Das vergangene Jahr hat der Welt einen nahezu beispiellosen und vielfältigen technologischen Wandel beschert. Fortschritte im Bereich der künstlichen Intelligenz beschleunigen Innovation und verändern die Art und Weise, wie Gesellschaften miteinander interagieren und arbeiten. Gleichzeitig kam es vermehrt zu gegnerischen Aktionen und Innovationen seitens Cyberkrimineller und staatlicher Angreifer, die die Sicherheit und Stabilität in Gemeinschaften und Ländern auf der ganzen Welt bedrohen.
In den letzten Monaten ist Microsoft zu dem Schluss gekommen, dass die zunehmende Geschwindigkeit, das Ausmaß und die Raffinesse von Cyberangriffen eine neue Antwort erfordern. Aus diesem Grund startet Microsoft unternehmensweit eine neue Initiative, um die nächste Generation des Cybersicherheitsschutzes voranzutreiben – sie wird Secure Future Initiative (SFI) genannt.
Diese neue Initiative wird alle Bereiche von Microsoft zusammenbringen, um den Schutz der Cybersicherheit voranzutreiben. Sie besteht aus drei Säulen, die sich auf KI-basierte Cyberabwehr, Fortschritte bei der grundlegenden Softwareentwicklung und das Eintreten für eine stärkere Anwendung internationaler Normen zum Schutz der Zivilbevölkerung vor Cyberbedrohungen konzentrieren. Charlie Bell, Executive Vice President für Microsoft Security, hat bereits die Details der Secure Future Initiative mit den Entwicklungsteams besprochen und erläutert, was dieser Aktionsplan für die Softwareentwicklungspraktiken bedeutet.
Im Folgenden wird die Sicht auf die Veränderungen dargelegt, die zu diesen neuen Schritten geführt haben, sowie weitere Informationen zu den einzelnen Aspekten der Secure Future Initiative gegeben.
Die veränderte Bedrohungslage
Ende Mai wurden Informationen veröffentlicht, die zeigen, wie neue Cyber-Aktivitäten von Nationalstaaten auf kritische Infrastrukturorganisationen in den Vereinigten Staaten abzielen. Diese Aktivitäten waren nicht nur wegen der Bedrohung für die Zivilbevölkerung im ganzen Land beunruhigend, sondern auch aufgrund der Raffinesse der eingesetzten Techniken. Wie bereits im Mai hervorgehoben, umfassten die Angriffe auffallend ausgeklügelte, gut ausgestattete und von der Regierung unterstützte Techniken, die eingesetzt wurden, um die Integrität von Computernetzwerken anzugreifen und langfristig zu untergraben. In diesem Sommer wurden ähnliche Aktivitäten beobachtet, die auf die Infrastruktur von Cloud-Diensten abzielten, unter anderem bei Microsoft.
Diese Angriffe verdeutlichen ein grundlegendes Merkmal der aktuellen Bedrohungslandschaft. Auch wenn in den letzten Jahren enorme Verbesserungen erzielt wurden, werden neue und andere Schritte benötigt, um die verbleibende Lücke in der Cybersicherheit zu schließen. Wie im letzten Monat im jährlichen Microsoft-Bericht über digitale Abwehr dargelegt, schützt die Umsetzung gut entwickelter Cyber-Hygiene-Praktiken heute wirksam vor der großen Mehrheit der Cyber-Angriffe. Doch die ressourcenstärksten Angreifer haben mit eigenen Innovationen reagiert, und agieren aggressiver und raffinierter als in der Vergangenheit.
Staatliche Akteure haben ihre Cyber-Operationen ausgeweitet und führen mit größerer Geduld und Ausdauer Spionage- und Sabotageaktionen sowie zerstörerische Angriffe und Aktionen mit dem Ziel zu beeinflussen, gegen andere Länder und Einrichtungen durch. Microsoft schätzt, dass sich 40 % aller nationalstaatlichen Angriffe in den letzten zwei Jahren auf kritische Infrastrukturen konzentrierten, wobei staatlich finanzierte und hochentwickelte Akteure Systeme wie Stromnetze, Wassersysteme und Gesundheitseinrichtungen infiltrieren. In jedem dieser Sektoren sind die Folgen einer möglichen Störung durch Cyberangriffe gravierend.
Gleichzeitig hat die Verbesserung des Schutzes die Eintrittsbarrieren für Cyberkriminelle erhöht, aber auch eine gewisse Marktkonsolidierung für eine kleinere, aber noch schadenbringendere Gruppe hochentwickelter Akteure ermöglicht. Die Digital Crimes Unit von Microsoft verfolgt 123 ausgeklügelte Ransomware-as-a-Service-Ableger, die Daten sperren oder stehlen und dann eine Zahlung für deren Rückgabe verlangen. Es wird geschätzt, dass die Zahl der Ransomware-Versuche seit September 2022 um mehr als 200 % gestiegen ist. Während Unternehmen, die über effektive Sicherheitsmaßnahmen verfügen, diese Bedrohungen bewältigen können, werden Angriffe dieser Art immer häufiger und komplexer und zielen auf kleinere und anfälligere Organisationen ab, darunter Krankenhäuser, Schulen und lokale Behörden. Mehr als 80 % der erfolgreichen Ransomware-Angriffe gehen von nicht verwalteten Geräten aus, was deutlich macht, wie wichtig es ist, die Schutzmaßnahmen auf jedes einzelne digitale Gerät auszuweiten.
Die heutigen Cyber-Bedrohungen gehen von gut finanzierten und erfahrenen Hackern aus, die über die fortschrittlichsten Tools und Techniken verfügen. Unabhängig davon, ob sie aus geopolitischen oder finanziellen Motiven handeln, entwickeln diese Staaten und kriminellen Gruppen ihre Praktiken ständig weiter und erweitern ihre Ziele, wobei kein Land, keine Organisation, keine Person, kein Netzwerk und kein Gerät unbehelligt bleibt. Sie kompromittieren nicht nur Maschinen und Netzwerke, sondern stellen auch eine ernsthafte Gefahr für Menschen und Gesellschaften dar. Eine neue Antwort wird benötigt, die auf der Fähigkeit basieren muss, eigene Ressourcen sowie modernste Technologien und Herangehensweisen einzusetzen.
KI-basierte Cyberabwehr
Der Krieg in der Ukraine hat gezeigt, dass der Technologiesektor in der Lage ist, eine Cybersicherheitsabwehr zu entwickeln, die stärker ist als selbst fortschrittliche offensive Bedrohungen. Die erfolgreiche Cyberabwehr in der Ukraine erforderte eine gemeinsame Verantwortung des Technologiesektors und der Regierung, mit Unterstützung der Verbündeten des Landes. Sie beweist, was die Verbindung von Führungsqualitäten des öffentlichen Sektors mit Unternehmensinvestitionen und die Kombination von Rechenleistung und menschlichem Einfallsreichtum erreichen kann. Vor allem jedoch dient es als Inspiration dafür, was in noch größerem Maßstab erreicht werden kann, wenn die Möglichkeiten der KI genutzt werden, um sich besser gegen neue Cyber-Bedrohungen zu schützen.
Microsoft hat sich verpflichtet, einen KI-basierten Cyber-Schutzschild aufzubauen, der Kunden und Länder auf der ganzen Welt schützen wird. Das globale Netzwerk von KI-basierten Rechenzentren und der Einsatz fortschrittlicher KI-Modelle versetzen Microsoft in eine starke Position, um KI für den Schutz der Cybersicherheit einzusetzen.
Im Rahmen von Microsofts Secure Future Initiative wird diese Arbeit weiter vorangetrieben.
Erstens unternimmt Microsoft neue Schritte, um Bedrohungsdaten mithilfe von KI zu verbessern. Microsofts Threat Intelligence Center (MSTIC) und das Microsoft Threat Analysis Center (MTAC) nutzen fortschrittliche KI-Tools und -Techniken, um Cyber-Bedrohungen frühzeitig zu erkennen und zu analysieren. Sie geben diese Fähigkeiten direkt an ihre Kunden weiter, unter anderem durch die Microsoft-Sicherheitstechnologien, die Kundendaten aus verschiedenen Quellen sammeln und analysieren.
Ein Grund, warum diese KI-Fortschritte so wichtig sind, liegt darin, dass sie befähigen, eine der weltweit drängendsten Herausforderungen im Bereich der Cybersicherheit anzugehen. Allgegenwärtige Geräte und ständige Internetverbindungen haben ein riesiges Meer digitaler Daten geschaffen, das die Erkennung von Cyberangriffen erschwert. An einem einzigen Tag empfängt Microsoft mehr als 65 Billionen Signale von Geräten und Diensten aus aller Welt. Selbst wenn alle 8 Milliarden Menschen auf der Welt gemeinsam nach Hinweisen auf Cyberangriffe suchen würden, könnten wir nicht mithalten.
Aber KI ist ein Wendepunkt. Während Bedrohungsakteure versuchen, ihre Angriffsmechanismen wie eine Nadel in einem riesigen Heuhaufen von Daten zu verstecken, macht es KI zunehmend möglich, die richtige Nadel auch in einem Meer von Nadeln zu finden. In Verbindung mit einem globalen Netz von Rechenzentren ist Microsoft entschlossen, KI zu nutzen, um Bedrohungen mit einer Geschwindigkeit zu erkennen, die der des Internets in nichts nachsteht.
Zweitens nutzt Microsoft KI für alle Unternehmen als Gamechanger, um Cyberangriffe in Maschinengeschwindigkeit abzuwehren. Eine der weltweit größten Herausforderungen im Bereich der Cybersicherheit ist der Mangel an qualifizierten Cybersicherheitsexpert*innen. Angesichts eines weltweiten Mangels von mehr als drei Millionen Menschen benötigen Unternehmen alle Produktivität, die ihre Cybersecurity-Mitarbeitende aufbringen können. Darüber hinaus schaffen die Geschwindigkeit, das Ausmaß und die Raffinesse der Angriffe eine Asymmetrie, die es den Unternehmen schwer macht, Angriffe in großem Umfang zu verhindern und zu unterbrechen. Der Security Copilot von Microsoft kombiniert ein umfangreiches Sprachmodell mit einem sicherheitsspezifischen Modell, das über verschiedene Fähigkeiten und Erkenntnisse aus den von Microsoft gesammelten Bedrohungsdaten verfügt. Es generiert Erkenntnisse und Empfehlungen in natürlicher Sprache aus komplexen Daten, wodurch Analysten effektiver und reaktionsschneller werden, Bedrohungen erkennen, die möglicherweise übersehen wurden, und Unternehmen dabei helfen, Angriffe in Maschinengeschwindigkeit zu verhindern und zu unterbinden.
Ein weiterer wichtiger Faktor für den Erfolg ist die Kombination dieser KI-gesteuerten Fortschritte mit dem Einsatz erweiterter Erkennungs- und Reaktionsfunktionen in Endgeräten. Wie bereits erwähnt, stammen heute mehr als 80 % der Ransomware-Angriffe von nicht verwalteten oder Privatgeräten (“bring-your-own devices”), die Mitarbeiter*innen für den Zugriff auf arbeitsbezogene Systeme und Informationen verwenden. Sobald sie jedoch mit einem Dienst wie Microsoft Defender for Endpoint verwaltet werden, bieten KI-Erkennungstechniken Echtzeitschutz, der Cyberangriffe auf Geräte-Endpunkte wie Laptops, Telefone und Server abfängt und abwehrt. Die Kriegshandlungen in der Ukraine boten umfangreiche Möglichkeiten, diesen Schutz zu testen und zu erweitern, einschließlich des erfolgreichen Einsatzes von KI zur Identifizierung und Abwehr russischer Cyberangriffe, noch bevor diese von Menschen erkannt wurden.
Drittens ermöglicht Microsoft eine sichere Verwendung von KI in ihren Diensten auf Basis ihrer Grundsätze für verantwortungsvolle KI. Sie wissen, dass die Verwendung neuer KI-Technologien mit spezifischen Sicherheitsvorkehrungen einhergehen muss. Deshalb entwickelt und implementiert Microsoft KI in ihren Diensten auf der Grundlage ihrer Grundsätze und Praktiken für verantwortungsvolle KI. Microsoft ist bestrebt, diese Praktiken weiterzuentwickeln, um mit den Veränderungen in der Technologie selbst Schritt zu halten.
Während die meisten Cybersicherheitsdienste Verbraucher*innen und Unternehmen schützen, engagiert sich Microsoft auch für den Aufbau eines stärkeren KI-basierten Schutzes für Regierungen und Länder. Erst letzte Woche wurde bekannt gegeben, dass Microsoft 3,2 Milliarden US-Dollar in den Ausbau ihrer Hyperscale-Cloud-Computing- und KI-Infrastruktur in Australien investieren werden, einschließlich der Entwicklung des in Zusammenarbeit von Microsoft und dem Australian Signals Directorate entstandenen Cyber Shield (MACS). In Zusammenarbeit mit dieser wichtigen Behörde der australischen Regierung wird die gemeinsame Fähigkeit verbessert, Cyber-Bedrohungen zu erkennen, zu verhindern, dass sie erfolgreich sind, und auf sie zu reagieren. Dies ist ein guter Indikator dafür, welche Richtung wir in Zukunft im Hinblick auf KI einschlagen müssen, um einen verlässlicheren Schutz für Länder weltweit zu schaffen.
Neue technische Errungenschaften
Neben Möglichkeiten durch KI sind für eine sicherere Zukunft auch weitere Fortschritte in der grundlegenden Softwaretechnik erforderlich. Aus diesem Grund versendete Charlie Bell eine E-Mail an Microsoft Mitarbeiter*innen, die er gemeinsam mit seinen Ingenieurskollegen Scott Guthrie und Rajesh Jha verfasst hat. Sie ist Teil der Secure Future Initiative, mit der Microsoft einen neuen Sicherheitsstandard schaffen will, indem sie die Art und Weise, wie sie Technologie entwickeln, erstellen, testen und betreiben, verbessern.
Die gesamte E-Mail von Charlie können Sie hier lesen. Zusammengefasst umfasst das in ihr dargelegte Vorgehen drei wichtige Schritte:
Erstens wird die Art und Weise, wie Software entwickelt wird, durch Automatisierung und KI verändert. Die Herausforderungen durch die heutigen Cybersecurity-Bedrohungen und die Möglichkeiten, die sich durch generative KI ergeben, stellen einen Wendepunkt für die sichere Softwareentwicklung dar. Die Schritte, die Charlie heute mit den Ingenieuren bespricht, stellen die nächste Evolutionsstufe des Security Development Lifecycle (SDL) dar, den Microsoft im Jahr 2004 eingeführt hat. Dieser wird nun zu dem weiterentwickelt, was als “dynamic SDL” oder dSDL bezeichnet wird. Dabei werden systematische Prozesse angewendet, um den Schutz vor neuen Bedrohungsmustern kontinuierlich zu integrieren, auch während die Ingenieure die Systeme und Dienste programmieren, testen, bereitstellen und betreiben. Wie Charlie erklärt, wird dies mit anderen zusätzlichen technischen Maßnahmen verknüpft, darunter die KI-gestützte sichere Codeanalyse und die Verwendung von GitHub Copilot, um den Quellcode auf fortschrittliche Bedrohungsszenarien hin zu prüfen und zu testen.
Als Teil dieses Prozesses werden im Laufe des nächsten Jahres den Kunden sicherere Standardeinstellungen für die Multifaktor-Authentifizierung (MFA) zur Verfügung gestellt, die sofort einsatzbereit sind. Dabei werden die aktuellen Standardrichtlinien auf eine breitere Palette von Kundendiensten ausgedehnt, wobei der Fokus auf den Bereichen liegt, in denen die Kunden diesen Schutz am dringendsten benötigen. Microsoft ist sich der Auswirkungen solcher Änderungen auf die bestehende Computerinfrastruktur sehr bewusst und wird sich daher sowohl auf neue technische Arbeiten als auch auf eine umfassende Kommunikation konzentrieren, um zu erklären, wo sich auf diese Standardeinstellungen konzentriert wird und welche Sicherheitsvorteile sich daraus ergeben.
Zweitens wird der Identitätsschutz gegen hochentwickelte Angriffe verstärkt. Identitätsbasierte Bedrohungen wie Passwortangriffe haben im letzten Jahr um das Zehnfache zugenommen, wobei Staaten und Cyberkriminelle immer ausgefeiltere Techniken entwickeln, um Anmeldedaten zu stehlen und zu verwenden. Wie Charlie erklärt, wird vor diesen sich verändernden Bedrohungen geschützt, indem der fortschrittlichste Identitätsschutz mithilfe eines einheitlichen und konsistenten Prozesses angewendet wird, der die Identitäten und Zugriffsrechte der Nutzer, Geräte und Dienste über alle Produkte und Plattformen hinweg verwaltet und überprüft. Diese fortschrittlichen Funktionen werden auch Nicht-Microsoft-Anwendungsentwicklern frei zur Verfügung gestellt.
Im Rahmen dieser Initiative werden wir auch auf ein neues und vollständig automatisiertes Schlüsselverwaltungssystem für Privatanwender*innen und Unternehmen umstellen, dessen Architektur so konzipiert ist, dass die Schlüssel auch dann unzugänglich bleiben, wenn die zugrunde liegenden Prozesse möglicherweise kompromittiert wurden. Dies wird auf Microsofts Confidential-Computing-Architektur und der Verwendung von Hardware-Sicherheitsmodulen (HSMs) aufbauen, die Schlüssel in der Hardware speichern und schützen und die Daten im Ruhezustand, bei der Übertragung und während der Datenverarbeitung verschlüsseln.
Drittens wird bei der Behebung von Schwachstellen und bei Sicherheitsupdates für Microsofts Cloud-Plattformen weiter gegangen als jemals zuvor. Es ist geplant, die Zeit, die für die Behebung von Cloud-Schwachstellen benötigt wird, um 50 % zu verkürzen. Außerdem wird eine transparentere und einheitlichere Berichterstattung im gesamten Technologiesektor gefördert.
Zweifellos werden in den kommenden Monaten und Jahren auf der Grundlage der Erkenntnisse und des Feedbacks aus diesen Schritten weitere technische und softwaretechnische Verfahren hinzufügen. Wie Trustworthy Computing vor mehr als zwei Jahrzehnten werden die SFI-Initiativen Menschen und Gruppen bei Microsoft zusammenbringen, um die gesamte Cybersicherheitslandschaft zu bewerten und zu gegebenenfalls zu erneuern.
Striktere Anwendung von internationalen Normen
Schließlich ist Microsoft der Meinung, dass eine stärkere KI-Abwehr und technische Fortschritte mit einer dritten entscheidenden Komponente kombiniert werden müssen – der verstärkten Anwendung internationaler Normen im Cyberspace.
Im Jahr 2017 forderte Microsoft eine digitale Genfer Konvention, eine Reihe von Prinzipien und Normen, die das Verhalten von Staaten und nichtstaatlichen Akteuren im Cyberspace regeln würden. Sie argumentierten, dass sie die Normen, die zum Schutz der Zivilbevölkerung im Cyberspace vor einer wachsenden Zahl von Cyber-Bedrohungen erforderlich sind, durchsetzen und erweitern müssen. In den sechs Jahren, die seit diesem Aufruf vergangen sind, haben der Technologiesektor und die Regierungen zahlreiche Schritte in diesem Bereich unternommen, und das, was konkret gebraucht wird, hat sich weiterentwickelt. Es wird jedoch geglaubt, dass die Argumente für eine digitale Genfer Konvention in ihrem Kern stärker sind als je zuvor.
Der Kern der Genfer Konventionen war schon immer der Schutz unschuldiger Zivilist*innen. Was heute für den Cyberspace gebraucht wird, ist nicht eine einzelne Konvention oder ein Vertrag, sondern vielmehr eine stärkere, breitere öffentliche Verpflichtung der Staatengemeinschaft, entschlossener gegen Cyberangriffe auf Zivilist*innen und die Infrastruktur, von der alle abhängig sind, vorzugehen. Grundsätzlich braucht es neue Anstrengungen, die Regierungen, den privaten Sektor und die Zivilgesellschaft vereinen, um internationale Normen an zwei Fronten voranzutreiben. Die Microsoft-Teams weltweit werden sich für diese Bemühungen einsetzen und sie unterstützen.
Erstens muss auf breiterer Basis und öffentlich geschlossen zusammenkommen werden, um die wichtigsten Normen zu unterstützen und zu stärken, die die absoluten Grenzen darstellen, die keine Regierung überschreiten sollte.
Es sollte entschlossen nationale Bemühungen verurteilt werden, die darauf abzielen, Schadsoftware zu installieren oder andere Cybersicherheitsschwachstellen in den Netzwerken von Anbietern kritischer Infrastrukturen zu schaffen oder auszunutzen. Diese Versuche scheinen darauf abzuzielen, das Leben unschuldiger Zivilist*innen in zukünftigen Krisen oder Konflikten zu bedrohen. Wenn die Grundsätze der Genfer Konvention auch im 21. Jahrhundert noch Bestand haben sollen, muss die internationale Gemeinschaft eine klare und deutliche Grenze ziehen, die diese Art von Verhalten eindeutig verbietet.
Daher sollten sich alle Staaten öffentlich dazu verpflichten, keine Software-Schwachstellen in die Netze von Anbietern kritischer Infrastrukturen wie Energie, Wasser, Lebensmittel, medizinischer Versorgung oder anderer Anbieter einzubauen. Sie sollten sich auch dazu verpflichten, dass sie niemandem in ihrem Hoheitsgebiet oder ihrer Gerichtsbarkeit erlauben, sich an cyberkriminellen Operationen zu beteiligen, die auf kritische Infrastrukturen abzielen.
In ähnlicher Weise haben im vergangenen Jahr die Bemühungen von Nationalstaaten zugenommen, Cloud-Dienste direkt oder indirekt anzugreifen, um Zugang zu sensiblen Daten zu erhalten, kritische Systeme zu stören oder Fehlinformationen und Propaganda zu verbreiten. Cloud-Dienste selbst sind zu einer wichtigen Stütze für jeden Aspekt unserer Gesellschaft geworden, einschließlich einer zuverlässigen Versorgung mit Wasser, Lebensmitteln, Energie, medizinischer Versorgung, Informationen und anderen lebenswichtigen Dingen.
Aus diesen Gründen sollten Staaten Cloud-Dienste als Teil der kritischen Infrastruktur anerkennen, die nach internationalem Recht vor Angriffen geschützt ist.
Dies sollte zu drei damit verbundenen Verpflichtungen führen:
- Die Staaten sollten sich nicht an Cyberoperationen beteiligen, die die Sicherheit, Integrität oder Vertraulichkeit von Cloud-Diensten gefährden, und auch nicht zulassen, dass Personen in ihrem Hoheitsgebiet oder ihrer Gerichtsbarkeit solche Operationen durchführen.
- Die Staaten sollten die Sicherheit von Cloud-Diensten nicht ohne triftigen Grund für Spionagezwecke gefährden.
- Staaten sollten Cyberoperationen so gestalten, dass diejenigen, die nicht das Ziel der Operationen sind, nicht die Kosten tragen müssen.
Zweitens müssen Regierungen mehr gemeinsam handeln, um eine größere Verantwortlichkeit für die Nationalstaaten herbeizuführen, die diese Grenzen überschreiten. In diesem Jahr hat es nicht an konkreten Beweisen für nationalstaatliche Aktivitäten gemangelt, die diese Normen verletzen. Was jetzt gebraucht wird, ist die Art von starken, öffentlichen, multilateralen und einheitlichen Schuldzuweisungen seitens der Regierungen, die diese Staaten zur Verantwortung ziehen und sie davon abhalten, das Fehlverhalten zu wiederholen.
Technologieunternehmen und der Privatsektor spielen eine wichtige Rolle beim Schutz der Cybersicherheit, und Microsoft setzt sich für neue Schritte und stärkere Maßnahmen ein. Aber gerade, wenn es um nationalstaatliche Aktivitäten geht, ist Cybersicherheit eine gemeinsame Aufgabe. Und so wie die Technologieunternehmen mehr tun müssen, so müssen auch die Regierungen mehr tun. Wenn alle zusammenarbeiten, können die Schritte unternommen werden, die der Welt das geben, was sie verdient – eine sicherere Zukunft.
Den Originalbeitrag in englischer Sprache finden Sie hier.
