Cyberkrieg neu vermessen: : Warum Prävention jetzt zählt
Cyberwarfare ist zur realen Bedrohung für Unternehmen und kritische Infrastrukturen geworden. Eine neue Studie zeigt: Über 87 Prozent der IT-Entscheider sind über staatlich gesteuerte Cyberangriffe besorgt – allen voran aus China. In einer Ära KI-gestützter Angriffe brauchen Unternehmen mehr als nur reaktive Sicherheit.
Die Studie „Warfare Without Borders“ von Armis zeichnet ein klares Bedrohungsbild: Cyberwarfare ist längst nicht mehr abstrakt, sondern konkreter Bestandteil geopolitischer Machtspiele. Russland, China und Nordkorea gelten weltweit als die drei dominierenden staatlich unterstützten Angreifer – wobei 73 Prozent der IT-Verantwortlichen China als das größte Risiko einschätzen.
APT-Gruppen wie Volt Typhoon und Salt Typhoon agieren gezielt gegen kritische Infrastrukturen. Ihr Arsenal umfasst umfangreiche Netzwerkerkundung, das Ausnutzen öffentlich zugänglicher Schwachstellen und den Einsatz von „Living-Off-The-Land“-Techniken, um im System zu bleiben, ohne entdeckt zu werden. Diese verdeckten Methoden sind schwer zu erkennen – besonders in hybriden Umgebungen mit IT, OT und IoT-Komponenten.
Technik verstehen – Taktiken durchkreuzen
Die genaue Zuordnung von Angreifern zu bestimmten Gruppen hilft, Motive zu verstehen, doch entscheidend für die Verteidigung ist das Wissen über ihre Techniken. Hier leisten TTPs (Tactics, Techniques and Procedures) und IoCs (Indicators of Compromise) wertvolle Dienste. In der Vergangenheit hat sich die amerikanische Cybersicherheitsbehörde (Cybersecurity and Infrastructure Security Agency, kurz: CISA) als wichtige Ressource für das Verständnis dieser Nuancen erwiesen.
Das Problem: Viele Unternehmen arbeiten noch mit veralteten Verteidigungsstrategien. Schwachstellen in Netzwerkgeräten, falsch konfigurierte Dienste oder lückenhafte Asset-Verzeichnisse sind häufige Einstiegstore. Ein wirksames Schwachstellenmanagement und ein vollständiger Überblick über alle Assets – vom Server bis zur virtuellen Maschine – sind heute zwingend erforderlich.
KI wird zur Waffe – auf beiden Seiten
Dass OpenAI kürzlich ChatGPT-Konten nationalstaatlicher Hacker gesperrt hat, verdeutlicht das Ausmaß: Künstliche Intelligenz ist längst Teil des Cyber-Wettrüstens. Laut Armis und OpenAI nutzen chinesische Gruppen KI zur Automatisierung von Angriffen, zur Durchführung von Social-Engineering-Kampagnen und zur Optimierung von Schadcode.
Google hat bereits demonstriert, dass KI sogar Zero-Day-Schwachstellen aufspüren kann. Diese Fähigkeiten lassen sich problemlos in bestehende Angriffsmuster integrieren: Netzwerke werden in Echtzeit nach verwundbaren Komponenten durchsucht, Angriffe automatisiert ausgelöst – und das alles ohne menschliche Beteiligung. Wer nicht mitzieht, verliert den Anschluss.
Prävention statt Reaktion
Die größte Schwäche vieler Organisationen liegt in ihrer Reaktionsgeschwindigkeit: Mehr als die Hälfte der Unternehmen reagiert laut Armis-Bericht erst nach einem erfolgreichen Angriff. Dabei ist Prävention der einzig gangbare Weg. Unternehmen müssen Sicherheitslücken identifizieren, bevor Angreifer sie ausnutzen – und das in allen Umgebungen, von Cloud- über OT- bis zu IoT-Systemen.
Hilfreich ist die Orientierung an Standards wie NIST 800-53 oder dem Cybersecurity Framework (CSF). Doch entscheidend ist, wie konsequent diese Vorgaben in konkrete Prozesse übersetzt werden: durch kontinuierliches Monitoring, automatisiertes Schwachstellenmanagement und eine Risikobewertung, die technische und geschäftliche Faktoren miteinander verknüpft.
KI als Verteidigungsstrategie
Moderne Sicherheitsplattformen setzen auf prädiktive KI-Modelle, die Bedrohungen in Echtzeit erkennen – auch solches Verhalten, das auf LOTL-Techniken hinweist. Diese Systeme analysieren Abweichungen im Verhalten legitimer Tools, decken bislang unerkannte Schwachstellen auf und identifizieren unverwaltete Geräte, die ein Sicherheitsrisiko darstellen.
Ein solcher präventiver Ansatz macht es möglich, mit dem Tempo der Angreifer Schritt zu halten. Unternehmen, die sich gezielt mit den Angriffsmustern chinesischer APTs beschäftigen und KI gestützt verteidigen, bauen eine wirksame Verteidigung auf – bevor der erste Dominostein fällt.
Fazit: Jetzt ist der Moment zu handeln
Cyberwarfare kennt keine Grenzen mehr – weder geographisch noch technisch. Volt Typhoon, Salt Typhoon und ähnliche Gruppen agieren mit Präzision und strategischer Geduld. Ihr Erfolg beruht auf der Fähigkeit, bekannte Schwächen systematisch auszunutzen. Wer diesen Bedrohungen nur passiv begegnet, wird früher oder später getroffen.
Sicherheitsverantwortliche müssen jetzt handeln: mit proaktiven Schutzmaßnahmen, fundierter Bedrohungsanalyse und dem gezielten Einsatz von KI zur Verteidigung. Denn wer heute investiert, kann morgen überleben – digital, wirtschaftlich und strategisch.
Die vollständige Studie „Warfare Without Borders“ gibt es hier.
Alex Mosher, Präsident von Armis
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
