Die neuen Richtlinien des **CERT-In** schreiben vor, dass Organisationen kritische Sicherheitslücken in internetexponierten Systemen innerhalb von 12 Stunden nach deren Kennzeichnung zu beheben haben, sofern dies "machbar" ist. Dieser aggressive Zeitplan zielt darauf ab, der eskalierenden Bedrohung durch KI-gestützte Cyberangriffe entgegenzuwirken. ### Die KI-Cyber-Bedrohungslandschaft Laut dem 38-seitigen Leitfaden des **CERT-In** "reduziert die KI-gestützte Cyber-Ausnutzung die Zeit, die Angreifer benötigen, um Schwachstellen, exponierte Dienste, schwache Identitäten, unsichere APIs und fehlkonfigurierte Systeme zu identifizieren, zu bewaffnen und auszunutzen." Die Behörde hebt die wachsende Abhängigkeit von vernetzter digitaler Infrastruktur, Cloud-Ökosystemen, Software-Lieferketten, operativen Technologien und KI-fähigen Plattformen hervor, die alle die potenziellen Auswirkungen von KI-gestützten Cyberbedrohungen branchenübergreifend verstärken. Bedrohungsakteure nutzen KI für verschiedene bösartige Aktivitäten, darunter: * Erkennung der Angriffsfläche * Analyse von Exploits * Generierung von Phishing-Inhalten * Erstellung von Malware Dies ermöglicht es ihnen, die Zeitpläne für die Angriffsvorbereitung zu verkürzen und traditionelle Sicherheitskontrollen zu umgehen. Darüber hinaus werden KI-fähige Systeme selbst zu Zielen durch Prompt-Injections, Schwachstellen bei der Datenlecks, Jailbreaking-Techniken, Modellmanipulation, Vergiftung von Trainingsdaten, Modell-Diebstahl und Kompromittierung von Orchestrierungs-Pipelines. ### Verteidigungsprinzipien Das **CERT-In** betont die Notwendigkeit einer proaktiven Reduzierung der Exposition und operativen Bereitschaft. Zu den wichtigsten Verteidigungsprinzipien gehören: * Annahme eines "Assume Breach"-Ansatzes und Vorbereitung auf eine schnelle Reaktion auf Vorfälle. * Übernahme einer Zero-Trust-Architektur. * Implementierung einer Defense-in-Depth-Strategie. * Kontinuierliche Überwachung und Reduzierung von Schwachstellen. * Einbettung eines "Secure-by-Design"-Paradigmas. * Aufrechterhaltung der operativen Kontinuität während Vorfällen. * Schutz sensibler Daten während ihres gesamten Lebenszyklus. * Reduzierung von Risiken in der Software-Lieferkette durch Software Bill of Materials (SBOM), Provenance-Validierung und Bewertungen. * Regelmäßige Sicherheitstests durch Red Teaming und Penetrationstests. * Priorisierung von Kontrollen basierend auf Kritikalität und Exposition. * Einrichtung formaler KI-Governance-Mechanismen. * Aufrechterhaltung der Sichtbarkeit von KI-Systemen und deren Verhalten. ### Behebungszeitpläne Über die 12-Stunden-Patching-Vorgabe für kritische, extern exponierte Schwachstellen hinaus legt das **CERT-In** folgende risikobasierte Behebungszeiten fest: * Kritische extern exponierte Schwachstellen: Innerhalb von 1 Tag * Bekannte ausgenutzte Schwachstellen, die interne Systeme betreffen: Innerhalb von 1 Tag (sofern keine Abhilfemaßnahmen vorhanden sind) * Kritische interne Schwachstellen, die hochwertige Systeme betreffen: Innerhalb von 3 Tagen * Schwachstellen mit hoher Schweregrad: Innerhalb von 5 Tagen basierend auf der Risikopriorisierung In Fällen, in denen Patches nicht verfügbar sind, werden temporäre Abhilfemaßnahmen wie Isolierung, Zugriffsbeschränkung, Web Application Firewall (WAF)/API-Schutz, verstärkte Überwachung oder Deaktivierung von Funktionen empfohlen. ### Das Gesamtbild Dieser Leitfaden folgt einer früheren Warnung des **CERT-In** vor den zunehmenden Cyberfähigkeiten von Frontier-KI-Modellen von **Anthropic** und **OpenAI**, die auf ihr Potenzial für bösartige Nutzung hinweist. Die Behörde betonte, dass "grundlegende Cybersicherheitskontrollen weiterhin kritisch sind und rigoros durchgesetzt werden sollten."