskonzerne mit der Ressourcenzuweisung kämpfen, ist diese Herausforderung für Nichtregierungsorganisationen noch viel größer. NGOs verfügen insgesamt über weniger Ressourcen und erholen sich nur schleppend von Cyberangriffen. Um die Folgen der Angriffe einzudämmen, betont Duguin die Wichtigkeit eines Ansatzes, bei dem der menschliche Faktor im Vordergrund steht. Nicht nur die technischen Aspekte von Cyberangriffen erfordern Aufmerksamkeit, sondern auch die weitreichenden psychologischen Folgen für die betroffenen Personen und die Unterbrechung der wichtigen Hilfszwecke, auf die viele Menschen angewiesen sind.

Wir sollten weniger über Netzwerke, Computer und Geld sprechen, und stattdessen mehr über die Menschen.

Weitere wertvolle Einblicke anderer führender Sicherheitsexperten und deren Strategien zur Reduzierung des menschlichen Risikos lesen Sie in unserem aktuellen Human Risk Review-Report.

Human Risk Review 2023

Report lesen

Exklusive Phishing-Daten, Expertenmeinungen und Strategien, mit denen Sie sicher durch die Cyber-Bedrohungslage kommen.