Der neue Android-Banking-Trojaner Herodotus zeigt, wie weit sich Cyberangriffe bereits entwickelt haben: Schadcode, der menschliches Verhalten täuschend echt nachahmt, stellt klassische Sicherheitsmechanismen vor enorme Herausforderungen. Darren Guccione, CEO und Mitgründer von Keeper Security, erklärt, warum Unternehmen jetzt auf identitätsorientierte Sicherheit und kontinuierliche Überwachung setzen müssen.
Foto: Keeper Security
Darren Guccione, CEO und Co-Founder von Keeper Security
Der Herodotus Android Banking Trojaner ist ein Beispiel für einen sich weiterentwickelnden Bedrohungsvektor, bei dem bösartiger Code zunehmend menschliches Verhalten imitiert. Beispielsweise werden subtile Pausen und Verzögerungen einfügt, um menschlich zu wirken und der Erkennung zu entgehen. Es veranschaulicht, wie Angreifer Automatisierung und künstliche Intelligenz nutzen, um legitime Benutzerinteraktionen nachzuahmen und so genau die Systeme zu umgehen, die sie eigentlich stoppen sollen.
Sicherheitstools, die sich ausschließlich auf Rhythmus, Tastenanschlagkadenz oder Benutzer-Timing stützen, werden zwangsläufig Schwierigkeiten haben, diese neuen Formen der Automatisierung zu identifizieren. Was jetzt erforderlich ist, ist eine tiefere Transparenz auf Prozess- und Sitzungsebene mit der Fähigkeit, Verhaltens-, Kontext- und Umgebungsdaten in Echtzeit zu korrelieren.
Die Erklärung von Google, dass keine infizierten Apps im Play Store gefunden wurden und dass Play Protect bekannte Varianten blockiert, ist beruhigend. Allerdings nutzen Angreifer weiterhin Side-Loading, Social Engineering und App-Kanäle von Drittanbietern, um vertrauenswürdige App-Ökosysteme zu umgehen und Benutzer auszunutzen.
Dies unterstreicht eine anhaltende Herausforderung im Bereich der mobilen Sicherheit. Abwehrmaßnahmen auf Plattformebene können nur gegen bekannte Bedrohungen schützen. Angreifer setzen mittlerweile polymorphe, KI-gestützte Malware ein, die ihr Verhalten in Echtzeit ändern kann, um einer Erkennung zu entgehen. Für Unternehmen – insbesondere solche, die Bring-Your-Own-Device-Umgebungen unterstützen – verstärkt diese Entwicklung die Notwendigkeit einer kontinuierlichen Verhaltensüberwachung und einer identitätsorientierten Sicherheit. Die Sicherheitsmaßnahmen müssen über Endpunkte hinausgehen und bis zur Analyse auf Sitzungsebene reichen, um Anomalien zu erkennen, die menschlich erscheinen, aber vom erwarteten Kontext oder Berechtigungsniveau abweichen.
Genau hier kommen Zero-Trust- und privilegierte Zugriffsmanagement-Frameworks ins Spiel. Jede digitale Interaktion, sei es von einem Menschen, einem Bot oder einem KI-Agenten, muss kontinuierlich authentifiziert, autorisiert und überwacht werden. Moderne Bedrohungen wie Herodotus nutzen nicht nur Software-Schwachstellen aus, sondern auch Lücken in der Identitätsprüfung und übermäßige Zugriffsrechte.
Wir beobachten einen grundlegenden Wandel hin zu einer identitätsorientierten, KI-gestützten Cybersicherheit, bei der Berechtigungsgrenzen ständig überprüft werden und die Automatisierung selbst gesichert ist. Jede Einheit – ob menschlich oder nicht-menschlich – muss innerhalb streng kontrollierter, überprüfbarer Zugriffsgrenzen operieren. Durch die Kombination von Echtzeit-Sitzungstelemetrie, Befehlsanalyse und kontextbezogener Risikobewertung können Sicherheitsteams KI-gesteuerte Abwehrmaßnahmen ermöglichen, die Absichten von Imitationen mit maschineller Geschwindigkeit unterscheiden.
Das Ziel besteht nicht nur darin, böswillige Aktivitäten nachträglich zu identifizieren, sondern den Missbrauch von Privilegien oder unbefugte Automatisierung zu verhindern, bevor sie auftreten. Unternehmen, die sich für eine kontinuierliche, kontextbezogene Überwachung auf Basis von Zero-Trust-Prinzipien entscheiden, sind sehr gut gerüstet, um sich gegen diese neue Ära adaptiver, verhaltensimitierender Bedrohungen zu verteidigen.
