Start Software und Technologie Cyberresilienz in Zeiten der agentischen KI

Cyberresilienz in Zeiten der agentischen KI

Künstliche Intelligenz (KI) gibt jedem Amateur mächtige Werkzeuge in die Hand, um Unternehmensnetze zu attackieren. Nach einem Angriff haben die Opfer kaum eine Chance, ihre Daten wiederherzustellen. Nötig ist daher ein Resilienzansatz, der selbst KI  einsetzt.

Cyberresilienz stärken
©inkoly | istockphoto.com

Cyberresilienz mit KI: Generative KI hat sich zu einem Kraftmultiplikator für Cyberkriminelle entwickelt. Die Einstiegshürden sind wesentlich gesunken und selbst unerfahrene Angreifer können schnell enormen Schaden anrichten. Laut den Sicherheitsforschern von Unit 42 brauchen KI-gestützte Angriffe nur 25 Minuten, um in ein Netz einzudringen und Daten zu stehlen. Menschliche Angreifer bräuchten hierfür mindestens zwei Tage.

Agentische KI trübt die Sicherheitslage weiter ein. Bösartige intelligente Agenten können ihr Vorgehen und ihre Strategien in Echtzeit anpassen, aus Abwehrmaßnahmen lernen und Angriffe schneller weiterentwickeln, als Menschen zurückschlagen können. Erstmals hat man den Eindruck, dass die Angreifer den Verteidigern ein Stück weit voraus sind. Keine Organisation, ganz gleich in welcher Branche, kann künftig ausschließen, dass sie erfolgreich angegriffen wird.

Manche Verantwortliche für IT-Sicherheit oder für IT-Betrieb sind schlecht auf die neuen Gefahren vorbereitet und stützen ihre Cybersicherheitsstrategien weiter auf der Annahme, Angriffe verhindern zu können. Das reicht künftig nicht mehr aus. Wichtig wird es stattdessen, sich von einer rein präventiven Denkweise zu emanzipieren und sich darauf zu fokussieren, wie man die Folgen einer erfolgreichen Attacke eindämmen und schnell wieder zum Urzustand zurückkehren kann. Das ist die Kernidee echter Cyberresilienz.

Vom Backup zum vollständigen Wiederaufbau der IT-Landschaft

Bisher war die Kalkulation recht einfach: Nach einem erfolgreichen Backup ist immer ein Restore möglich. Allein schon wegen Ransomware und KI-gestützten Modellen wie Mythos geht diese Gleichung nicht mehr auf. Angreifern stehen bald Wege offen, selbst gezielt und hochskalierbar nach Software-Schwächen zu suchen, um unbemerkt in Firmennetze einzudringen. Dort können sie dann ihre gefährliche Fracht platzieren, seien es Ransomware-Code oder Fake-Accounts in Active Directories, von wo aus sie hunderte von Tagen im Netz spionieren und weitere Backdoors installieren.

Cyberresilienz mit KI
Künstliche Intelligenz hilft dabei, Schwachstellen der eigenen Backups zu erkennen. (Quelle: Commvault)

Sind sie erstmal im Netz, verschlüsseln Angreifer dann nicht nur Daten oder sabotieren Systeme, sie beschädigen auch die notwendigen Recovery-Funktionen. Dazu gehört das Deaktivieren oder Löschen von Snapshots. Kriminelle manipulieren auch Richtlinien zum Vorhalten von Backups oder kompromittieren die Ebenen der Orchestration. Selbst der sogenannte unveränderliche Speicher ist nicht immun. Angreifer können die Ebene der Backup-Administration und der Backup-Richtlinien kompromittieren, bevor Snapshots aktiviert werden. Zudem nutzen sie Konfigurationsfehler aus.

Resilienz verlangt heute nicht nur die Fähigkeit, solche Angriffe abzuwehren, sondern auch die Tools, um eine gesamte IT in ihrer Struktur wiederherzustellen, beispielsweise durch das Zurücksetzen von Daten, Applikationen, Netzwerken, Identitäts-Frameworks und deren Cloud-Abhängigkeiten.

Die IT-Sicherheit scannt die dafür notwendigen Artefakte kontinuierlich und legt sie als vertrauenswürdige, sogenannte „Golden Copies“ für saubere Point-in-Time-Wiederherstellungen ab. Golden Copies sind umfassend auf Malware, Fehlkonfigurationen und Sicherheitslücken geprüfte Point-in-Time-Images. Sie bieten validierte und saubere Datenpunkte. Dabei handelt es sich nicht nur um reine Kopien einzelner Dateien, sondern um verifizierte, saubere Snapshots ganzer Stacks von Applikationen.

Für die Point-in-Time-Recovery der gesamten IT erfasst eine Sicherheitsplattform umfassende Point-in-Time-Snapshots der Infrastrukturkomponenten, darunter Netzwerkkonfigurationen, Rechenressourcen, Softwareimages und deren gegenseitige Abhängigkeiten. Nur so lässt sich auch der Infrastrukturkontext für einen funktionsfähigen Betrieb wiederherstellen.

Vertiefendes Webinar

Quelle: Imillian | Adobe Stock

IT-Landschaften für den Ernstfall vorbereiten

Cyberresilienz setzt voraus, dass Unternehmen ihre Anwendungen, Systeme und gegenseitigen Abhängigkeiten genau kennen. Nur auf dieser Basis lassen sich Recovery-Prozesse planen und kritische Geschäftsprozesse nach einem Cyberangriff schnell wiederherstellen.

Die Digitalisierungsexperten der Trovarit AG zeigen im Live-Webinar IT-Bebauungsplan – Essentieller Pfeiler einer Digitalisierungs-Roadmap, wie Unternehmen ihre IT-Landschaft transparent dokumentieren, Zusammenhänge visualisieren und eine belastbare Grundlage für Digitalisierungs-, Modernisierungs- und Sicherheitsprojekte schaffen.

Termine & Anmeldung

Von Disaster Recovery zu regelmäßigen Tests

Disaster-Recovery-Tests sind typischerweise selten. Vielleicht findet einmal im Jahr eine Tabletop-Simulation statt. Meist geschieht das jedoch nur, um Vorgaben der Compliance zu erfüllen. IT-Resilienz erfordert jedoch, aus dem Ausnahmezustand des „Recovery“ eine vorab durchdachte und durchgespielte Unternehmensroutine zu machen.

Cyberresilienz mit KI
Sozialisierte Recovery-Agenten beschleunigen die Wiederherstellung. (Quelle: Commvault)

Cloud-Plattformen machen die dafür notwendige Testfrequenz praktikabel und kostengünstig. Datensicherheitsverantwortliche können Sandboxes als digitalen Manöverraum einrichten und diesen nach erfolgtem Test wieder löschen, ohne im Voraus Rechen- und Speicherkapazitäten reservieren zu müssen. Diese Flexibilität beseitigt die traditionellen Hindernisse, um eine Cyber Recovery vorab durchzuspielen, und ermöglicht häufigere, gründlichere sowie aussagekräftigere Tests.

Durch den Einsatz von Chaos-Tests können Unternehmen darüber hinaus in einem geklonten isolierten digitalen Raum überprüfen, wie sich Systeme in der realen Drucksituation verhalten. Hier simulieren die Teams die Ausfälle von Netzwerk, Authentifizierung oder beschädigte Abhängigkeiten. Im Gegensatz zu Standardtests, die oft nur vorhersehbare Szenarien durchspielen, basieren Chaos-Tests auf Unvorhersehbarkeit, hinterfragen kontinuierlich für selbstverständlich gehaltene Annahmen und decken Schwachstellen in der Applikations- und Infrastruktur-Resilienz auf.

Eine weitere nützliche Strategie ist ein Minimum Viability Framework. Hier liegt der Schwerpunkt darauf, geschäftskritische Dienste wie Identitätssysteme oder branchenspezifisch Auftragswesen, Check-out oder Patientenversorgungsplattformen wiederherzustellen. Wer seine Abläufe in geschäftskritische, unternehmenskritische und nicht kritische Kategorien unterteilt, kann Wiederherstellungstests praktikabel auf eine optimale Geschäftskontinuität abstimmen.

Von isolierten Playbooks zu Recovery-as-Code

Bislang arbeiten die im Ernstfall an der Recovery beteiligten Akteure im Vorfeld weitgehend isoliert voneinander. Die Bereiche Sicherheit, IT-Betrieb, Applikationen und Geschäftskontinuität führen jeweils ihre eigenen Runbooks. Diese sind über Word-Dokumente, Ticketing-Systeme und PowerPoint-Präsentationen verstreut gespeichert. Anwendungsabhängigkeiten, Cloud-Konfigurationen und Identitätssysteme sind so oft nicht dokumentiert und nicht ganzheitlich getestet – bis es zu spät ist.

Eine effektive Möglichkeit, diesem Problem zu begegnen, ist Recovery-as-Code. Dieses Verfahren wandelt fragmentierte, statische Playbooks in automatisch generierte und versionskontrollierte Pipelines um. So verfügen alle Teams über eine Single Source of Truth. Außerdem aktualisieren die Beteiligten alle Einstellungen mit jedem Testdurchlauf.

Cyberresilienz mit KI
Die Kombination von Point-in-Time-Recovery und Recovery-as-Code vereint alle Schritte für die Wiederherstellung in ausführbare und automatisierte Pipelines. (Quelle: Commvault)

Die Unternehmens-IT gewinnt dadurch sowohl an Tempo als auch an Sicherheit. Ereignisse, die früher tagelange Ausfallzeiten verursachten, lassen sich nun innerhalb weniger Stunden beheben, da die Teams nicht mehr genötigt sind, unklare Dokumentationen zu interpretieren. Der ausführbare Code lässt sich zudem konsistent über verschiedene Umgebungen hinweg skalieren und passt sich modernen DevOps-Praktiken (Development/Softwareentwicklung und Operation/IT-Betrieb) an.

Insgesamt hat der Aufstieg agentischer KI zur Folge, dass Cyberangriffe unvermeidlich geworden sind und sich schneller, intelligenter und folgenschwerer als bisher auswirken. Ein wichtiges Mittel dagegen ist eine verbesserte Cyberresilienz. Eine vollumfassende Recovery, regelmäßige automatisierte Tests und das Verfahren Recovery-as-Code ersetzen eine fragile Prävention durch aktive Resilienz. KI-Agenten kommen dabei unter eigener Recovery-Flagge zum Einsatz. jf


Der Autor

Christian Kubik
Quelle: Commvault

Christian Kubik ist Director Sales Engineering DACH beim Security-Spezialisten Commvault.