KI-beschleunigte Cyberangriffe: So halten MSPs Schritt

Die deutliche Verkürzung der Reaktionszeiten auf Cyberangriffe durch KI verschafft MSPs gute Möglichkeiten, kritische Herausforderungen ihrer Kunden zu lösen. Allerdings müssen sie dafür zuerst ihr eigenes Sicherheitsniveau verbessern, mahnen Experten gegenüber CRN an.

Während LLMs sich bereits in den vergangenen Jahren als nützlich dabei erwiesen haben, Schwachstellen aufzuspüren und auszunutzen, haben die jüngsten Veröffentlichungen von Anthropic und OpenAI über die Leistungsfähigkeit ihrer neuen Flaggschiff-KI-Modelle für diese Art von Aufgaben das Schlaglicht auf eine kommende Welle neuer Schwachstellen gelenkt, mit der sich alle Organisationen auseinandersetzen müssen – inklusive der Akteure im Channel.

Die Beschleunigung, die KI in die Abläufe von Bedrohungsakteuren bringt, ist derzeit eine gewaltige Herausforderung für MSPs und MSSPs, befindet Joshua Traynor, Leiter der MSSP-Sparte von Apollo Information Systems aus Texas. "Die Geschwindigkeit der Angriffe — das ist der Schlüssel. Sie geschehen immer schneller", beobachtet Traynor und präzisiert: "Wie schnell können sie sich dauerhaft festsetzen? Wie schnell können sie sich durch Ihr Netzwerk bewegen? Wie schnell können sie Ihre Daten stehlen? Und wie schnell können sie dann Ransomware platzieren? All diese Aktivitäten geschehen einfach mit immer höherer Geschwindigkeit."

Fast alle Cybersicherheitsexperten und Führungskräfte, mit denen CRN in letzter Zeit darüber gesprochen hat, sind sich darin einige, dass KI nicht nur Teil des Problems sonders auch der Antwort darauf sein wird. Auch wenn sie Sicherheitsgrundlagen nicht ersetzen kann, wird das jedoch erfordern, dass MSPs eine schnellere Reaktion auf Bedrohungen, stärkere Identitätssicherheit und einen neu aufgestellten Ansatz für das Schwachstellenmanagement ermöglichen. Im Fall von MSSPs bedeutet das etwa stärker vereinheitlichte Sicherheitsabläufe.

Von Security-Muffeln und rauchlos brennenden Häusern

Im Moment haben "MSPs diese enorme Chance, zu ihren Kunden zu gehen und zu sagen: ‚Wir sind hier, um sicherzustellen, dass Sie für diese nächste Runde von Cyberbedrohungen bereit sind‘", ist ThreatLocker-Mitgründer und CEO Danny Jenkins, überzeugt. Dennoch werden die Gespräche dazu nicht immer einfach sein, insbesondere wenn es um Kunden geht, die in der Vergangenheit zu wenig in proaktive Sicherheit investiert und sich zu stark auf reaktive Cyberabwehr verlassen haben, warnt Jenkins. "Die Herausforderung für MSPs besteht darin, zum Kunden zu gehen und ihm zu sagen, dass das Haus brennt, obwohl der Rauchmelder nicht ausgelöst hat", verbildlicht Jenkins die schwierige Ausgangssituation der MSPs in solchen Fällen.

Eine der größten Umstellungen für viele MSPs wird darin bestehen, sich dem drastisch schrumpfenden Zeitfenster zwischen der Offenlegung einer Schwachstelle und ihrer Ausnutzung in Angriffen zu stellen. Durch die neuen Möglichkeiten, die Angreifer hinsichtlich der Suche und Ausnutzung von Softwarelücken durch die Nutzung entsprechender KI-Tools bekommen, müsse auch das Schwachstellenmanagement in einen deutlich höheren Gang schalten, folgert MacKenzie Brown, Bedrohungsexpertin bei Cynet. "Geschwindigkeit ist der neue Perimeter. Wie schnell können wir reagieren und Abhilfe schaffen?", so Brown, deren offizieller Titel sie als Vizepräsidentin für Strategie im Bereich Threat Intelligence bei Cynet ausweist.

Patch-Zyklen sind tot – zumindest teilweise

Für sie steht deshalb fest: "Traditionelle Patch-Zyklen sind jetzt tot", weil sich Organisationen nicht länger auf wochenlange manuelle Prozesse verlassen können, um zu entscheiden, welche Schwachstellen zuerst gepatcht werden oder wie schnell reagiert werden muss. "Wir können uns nicht länger auf manuelle Triage verlassen", sagt Brown. "Wir brauchen Systeme, die menschliche Intuition weiterhin mit der Geschwindigkeit der Maschine verbinden."

Auch Kendra Krause, General Manager bei ThreatDown, hält das für einen entscheidenden Faktor angesichts der Tatsache, dass KI den Bedrohungsakteuren dieselben Vorteile bei Geschwindigkeit und Effizienz verschafft, die auch MSPs und MSSPs zu erreichen versuchen. Der Anstieg KI-gestützter Angriffe "verändert das Spiel für die Bedrohungsakteure da draußen wirklich grundlegend", unterstreicht Krause. Aus ihrer Sicht bedeutet das gerade für SMB- und Midmarket-Kunden, dass sie ohne externe Hilfe häufig überhaupt nicht mithalten können, da "diese Kunden das nicht mit dieser Geschwindigkeit und Agilität leisten" könnten.

Bei der Alchemy Technology Group mit Sitz in Houston laufen bereits intensive Bemühungen, mit Kunden zusammenzuarbeiten, um reifere und proaktivere Sicherheitsprogramme aufzubauen, noch bevor durch die neuen Modelle möglicherweise bald enorme Mengen neuer Schwachstellen bekannt werden, berichtet Mark Grassmann, nationaler Leiter der Cybersecurity-Praxis bei Alchemy Technology Group: "Sie haben verstanden, dass sie auch ihre programmatischen Maßnahmen zur Behebung weiterentwickeln müssen – sich also möglichst nicht mehr auf menschliche Handlungen zu verlassen, sondern Behebungen und andere Patch-Aktivitäten zu automatisieren."

Während die Branche gerade erst begonnen hat, proaktivere Ansätze wie Continuous Threat Exposure Management (CTEM) zu übernehmen, dürfte das Potenzial für einen Schub an KI-entdeckten Schwachstellen diesem Konzept massiven Auftrieb geben, ist er sich sicher. "Diese Sorge über von fortschrittlichen KI-Modellen identifizierte Schwachstellen ist meiner Meinung nach jetzt das Feuer, das diesen Geschäftsprozess, dieses Programm, diese Praxis entzünden wird", so Grassmann.

ThreatLocker-Experte Jenkins weist hier auf ein weiteres Problem hin. Obwohl er fest davon ausgeht, dass Patching weiterhin ein wichtiger und entscheidender Faktor in der Abwehr bleiben wird, müssen MSPs sich aus seiner Sicht auch darauf einrichten, dass viele Kundenumgebungen Anwendungen enthalten, die nicht schnell, oder möglicherweise überhaupt nicht, gepatcht werden. "Wir sollten immer so schnell patchen, wie wir können", stellt er fest. "Aber die Realität ist, dass es für viele Schwachstellen in den nächsten zwei Jahren keinen Patch geben wird."

Das werde einen großen Bereich der Angriffsfläche in IT-Umgebungen schaffen, insbesondere dort, wo Altsysteme oder geschäftskritische Fachanwendungen im Einsatz sind, weiß Jenkins und warnt, dass solche Anwendungen zu "riesigen klaffenden Löchern in Ihrer Sicherheit" werden. Die Antwort darauf bestehe allerdings nicht darin, Anwendungen abzuschaffen, auf die Kunden angewiesen sind, so Jenkins weiter. Im Gegenteil: MSPs könnten Kunden stattdessen sogar helfen, ihr Risiko rund um diese Anwendungen durch kompensierende Kontrollen nach Zero-Trust-Prinzipien zu reduzieren. "Wir können ihnen das nicht einfach wegnehmen", befindet Jenkins. "Wir müssen sicherstellen, dass wir das Risiko auf andere Weise mindern."

KI-Angriffe und der Faktor Mensch

Auch wenn KI die Geschwindigkeit und Umfang von Cyberangriffen erhöht, lassen sich viele Vorfälle weiterhin auf mangelnde Investitionen in grundlegende Sicherheitsmaßnahmen zurückführen, bestätigen mehrere Experten gegenüber CRN und rücken dabei insbesondere das Thema Identität in den Fokus. So verweist etwa Brown von Cynet darauf, dass Angreifer weiterhin Lücken bei Multifaktor-Authentifizierung (MFA), der Sitzungssicherheit und dem Schutz von Zugangsdaten ausnutzen. Viele Organisationen "kämpfen immer noch mit dieser Identitätsebene", konstatiert sie. "Wir sehen nach wie vor genauso viele MFA-Umgehungen, Session Hijacking, Adversary-in-the-Middle und das Abgreifen von Zugangsdaten."

Diese Angriffe zeigten ihr, dass viele Organisationen, insbesondere SMBs und Midmarket-Unternehmen, die grundlegende identitätsbasierte Zero-Trust-Arbeit immer noch "nicht leisten", sagt Brown. Für MSPs bedeutet das, dass die Antworten auf KI-getriebene Cyberbedrohungen nicht nur darin bestehen können, neue Tools hinzuzufügen, ergänzen andere Experten. Sie müssen auch die Durchsetzung grundlegender Sicherheitsmaßnahmen wie MFA, Passwort-Hygiene und Application Allowlisting umfassen.

Auch wenn KI den Verteidigern helfen kann, schneller zu handeln, bleibt die menschliche Rolle in der Cybersicherheit unverzichtbar, zeigen sich die Cybersicherheitsexperten und Führungskräfte gegenüber CRN überzeugt. In diesem Sinne würden auch MSPs und MSSPs immer wichtiger, weil Cybersicherheit nicht allein von einem einzigen Anbieter gelöst werden kann, konstatierte Sophos-CEO Joe Levy kürzlich in einem CRN-Interview. "Deshalb ist es entscheidend, dass wir Menschen in diesen Beziehungen tatsächlich eingebunden halten — nur so lässt sich das skalieren", so Levy. "Hier kommen ganz automatisch die MSPs und MSSPs ins Spiel – nachdem sie die ganze Zeit über mühsam versucht haben herauszufinden, wie sie für ihre Kunden noch folgenreicher, wichtiger und relevanter werden können."

Huntress-Mitgründer und CEO Kyle Hanslovan mahnt jedoch, die Branche solle sich nicht damit zufriedengeben, Menschen lediglich "im Regelkreis" zu halten. Vielmehr sollten Menschen die KI- und agentengestützte Sicherheitsarbeit aktiv steuern. "[KI] erfordert Menschen in der Führung, nicht nur Menschen im Regelkreis", fordert Hanslovan.

Von Silo-Stückwerken zur einheitlichen Sicherheitsarchitektur

Aus der Sicht von Guardz-Mitgründer und CEO Dor Eisner besteht eines der größten Probleme für MSPs darin, dass viele ihre Sicherheit über voneinander getrennte Punktlösungen verwalten. Dieser Ansatz werde exponentiell schwieriger, wenn Angreifer weiterhin auf viele verschiedene IT-Systeme abzielen — darunter Identitäten, Endpunkte, E-Mail, Cloud-Umgebungen und Anwendungen. "Wenn Sie ein MSP sind und all Ihre Sicherheitswerkzeuge unterschiedliche Punktlösungen sind, haben Sie eine Reihe isolierter Erkennungen", begründet Eisner. "Aber das Problem ist, dass die Bösen ihre Angriffe nicht isolieren. Sie trennen ihre Methoden nicht in Silos." Er folgert daraus, dass die MSPs eine bessere Dateninfrastruktur benötigen, um KI in realen Sicherheitsoperationen nutzbar zu machen.

Traynor, dessen Unternehmen Apollo Information Systems einer der Top-Partner von Guardz ist, sieht den Schlüssel für MSPs und MSSPs zur Lösung dieses Problems darin, die Geschwindigkeit ihrer Sicherheitsreaktionen mithilfe von KI anzupassen, um mit dem Tempo der Angriffe Schritt zu halten. "Dem muss man mit Automatisierungen und KI begegnen. Und damit, dass sich alle gegenseitig genug vertrauen, um schnell zu handeln", ist er überzeugt. "Meine Kunden vertrauen uns, sodass ich sie, wenn wir ein Konto sperren und zurücksetzen müssen, nicht erst fragen muss. Ich informiere sie darüber, dass wir das getan haben. Denn das Nachfragen — so wie es früher lief — dauert zu lange. Bis dahin können die Angreifer schon all Ihre Daten haben."

Obwohl viele Kunden zwar KI und agentische Systeme nutzen wollen, wissen sie gleichzeitig nicht, wie sie diese Systeme in ihren IT-Umgebungen implementieren sollen, berichtet Arctic-Wolf-CEO Nick Schneider. Der Schlüssel besteht für ihn darin, ein agentisches Framework direkt in die Sicherheitsplattformen einzubetten, sodass Partner und Kunden von KI-unterstützten Sicherheitsoperationen profitieren, ohne diese Fähigkeit selbst aufbauen zu müssen. "Das Ergebnis für sie sollte wirklich Geschwindigkeit, Effizienz und dann ein wirksameres Ergebnis auf gut beobachtbare Weise sein. Damit sie sehen können, wo das agentische Framework seine Arbeit verrichtet oder wo die Agenten ihre Arbeit verrichten", erklärt Schneider.

Todyl-Gründer und CEO John Nellen führt dazu ein weiteres wichtiges Puzzlestück an: Die Art und Weise, wie MSPs mit ihren Endkunden über das Bedrohungsumfeld kommunizieren, muss ebenfalls an die neuen Begebenheiten angepasst werden. Anstatt sich rein auf technische Ausführungen zu verlassen, sollten MSPs den Kunden besser einen Überblick über die Veränderungen des Geschäftsrisikos durch den Aufstieg KI-verbesserter Angriffe vermitteln, empfiehlt Nellen.

Letztlich müssten MSPs dafür möglicherweise erst "einen Schritt zurücktreten und darüber nachdenken: ‚Wo sind die verschiedenen Einstiegspunkte?‘", berichtet er. Im Kern stünden dabei Fragen wie: "‚Wie groß ist meine Angriffsfläche? Welche Kontrollen sind die richtigen, um die Angriffsfläche zu reduzieren und sicherzustellen, dass ich eine ganzheitliche Abdeckung habe?‘"

Dieser Artikel erschien zuerst bei unserer Schwesterpublikation crn.com.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden