Drei Säulen der Cyberresilienz in Zeiten der agentischen KI
Christian Kubik, Director Sales Engineering DACH, Commvault
Künstliche Intelligenz gibt jedem Amateur mächtige Werkzeuge in die Hand, um Unternehmensnetze und Backups zu attackieren. Diese neuen Risiken erfordern einen neuen Ansatz für Resilienz, der selbst KI als Gegenmittel einsetzt.
Generative KI hat sich zu einem Kraftmultiplikator für Cyberkriminelle entwickelt. Die Einstiegshürden sind wesentlich gesunken und selbst unerfahrene Angreifer können schneller und skalierter Schaden anrichten. Laut den Sicherheitsforschern von Unit 42 brauchen KI-gestützte Angriffe nur 25 Minuten, um in ein Netz einzudringen und Daten zu stehlen. Menschliche Angreifer bräuchten hierfür mindestens zwei Tage.
Die Lage wird durch agentische KI weiter eingetrübt. Solche Agenten können ihr Vorgehen und ihre Strategien in Echtzeit anpassen, aus Abwehrmaßnahmen lernen und Angriffe schneller weiterentwickeln, als Menschen zurückschlagen können. Zum ersten Mal seit langer Zeit hat man den Eindruck, dass die Angreifer den Verteidigern ein Stück weit voraus sind.
Aber KI-Agenten sind nicht nur eine neue Gefahr, sondern sie bieten auch eine neue Hilfestellung, um Daten, Anwendungen sowie Infrastrukturen zu schützen, zu sichern und wiederherzustellen. Sie erfordern und ermöglichen eine neue Cyberresilienz: Für den vollständigen Wiederaufbau der gesamten IT in ihrer Struktur und in ihren Abhängigkeiten, mit neuen Recovery-Test-Ansätzen zum schnellen Wiederherstellen der unverzichtbaren digitalen Assets sowie durch eine Recovery as a Code, die als automatisch generierte Grundlage einer Wiederherstellung isolierte Playbooks ersetzt.
Cybersicherheitsstrategien sollten heute nicht mehr auf der Annahme basieren, Angriffe verhindern zu können. Wichtiger wird sein, sich von einer rein präventiven Denkweise zu emanzipieren und sich darauf zu fokussieren, wie man die Folgen einer erfolgreichen Attacke eindämmen und schnell wieder zum Urzustand zurückkommen kann – die Kernidee echter Cyberresilienz.
Bisher war die Kalkulation recht einfach: Backup = Ein Restore ist möglich. Doch diese Gleichung geht nicht mehr auf. KI-gestützte Modelle wie Mythos haben offenbart, dass Angreifern bald Wege offenstehen, selbst gezielt nach Software-Schwächen zu suchen, um unbemerkt in Firmennetze einzudringen. Dort können sie dann die gefährliche Fracht platzieren, seien es Ransomware-Codes oder Fake-Accounts in Active Directories, von wo aus sie hunderte von Tagen im Netz spionieren und weitere Backdoors installieren können. Die Angreifer verschlüsseln dann nicht nur Daten oder sabotieren Systeme, sie beschädigen auch die notwendigen Recovery-Funktionen. Kriminelle manipulieren auch Richtlinien zum Vorhalten von Backups oder kompromittieren die Ebenen der Orchestration. Selbst der sogenannte unveränderliche Speicher ist oft nicht immun. Angreifer können die Ebene der Backup-Administration und der Backup-Richtlinien kompromittieren, bevor Snapshots aktiviert werden. Zudem nutzen sie Konfigurationsfehler aus.
Resilienz verlangt nicht nur die Fähigkeit, solche Angriffe abzuwehren, sondern auch die Tools, um eine gesamte IT in ihrer Struktur wiederherzustellen, bspw. durch das Zurücksetzen von Daten, Applikationen, Netzwerken, Identitätsframeworks und deren Cloud-Abhängigkeiten.
Disaster-Recovery-Manöver müssen zu regelmäßigen Ernstfalltests werden. Oft finden sie nur statt, um Vorgaben der Compliance zu erfüllen. IT-Resilienz erfordert jedoch, aus dem Ausnahmezustand des „Recovery” eine vorab durchdachte und durchgespielte Unternehmensroutine zu machen.
Eine weitere nützliche Strategie ist ein Minimum Viability Framework. Hier liegt der Schwerpunkt darauf, geschäftskritische Dienste wie Identitätssysteme oder branchenspezifische Auftragswesen, Check-out oder Patientenversorgungsplattformen wiederherzustellen. Wer seine Abläufe in geschäftskritische, unternehmenskritische und nicht kritische Kategorien unterteilt, kann Wiederherstellungstests praktikabel und strategisch auf eine optimale Geschäftskontinuität abstimmen.
