Wenn die Allianz sich Sorgen macht, solltest Du es auch
Die Allianz versichert alles. Autos, Häuser, Leben, … Und ihre Risikoeinschätzungen basieren dabei nicht auf Bauchgefühl. Sondern darauf, wofür sie in der Vergangenheit zahlen mussten.
Und vor allem wofür sie in Zukunft wahrscheinlich zahlen werden. Jetzt stufen sie KI als zweitgrößtes Unternehmensrisiko weltweit ein. Direkt hinter Cyberangriffen. Letztes Jahr war KI noch auf Platz 10.
Wenn eine Versicherung sagt, das Risiko steigt, dann weil die Zahlen das belegen. Das zeigen unter anderem auch drei Dinge, die in den letzten Wochen passiert sind.
Erstens: Eine der meistgenutzten Software-Bibliotheken im Internet wurde kompromittiert. Millionen Systeme waren für wenige Stunden angreifbar … Darunter mit hoher Wahrscheinlichkeit auch KI-Tools, die Du vielleicht selbst nutzt. Die meisten Nutzer haben es nicht gemerkt.
Zweitens: Anthropic hat ein neues KI-Modell entwickelt und direkt wieder eingesperrt. Der Grund: Es ist so gut im Aufspüren von Sicherheitslücken, dass sie es nicht verantworten konnten, es öffentlich zu machen.
Drittens: Die Zeit zwischen einer bekannten Sicherheitslücke und einem funktionierenden Angriff darauf ist von 771 Tagen im Jahr 2018 auf heute unter 4 Stunden geschrumpft.
Heute schauen wir uns an, was das konkret für Dich bedeutet und was Du jetzt tun solltest.
Patrick Lenz ist Inhaber von top.media, Innovationstreiber & Wissensvermittler.
Unsere heutigen Themen:
- Du wirst Opfer, ohne etwas falsch gemacht zu haben
- Du hast keine Zeit mehr zum Reagieren
- So schließt Du Deine offenen Fenster
1. Du wirst Opfer, ohne etwas falsch gemacht zu haben
Es gibt einen Witz unter Entwicklern: Ein Comic, das zeigt, wie die gesamte digitale Infrastruktur der modernen Welt auf einem einzigen Projekt basiert, das irgendein Typ in Nebraska seit 2003 ehrenamtlich in seiner Freizeit wartet.
Aber ehrlich gesagt ist es nicht wirklich ein Witz … Es entspricht nämlich mehr oder weniger der Wahrheit.
Ende März wurde eine JavaScript-Bibliothek namens Axios kompromittiert. Sie ist eine der meistgenutzten weltweit mit über 100 Millionen Downloads pro Woche.
Der Account des einzigen Instandhalters wurde gekapert. Wie genau, ist bis heute ungeklärt. Der Entwickler hatte nach eigenen Angaben alle Sicherheitsvorkehrungen getroffen, die man treffen kann, Multi-Faktor-Authentifizierung und so weiter.
Doch für ein paar Stunden haben Millionen Systeme automatisch ein Update gezogen. Ein Update, das im Hintergrund Schadsoftware installiert hat.
Darunter waren mit hoher Wahrscheinlichkeit auch KI-Agenten und Automatisierungstools betroffen – denn Axios steckt in fast jeder modernen Softwareanwendung drin. Die meisten Betroffenen wissen bis heute nicht, dass sie betroffen waren.
Du nutzt Software. Diese Software basiert auf anderer Software. Die basiert auf noch anderer Software. Irgendwo 20 Ebenen tiefer sitzt ein Entwickler in Nebraska – und wenn sein Account gekapert wird, bist Du verwundbar. Auch ohne konkret etwas falsch gemacht zu haben.
Das Gleiche gilt übrigens für Deine Chrome-Erweiterungen. Die kleinen Tools, die Du Dir irgendwann installiert hast – für Produktivität, Grammatik, Passwörter, was auch immer.
Chrome aktualisiert die automatisch im Hintergrund. Wenn der ursprüngliche Entwickler seinen Account verkauft oder jemand reinkommt, könntest Du beim nächsten Update plötzlich Schadsoftware im Browser haben. Mit Zugriff zu allem, was Du dort geöffnet hast. Mails. Kundendaten. Interne Systeme.
Das Risiko kommt also nicht mehr nur von außen. Es kommt durch die Tools, denen Du bereits vertraust und installiert hast.
2. Du hast keine Zeit mehr zum Reagieren
Wenn eine Sicherheitslücke in Software bekannt wird, läuft ein Wettrennen. Der Hersteller oder das Unternehmen entwickelt einen Patch. Und Angreifer versuchen, die Lücke auszunutzen, bevor das passiert.
Früher hatten die Hersteller dafür 771 Tage. Denn das ist die durchschnittliche Zeit, die im Jahr 2018 zwischen einer öffentlich bekannten Lücke und einem funktionierenden Angriff vergangen ist.
Heute sind es unter 4 Stunden. Du hast also, ab dem Moment, wo eine Lücke bekannt wird, einen halben Arbeitstag, bevor jemand einen fertigen Angriff in der Hand hält.
Was früher Wochen an Spezialwissen brauchte, dauert heute dank KI-Tools nur wenige Minuten.
Anthropic hat kürzlich ein neues Modell namens Mythos entwickelt – und sich dazu entschieden es bewusst nicht zu veröffentlichen. Der Grund: Es ist so gut im Hacking, dass sie es nicht verantworten konnten, es öffentlich zu machen.
Stattdessen hat Anthropic das Modell zunächst an große Softwareanbieter gegeben (Microsoft, Google, Apple, Atlassian), damit die ihre eigene Software damit testen und absichern können, bevor das Modell irgendwann breiter verfügbar wird.
Das Problem: Ähnliche Modelle werden kommen und vermutlich gibt es sie auch schon. Der Unterschied ist, dass die nächste Version vielleicht nicht von jemandem entwickelt wird, der sich Gedanken darüber macht, wem er sie gibt.
Unabhängig davon ob und wann Mythos veröffentlicht wird … die Bedrohung für Unternehmen ist heute schon real.
Ich habe ein drei Personen Unternehmen als Kunden. Von der Branche her eines der letzten Unternehmen, das man als lukratives Ziel für Cyberkriminelle auf dem Schirm hätte.
Doch dieses Unternehmen wurde bereits zweimal angegriffen … Denn Angreifer suchen heute nicht nach spezifischen Kriterien. Sie scannen einfach automatisch das gesamte Internet nach offenen Lücken – und greifen an, was verwundbar ist.
Ob das eine Bank ist oder ein Landschaftsbauer aus einem Dorf, ist dabei vollkommen egal. Du musst kein interessantes Ziel sein. Du musst nur angreifbar sein.
Und mit KI-Tools, die Lücken in Minuten finden und ausnutzen können, wird diese Suche jeden Tag schneller und breiter.
3. So schließt Du Deine offenen Fenster
Es ist 8 Uhr morgens an einem normalen Arbeitstag einer Großbäckerei in Rheinland-Pfalz. Die Mitarbeiter sind da, Kaffeeduft ist in der Luft und niemand ahnt etwas.
Vor der Tür stehen zwei ethische Hacker. Im Auftrag der Geschäftsführung sollen sie sich Zugriff in die Firma holen.
Ein offenes Fenster und sie sind drin. Wenige Minuten später haben sie Zugang zum internen Netzwerk und können auf die komplette Produktionssteuerung zugreifen.
Außerdem finden sie ungesichert den Glasfaseranschluss und die Energieversorgung. Zusätzlich bekommen sie über die Auslieferung Schlüssel für alle Filialen. Die beiden Hacker lesen die RFID-Chips aus und hätten damit Zugang zu jedem einzelnen Standort.
Diese Aktion hat das 3sat mit verfolgt. Den Bericht dazu kannst Du Dir hier anschauen: Cyberangriff hautnah: gezielt, professionell, geplant – so arbeiten ethische Hacker.
Die Bäckerei hat durch diesen Penetrationstest der ethischen Hacker herausgefunden, wo ihre „offenen Fenster" sind. Die meisten anderen Unternehmen finden ihre Schwachstellen oft erst heraus, wenn wirklich etwas passiert ist.
Das Fazit der Geschäftsführung zu der Aktion: „Grundsätzlich hat keiner einen Fehler gemacht. Wir hatten einfach das Bewusstsein nicht dafür."
Was kannst Du also tun, um dieses Bewusstsein zu entwickeln und um Dich vor Angriffen zu schützen? Drei Dinge. In dieser Reihenfolge.
Erstens: Lass nichts unbemerkt
Du kannst nichts verteidigen, was Du nicht siehst oder weißt, dass es eine Gefahr darstellt. Das bedeutet auf der einen Seite musst Du verstehen, was alles in Deinem Netzwerk hängt. Auf der anderen Seite solltest Du auch mitkriegen, wenn sich dort etwas verändert, das nicht sein sollte.
Wir hatten letzte Woche einen Kunden, der intern einen Penetrationstest laufen hatte. Unser Monitoring-System hat dabei angeschlagen und sofort alle betroffenen Rechner isoliert, bevor sich irgendetwas ausbreiten konnte.
Das System konnte in Sekunden reagieren. Ein Mensch hätte es wahrscheinlich nie bemerkt.
Zweitens: Bewusstsein im Team schärfen
Die meisten Einfallstore sind keine technischen Meisterleistungen. Deswegen muss Dein Team für den Schutz der Firma auch keine IT-Experten werden. Aber es braucht klare Regeln:
- Updates nur nach Freigabe der IT installieren.
- Rechner sperren, sobald man den Arbeitsplatz verlässt.
- Chrome-Erweiterungen regelmäßig ausmisten (alles raus, was nicht aktiv genutzt wird).
- Und wenn etwas komisch wirkt – eine E-Mail, ein Link, ein Systemverhalten – muss jeder im Team wissen, an wen er sich sofort wendet (unabhängig von einem internen oder externen Ansprechpartner).
Drittens – und erst dann: Cyberversicherung
Viele Unternehmen fangen hier an … Doch das ist ein Fehler, denn eine Cyberversicherung ist kein Schutz. Sie ist das, was greift, wenn alles andere nicht gereicht hat. Wer ohne Basis eine Police abschließt, zahlt zu viel – und bekommt im Ernstfall wenig und teilweise sogar gar nichts zurück.
Wer hingegen seine Hausaufgaben gemacht hat – Monitoring, klare Prozesse, ein Team das weiß was es tut – ist für einen Versicherer berechenbar. Das Risiko ist kalkulierbar. Die Prämie sinkt.
Und wer sich mit NIS-2 oder DORA auseinandergesetzt hat, merkt schnell: Die Fragen, die ein Cyberversicherer stellt, sind fast dieselben, die diese Richtlinien ohnehin voraussetzen. Wer das eine erledigt hat, hat das andere größtenteils schon beantwortet.
Die Versicherung ist nur die Kirsche auf der Sahnehaube. Aber erst muss die Torte stehen.
Aber ein Hinweis: Wer diesen Beitrag hier liest, ist mindestens eine Woche zu spät dran. Denn der Shortcut erscheint jeden Donnerstag um 10 Uhr per E-Mail in Dein Postfach.
Hier auf der Website wird er erst eine Woche zeitversetzt veröffentlicht.
Wenn Du in Zukunft zu den Ersten gehören willst und immer die aktuellsten News erfahren willst, trag Dich unten ein.