KDB Tech-Update: Morgens, 27. September 2024
Visa und Mastercard investieren Milliarden in Cybersecurity-KI gegen Bankbetrug
In der heutigen digitalen Welt, in der Cyberkriminalität immer raffinierter wird, haben die beiden Kreditkarten-Giganten Visa und Mastercard erhebliche Investitionen in die Entwicklung von Künstlicher Intelligenz (KI) zur Bekämpfung von Bankbetrug angekündigt. Diese Entscheidung zeigt nicht nur die Dringlichkeit, mit der diese Unternehmen auf die Bedrohung durch Finanzbetrug reagieren, sondern auch ihren Ansatz, innovative Technologien zur Verbesserung der Sicherheit im Finanzsektor zu nutzen.
Visa hat kürzlich eine verbindliche Vereinbarung zur Übernahme von Featurespace unterzeichnet, einem britischen Unternehmen, das sich auf KI-gestützte Erkennungssysteme spezialisiert hat. Diese Systeme sind darauf ausgelegt, Finanzbetrug und ähnliche kriminelle Aktivitäten zu identifizieren und zu verhindern. Die KI-Technologien von Featurespace ermöglichen es, verdächtige Transaktionen in Echtzeit zu erkennen, was einen entscheidenden Vorteil im Kampf gegen Betrugsversuche darstellt. Während die genauen finanziellen Details dieser Übernahme noch nicht bekannt gegeben wurden, gibt es Spekulationen, dass der Kaufpreis über 938 Millionen Dollar liegen könnte, basierend auf Berichten von Sky UK.
Mastercard hingegen plant die Übernahme von Recorded Future, einem US-amerikanischen Cybersecurity-Unternehmen, für beeindruckende 2,65 Milliarden Dollar. Recorded Future, gegründet im Jahr 2009, hat sich als einer der führenden Anbieter im Bereich der Echtzeit-Bedrohungserkennung etabliert und besitzt ein umfangreiches Netzwerk von über 1900 Kunden in 75 Ländern, darunter auch Regierungsbehörden. Die Integration der Technologien von Recorded Future in die Cybersecurity-Dienste von Mastercard zielt darauf ab, Identitätsdiebstahl und Finanzbetrug effektiver zu bekämpfen.
Die gesammelten Daten und die KI-gestützten Analysen, die sowohl von Featurespace als auch von Recorded Future bereitgestellt werden, sollen es Visa und Mastercard ermöglichen, ihren Kunden – insbesondere Banken – verbesserte Sicherheitslösungen anzubieten. Diese Investitionen sind Teil eines breiteren Trends in der Finanzbranche, die sich zunehmend auf digitale Lösungen zur Verbesserung der Sicherheit und zur Bekämpfung von Cyberkriminalität stützt.
Die Übernahmen von Featurespace und Recorded Future stehen unter dem Vorbehalt der Zustimmung durch die Aufsichtsbehörden und sollen voraussichtlich im Jahr 2025 abgeschlossen werden. Die Notwendigkeit solcher Maßnahmen wird durch die alarmierenden Schätzungen über die Kosten von Cyberkriminalität unterstrichen, die laut Statista im Jahr 2024 auf 9,2 Billionen Dollar ansteigen könnten. Angesichts dieser Zahlen wird deutlich, dass die Investitionen in Cybersecurity-KI nicht nur eine Reaktion auf gegenwärtige Bedrohungen sind, sondern auch eine proaktive Strategie zur Sicherstellung der Integrität und Sicherheit des weltweiten Finanzsystems.
NIS2 für mehr IT-Sicherheit: Viele Unternehmen sind noch nicht gut vorbereitet
In der heutigen digitalen Welt ist IT-Sicherheit ein zentrales Anliegen für Unternehmen jeder Größe. Eine aktuelle Studie des Marktforschers TechConsult und des Telekommunikationsanbieters Plusnet zeigt jedoch, dass viele Unternehmen in Deutschland mit der Umsetzung der NIS2-Richtlinie der EU hinterherhinken. Befragt wurden im Juni 2024 IT-Leiter, Sicherheitsverantwortliche und Geschäftsführer von 200 Unternehmen, die von der Richtlinie betroffen sind. Die Ergebnisse sind alarmierend: Zwei Drittel der Unternehmen haben noch nicht die notwendigen Schritte unternommen, um die Anforderungen der NIS2-Richtlinie zu erfüllen.
Die NIS2-Richtlinie verpflichtet rund 30.000 Unternehmen in Deutschland, einschließlich vieler Mittelständler, zu verstärkten Bemühungen im Bereich der IT-Sicherheit. Zu den geforderten Maßnahmen gehören die Einführung eines Informationssicherheitsmanagementsystems (ISMS), technische Maßnahmen zur Verbesserung der Cybersicherheit, Sicherheitsvorkehrungen in der Lieferkette sowie die Implementierung von Notfallplänen und Risikomanagementstrategien. Darüber hinaus müssen Unternehmen Business Continuity Management betreiben, ihre Mitarbeiter umfassend schulen und eine gründliche Dokumentation führen.
Die Umfrage ergab, dass nur 29 Prozent der befragten Unternehmen bereits alle technischen Sicherheitsmaßnahmen umgesetzt haben, während 32 Prozent dies nur teilweise getan haben. Obwohl viele Unternehmen bereits grundlegende Sicherheitsvorkehrungen wie Datenverschlüsselung, Backup-Software und Sicherheitsmanagementsysteme verwenden, setzen weniger als ein Drittel die von NIS2 geforderten Angriffssimulationen ein. Zudem bieten nur 42 Prozent der Unternehmen verpflichtende Sicherheitsschulungen an, und 22 Prozent haben noch keine Mechanismen zur Erkennung, Meldung und Reaktion auf Sicherheitsvorfälle etabliert.
Die Ergebnisse der Studie verdeutlichen, dass Unternehmen sich der Gefahren durch Cyberangriffe bewusst sind. Drei Viertel der Befragten berichteten von mindestens einem Angriff auf ihre IT-Infrastruktur innerhalb des letzten Jahres, und zwei Drittel erwarten eine Zunahme der Angriffe in der Zukunft. Angesichts dieser Bedrohungen betrachten 38 Prozent der Unternehmen die NIS2-Richtlinie als längst überfällig.
Bis zum 17. Oktober 2024 muss Deutschland die NIS-Richtlinie der EU in nationales Recht umsetzen. Der aktuelle Entwurf des „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes“ wurde bereits vom Kabinett verabschiedet, und es wird erwartet, dass das Gesetz im Frühjahr 2025 in Kraft tritt, nachdem der Bundesrat angehört wurde und der Bundestag zugestimmt hat.
Am 5. November 2024 werden renommierte IT-Recht- und Sicherheitsfachleute in einem Webinar erläutern, welche Unternehmen von NIS2 betroffen sind, was die Richtlinie konkret fordert und welche Maßnahmen in welchen Fristen umgesetzt werden müssen. Weitere Themen umfassen die Synergien zwischen NIS2 und bestehenden Sicherheitskonzepten wie ISO 27001 sowie die Auswirkungen der Richtlinie auf die Incident Response und deren Bedeutung für Zulieferer und Dienstleister. Teilnehmer haben die Möglichkeit, ihre Fragen zu stellen und direkt von den Experten zu lernen.
Um mehr über NIS2 und die bevorstehenden Anforderungen für Unternehmen zu erfahren, kannst Du Dich unter https://nis2.heise.de anmelden.
Künstliche Intelligenz: Die neue Aufsicht durch die Bundesnetzagentur
In den letzten Monaten hat die Debatte über die Regulierung von Künstlicher Intelligenz (KI) in Deutschland an Fahrt aufgenommen. Die Bundesregierung hat nun klargestellt, wie die Zuständigkeiten für die EU-KI-Verordnung in Deutschland organisiert werden sollen. Überraschend wurde die Einigung durch ein LinkedIn-Posting des Bundeswirtschaftsministeriums (BMWK) bekannt gegeben, ohne detaillierte Informationen zu liefern. Auf Nachfrage von heise online hat das Ministerium jedoch erste Einblicke in die zukünftige Aufsicht über KI gegeben.
Die Bundesnetzagentur (BNetzA), die zuvor vor allem für den Digitalbereich zuständig war, wird eine zentrale Rolle in der Umsetzung und Durchsetzung der KI-Verordnung spielen. Diese Behörde wird nicht nur für die Regulierung von KI verantwortlich sein, sondern auch ein „KI-Kompetenzzentrum“ einrichten, das die Innovationsförderung, unter anderem durch die Unterstützung von Reallaboren, vorantreiben soll.
Es ist jedoch wichtig zu betonen, dass die BNetzA nicht für alle KI-Anwendungen zuständig sein wird. In Bereichen, die bereits durch spezifische Fachbehörden reguliert werden, bleibt die Aufsicht weiterhin bei diesen Institutionen. So bleibt das Kraftfahrtbundesamt für den Automobilsektor zuständig, während das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) die Aufsicht über Medizinprodukte behält. Für die Finanzbranche bleibt die Bundesanstalt für Finanzdienstleistungen (BaFin) die maßgebliche Marktüberwachungsbehörde. Diese Regelung soll dazu beitragen, Doppelzuständigkeiten zu vermeiden und eine klare Verantwortungsstruktur zu gewährleisten.
Ein weiteres Ziel der Bundesregierung besteht darin, durch diese Aufteilung schlanke Strukturen für Unternehmen zu schaffen. Das BMWK, zusammen mit dem FDP-geführten Bundesjustizministerium, hofft, die Effizienz in der Regulierung zu steigern und eine nahtlose Integration mit anderen EU-Rechtsakten wie dem Digital Services Act (DSA), dem Data Act und dem Data Governance Act zu ermöglichen. Diese Rechtsakte werden bereits jetzt oder in Zukunft eine wesentliche Rolle bei der Aufsicht über digitale Dienste spielen, wobei der Bundesnetzagentur eine Schlüsselposition zukommt.
Trotz dieser strukturellen Klarheit gibt es noch viele offene Fragen. Insbesondere bleibt ungewiss, ob die BNetzA über die notwendigen personellen Ressourcen verfügt, um die neuen Aufgaben effektiv zu erfüllen. Auch der Wissenstransfer zwischen der Bundesnetzagentur und anderen Fachaufsichtsbehörden sowie die einheitliche Auslegung von Vorschriften über verschiedene Branchen hinweg stellen Herausforderungen dar. Darüber hinaus ist unklar, wie die Zusammenarbeit mit den Datenschutzaufsichtsbehörden, die für automatisierte Entscheidungen mit personenbezogenen Daten zuständig sind, konkret gestaltet werden kann.
Zudem ist die Abstimmung des skizzierten Plans mit den Bundesländern noch nicht vollständig geklärt. Die kürzlich ins Leben gerufene Digitalministerkonferenz der Länder wird sich in ihrer nächsten Sitzung mit diesen Themen beschäftigen, um eine koordinierte Vorgehensweise zu entwickeln.
Insgesamt zeigt sich, dass die Regulierung von Künstlicher Intelligenz in Deutschland ein komplexes Unterfangen ist, das sowohl technische als auch organisatorische Herausforderungen mit sich bringt. Die nächsten Monate werden entscheidend sein, um die Weichen für eine effektive und zukunftsorientierte Aufsicht zu stellen.
Cybercrime: KI-generierte Malware in freier Wildbahn gesichtet
In der September-Ausgabe des Threat Insights Report von HP Wolf Security wird alarmierend aufgezeigt, dass Cyberkriminelle zunehmend generative KI nutzen, um Schadsoftware zu entwickeln. Diese Entwicklung markiert einen bedeutenden Wendepunkt im Bereich der Cyberkriminalität, da die Möglichkeit, Malware durch generative KI zu erstellen, bis dato hauptsächlich in Forschungsprojekten thematisiert wurde. Während Kriminelle bisher Tools wie ChatGPT und ähnliche Plattformen überwiegend zur Erstellung von Phishing-Kampagnen verwendet haben, zeigt der aktuelle Bericht, dass die Technologie nun auch für die Entwicklung komplexerer Malware eingesetzt wird.
Ein konkretes Beispiel aus dem Bericht beschreibt einen Vorfall, bei dem eine E-Mail mit einem Anhang, der als Rechnung getarnt war, von der Sicherheitslösung HP Sure Click isoliert wurde. Bei genauerer Analyse stellte sich heraus, dass der Anhang eine HTML-Datei war, die beim Öffnen im Browser ein Passwort anforderte. Obwohl der E-Mail-Text nicht vorlag, wird vermutet, dass er Informationen zum angeforderten Passwort enthielt. Die initiale Analyse des Codes ergab, dass hier ein Versuch unternommen wurde, Schadcode zu schmuggeln. Anders als bei vielen anderen Angriffen war der schadhafte Payload in dieser HTML-Datei nicht in einem verschlüsselten Archiv verborgen, sondern direkt im Code selbst AES-verschlüsselt und fehlerfrei implementiert.
Um den schädlichen Code zu entschlüsseln, mussten die Sicherheitsexperten zunächst das Passwort knacken. Nach der Entschlüsselung des .zip-Archivs fand sich eine Visual Basic Script-Datei, die verschiedene Prozesse auf dem betroffenen Rechner auslösen konnte und die Installation des Remote Access Trojaners AsyncRAT initiierte. AsyncRAT ist eine Open Source Malware, die es Angreifern ermöglicht, einen Rechner aus der Ferne zu kontrollieren, sobald sie diese auf dem System installiert haben.
Ein zentrales Thema im Bericht ist die Senkung der Einstiegshürden in die Cyberkriminalität durch generative KI. Patrick Schläpfer, einer der Sicherheitsforscher am HP Security Lab, äußerte, dass die Verwendung von generativer KI es auch unerfahrenen Kriminellen ohne Programmierkenntnisse ermögliche, gefährliche Angriffe durchzuführen. Die Analyse des Codes ließ deutliche Hinweise auf den Einsatz von KI erkennen: Jede Funktion war mit klaren Kommentaren versehen, und die Variablennamen deuteten darauf hin, dass die Programmierung durch eine KI erfolgte.
Zusätzlich zur KI-generierten Malware erörterte der Bericht auch die zunehmende Raffinesse von ChromeLoader-Kampagnen. Diese Angriffe nutzen gezielte Werbung (Malvertising), um Internetnutzer auf scheinbar vertrauenswürdige Webseiten zu locken, wo angebliche PDF-Tools zum Download angeboten werden. In der Realität verbergen sich hinter diesen Downloads gut getarnte Malware.
Zusammengefasst zeigt der Threat Insights Report von HP Wolf Security, wie sich die Landschaft der Cyberkriminalität durch den Einsatz von generativer KI verändert. Die technologischen Fortschritte senken nicht nur die Barrieren für potenzielle Täter, sondern stellen auch eine ernsthafte Bedrohung für die Cybersicherheit dar. Es ist von größter Bedeutung, dass Unternehmen und Einzelpersonen sich dieser Entwicklungen bewusst sind und entsprechende Sicherheitsvorkehrungen treffen.
Schlechte Rankings drohen: Google passt seine Spam Policy an
In der Welt der Suchmaschinenoptimierung (SEO) ist es unerlässlich, die neuesten Entwicklungen und Richtlinien der Suchmaschinenbetreiber zu verstehen. Google hat kürzlich seine Spam-Richtlinien aktualisiert, was erhebliche Auswirkungen auf die Online-Präsenz von Website-Betreibern haben könnte. Insbesondere geht es um das Thema „Site Reputation Abuse“, ein Begriff, der Aktivitäten beschreibt, bei denen die Vertrauenswürdigkeit einer Website manipuliert wird, um bessere Platzierungen in den Suchergebnissen zu erreichen oder um Suchmaschinenrichtlinien zu umgehen.
Die Aktualisierungen machen deutlich, dass Google rigoros gegen Missbrauch vorgehen möchte. Dies bedeutet, dass nicht nur die tatsächliche Manipulation der Rankings bestraft wird, sondern bereits der Versuch, diese Richtlinien zu umgehen, zu Rankingverlusten führen kann. Im schlimmsten Fall kann dies sogar zu einem vollständigen Verlust der Sichtbarkeit in den Suchergebnissen führen.
Ein zentrales Element der neuen Richtlinien ist die Unterscheidung zwischen First-Party- und Third-Party-Content. First-Party-Content bezieht sich auf Inhalte, die direkt von der Website selbst oder von deren Mitarbeitern erstellt werden. Google bezeichnet dies als „Close Oversight“, also eine enge Aufsicht über die Inhalte. Im Gegensatz dazu steht Third-Party-Content, der von Drittanbietern stammt und häufig darauf abzielt, die Rankings in den Suchmaschinen zu beeinflussen.
Google betont, dass eine enge Aufsicht vorliegt, wenn die Inhalte von der Website selbst stammen, wobei Mitarbeiter oder Freiberufler direkt für die Erstellung verantwortlich sind. Die Nutzung von Drittanbieterdiensten, die Inhalte mit dem primären Ziel der Manipulation der Suchrankings bereitstellen, wird als problematisch angesehen.
Aktuell erfolgt die Ahndung von Verstößen gegen diese Richtlinien manuell. Es wird jedoch erwartet, dass in naher Zukunft algorithmische Änderungen implementiert werden, die die Erkennung von Spam-Aktivitäten automatisieren. Dies könnte die Sicherheitsmaßnahmen von Google weiter verstärken, um die Qualität der Suchergebnisse zu verbessern.
Website-Betreiber sollten sich daher dringend mit den neuen Richtlinien auseinandersetzen und sicherstellen, dass ihre Inhalte den Anforderungen von Google entsprechen. Die letzte Änderung an den Spam-Richtlinien stellt eine ernsthafte Warnung dar, dass die Nichteinhaltung zu erheblichen Konsequenzen führen kann.
Irreführende Rabatt-Aktionen: EuGH geht gegen Verbrauchertäuschung vor
In den letzten Jahren haben sich Rabattaktionen in der Handelsbranche als beliebtes Marketinginstrument etabliert. Doch nicht immer sind die beworbenen Ermäßigungen auch tatsächlich ein Schnäppchen. Der Europäische Gerichtshof (EuGH) hat nun in einem wegweisenden Urteil klargemacht, dass irreführende Preisangaben nicht toleriert werden. Dies könnte weitreichende Folgen für Händler und deren Marketingstrategien haben.
Im aktuellen Fall musste sich der Discounter Aldi-Süd vor dem EuGH verantworten, nachdem die Verbraucherzentrale Baden-Württemberg Klage erhoben hatte. Anlass war die Werbung mit Rabatten, die sich nicht auf den günstigsten Preis der letzten 30 Tage bezogen. Der EuGH entschied, dass alle Preisermäßigungen klar und transparent angegeben werden müssen. Händler sind nun verpflichtet, den niedrigsten Preis der letzten 30 Tage als Referenz zu verwenden, um die Glaubwürdigkeit ihrer Rabattaktionen zu gewährleisten.
Ein konkretes Beispiel aus dem Urteil betrifft die Werbung für Ananas und Bananen. Bei den Ananas wurde ein Preis von 1,49 Euro pro Stück als „Preis-Highlight“ beworben, daneben war ein durchgestrichener Preis von 1,69 Euro angegeben. Kleingedruckt stand jedoch, dass der niedrigste Preis in den letzten 30 Tagen bei 1,39 Euro lag, was die Rabattwerbung irreführend machte. Auch bei den Bananen wurde ein Preis von 1,29 Euro pro Kilo beworben, begleitet von einem Rabatt von 23 Prozent und einem durchgestrichenen Preis von 1,69 Euro. Der tatsächliche niedrigste Preis der letzten 30 Tage lag jedoch ebenfalls bei 1,29 Euro.
Die Verbraucherzentrale argumentierte, dass Rabattaktionen sich nicht nur auf den Preis unmittelbar vor dem Angebot beziehen sollten, sondern auf den günstigsten Preis der letzten 30 Tage. Diese Sichtweise wurde vom EuGH unterstützt, da sie eine ernsthafte Täuschung der Verbraucher durch künstliche Preissteigerungen entlarvt. Cornelia Tausch, Vorständin der Verbraucherzentrale Baden-Württemberg, brachte es auf den Punkt: „Mit diesem Trick täuschte Aldi eine ernsthafte Preisreduzierung vor, tatsächlich dürfte jedoch der gestrichene Preis nur deshalb kurz zuvor heraufgesetzt worden sein, um anschließend mit einer attraktiven Preisreduzierung werben zu können.“
Das Urteil könnte dazu führen, dass Verbraucher in Zukunft mehr Transparenz bei Rabattaktionen genießen können. Händler werden dazu gezwungen, ihre Preisgestaltung zu überdenken und sich an die neuen Richtlinien zu halten, um rechtlichen Konsequenzen zu entgehen. In der Folge muss nun das Landgericht Düsseldorf über den spezifischen Fall entscheiden, wobei es die Rechtsprechung des EuGH berücksichtigen muss.
Das Urteil des EuGH ist ein bedeutender Schritt in Richtung Verbraucherschutz und könnte die Art und Weise, wie Händler ihre Produkte bewerben, nachhaltig verändern. Verbraucher sollten sich bewusst sein, dass nicht alles, was glänzt, auch Gold ist, und dass sie bei Rabattaktionen stets einen prüfenden
