„Ransomware war in gewisser Weise ein Segen, weil sie Verbesserungen der Cybersicherheit erzwang“: Analyse eines Amazon-Managers

Eine neue Studie warnte diese Woche, dass die lateinamerikanische Finanzbranche weiterhin unter einer bestimmten Art von Cyberangriffen leidet: Ransomware . Dabei handelt es sich um eine Art Schadprogramm ( Malware ), das Informationen verschlüsselt, sodass sie für ihre Besitzer unzugänglich sind, und im Gegenzug Lösegeld fordert. Diese Art von Angriff bereitet Unternehmen, Staaten und Organisationen weltweit seit fünf Jahren Kopfzerbrechen .

Ransomware hat eine lange Geschichte. Obwohl ihre Ursprünge bis in die späten 1980er Jahre zurückreichen, entwickelte sie sich erst im letzten Jahrzehnt zu einem cyberkriminellen Geschäft . Sie ist so weit verbreitet, dass diese Ransomware-Gruppen Mitglieder haben, die sich auf die Verschlüsselung von Informationen, Finanzen und sogar auf das spezialisiert haben, was sie „technischen Support“ nennen: einen Chat, in dem Verhandlungen geführt werden, um im besten Fall für das Opfer den geforderten Betrag zu senken. Sie haben sogar Marken mit bekannten Namen in der Branche aufgebaut.

Obwohl es 2024 mehrere größere Betriebsstörungen gab, wie beispielsweise die Gruppen LockBit und BlackCat (ALPHV) , bleibt die Bedrohung bestehen. Obwohl sie aus dem Medieninteresse verschwunden ist, gab es 2025 bereits mehrere Fälle, von denen einige in den sozialen Medien kursierten und andere Schlagzeilen machten.

Doch wie jede Krise bot Ransomware auch eine Chance: „In gewisser Weise war Ransomware ein Segen , weil sie die Benutzer zu einer besseren Cyber-Hygiene zwang.“

Dies ist Mark Ryland , Leiter eines Teams von Cloud-Sicherheitsexperten bei Amazon Web Services (AWS), der Cloud-Computing-Abteilung von Amazon . Er fungiert als Stellvertreter des „CISO“, einer Position, die große Unternehmen und Regierungen zunehmend für ihre Geschäftstätigkeit in Betracht ziehen: Chief Information Security Officer, also die Person, die auf einen Cybersicherheitsvorfall reagiert, aber auch für die Gestaltung der Zugriffsrichtlinien, das Account-Management und die Praktiken verantwortlich ist, die letztendlich zur Sicherheit eines Unternehmens beitragen.

Und genau diese Strategie macht den Unterschied, wenn es darum geht, Opfer eines Angriffs zu werden oder darauf reagieren zu müssen: Man muss verstehen, welche Maßnahmen zur Verhinderung von Ransomware ergriffen werden müssen, sich darüber im Klaren sein, dass man auf den Fall eines Angriffs vorbereitet sein muss, und eine „Security by Design“-Richtlinie haben, die beispielsweise sicherstellt, dass ein System die Wahl von „1234“ als Kennwort nicht zulässt.

Ryland sprach mit Clarín bei re:Inforce , der Cybersicherheitsveranstaltung von AWS in Philadelphia (USA), über all dies, um zu erklären, was bei den aktuellen Trends bei Cyberangriffen passiert.

– Wie halten Sie mit dem technologischen Fortschritt und seiner Geschwindigkeit Schritt?

Ich denke, wenn man von Natur aus neugierig ist, versucht man, die Vorgänge besser zu verstehen. Ein großer Teil meiner Arbeit besteht darin, mit einem nicht-technischen Publikum über Technologie zu sprechen. Daher muss ich über die neuen Tools auf dem Laufenden bleiben, damit ich Ideen gut zusammenfassen oder vereinfachen kann. Und ich sage das, weil es Vereinfachungen gibt, die irreführend sind, und andere, die gut sind. Es ist auch ein bisschen eine Kunst.

─ Werden Trends wie die heutige künstliche Intelligenz nicht auch überbewertet?

Gartners Hype-Zyklus ist immer ein Faktor, den man bei der Einführung einer neuen Technologie berücksichtigen muss. Ich bin eher skeptisch gegenüber Technologien, die als Lösung für all unsere Probleme verkauft werden. Tatsächlich schweife ich etwas ab, aber ich war auch skeptisch gegenüber Blockchain . Ich hätte nie gedacht, dass sie all die versprochenen Lösungen bieten würde, wie zum Beispiel die Sendungsverfolgung von Waren von einem Ende des Landes zum anderen.

– Eigentlich ja, denn wir hatten bereits Datenbanken, die dafür sehr gut funktionierten. Blockchain war nicht das, was es verspricht . Es eignet sich gut für Kryptowährungen und digitale Währungen, aber nicht für viel mehr. Fast alle anderen Anwendungen waren unsinnig, und ich erinnere mich, dass IBM, Accenture und Gartner alle über Blockchain sprachen und Beratungsprojekte an Unternehmen verkauften, um Blockchain für Dinge zu nutzen, die sie mit einer herkömmlichen Datenbank hätten tun können.

– Ransomware ist seit einigen Jahren das Top-Thema in der Cybersicherheitsbranche. Wie ist der aktuelle Stand?

Berichten zufolge ist der Trend zwar nicht mehr so ​​stark, aber das Thema ist noch lange nicht abgeschlossen . Die allgemeine Stimmung – und die Zahlen – sprechen dafür, dass der Trend zumindest nicht zunimmt.

– Was hat die Branche Ihrer Meinung nach durch Ransomware gelernt?

Ich möchte etwas leicht Kontroverses sagen. In gewisser Weise war Ransomware ein Segen, da sie die Nutzer zu besserer Cyber-Hygiene zwang . Das grundlegende Problem ist, dass wir jahrelang mit Systemen gearbeitet haben, die leicht zu hacken waren. Der Unterschied ist, dass es früher keine Cybercrime-Industrie gab, die damit Geld verdient hätte. Ein Angreifer konnte zwar eindringen, aber warum sollte er es tun, wenn es keine Möglichkeit gab, damit Geld zu verdienen?

– Aber glauben Sie, dass sich seit der Ransomware etwas geändert hat?

– Ich denke, es war ein schrecklicher Übergang, ein Tribut, den die Branche zahlen musste . Es war schmerzhaft, aber ich denke, im Allgemeinen sind die Unternehmen stärker geworden und haben die Grundlagen verbessert, angefangen bei der Schulung mit internen Phishing-Tests, über die Stärkung ihrer Perimeter und Firewalls bis hin zu besseren Backups. Immer mehr Unternehmen und Behörden wurden sich des Problems bewusst und begannen beispielsweise, den Benutzerzugriff einzuschränken, sodass selbst die Administratoren mit den höchsten Berechtigungen keine Backups löschen durften.

– Paradoxerweise hatte es also einen positiven Effekt auf die Branche.

Und ich denke, das Bewusstsein ist gestiegen. Auch Führungskräfte begannen zu verstehen, dass Cybersicherheit keine Option ist. CEOs und Führungskräfte fragten sich: „Was tun wir mit Ransomware?“ Unternehmen waren nie gut darin, Systeme zu patchen (aktualisieren) und Benutzer zu schulen. Und nach den Ransomware-Fällen begann sich die Lage zu verbessern. Zugegeben, es war auf seltsame Weise, aber die durch Ransomware ausgelösten Krisen boten auch Möglichkeiten zur Verbesserung von Praktiken und Systemen.

– Vor zwei Jahren haben wir darüber gesprochen, wie Angreifer die AWS-Infrastruktur für Phishing-Kampagnen nutzen. Wie hat sich dieses Problem entwickelt und konnten Sie es lösen?

Das ist zwar immer noch ein Problem, aber wir sind besser darin geworden, diese Konten zu erkennen und zu blockieren. Hier kommen KI und maschinelles Lernen ins Spiel, die uns helfen, zwischen legitimen und bösartigen Kampagnen besser zu unterscheiden. Die Gefahr besteht immer: Ich kann einen Fahrradladen besitzen und meine Kunden per E-Mail über die neuesten Nachrichten informieren, aber es besteht immer die Möglichkeit, dass mein Konto kompromittiert und meine Plattform zum Versenden von Spam missbraucht wird.

– Die Industrie propagiert die Philosophie des „sicheren Designs“. Was bedeutet das?

Im aktuellen Umfeld ist der Einsatz von Technologien mit integrierten Sicherheitsstandards idealerweise die beste Option. Stellen Sie sich das so vor: Wenn ich ein Startup bin, das beispielsweise einen intelligenten Toaster herstellt, möchte oder kann ich höchstwahrscheinlich nicht viel in Cybersicherheit investieren. Bietet mir ein Anbieter jedoch eine Lösung, die bereits von Haus aus sicher ist, nutze ich sie. Ich kann sie sogar vermarkten: mit „automatischen Updates“, „starken Passwörtern“ usw. Das erhöht die allgemeine Sicherheit; genau darauf basiert „Secure by Design“. Mit dieser Denkweise sind Sie in einem sich täglich verändernden Ökosystem immer einen Schritt voraus.

– Sie sagten zuvor, Sie seien skeptisch gegenüber der Anwendung und dem Umfang der Blockchain. Ist Ihnen mit KI etwas Ähnliches passiert?

– Ja, zunächst scheint es mir, als ob wir etwas, das wir bereits kannten, „rebranden“. Es ist definitiv eine Technologie, die Neues bringt, und wir sehen gerade erst ihre Anwendungen; es ist nicht dasselbe wie bei der Blockchain, von der ich Ihnen erzählt habe. Aber ich muss unterscheiden, was nützlich ist und was nicht. Diese Woche habe ich mich mit Regulierungsbehörden in Washington getroffen, und ich rate ihnen immer, ihre Erwartungen an KI etwas herunterzuschrauben. Sie wird definitiv große Auswirkungen auf unsere Arbeitsplätze haben , aber ich denke, die Menschen müssen trotzdem ein gutes Urteilsvermögen an den Tag legen, wenn sie entscheiden, ob ein Ergebnis nützlich ist oder nicht.

Nehmen wir ein Beispiel: Wenn ich eine KI bitte, mir einen Marketingvorschlag zu schreiben, obwohl ich noch nie in diesem Bereich gearbeitet habe, werde ich die Ergebnisse der KI wahrscheinlich nicht nutzen können. Wenn ich nicht beurteilen kann, wofür sie nützlich ist, könnten uns bald die Experten ausgehen, die entscheiden können, ob etwas nützlich ist oder nicht. Der Einsatz dieser KI birgt Risiken.

Stephen Schmidt, Amazons Sicherheitschef, sagte letzte Woche auf einer anderen Konferenz, Cyberkriminelle würden KI nutzen, um ihre Angriffe zu verbessern. „Es gibt keine Bots, die sich gegenseitig angreifen“, sagte er . Stimmt das?

– Das ist eine gute Zusammenfassung der Situation, ja. Ich möchte hinzufügen, dass auch diejenigen, die Systeme verteidigen, davon profitieren, um zu programmieren, ihren Code zu überprüfen, System-Penetrationstests durchzuführen und Reaktionszeiten zu verbessern. KI ist auch sehr nützlich, um vorhandene Informationen zu sortieren und so Muster oder Angriffsformen zu erkennen, die man sonst vielleicht nicht bemerkt hätte. KI ist gut darin, Semantik zu erfassen , weshalb sie nicht nur Angreifern, sondern auch Systemverteidigern sehr hilft. Richtig eingesetzt ist sie ein sehr mächtiges Werkzeug.

─Ist KI gut für die Analyse von Malware (Viren)?

– Ja , solange es von einem Experten verwendet wird. Das ist die Antwort. Unsere Teams nutzen es, um ähnliche Malware-Familien zu analysieren. Es hilft, Gemeinsamkeiten und Unterschiede zu verstehen. Und ehrlich gesagt erzielen sie damit gute Ergebnisse.

– In der Branche geht der Trend dahin, von „ Agenten “ zu sprechen, also von KI, die nicht nur analysiert, sondern auch Entscheidungen trifft. Welchen Platz nimmt Cybersicherheit in dieser Diskussion ein?

Das ist der nächste Schritt beim Einsatz von KI in der Bedrohungsanalyse: Maßnahmen ergreifen. Wenn ich eine KI zur Analyse programmiere, kann ich sie bitten, einen Fehler im System zu beheben.

– Es ist in Arbeit. Ein konkretes Beispiel ist ein Wettbewerb, der von der DARPA, der US-amerikanischen Defense Advanced Research Projects Agency, organisiert wird. Sie fördert einen Wettbewerb, der auf der Black Hat offiziell angekündigt wird und bei dem es attraktive Preise zu gewinnen gibt (der erste Platz beispielsweise ist mit einer halben Million Dollar dotiert). Ziel ist die Entwicklung eines Systems, das Open-Source-Projekte analysieren, Schwachstellen erkennen und automatisch beheben kann. Das Interessante daran ist, dass die DARPA ihr System, sobald die Teams es eingereicht haben, mit anderen Projekten als denen aus dem Training testet, um seine Leistungsfähigkeit zu bewerten.

─Es ist also gut für hohe Arbeitslasten geeignet.

─Auf jeden Fall, zum Beispiel um lästige Aufgaben zu planen, automatisch zu aktualisieren usw. Das spart Zeit.

– Welche negativen oder problematischen Seiten sehen Sie in diesen Entwicklungen der künstlichen Intelligenz?

Es gibt zweifellos auch Schattenseiten. Phishing-Betrug wird beispielsweise immer raffinierter . Eines der Phänomene, das mir besonders auffällt, ist das sogenannte „ Pig Butchering “: langwierige Betrugsmaschen, bei denen sich Angreifer als vertrauenswürdige Personen ausgeben, um an Geld oder Informationen zu gelangen. Diese Art der Täuschung nimmt alarmierend zu und wird natürlich durch KI-Tools ermöglicht. Viele dieser Akteure operieren von Ländern wie Malaysia oder den Philippinen aus, unter sklavenähnlichen Bedingungen, und dank KI können sie perfekt auf Englisch kommunizieren und sogar falsche Stimmen simulieren und reproduzieren.

─Stimmklonen und Deepfakes sind Probleme, für die es scheinbar keine Lösung gibt.

– Ja, zweifellos. Es ist bereits heute möglich, eine Sprachnachricht zu erhalten, die genau wie die Ihres Chefs klingt und Sie auffordert, Geld zu überweisen oder auf bestimmte Systeme zuzugreifen. Und wer nicht darauf trainiert ist, all dies zu erkennen , könnte leicht auf diesen Betrug hereinfallen. Deshalb ist es wichtig, dass die Benutzer viel besser geschult werden.

„Ich denke, es reicht nicht, zu sagen: „Klicken Sie nicht auf verdächtige Links.“ Wir brauchen Simulationstraining , wenn nötig auch in der virtuellen Realität, damit die Leute wissen, dass sie jede Anfrage, die eine Statusänderung eines Systems oder eine Geldüberweisung beinhaltet, immer über einen anderen Kanal bestätigen müssen.“

– Welchen Rat würden Sie dem Durchschnittsbenutzer zur Aufrechterhaltung der grundlegenden Cybersicherheitshygiene geben?

Selbst wenn Sie eine Nachricht von jemandem erhalten, der genau wie jemand klingt, den Sie kennen – sei es ein Kollege, Ihr Chef oder Ihre Mutter – denken Sie immer zweimal nach und prüfen Sie, bevor Sie handeln: bevor Sie auf „Akzeptieren“ klicken, bevor Sie einen Link öffnen oder sogar bevor Sie einen neuen Empfänger zu Ihrem Adressbuch hinzufügen und auf „Übertragen“ klicken. Zögern Sie immer.