Ameer - stock.adobe.com
Cyberangriffe der Woche: Ein Blick hinter die Kulissen
Einmal die Woche versorgen wir unsere Leserschaft mit Informationen zu Cyberangriffen aus aller Welt. Doch wie werden diese Daten zusammengestellt? LeMagIT gewährt einen Einblick.
Seit September 2020 bieten unsere französischen Kollegen von LeMagIT ihren Lesern jeden Monat einen umfassenden Ransomware-Bericht. Dieser stützt sich insbesondere auf die veröffentlichten Zahlen zu Cyberangriffen, die regelmäßig korrigiert und aktualisiert werden. LeMagIT erfasst jedoch auch Angriffe, über die weltweit in der Presse öffentlich berichtet wird. Dieser Überblick wurde im Frühjahr 2023 mit Hilfe von ChatGPT deutlich verbessert. Seitdem ist auch ComputerWeekly.de mit den Cyberangriffen der Kalenderwoche beziehungsweise Cyberhebdo mit von der Partie und versorgt die deutschsprachigen Leser mit den Informationen. Wie das technisch funktioniert, wurde gerade einer weiteren umfassenden Überarbeitung unterzogen.
Zunächst einmal: Nach einem kurzen Abstecher zu Claude von Anthropic sind die großen Cloud-Modelle für relativ einfache Textzusammenfassungen und -analysen nun überflüssig: Die aktuellen Modelle Qwen 3.5 9B und Gemma 4 E4B erweisen sich als völlig ausreichend und bieten eine durchaus zufriedenstellende Verarbeitungsgeschwindigkeit auf einem Apple M4-Prozessor, unterstützt von 24 GByte Arbeitsspeicher, für Prozesse, die regelmäßig im Hintergrund ausgeführt werden. Darüber hinaus ermöglicht der Speicherbedarf dieser Modelle eine komfortable Nutzung ihres Kontextfensters, um ganze Artikel zu analysieren.
Das Grundprinzip hat sich nicht geändert: Wir sammeln regelmäßig mehr als 80 RSS-Feeds von Google News zu einer Handvoll gut ausgewählter Stichwörter. Allerdings tun wir dies mittlerweile für eine größere Anzahl von Regionen und Sprachen als noch vor drei Jahren, und zwar ohne die Titel zu übersetzen: Diese Aufgabe ist mittlerweile überflüssig geworden.
Vor allem der Einsatz eines lokal auf einem äußerst energieeffizienten Gerät ausgeführten Modells – das verwendete MacBook Pro geht bei der Leistungsaufnahme nie über 30 Watt – verändert die wirtschaftliche Gleichung grundlegend: Auch wenn weiterhin Optimierungsalgorithmen zum Einsatz kommen, um die Verarbeitung von Duplikaten oder die erneute Bearbeitung eines Artikels zu vermeiden, der bereits in einem früheren Durchlauf berücksichtigt wurde, wird das Sprachmodell deutlich besser genutzt als zuvor.
Wie es in der Praxis funktioniert
Der Cyberangriff der Shiny Hunters auf die Canvas-Plattform von Instructure ist ein perfektes Beispiel für diesen Anwendungsfall. Da der Vorfall fast 9.000 Bildungseinrichtungen weltweit betraf, wurden innerhalb weniger Tage Hunderte von Artikeln darüber veröffentlicht.
Die Mechanismen, die durch die Umstellung auf ein eher ressourcenschonendes und lokal ausgeführtes Modell eingeführt wurden, haben es tatsächlich ermöglicht, dieses Hintergrundrauschen erheblich zu reduzieren: Das neue Skript hat in den letzten 96 Stunden nur fünf Meldungen zu diesem Vorfall ausgegeben. Das ist der weitere Vorteil dieses neuen Ansatzes: Auch wenn die abschließende Kuratierung weiterhin dem Menschen überlassen bleibt, erfolgt sie auf der Grundlage von Warnmeldungen, die vom Workflow im Push-Modus generiert werden, anstatt auf einer mehr oder weniger regelmäßigen Überwachung eines RSS-Feeds im Pull-Modus. Diese Warnmeldungen enthalten den übersetzten Titel und die Zusammenfassung des ausgewählten Quellartikels sowie den entsprechenden Link.
Auch die Produktion unserer Cyberhebdo wird nach und nach auf das lokal ausgeführte Modell umgestellt, zunächst auf Französisch und Deutsch: Die Qualität ist mittlerweile so gut, dass der Einsatz der DeepL-APIs oder der Übersetzungsfunktionen von Azure nicht mehr gerechtfertigt ist.
Dieser Artikel ist im Original in französischer Sprache auf LeMagIT erschienen.